디바이스

VPN 문제 해결 시스템 로그가 활성화된 디바이스를 하나 이상 선택합니다.

Syslog 메시지 클래스

VPN 시스템 로그 메시지 클래스를 선택합니다. 선택한 메시지 클래스가 포함된 시스템 로그가 생성되면 상관관계 규칙 기준을 충족하고 상관관계 이벤트를 생성합니다.

Syslog 메시지 ID

상관관계 규칙에 대한 VPN 시스템 로그 메시지 ID를 지정합니다.

Syslog 메시지 텍스트

상관관계 규칙에 대한 VPN 시스템 로그 메시지 텍스트를 지정합니다.

시스템 로그 심각도

VPN 시스템 로그 심각도를 지정합니다. 선택한 심각도에 대해 생성된 VPN 문제 해결 시스템 로그가 상관관계 이벤트를 트리거합니다.

사용자 이름

트래픽에 대해 상관관계 이벤트를 생성해야 하는 VPN 사용자 이름을 언급합니다.

액세스 제어 정책

침입 이벤트를 생성한 침입 정책을 사용하는 액세스 컨트롤 정책을 하나 이상 선택합니다.

액세스 제어 규칙 이름

침입 이벤트를 생성한 침입 정책을 사용하는 액세스 컨트롤 규칙의 이름 전체 또는 일부를 입력합니다.

애플리케이션 프로토콜

침입 이벤트와 관련된 애플리케이션 프로토콜을 하나 이상 선택합니다.

애플리케이션 프로토콜 카테고리

애플리케이션 프로토콜 카테고리를 하나 이상 선택합니다.

분류

하나 이상의 분류를 선택합니다.

클라이언트

침입 이벤트와 관련된 클라이언트를 하나 이상 선택합니다.

클라이언트 카테고리

클라이언트의 카테고리를 하나 이상 선택합니다.

Destination Country(목적지 국가) 또는 Source Country(소스 국가)

침입 이벤트에서 소스 또는 목적지 IP 주소와 관련된 국가를 하나 이상 선택합니다.

목적지 IP, 소스 IP, 소스 IP 및 목적지 IP 모두, 또는 소스 IP나 목적지 IP

단일 IP 주소 또는 주소 블록을 입력합니다.

대상 포트/ICMP 코드 또는 소스 포트/ICMP 유형

소스 트래픽의 포트 번호나 ICMP 코드 또는 대상 트래픽의 포트 번호나 ICMP 유형을 입력합니다.

디바이스

이벤트를 생성했을 가능성이 있는 디바이스를 하나 이상 선택합니다.

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

Egress Interface(이그레스 인터페이스) 또는 Ingress Interface(인그레스 인터페이스)

하나 이상의 인터페이스를 선택합니다.

Egress Security Zone(이그레스 보안 영역) 또는 Ingress Security Zone(인그레스 보안 영역)

보안 영역 또는 터널 영역을 하나 이상 선택합니다.

생성자 ID

전처리기를 하나 이상 선택합니다.

영향 플래그

침입 이벤트에 할당된 영향 레벨을 선택합니다.

NetFlow 데이터에서 네트워크 맵에 추가되는 호스트에 대해서는 운영 체제 정보가 제공되지 않으므로 시스템은 이러한 호스트와 관련된 침입 이벤트에 대해 취약함(영향 레벨 1: 빨강) 영향 레벨을 할당할 수 없습니다. 이러한 경우에는 호스트 입력 기능을 사용하여 호스트에 대한 운영 체제 ID를 수동으로 설정합니다.

인라인 결과

침입 정책 위반에 따라 시스템이 패킷을 삭제했는지 또는 삭제할 가능성이 있는지를 선택합니다.

시스템은 인라인, 스위치드 또는 라우티드 구축의 패킷을 삭제할 수 있습니다. 침입 규칙 상태나 침입 정책의 삭제 작업에 상관없이, 수동 구축(인라인 설정이 탭 모드에 있는 경우 포함)에서는 패킷을 삭제하지 않습니다.

침입 정책

침입 이벤트를 생성한 침입 정책을 하나 이상 선택합니다.

IOC 태그

침입 이벤트의 결과로 침해 지표 태그가 설정되었는지를 선택합니다.

Priority(우선순위)

규칙 우선순위를 선택합니다.

규칙 기반 침입 이벤트의 경우 우선순위는 priority 키워드의 값 또는 classtype 키워드의 값에 해당합니다. 기타 침입 이벤트의 경우, 우선순위는 디코더 또는 전처리기에 의해 결정됩니다.

프로토콜

http://www.iana.org/assignments/protocol-numbers에 열거된 전송 프로토콜의 이름 또는 번호를 입력합니다.

규칙 메시지

규칙 메시지의 전체 또는 일부를 입력합니다.

규칙 SID

단일 Snort ID(SID) 또는 쉼표로 구분된 여러 SID를 입력합니다.

연산자로 is in 또는 is not in을 선택하는 경우 다중 선택 팝업 윈도우를 사용할 수 없습니다. 쉼표로 구분된 SID 목록을 입력해야 합니다.

규칙 유형

규칙이 로컬인지를 지정합니다.

로컬 규칙에는 맞춤형 표준 텍스트 침입 규칙, 수정된 표준 텍스트 규칙, 수정된 헤더 정보와 함께 규칙을 저장했을 때 생성된 공유 개체 규칙의 새 인스턴스가 포함됩니다.

SSL 실제 작업

시스템이 암호화된 연결을 처리한 방법을 나타내는 SSL 규칙 작업을 선택합니다.

SSL 인증서 핑거프린트

트래픽을 암호화하는 데 사용된 인증서의 핑거프린트를 입력하거나, 핑거프린트와 연결된 주체 CN을 선택합니다.

SSL 인증서 주체 일반 이름(CN)

세션 암호화에 사용된 인증서의 주체 CN 전체 또는 일부를 입력합니다.

SSL 인증서 주체 국가(C)

세션 암호화에 사용된 인증서의 주체 국가 코드를 하나 이상 선택합니다.

SSL 인증서 주체 조직(O)

세션 암호화에 사용된 인증서의 주체 조직 이름 전체 또는 일부를 입력합니다.

SSL 인증서 주체 조직 단위(OU)

세션 암호화에 사용된 인증서의 주체 조직 단위 이름 전체 또는 일부를 입력합니다.

SSL 흐름 상태

트래픽을 해독하려는 시스템의 결과를 기반으로 상태를 하나 이상 선택합니다.

Username

침입 이벤트의 소스 호스트에 로그인한 사용자의 사용자 이름을 입력합니다.

VLAN ID

침입 이벤트를 트리거한 패킷에 관련된 가장 안쪽의 VLAN ID를 입력합니다.

웹 애플리케이션

침입 이벤트와 관련된 웹 애플리케이션을 하나 이상 선택합니다.

웹 애플리케이션 카테고리

웹 애플리케이션 카테고리를 하나 이상 선택합니다.

애플리케이션 프로토콜

악성코드 이벤트와 관련된 애플리케이션 프로토콜을 하나 이상 선택합니다.

애플리케이션 프로토콜 카테고리

애플리케이션 프로토콜 카테고리를 하나 이상 선택합니다.

클라이언트

악성코드 이벤트와 관련된 클라이언트를 하나 이상 선택합니다.

클라이언트 카테고리

클라이언트의 카테고리를 하나 이상 선택합니다.

Destination Country(목적지 국가) 또는 Source Country(소스 국가)

악성코드 이벤트에서 소스 또는 목적지 IP 주소와 관련된 국가를 하나 이상 선택합니다.

목적지 IP, 호스트 IP 또는 소스 IP

단일 IP 주소 또는 주소 블록을 입력합니다.

대상 포트/ICMP 코드

대상 트래픽의 포트 번호 또는 ICMP 코드를 입력합니다.

속성

Malware(악성코드)나 Custom Detection(맞춤형 탐지) 중 하나 또는 둘 다를 선택합니다.

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

이벤트 유형

엔드포인트용 AMP가 탐지한 악성코드 이벤트와 관련된 이벤트 유형을 하나 이상 선택합니다.

파일 이름

파일의 이름을 입력합니다.

File Type(파일 유형)

파일 형식을 선택합니다.

파일 유형 카테고리

파일 유형 카테고리를 하나 이상 선택합니다.

IOC 태그

악성코드 이벤트의 결과로 침해 지표 태그가 is 또는 is not으로 설정되었는지를 선택합니다.

SHA-256

파일의 SHA-256 해시 값을 입력하거나 붙여넣습니다.

SSL 실제 작업

시스템이 암호화된 연결을 처리한 방법을 나타내는 SSL 규칙 작업을 선택합니다.

SSL 인증서 핑거프린트

트래픽을 암호화하는 데 사용된 인증서의 핑거프린트를 입력하거나, 핑거프린트와 연결된 주체 CN을 선택합니다.

SSL 인증서 주체 일반 이름(CN)

세션 암호화에 사용된 인증서의 주체 CN 전체 또는 일부를 입력합니다.

SSL 인증서 주체 국가(C)

세션 암호화에 사용된 인증서의 주체 국가 코드를 하나 이상 선택합니다.

SSL 인증서 주체 조직(O)

세션 암호화에 사용된 인증서의 주체 조직 이름 전체 또는 일부를 입력합니다.

SSL 인증서 주체 조직 단위(OU)

세션 암호화에 사용된 인증서의 주체 조직 단위 이름 전체 또는 일부를 입력합니다.

SSL 흐름 상태

트래픽을 해독하려는 시스템의 결과를 기반으로 상태를 하나 이상 선택합니다.

소스 포트/ICMP 유형

소스 트래픽의 포트 번호 또는 ICMP 유형을 입력합니다.

웹 애플리케이션

악성코드 이벤트와 관련된 웹 애플리케이션을 하나 이상 선택합니다.

웹 애플리케이션 카테고리

웹 애플리케이션 카테고리를 하나 이상 선택합니다.

클라이언트가 변경됨

클라이언트 업데이트

클라이언트의 시간이 초과됨

클라이언트 시간 초과

호스트 IP 주소 재사용됨

DHCP: IP 주소 재할당

호스트 한도에 도달하여 호스트가 삭제됨

호스트 삭제됨: 호스트 한도 도달함

호스트가 네트워크 장치로 식별됨

네트워크 디바이스로 호스트 유형 변경됨

호스트의 시간이 초과됨

호스트 시간 초과

호스트 IP 주소가 변경됨

DHCP: IP 주소 변경됨

NETBIOS 이름 변경이 탐지됨

NETBIOS 이름 변경

새 클라이언트가 탐지됨

새 클라이언트

새 IP 호스트가 탐지됨

새 호스트

새 MAC 주소가 탐지됨

호스트에 대해 추가 MAC 탐지됨

새 MAC 호스트가 탐지됨

새 호스트

새 네트워크 프로토콜이 탐지됨

새 네트워크 프로토콜

새 전송 프로토콜이 탐지됨

새 전송 프로토콜

aTCP 포트가 닫힘

TCP 포트 닫힘

TCP 포트의 시간이 초과됨

TCP 포트 시간 초과

UDP 포트가 닫힘

UDP 포트 닫힘

UDP 포트의 시간이 초과됨

UDP 포트 시간 초과

VLAN 태그가 업데이트됨

VLAN 태그 정보 업데이트

IOC가 설정됨

보안 침해 지표

열린 TCP 포트가 탐지됨

새 TCP 포트

열린 UDP 포트가 탐지됨

새 UDP 포트

호스트에 대한 OS 정보가 변경됨

새 OS

호스트에 대한 OS 또는 서버 ID에 충돌이 발생함

ID 충돌

호스트에 대한 OS 또는 서버 ID의 시간이 초과됨

ID 시간 초과

아무 유형의 이벤트가 존재함

아무 이벤트 유형

MAC 주소에 대한 새 정보가 있음

MAC 정보 변경

TCP 서버에 대한 새 정보가 있음

TCP 서버 정보 업데이트

UDP 서버에 대한 새 정보가 있음

UDP 서버 정보 업데이트

애플리케이션 프로토콜

애플리케이션 프로토콜을 하나 이상 선택합니다.

애플리케이션 프로토콜 카테고리

애플리케이션 프로토콜 카테고리를 하나 이상 선택합니다.

애플리케이션 포트

애플리케이션 프로토콜 포트 번호를 입력합니다.

클라이언트

클라이언트를 하나 이상 선택합니다.

클라이언트 카테고리

클라이언트의 카테고리를 하나 이상 선택합니다.

클라이언트 버전

클라이언트의 버전 번호를 입력합니다.

디바이스

검색 이벤트를 생성했을 가능성이 있는 장치를 하나 이상 선택합니다.

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

하드웨어

모바일 디바이스의 하드웨어 모델을 입력합니다. 예를 들어 일치하는 모든 Apple iPhone을 찾으려면 iPhone을 입력합니다.

Host Type(호스트 유형)

호스트 유형을 하나 이상 선택합니다. 호스트를 선택하거나 여러 네트워크 디바이스 유형 중 하나를 선택할 수 있습니다.

IP 주소 또는 새 IP 주소

단일 IP 주소 또는 주소 블록을 입력합니다.

탈옥됨

이벤트의 호스트가 탈옥 모바일 디바이스이면 Yes(예), 아니면 No(아니오)를 선택합니다.

MAC 주소

호스트의 MAC 주소 전체 또는 일부를 입력합니다.

예를 들어 특정 하드웨어 제조업체 디바이스의 MAC 주소가 0A:12:34로 시작하는 것을 알고 있다면 연산자로 begins with를 선택하고 값으로 0A:12:34를 입력할 수 있습니다.

MAC 유형

MAC 주소가 ARP/DHCP Detected인지 여부를 선택합니다.

즉 시스템에서 MAC 주소를 호스트에 속한 것(ARP/DHCP Detected)으로 확실하게 식별했는지, 또는 매니지드 디바이스와 호스트 간에 라우터가 있다는 등의 이유로 여러 호스트가 해당 MAC 주소를 갖는지(is not ARP/DHCP Detected) 여부를 선택합니다.

MAC 벤더

검색 이벤트를 트리거한 네트워크 트래픽에 의해 사용된 NIC의 MAC 하드웨어 벤더 이름 전체 또는 일부를 입력합니다.

모바일

이벤트의 호스트가 모바일 디바이스이면 Yes(예), 아니면 No(아니오)를 선택합니다.

NETBIOS 이름

호스트의 NetBIOS 이름을 입력합니다.

Network Protocol(네트워크 프로토콜)

네트워크 프로토콜 번호를 http://www.iana.org/assignments/ethernet-numbers에 표시된 대로 입력합니다.

OS 이름

운영체제 이름을 하나 이상 선택합니다.

OS 벤더

운영체제 벤더를 하나 이상 선택합니다.

OS 버전

운영체제 버전을 하나 이상 선택합니다.

프로토콜 또는전송 프로토콜

http://www.iana.org/assignments/protocol-numbers에 열거된 전송 프로토콜의 이름 또는 번호를 입력합니다.

소스

(운영체제와 서버 ID의 변경 및 시간 초과에 대한) 호스트 입력 데이터의 소스를 선택합니다.

소스 유형

(운영체제와 서버 ID의 변경 및 시간 초과에 대한) 호스트 입력 데이터의 소스 유형을 선택합니다.

VLAN ID

이벤트와 관련된 호스트 VLAN ID를 입력합니다.

웹 애플리케이션

웹 애플리케이션을 선택합니다.

디바이스

사용자 활동을 탐색했을 가능성이 있는 디바이스를 하나 이상 선택합니다.

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

IP 주소

단일 IP 주소 또는 주소 블록을 입력합니다.

Username

사용자 이름을 입력합니다.

클라이언트가 추가됨

클라이언트 추가

클라이언트가 삭제됨

클라이언트 삭제

호스트가 추가됨

호스트 추가

프로토콜이 추가됨

프로토콜 추가

프로토콜이 삭제됨

프로토콜 삭제

스캔 결과가 추가됨

스캔 결과 추가

서버 정의가 설정됨

서버 정의 설정

서버가 추가됨

포트 추가

서버가 삭제됨

포트 삭제

취약성이 유효하지 않음으로 표시됨

취약성 설정 유효하지 않음

취약성이 유효함으로 표시됨

취약성 설정 유효함

주소가 삭제됨

호스트/네트워크 삭제

속성 값이 삭제됨

호스트 특성 삭제 값

속성 값이 설정됨

호스트 특성 설정 값

운영체제 정의가 설정됨

운영 시스템 정의 설정

호스트 중요도가 설정됨

호스트 중요도 설정

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

IP 주소

단일 IP 주소 또는 주소 블록을 입력합니다.

소스

호스트 입력 데이터의 소스를 선택합니다.

소스 유형

호스트 입력 데이터의 소스 유형을 선택합니다.

액세스 제어 정책

연결을 로깅한 액세스 컨트롤 정책을 하나 이상 선택합니다.

액세스 제어 규칙 작업

연결을 로깅한 액세스 컨트롤 규칙과 관련된 작업을 하나 이상 선택합니다.

나중에 연결을 처리하는 기본 작업 또는 규칙과 상관없이, 네트워크 트래픽이 Monitor 규칙의 조건과 일치할 때 상관관계 이벤트를 트리거하려면 Monitor를 선택합니다.

액세스 제어 규칙

연결을 로깅한 액세스 컨트롤 규칙의 이름 전체 또는 일부를 입력합니다.

나중에 연결을 처리하는 기본 작업 또는 규칙과 상관없이, 연결 기준으로 조건이 일치한 Monitor 규칙의 이름을 입력할 수 있습니다.

애플리케이션 프로토콜

연결과 관련된 애플리케이션 프로토콜을 하나 이상 선택합니다.

애플리케이션 프로토콜 카테고리

애플리케이션 프로토콜 카테고리를 하나 이상 선택합니다.

클라이언트

클라이언트를 하나 이상 선택합니다.

클라이언트 카테고리

클라이언트의 카테고리를 하나 이상 선택합니다.

클라이언트 버전

클라이언트의 버전 번호를 입력합니다.

연결 지속시간

연결 이벤트의 기간을 초 단위로 입력합니다.

연결 유형

연결 이벤트를 획득한 방법에 따라 상관관계 규칙을 트리거할지 여부를 지정합니다.

• 내보낸 NetFlow 데이터에서 생성한 연결 이벤트에 대해 is와 Netflow를 선택합니다.

• Firepower System 매니지드 디바이스가 탐지한 연결 이벤트에 대하 is not과 Netflow를 선택합니다.

Destination Country(목적지 국가) 또는 Source Country(소스 국가)

연결 이벤트에서 소스 또는 목적지 IP 주소와 관련된 국가를 하나 이상 선택합니다.

디바이스

연결을 탐지했거나 (내보낸 NetFlow 기록에서 얻은 연결 데이터의 경우) 연결을 처리한 디바이스를 하나 이상 선택합니다.

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

Egress Interface(이그레스 인터페이스) 또는 Ingress Interface(인그레스 인터페이스)

하나 이상의 인터페이스를 선택합니다.

Egress Security Zone(이그레스 보안 영역) 또는 Ingress Security Zone(인그레스 보안 영역)

보안 영역 또는 터널 영역을 하나 이상 선택합니다.

이니시에이터 바이트, 응답자 바이트 또는 전체 바이트

다음 중 하나를 입력합니다.

• 전송한 바이트 수(이니시에이터 바이트)

• 수신한 바이트 수(응답자 바이트)

• 주고받은 바이트 수(전체 바이트)

이니시에이터 IP, 응답자 IP, 이니시에이터와 응답자 IP 모두, 또는 이니시에이터 IP나 응답자 IP

단일 IP 주소 또는 주소 블록을 지정합니다.

이니시에이터 패킷, 응답자 패킷 또는 총 패킷

다음 중 하나를 입력합니다.

• 전송한 패킷 수(이니시에이터 패킷).

• 수신한 패킷 수(응답자 패킷).

• 주고받은 패킷 수(총 패킷)

이니시에이터 포트/ICMP 유형 또는 응답자 포트/ICMP 코드

이니시에이터 트래픽의 포트 번호나 ICMP 유형 또는 응답자 트래픽의 포트 번호나 ICMP 코드를 입력합니다.

IOC 태그

연결 이벤트 때문에 침해 지표 태그가 is 또는 is not으로 설정되었느지를 지정합니다.

NetBIOS 이름

연결에서 모니터링된 호스트의 NetBIOS 이름을 입력합니다.

NetFlow 디바이스

상관관계 규칙을 트리거하는 데 사용할 NetFlow 엑스포터의 IP 주소를 선택합니다. 네트워크 검색 정책에 어떤 NetFlow 엑스포터도 추가하지 않았다면, NetFlow Device(NetFlow 디바이스) 드롭다운 목록에는 아무것도 표시되지 않습니다.

사전 필터 정책

연결을 처리한 사전 필터 정책을 하나 이상 선택합니다.

이유

연결 이벤트와 관련된 이유를 하나 이상 선택합니다.

보안 인텔리전스 범주

연결 이벤트와 관련된 보안 인텔리전스 카테고리를 하나 이상 선택합니다.

보안 인텔리전스 카테고리를 연결 종료 이벤트의 조건으로 사용하려면, 액세스 컨트롤 정책에서 해당 카테고리를 Block이 아닌 Monitor로 설정합니다.

SSL 실제 작업

시스템이 암호화된 연결을 처리한 방법을 나타내는 SSL 규칙 작업을 지정합니다.

SSL 인증서 핑거프린트

트래픽을 암호화하는 데 사용된 인증서의 핑거프린트를 입력하거나, 핑거프린트와 연결된 주체 CN을 선택합니다.

SSL 인증서 상태

세션 암호화에 사용된 인증서와 관련된 상태를 하나 이상 선택합니다.

SSL 인증서 주체 일반 이름(CN)

세션 암호화에 사용된 인증서의 주체 CN 전체 또는 일부를 입력합니다.

SSL 인증서 주체 국가(C)

세션 암호화에 사용된 인증서의 주체 국가 코드를 하나 이상 선택합니다.

SSL 인증서 주체 조직(O)

세션 암호화에 사용된 인증서의 주체 조직 이름 전체 또는 일부를 입력합니다.

SSL 인증서 주체 조직 단위(OU)

세션 암호화에 사용된 인증서의 주체 조직 단위 이름 전체 또는 일부를 입력합니다.

SSL 암호 그룹

세션 암호화에 사용된 암호 그룹을 하나 이상 선택합니다.

SSL 암호화된 세션

Successfully Decrypted(성공적으로 해독)를 선택합니다.

SSL 흐름 상태

트래픽을 해독하려는 시스템의 결과를 기반으로 상태를 하나 이상 선택합니다.

SSL 정책

암호화된 연결을 로깅한 SSL 정책을 하나 이상 선택합니다.

SSL 규칙 이름

암호화된 연결을 로깅한 SSL 규칙의 이름 전체 또는 일부를 입력합니다.

SSL 서버 이름

클라이언트가 암호화된 연결을 설정한 서버의 이름 전체 또는 일부를 입력합니다.

SSL URL 카테고리

암호화된 연결에서 방문한 URL의 URL 카테고리를 하나 이상 선택합니다.

SSL 버전

세션 암호화에 사용된 SSL 또는 TLS 버전을 하나 이상 선택합니다.

TCP 플래그

상관관계 규칙을 트리거하기 위해 연결 이벤트에 포함해야 할 TCP 플래그를 선택합니다. NetFlow에서 생성한 연결 데이터만 TCP 플래그를 가지고 있습니다.

전송 프로토콜

연결에 사용된 전송 프로토콜(TCP 또는 UDP)을 입력합니다.

터널/사전 필터 규칙

연결을 처리한 터널 또는 사전 필터 규칙 이름의 전체 또는 일부를 입력합니다.

URL

연결에서 방문한 URL 전체 또는 일부를 입력합니다.

URL 범주

연결에서 방문한 URL의 URL 카테고리를 하나 이상 선택합니다.

URL 평판

연결에서 방문한 URL의 URL 평판 값을 하나 이상 선택합니다.

사용자 이름

연결의 두 호스트 중 하나에 로그인한 사용자의 사용자 이름을 입력합니다.

웹 애플리케이션

연결과 관련된 웹 애플리케이션을 하나 이상 선택합니다.

웹 애플리케이션 카테고리

웹 애플리케이션 카테고리를 하나 이상 선택합니다.

연결 수

탐지된 총 연결 수

또는

규칙을 트리거하기 위해 탐지된 연결 수가 속해야 하는 평균 위 또는 아래 표준 편차의 수

연결

표준 편차

총 바이트, 이니시에이터 바이트 또는 응답자 바이트

다음 중 하나에 해당합니다.

• 전송한 총 바이트(총 바이트)

• 전송한 바이트 수(이니시에이터 바이트)

• 수신한 바이트 수(응답자 바이트)

또는

규칙을 트리거하기 위해 위 기준 중 하나가 속해야 하는 평균 위 또는 아래 표준 편차의 수

바이트

표준 편차

총 패킷, 이니시에이터 패킷 또는 응답자 패킷

다음 중 하나에 해당합니다.

• 전송한 총 패킷(총 패킷)

• 전송한 패킷 수(이니시에이터 패킷)

• 수신한 패킷 수(응답자 패킷)

또는

규칙을 트리거하기 위해 위 기준 중 하나가 속해야 하는 평균 위 또는 아래 표준 편차의 수

packets

표준 편차

고유한 이니시에이터

세션을 시작한 고유한 호스트의 수

또는

규칙을 트리거하기 위해 탐지된 고유한 이니시에이터 수가 속해야 하는 평균 위 또는 아래 표준 편차의 수

개시자

표준 편차

고유한 응답자

세션에 응답한 고유한 호스트의 수

또는

규칙을 트리거하기 위해 탐지된 고유한 응답자 수가 속해야 하는 평균 위 또는 아래 표준 편차의 수

응답자

표준 편차

애플리케이션 프로토콜 >애플리케이션 프로토콜

애플리케이션 프로토콜을 선택합니다.

애플리케이션 프로토콜 >애플리케이션 포트

애플리케이션 프로토콜 포트 번호를 입력합니다.

애플리케이션 프로토콜 >프로토콜

Choose a protocol.

애플리케이션 프로토콜 카테고리

카테고리를 선택합니다.

클라이언트 > 클라이언트

클라이언트를 선택합니다.

클라이언트 > 클라이언트 버전

클라이언트 버전을 입력합니다.

클라이언트 카테고리

카테고리를 선택합니다.

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다.이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

하드웨어

모바일 디바이스의 하드웨어 모델을 입력합니다. 예를 들어 일치하는 모든 Apple iPhone을 찾으려면 iPhone을 입력합니다.

Host Criticality(호스트 심각도)

호스트 중요도를 선택합니다.

Host Type(호스트 유형)

호스트 유형을 하나 이상 선택합니다. 일반 호스트를 선택하거나 여러 네트워크 디바이스 유형 중 하나를 선택할 수 있습니다.

IOC 태그

침해 지표 태그를 하나 이상 선택합니다.

탈옥됨

이벤트의 호스트가 탈옥 모바일 디바이스이면 Yes(예), 아니면 No(아니오)를 선택합니다.

MAC 주소 > MAC 주소

호스트의 MAC 주소 전체 또는 일부를 입력합니다.

MAC 주소 > MAC 유형

MAC 유형이 ARP/DHCP Detected인지 여부를 선택합니다.

• 시스템이 MAC 주소가 호스트에 속한 것으로 명확하게 확인함(is ARP/DHCP Detected)

• 디바이스와 호스트 간에 라우터가 있다는 등의 이유로, 시스템이 MAC 주소가 있는 다양한 호스트를 확인함(is not ARP/DHCP Detected)

• MAC 유형이 올바르지 않음(is any)

MAC 벤더

호스트에서 사용하는 하드웨어의 MAC 벤더 전체 또는 일부를 입력합니다.

모바일

이벤트의 호스트가 모바일 디바이스이면 Yes(예), 아니면 No(아니오)를 선택합니다.

NetBIOS Name(NetBIOS 이름)

호스트의 NetBIOS 이름을 입력합니다.

Network Protocol(네트워크 프로토콜)

네트워크 프로토콜 번호를 http://www.iana.org/assignments/ethernet-numbers에 표시된 대로 입력합니다.

운영체제 > OS 벤더

운영체제 벤더 이름을 하나 이상 선택합니다.

운영체제 > OS 이름

운영체제 이름을 하나 이상 선택합니다.

운영체제 > OS 버전

운영체제 버전을 하나 이상 선택합니다.

Transport Protocol(전송 프로토콜)

http://www.iana.org/assignments/protocol-numbers에 열거된 전송 프로토콜의 이름 또는 번호를 입력합니다.

VLAN ID

호스트의 VLAN ID 번호를 입력합니다.

웹 애플리케이션

웹 애플리케이션을 선택합니다.

웹 애플리케이션 카테고리

카테고리를 선택합니다.

사용 가능한 모든 호스트 속성(기본 규정준수 허용리스트 호스트 속성 포함)

호스트 속성 유형에 맞는 적절한 값을 입력하거나 선택합니다.

Authentication Protocol(인증 프로토콜)

사용자 탐지에 사용한 인증 프로토콜(또는 사용자 유형) 프로토콜을 선택합니다.

Department(부서)

부서를 입력합니다.

도메인

하나 이상의 도메인을 선택합니다. 다중 도메인 구축 시 상위 도메인의 하위 항목에서 보고한 데이터와 일치하는 상위 도메인을 기준으로 제한합니다. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

이메일

이메일 주소를 입력합니다.

이름

이름을 입력합니다.

성

성을 입력합니다.

Phone(전화 번호)

전화번호를 입력합니다.

Username

사용자 이름을 입력합니다.