암호화된 가시성 엔진(EVE)은 암호를 해독하지 않고도 암호화된 세션에 대한 더 많은 가시성을 제공 하는 데 사용됩니다. 암호화된 세션에 대한 이러한 인사이트는 Cisco의 VDB(취약성 데이터베이스)에 패키지된 Cisco의 오픈 소스 라이브러리에서 가져옵니다. 라이브러리는 암호화된 수신 세션을 핑거프린트하고 분석하여 알려진 핑거프린트 집합과 일치시킵니다. 이 알려진 핑거프린트 데이터베이스는 Cisco VDB에서도 사용할 수 있습니다.

참고	암호화된 가시성 엔진 기능은 Snort 3을 실행하는 Management Center 매니지드 디바이스에서만 지원됩니다. 이 기능은 Snort 2 디바이스, device manager 매니지드 디바이스 또는 CDO에서 지원되지 않습니다.

EVE의 몇 가지 중요한 기능은 다음과 같습니다.

• EVE에서 파생된 정보를 사용하여 트래픽에 대한 액세스 제어 정책 작업을 수행할 수 있습니다.

• Cisco Secure Firewall에 포함된 VDB에는 높은 신뢰도 값으로 EVE에서 탐지한 일부 프로세스에 애플리케이션을 할당할 수 있는 기능이 있습니다. 또는 맞춤형 애플리케이션 탐지기를 생성하여 다음을 수행할 수 있습니다.

  • EVE 탐지 프로세스를 새로운 사용자 정의 애플리케이션에 매핑합니다.

  • EVE 탐지 프로세스에 애플리케이션을 할당하는 데 사용되는 프로세스 신뢰도의 기본 제공 값을 재정의합니다.

    Cisco Secure Firewall Management Center 구성 가이드의 애플리케이션 탐지 장에 나와 있는 사용자 지정 애플리케이션 탐지기 구성 및 EVE 프로세스 할당 지정 섹션을 참조하십시오.

• EVE는 암호화된 트래픽에서 클라이언트 Hello 패킷을 생성한 클라이언트의 운영 체제 유형 및 버전을 탐지할 수 있습니다.

• EVE는 QUIC(빠른 UDP 인터넷 연결) 트래픽의 핑거프린트 및 분석도 지원합니다. Client Hello 패킷의 서버 이름이 Connection Events(연결 이벤트) 페이지의 URL 필드에 표시됩니다.

주의	Management Center에서 EVE를 사용하려면 디바이스에 유효한 IPS 라이선스가 있어야 합니다. IPS 라이선스가 없으면 정책에 경고가 표시되고 구축이 허용되지 않습니다.

참고

EVE는 SSL 세션의 운영 체제 유형 및 버전을 탐지할 수 있습니다. 애플리케이션, 패키지 관리 소프트웨어 등을 실행하는 등 운영 체제를 정상적으로 사용하면 OS 탐지가 트리거될 수 있습니다. 클라이언트 OS 탐지를 보려면 EVE 토글 버튼을 활성화하는 것 외에도 Policies(정책) > Network Discovery(네트워크 검색)에서 Hosts(호스트)를 활성화해야 합니다. 호스트 IP 주소에서 가능한 운영 체제 목록을 보려면 Analysis(분석) > Hosts(호스트) > Network Map(네트워크 맵)을 클릭한 다음 필요한 호스트를 선택합니다.

관련 링크

EVE 구성

EVE(암호화된 가시성 엔진)는 TLS 핸드셰이크의 Client Hello 부분을 검사하여 클라이언트 프로세스를 식별합니다. Client Hello는 서버로 전송되는 초기 데이터 패킷입니다. 이것으로 호스트의 클라이언트 프로세스를 확인할 수 있습니다. 이 핑거프린트는 대상 IP 주소 와 같은 다른 데이터와 결합되어 EVE의 애플리케이션 식별을 위한 기반을 제공합니다. TLS 세션 설정에서 특정 애플리케이션 핑거프린트를 식별함으로써, 시스템은 클라이언트 프로세스를 식별하고 적절한 작업(허용/차단)을 취할 수 있습니다.

EVE는 5,000개가 넘는 클라이언트 프로세스를 식별할 수 있습니다. 시스템은 액세스 제어 규칙의 기준으로 사용할 수 있도록 이러한 프로세스 중 일부를 클라이언트 애플리케이션에 매핑합니다. 이를 통해 시스템에서는 TLS 해독을 활성화하지 않고도 이러한 애플리케이션을 식별하고 제어할 수 있습니다. EVE 기술은 알려진 악의적인 프로세스의 핑거프린트를 사용하여 아웃바운드 해독 없이 암호화된 악의적인 트래픽을 식별하고 차단하는 데에도 사용될 수 있습니다.

Cisco는 머신러닝(ML) 기술을 통해 10억 개 이상의 TLS 핑거프린트와 10,000개 이상의 악성코드 샘플을 매일 처리하여 EVE 핑거프린트를 생성하고 업데이트 합니다. 이러한 업데이트는 Cisco VDB(Vulnerability Database) 패키지를 사용하는 고객에게 제공됩니다.

EVE는 핑거프린트를 인식하지 못하는 경우 클라이언트 애플리케이션을 식별하고 IP 주소, 포트 및 서버 이름과 같은 대상 세부 정보를 사용하여 첫 번째 플로우의 위협 점수를 추정합니다. 이 시점에서 핑거프린트의 상태는 임의 지정되며 디버그 로그에서 상태를 볼 수 있습니다. 핑거프린트가 동일한 후속 플로우의 경우 EVE는 재분석을 건너뛰고 핑거프린트 상태를 레이블 없음으로 표시합니다. EVE의 낮음 또는 매우 낮음 점수 임계값에 따라 트래픽을 차단하려는 경우 초기 플로우가 차단됩니다. 그러나 애플리케이션의 지문이 캐시되면 이후 플로우는 허용됩니다.

암호화된 가시성 엔진 탐지에 대한 호스트의 보안 침해 지표(IoC) 이벤트를 사용하면 EVE에서 보고한 대로 악성코드 신뢰도 수준이 매우 높은 연결 이벤트를 확인할 수 있습니다. IoC 이벤트는 악성 클라이언트를 사용하는 호스트에서 생성된 암호화된 세션에 대해 트리거됩니다. 악성 호스트의 IP 주소, MAC 주소, OS 정보 및 의심스러운 활동의 타임스탬프와 같은 정보를 볼 수 있습니다.

연결 이벤트에서 암호화된 가시성 위협 신뢰도 점수가 'Very High(매우 높음)'인 세션은 IoC 이벤트를 분류합니다. Policies(정책) > Network Discovery(네트워크 검색)에서 Hosts(호스트)를 활성화해야 합니다. Management Center의 다음에서 IoC 이벤트 존재 여부를 확인할 수 있습니다.

• Analysis(분석) > Indications of Compromise(보안 침해 지표)

• Analysis(분석) > Network Map(네트워크 맵) > Indications of Compromise(보안 침해 지표) > 선택해야 하는 호스트를 선택합니다.

  다음에서 IoC를 생성한 세션의 프로세스 정보를 볼 수 있습니다.

  Analysis(분석) > Connection Events(연결 이벤트) > Table View of Connection Events(연결 이벤트의 테이블 보기) > IoC 열. Encrypted Visbility(암호화된 가시성) 필드 및 IoC 필드를 수동으로 선택해야 합니다.

Snort는 EVE를 기반으로 Quick UDP 인터넷 연결(QUIC 세션)에서 클라이언트 애플리케이션을 식별할 수 있습니다. QUIC 핑거프린트는 다음을 수행할 수 있습니다.

• 암호 해독을 활성화하지 않고 QUIC를 통해 애플리케이션을 탐지합니다.

• 암호 해독을 활성화하지 않고 악성코드를 식별합니다.

• 서비스 애플리케이션을 탐지합니다. QUIC 프로토콜을 통해 탐지된 서비스를 기반으로 액세스 제어 규칙을 할당할 수 있습니다.