웹훅 및 알림

경고 구성

포털의 경고 구성 페이지에서 전체 조직, 단일 사이트 또는 여러 사이트에 대한 경고를 구성할 수 있습니다.

참고:

이 페이지를 찾으려면 주니퍼 Mist 포털의 왼쪽 메뉴에서 > 경고 모니터링 > 경고 구성을 선택합니다.

여기에 표시되는 모든 경고는 경고를 사용하도록 설정하기만 하면 경고 웹훅을 보낼 수 있습니다.

경고는 다음과 같이 심각도에 따라 색상별로 분류됩니다.

• 빨간색 - 위험

• 주황색 - 경고

• 파란색—정보 제공

알람은 다음 그룹으로도 분류됩니다.

• 인프라 - 인프라 알람은 상태를 유지하지 않습니다. 디바이스 이벤트에서 직접 기반으로 합니다. 인프라 알람에서 디바이스를 모니터링할 때는 일반적으로 각 이벤트를 독립형 이벤트로 처리하거나 상태 저장 디바이스 변경 사항을 일치시킵니다.

• Marvis—Marvis 이벤트는 Marvis Actions에서 식별되는 이벤트입니다. 이러한 이벤트는 일반적으로 스테이트풀입니다. 페이로드 내부에는 라는 키가 details있습니다. 아래 details 에서 값을 볼 state 수 있습니다: open 또는 validated.

  • open 이 문제가 현재 발생 중임을 의미합니다.

  • validated Marvis가 문제가 해결되었음을 확인했음을 의미합니다. 문제가 검증된 것으로 간주되면 동일한 웹훅 유형이 업데이트된 상태로 설정됩니다.

    Marvis 작업의 AI 특성으로 인해 Marvis는 이러한 알람이 정확하고 실행 가능한지 확인하기 위해 충분한 데이터가 필요합니다. Marvis는 오탐을 제거하기에 충분한 데이터를 축적해야 합니다. 이 요구 사항으로 인해 이벤트가 도착하는 횟수가 다양해집니다.

• 보안 - 보안에 있는 대부분의 이벤트는 일회성 이벤트입니다. 이러한 경고는 특정 공격만 감지하고 공격이 활성 상태인지 확인하지는 않습니다. 불량 AP는 10시간에 한 번씩 보고하는 것으로 속도가 제한됩니다. 불량 클라이언트 및 허니팟 AP 이벤트는 10분마다 한 번씩 전송됩니다.

다음 경고에는 구성 가능한 실패 임계값도 있습니다.

• ARP 실패

• DHCP 장애

• DNS 장애

• 디바이스 오프라인

알림 구성에 대한 자세한 내용은 주니퍼 Mist 네트워크 모니터링 가이드의 알림 구성 정보를 참조하십시오.

웹훅 경고 유형

표 1: 웹훅 경고 테이블

경고/웹훅 이름	그룹	카테고리	설명	트리거링 메커니즘	댓글
adhoc_network	보안	AP	애드혹 네트워크 감지	하나 이상의 AP가 무단 애드혹 네트워크를 탐지했습니다.
air_magnet_scan	보안	AP	에어 마그넷 스캔 감지	누군가 RF 분석을 위해 에어 마그넷 스캔을 실행하고 있습니다.
ap_bad_cable	Marvis	AP	주니퍼 AP에 연결된 이더넷 케이블 불량	빈번한 이더넷 연결 끊김, 재시작, 이더넷 오류 증가, 100Mbps로 연결	하위 VNA 요구
ap_offline	Marvis	AP	오프라인(Marvis)	사이트 다운—거의 동시에 모든 AP의 연결이 끊어집니다. 스위치 다운/문제 - 동일한 스위치의 모든 AP가 거의 같은 시간에 연결을 끊습니다. 로컬로 온라인—AP는 로컬에서 들리지만 클라우드 연결이 끊깁니다. 로컬 오프라인 - 로컬에서 AP가 들리지 않으며 클라우드 연결이 끊어집니다.	하위 VNA 요구
arp_failure	Marvis	연결성	사이트 전체 무선 연결 장애	사이트 전체에서 장애가 갑자기 증가하거나 서버/WLAN/AP에서 100% 장애 발생	하위 VNA 요구
인증_실패	Marvis	연결성	사이트 전체의 무선 및 유선 연결 장애	사이트 전체에서 장애가 갑자기 증가하거나 서버/스위치/WLAN/VLAN/AP에서 100% 장애가 발생하는 경우	Req SUB-VNAOR SUB-SVNA
bad_cable	Marvis	스위치	주니퍼 스위치 포트에 연결된 케이블 결함	포트 오류, 이더넷 링크 없이 전력 소모, 바이트 출력 및 0인치 증가(또는 그 반대)	하위 VNA 요구
bad_wan_uplink	Marvis	라우터	성능이 저하되거나 문제가 있는 인터페이스(SRX, SSR)	전송 패킷의 지연, 지터, 패킷 손실, 출력 드롭 및 드롭	Req SUB-WNA
비콘_홍수	보안		Fake AP Flooding 탐지 - 새로운 BSSID 홍수	AP가 스캔한 새 SSID의 수가 정의된 시간 프레임 동안 정의된 임계값을 초과합니다.
bssid_spoofing	보안	AP	BSSID 스푸핑 탐지	신호 강도가 -30dBm 이하인 디바이스는 신호 강도가 양호한 AP와 동일한 BSSID를 브로드캐스트하고 있습니다.
device_down	인프라	AP	디바이스 오프라인	AP가 구성된 임계값보다 더 오랫동안 클라우드와의 연결이 끊어집니다.
device_restarted	인프라	AP	디바이스가 다시 시작됨	AP가 다시 시작됩니다.
dhcp_failure	Marvis	연결성	사이트 전체의 무선 및 유선 연결 장애	사이트 전체에서 장애가 갑자기 증가하거나 서버/WLAN/VLAN/AP에서 100% 장애가 발생합니다.	Req SUB-VNAOR SUB-SVNA
disassociation_flood	보안	AP	연결 해제 공격 탐지	주니퍼 Mist는 공격자가 IEEE 802.11에 지정된 특정 연결 해제 프레임을 사용하여 피해자 디바이스와 AP의 연결을 해제하는 DoS 공격을 감지합니다.
dns_failure	Marvis	연결성	사이트 전체 무선 연결 장애	사이트 전체에서 장애가 갑자기 증가하거나 서버/WLAN/AP에서 100% 장애가 발생합니다.	하위 VNA 요구
eap_dictionary_attack	보안	AP	EAP 사전 공격 탐지	누군가가 다른 사전 단어를 시도하여 암호를 추측하려고 시도하는 여러 번의 암호 오류.
eap_failure_injection	보안	AP	EAP 실패 삽입 감지됨	누군가 가짜 EAP 실패를 보냅니다.
EAP_핸드셰이크_플러드	보안	AP	EAP 핸드셰이크 플러드 감지	일부 클라이언트 또는 시뮬레이터는 802.1x 인증을 요청하는 EAPOL 메시지 플러드를 생성합니다.
eap_spoofed_success	보안	AP	EAP 스푸핑 성공 감지	누군가 EAP 패킷을 스니핑하고 가짜 EAP 성공을 보내려고 시도합니다.
eapol_logoff_attack	보안	AP	EAPOL-로그오프 공격 탐지	일부 클라이언트 또는 시뮬레이터가 과도한 EAP 로그오프 메시지를 보내고 있습니다.
essid_jack	보안	AP	ESSID 잭 감지됨	일부 클라이언트 또는 시뮬레이터가 브로드캐스트 프로브 요청을 보내려고 시도합니다.
excessive_client	보안	AP	과도한 클라이언트 감지	AP와 연결된 클라이언트 수가 구성된 임계값을 초과합니다.
excessive_eapol_start	보안	AP	과도한 EAPOL-Start 감지	일부 클라이언트 또는 시뮬레이터가 과도한 EAP START 메시지를 보내고 있습니다.
gateway_down	인프라	SRX	WAN 에지 오프라인	SRX가 오프라인 상태입니다.
gw_bad_cable	Marvis	라우터	주니퍼 게이트웨이(SRX만 해당) 포트에 연결된 케이블 결함	인터페이스 통계 오류, 입력/출력 바이트가 0임	Req SUB-WNA
gw_dhcp_pool_exhausted	인프라	SRX	WAN 에지 DHCP 풀 소진	WAN 에지 DHCP 풀이 소진되었습니다.
gw_negotiation_mismatch	Marvis	라우터	네트워크에서 볼 수 있는 최대 전송 단위(MTU) 패킷 크기의 차이(SRX만 해당)	패킷이 단편화됨, MTU 오류.	Req SUB-WNA
health_check_failed	Marvis	AP	교체해야 할 비정상 AP	AP에서 자동 수정/자가 복구 실패.	하위 VNA 요구
honeypot_ssid	보안	AP	허니팟 SSID	SSID를 광고하는 승인되지 않은 AP.
idp_attack_detected	보안	SRX/SSR	IDP 공격 탐지	SRX 또는 Session SMart 라우터는 IDP_ATTACK_LOG_EVENT 유형 이벤트를 보고합니다.
infra_arp_failure	인프라	AP	게이트웨이 ARP 장애	기본 게이트웨이에 대한 ARP 요청이 응답을 수신하지 않습니다.
infra_dhcp_failure	인프라	AP	DHCP 장애	10분 이내에 10개 이상의 클라이언트가 장애를 일으키거나 응답하지 않는 DHCP 서버의 영향을 받습니다.
infra_dns_failure	인프라	AP	DNS 장애	10분 이내에 10개 이상의 클라이언트가 실패하거나 응답하지 않는 DNS 서버의 영향을 받으면 이 이벤트에 대한 이메일이 트리거됩니다.
insufficient_capacity	Marvis	AP	Wi-Fi 용량이 적은 AP	RRM이 변경된 후 하나 이상의 클라이언트가 과량으로 소비되어 AP 채널 사용률이 높아집니다.	하위 VNA 요구
insufficient_coverage	Marvis	AP	Wi-Fi 커버리지가 지속적으로 좋지 않은 AP 주변 지역	RRM이 변경된 후에도 클라이언트의 RSSI는 여전히 일관되게 낮습니다.	하위 VNA 요구
krack_attack	보안	AP	재생 삽입 감지 - KRACK 공격	하나 이상의 AP가 KRACK 공격 시도를 탐지합니다.
loop_detected_by_ap	인프라	무선	AP가 리플렉션을 통해 루프를 감지했습니다.	AP는 전송한 프레임을 수신합니다.
missing_vlan	Marvis	스위치	스위치 포트 또는 업스트림에서 누락된 AP에 구성된 VLAN	AP는 각 VLAN의 트래픽을 관찰하고 동일한 스위치의 AP와 사이트의 다른 AP를 비교합니다.	Req SUB-VNAOR SUB-SVNA
monkey_jack	보안	AP	몽키 잭 감지	AP가 Man In the Middle 공격 시도를 탐지합니다.
negotiation_mismatch	Marvis	스위치	유선 클라이언트와 연결된 포트 간의 설정 차이	듀플렉스 불일치 및/또는 자동 협상 실패	하위 VNA 요구
non_compliant	Marvis	AP	펌웨어가 일치하지 않는 AP	AP의 펌웨어 버전은 해당 사이트에 있는 해당 모델 모델의 다른 대부분의 AP와 다릅니다.	하위 VNA 요구
out_of_sequence	보안	AP	Out of Sequence 감지	과도한 Out of Sequence 패킷.
port_flap	Marvis	스위치	포트가 끊임없이 증가 및 감소	고주파로 지속적으로 포트 플랩핑.	하위 VNA 요구
repeated_auth_failures	보안	AP	클라이언트 인증 실패가 반복되는 클라이언트	클라이언트는 연결할 수 없는 RADIUS 서버, 잘못된 공유 암호 등으로 인해 클라이언트 인증 실패에 계속 직면합니다.
rogue_ap	보안	AP	불량 AP 탐지	주니퍼 Mist는 조직에 클레임되지 않았지만 동일한 유선 네트워크에 연결된 AP를 감지합니다.
rogue_client	보안	AP	불량 AP에 대한 클라이언트 연결이 감지되었습니다.	클라이언트가 불량 AP(조직에 클레임되지 않았지만 동일한 유선 네트워크에 연결된 AP)에 연결됩니다.
ssid_injection	보안	AP	SSID 삽입 감지됨: 이름에 코드 삽입 가능성이 있는 악의적인 SSID 이름을 감지합니다.	주니퍼 Mist는 SSID 이름에서 잠재적인 코드 삽입 언어를 감지합니다.
sw_alarm_chassis_partition	인프라	스위치	스위치 스토리지 파티션 알람	파티션 사용량이 높습니다.
sw_alarm_chassis_pem	인프라	스위치	스위치 PEM 알람	PEM 문제, 결함 슬롯, 높은 CPU, CB 문제 등.
sw_alarm_chassis_poe	인프라	스위치	Junos POE 컨트롤러 알람	하드웨어 문제.
sw_alarm_chassis_psu	인프라	스위치	Junos 전원 공급 장치 알람	전원 공급 장치가 없습니다.
sw_bad_optics	인프라	스위치	불량 옵틱 스위치	트랜시버 불량.
sw_bgp_neighbor_state_changed	인프라	스위치	BGP 인접 항목 상태 변경	BGP 피어링이 켜짐 또는 꺼짐.
sw_bpdu_error	인프라	스위치	스위치 BPDU 오류	가능한 브리징 루프.
sw_dhcp_pool_exhausted	인프라	스위치	스위치 DHCP 풀이 소진되었습니다.	스위치의 DHCP 풀이 소진되었습니다.
switch_down	인프라	스위치	오프라인으로 전환	스위치가 오프라인 상태입니다.
switch_restarted	인프라	스위치	스위치가 다시 시작됨	스위치가 다시 시작되었습니다.
switch_stp_loop	Marvis	스위치	스위치에서 동일한 프레임이 여러 번 인식됨	TX/RX의 급격한 증가와 함께 빈번한 STP 토폴로지 변경.	하위 VNA 요구
tkip_icv_attack	보안	AP	TKIP ICV 공격	AP가 구성된 임계값을 초과하는 TKIP MIC 실패를 감지합니다.
url_blocked	보안	SRX/SSR	URL 차단됨	SRX 또는 SSR은 WEBFILTER_URL_BLOCKED 유형의 이벤트를 보고합니다.
vc_backup_failed	인프라	스위치	Virtual Chassis - 백업 멤버 선출
vc_master_changed	인프라	스위치	Virtual Chassis - 활성 역할에 대해 선택된 새 디바이스
vc_member_added"	인프라	스위치	새 VC 멤버 추가	새로운 VC 멤버가 추가되었습니다.
vc_member_deleted	인프라	스위치	Virtual Chassis 멤버 삭제됨	VC 멤버가 삭제되었습니다.
vendor_ie_missing	보안	AP	비콘 또는 프로브 응답에서 Mist 벤더 IE가 누락됨	승인된 Mist AP를 사칭하는 행위.
vpn_path_down	Marvis	라우터	VPN 피어 경로 다운(SSR만 해당)	피어 경로의 100% 장애.	Req SUB-WNA
vpn_peer_down	인프라	SRX	VPN 피어 다운	허브와 스포크 간의 WAN 인터페이스에 대해 IPSec 터널이 중단됩니다.
WAN 에지 오프라인	인프라	SSR	WAN 에지 오프라인	WAN 에지 디바이스가 오프라인 상태입니다.
watched_station	보안	AP	활성 감시 스테이션이 감지되었습니다.	주니퍼 Mist는 감시 스테이션 목록에 나열된 클라이언트 또는 스테이션을 감지합니다.
zero_ssid_association	보안	AP	0개의 SSID 연결 요청이 감지되었습니다.	AP는 길이가 0인 SSID를 포함하는 비콘을 스캔합니다.

경고 세부 정보 보기

알람 유형 및 해당 정의의 전체 목록을 보려면 다음 요청을 실행할 수 있습니다.

다음 애니메이션은 지원되는 모든 알람 유형에 대한 정의 목록을 가져오기 위해 Mist API 참조에서 GET 호출을 실행하는 방법을 보여줍니다. 응답에는 키, 그룹, 심각도 및 예와 같은 유용한 정보가 표시되며, 이는 해당 특정 웹훅에서 수신하는 메시지의 예를 보여줍니다.

이를 시도하려면 알람 정의 목록을 참조하십시오.

이 표는 일부 경고에 대한 자세한 정보를 제공합니다.

참고:

다음 표에서 지정된 웹후크에 대한 구독 요구 사항을 확인할 수 있습니다. 예를 들어, 감사 로그, 경보 또는 디바이스 이벤트와 관련된 일반적인 웹훅 경고를 처리하려면 무선, 유선 또는 WAN Assurance 중 하나에 가입해야 합니다.

각 알람 내에는 여러 디바이스를 비교하는 이벤트 상관 관계를 추정할 수 있는 컨텍스트 데이터가 있습니다. 함수 /api/v1/const/alarm_defs 를 사용하는 기존의 모든 경고(알람) 정의의 예를 찾을 수 있습니다(링크하려면 주니퍼 Mist에 로그인해야 함).

이벤트 어그리게이션

주니퍼 Mist는 설정한 주제를 기반으로 이벤트를 집계합니다. 그러나 모든 이벤트가 집계되는 것은 아닙니다. 위치와 관련된 모든 주제(예: 위치, asset-raw-rssi, sdkclient-scan-data 및 rssi-zone 주제)에 대해 이벤트가 집계됩니다.

지정된 집계 기간 동안 동일한 주제에 대해 여러 이벤트가 발생하면 주니퍼 Mist는 이를 단일 메시지로 그룹화합니다. 메시지 집계로 인해 각 메시지가 수신될 때 이벤트를 구문 분석해야 합니다.