이 페이지의 내용
모든 보안 이벤트 페이지 정보
이 페이지에 액세스하려면 Monitor > Logs > All Security Events(모든 보안 이벤트 로그 모니터링)를 클릭합니다.
이 페이지를 사용하여 네트워크 환경을 전체적으로 볼 수 있습니다. 로그 데이터의 상관 관계 분석 시 비정상적인 이벤트, 공격, 바이러스 또는 웜을 볼 수 있습니다.
다음 예에서는 모든 보안 이벤트 페이지에 표시되는 로그 유형을 나타냅니다.
-
AV_VIRUS_DETECETED
-
IDP_ATTACK_LOG_EVENT
-
CONTENET_FILETER_BLOCKED
-
ANTISPAM_SPAM_DETECTED_MTSECINTEL_ACTION_LOG
-
AAMW_ACTION_LOG
-
SMS_MALICIOUS_VERDICT
-
RT_FLOW_SESSION_DENY
-
TUN-상태 경고
-
SECINTEL_ACTION_LOG
-
AAMW_SMS_STREAMING_LOG
-
ANTI_VIRUS_ACTION_LOG
이 페이지에서는 관리자에게 고급 필터링 메커니즘과 로그 수집기에서 수집한 실제 이벤트에 대한 가시성을 제공합니다. 시간 범위 슬라이더를 사용하여 가장 관심 있는 활동 영역에 집중할 수 있습니다. 시간 범위를 선택하면 뷰에 표시되는 모든 데이터가 자동으로 새로 고쳐집니다. 사용자 지정 단추를 사용하여 사용자 지정 시간 범위를 설정할 수도 있습니다.
데이터를 보는 방법에는 두 가지가 있습니다. 요약 보기 탭 또는 세부 정보 보기 탭을 선택할 수 있습니다.
이 정보는 VPN 이벤트에 대한 시스템 syslog에서 제공되며, 다른 모든 이벤트에 대한 정책에서 로깅이 활성화된 경우 IPS, 컨텐츠 보안, 방화벽 거부 로그에서 제공됩니다.
수행할 수 있는 작업
이 페이지에서 다음 작업을 수행할 수 있습니다.
요약 보기
네트워크의 모든 이벤트에 대한 간략한 요약을 볼 수 있습니다. 페이지 중앙에는 총 이벤트 수, 발견된 바이러스, 작동하지 않는 총 인터페이스 수, 공격 수, CPU 스파이크, 시스템 재부팅 및 세션을 포함한 중요한 정보가 있습니다. 이 데이터는 선택한 시간 범위에 따라 자동으로 새로 고쳐집니다.
페이지 하단에는 특정 시간에 발생하는 다양한 이벤트의 영역 보기가 있습니다. 이벤트에는 방화벽, 웹 필터링, VPN, 콘텐츠 필터링, 스팸 차단, 바이러스 차단, 화면, IPS 및 IPsec VPN이 포함됩니다. 각 이벤트는 색상으로 구분되며 어두운 음영은 더 높은 수준의 활동을 나타냅니다. 각 탭은 유형 및 특정 시간에 발생하는 이벤트 수와 같은 심층적인 정보를 제공합니다.
표 1 은 모든 이벤트 요약 보기 페이지의 위젯을 설명합니다.
밭 |
묘사 |
---|---|
Total Events |
방화벽, 웹 필터링, IPS, IPsec VPN, 콘텐츠 필터링, 스팸 차단, 바이러스 차단 및 화면 이벤트를 포함하는 총 이벤트 수를 확인합니다. |
방화벽 |
방화벽에 의해 차단된 총 이벤트 수를 봅니다. |
웹 필터링 |
허용 및 차단된 URL의 총 수를 봅니다. |
화면 |
차단된 화면 이벤트의 총 수를 봅니다. |
증권 시세 표시기 |
IDP 엔진에서 보고 중요, 높음, 중간으로 분류된 데이터를 봅니다. |
컨텐츠 필터링 |
차단된 트래픽의 세부 정보를 봅니다. |
스팸 방지 |
차단된 트래픽의 세부 정보를 봅니다. |
바이러스 백신 |
차단된 트래픽의 세부 정보를 봅니다. |
세부 정보 보기
그룹화 기준 옵션을 사용하여 이벤트를 정렬할 수 있습니다. 예를 들어 위협 심각도에 따라 이벤트를 정렬할 수 있습니다. 이 테이블에는 이벤트를 발생시킨 규칙, 이벤트의 심각도, 이벤트 ID, 트래픽 정보, 이벤트 탐지 방법 및 시기와 같은 정보가 포함됩니다.
표 2 에서는 모든 이벤트 세부 정보 보기 페이지의 필드를 설명합니다.
필드 |
묘사 |
---|---|
시간 |
트래픽 로그가 생성된 시간을 봅니다. |
에 의해 생성됨 |
로그를 생성한 사용자의 이름을 봅니다. |
트래픽 세션 ID |
사이트에 의해 이벤트에 매핑된 세션 ID를 봅니다. |
사용자 이름 |
사용자 이름을 봅니다. |
소스 IP |
이벤트가 발생한 소스 IP 주소(IPv4 또는 IPv6)를 확인합니다. |
대상 IP |
이벤트의 대상 IP 주소(IPv4 또는 IPv6)를 확인합니다. |
신청 |
이벤트를 트리거한 트래픽과 연결된 애플리케이션의 이름을 봅니다. |
중첩된 응용 프로그램 |
레이어 7 애플리케이션의 이름을 봅니다. |
위협 심각도 |
이벤트의 위협 심각도를 봅니다. |
URL (영문) |
트래픽 로그를 트리거한 액세스한 URL 이름을 확인합니다. Juniper NextGen URL 범주만 재분류할 수 있습니다. URL을 다시 분류하려면 자세히 를 클릭하고 URL 분류 요청을 선택합니다. URL 분류 요청 페이지가 열립니다. URL 재분류에 대한 자세한 내용은 URL 재분류 요청을 참조하십시오. |
이름 |
이벤트의 이름을 봅니다. |
수신 시간 |
Juniper Security Director Cloud에서 트래픽 로그를 수신한 시간을 확인합니다. |
정책 이름 |
로그에서 정책 이름을 확인합니다. |
이벤트 이름 |
트래픽 로그의 이벤트 이름을 봅니다. |
출처 국가 |
이벤트가 발생한 소스 국가 이름을 봅니다. |
목적지 국가 |
이벤트가 발생한 대상 국가 이름을 봅니다. |
소스 포트 |
이벤트의 소스 포트를 봅니다. |
목적지 포트 |
이벤트의 대상 포트를 봅니다. |
묘사 |
로그에 대한 설명을 봅니다. |
공격 이름 |
로그의 공격 이름(예: 트로이 목마, 웜 및 바이러스)을 봅니다. |
범주 |
트래픽 로그의 이벤트 범주(방화벽 또는 APPTRACK)를 확인합니다. |
클라이언트 호스트 이름 |
이벤트를 트리거한 트래픽과 연결된 클라이언트의 호스트 이름입니다. 예를 들어 특정 컴퓨터가 감염된 경우 해당 컴퓨터의 이름이 표시됩니다. |
이벤트 카테고리 |
트래픽 로그의 이벤트 범주(방화벽 또는 APPTRACK)를 확인합니다. |
논쟁 |
트래픽 유형(FTP 및 HTTP)을 봅니다. |
행동 |
이벤트에 대해 수행된 작업(경고, 허용 및 차단)을 봅니다. |
서비스 이름 |
FTP, HTTP, SSH 등 이벤트를 트리거한 트래픽에 사용되는 레이어 4 서비스의 이름을 확인합니다. |
소스 영역 |
사이트의 원본 영역을 봅니다. |
대상 영역 |
사이트의 대상 영역을 봅니다. |
프로토콜 ID |
이벤트를 트리거한 트래픽의 프로토콜 ID를 봅니다. |
역할 |
이벤트와 연결된 역할 이름을 봅니다. |
이유 |
무제한 액세스와 같은 로그 생성 이유를 확인합니다. |
NAT 소스 포트 |
NAT 이후 트래픽의 소스 포트를 봅니다. |
NAT 대상 포트 |
NAT 이후 트래픽의 대상 포트를 봅니다. |
NAT 소스 규칙 이름 |
소스 NAT 규칙 이름을 봅니다. |
NAT 대상 규칙 이름 |
대상 NAT 규칙 이름을 봅니다. |
NAT 소스 IP |
IP 주소 변환 후 소스 IP 주소를 확인합니다. |
NAT 대상 IP |
IP 주소 변환 후 대상 IP 주소를 봅니다. |
경로 이름 |
로그의 경로 이름을 봅니다. |
논리적 시스템 이름 |
논리적 시스템 이름을 봅니다. |
규칙 이름 |
규칙 이름을 봅니다. |
프로필 이름 |
로그를 트리거한 이벤트 프로필의 이름을 봅니다. |
악성코드 정보 |
이벤트를 일으킨 악성코드에 대한 정보를 봅니다. |
소스 VRF 그룹 이름 |
이벤트를 생성한 소스 VRF 그룹 이름을 확인합니다. |
대상 VRF 그룹 이름 |
이벤트를 생성한 대상 VRF 그룹 이름을 확인합니다. |
파일 |
바이러스 플래그가 지정된 파일의 이름을 봅니다. |
파일 범주 |
바이러스로 플래그가 지정된 파일 형식(예: PDF, Word 문서 또는 실행 파일)을 봅니다. |
평결 번호 |
바이러스로 탐지된 파일의 구성된 판정 임계값 수를 봅니다. |
바이러스 정보 |
총 바이러스 시그니처 히트 수를 봅니다. |
바이러스 db 버전 |
서명 데이터베이스 버전을 봅니다. |