경험 모니터링 이상 분석

이 기사에서는 XDR 발견 사건 및 스토리 드릴다운 페이지를 사용하여 경험 모니터링 이상 엔진에서 감지한 비정상적 행동에 대한 XDR 스토리를 분석하는 방법을 설명합니다.

스토리 작업대를 사용하는 방법에 대한 자세한 내용은 검출 및 대응(XDR) 스토리 검사 - 스토리 작업대에서를 참조하십시오.

개요

카토의 XDR 서비스는 애플리케이션 또는 네트워크 성능 문제를 나타낼 수 있는 비정상적 활동을 경험 모니터링을 기반으로 감지합니다. 이상 엔진은 각 사이트 및 각 애플리케이션의 네트워크 트래픽을 처음 14일간 모니터링하고 분석하여 첫 번째 바이트 수신 시간(TTFB)을 기반으로 각 신규 애플리케이션의 기준을 설정합니다.

그 기간 이후, 엔진은 전일 데이터에 대해 하루에 한 번 실행하여 기준과의 상당한 편차가 있는지 확인합니다. 이상이 발생하면 스토리가 생성됩니다.

참고

참고: 동일한 날에 여러 편차가 발생하면 모든 편차에 대해 단 하나의 스토리가 생성됩니다.

기준이 설정된 후에도 매일의 데이터로 업데이트되는 동적 측정값입니다. 즉, 초기 기준은 초기 14일 후에 설정되지만, 매일의 새로운 데이터와 함께 계속 발전합니다.

이상 엔진이 스토리를 생성하면 스토리 작업대에서 이를 검토하고 스토리 데이터에 대한 추가 분석을 위해 드릴다운할 수 있습니다.

경험 모니터링 이상 스토리 드릴다운 및 분석

스토리 작업대에서 경험 이상 스토리를 클릭하여 드릴다운하고 다른 페이지에서 자세한 내용을 조사할 수 있습니다. 이 페이지에는 사고 조사를 시작하는 데 도움이 되는 추가 정보가 포함되어 있습니다.

경험 이상 스토리 표시

스토리 작업대 페이지에서 경험 이상 스토리를 클릭하여 UEBA 스토리의 세부 정보를 표시합니다.

스토리 작업대 페이지를 표시하려면:

  1. 네비게이션 메뉴에서 홈 > XDR 발견 사건을 클릭합니다.

  2. 생산자에서 경험 이상을 선택합니다.

경험 이상 위젯 이해하기

Detection___Response_Anomaly_calloutsPNG.png

다음은 경험 이상 스토리의 위젯입니다:

항목

이름

설명

1

스토리 요약

스토리의 기본 정보 요약, 포함:

  • 이상 현상 이름

  • 감지된 문제의 징후

  • 스토리를 생성한 엔진

  • 스토리가 발생한 출발지 사이트

  • 사이트와 통신 중이던 애플리케이션

  • 스토리 상태

2

세부 정보

스토리의 기본 세부 정보, 포함:

  • 설명 및 요약

  • 최초 신호 - 이상 현상과 관련된 첫 번째 신호(트래픽 흐름)의 시간

  • 생성 일자 - 스토리가 생성된 시간

  • 마지막 업데이트 - 새로운 대상 또는 변경된 판결과 같은 최신 스토리 업데이트 시간

  • 유사한 스토리 - 사이트 및 애플리케이션과 같은 유사한 세부 정보를 가진 스토리를 표시합니다.

3

경험 이상 위젯

이야기 당일 애플리케이션 경험의 시각적 징후

4

연결 세부 정보 위젯

연결 경로의 다른 노드에서 발생할 수 있는 문제에 대한 정보를 제공합니다

이상 활동 조사

기본 이상 현상 정보(사고가 발생한 사이트, 애플리케이션 및 시간 포함)를 확보한 후, 경험 모니터링 위젯을 사용하여 스토리를 더 조사할 수 있습니다.

예를 들어, 애플리케이션별로 필터를 적용하고 애플리케이션 성능 탭을 사용하여 이상 현상 발생 시점의 가능한 문제에 대한 추가 정보를 볼 수 있습니다. 또한, 터널 탭을 사용하여 터널에 문제가 있었는지 확인하거나 호스트 탭에서 애플리케이션에 접근하는 사용자 수가 갑자기 급증하여 경험이 저하되었을 수 있음을 확인할 수 있습니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개