AWS의 VPC 플로우 활동

AWS 클라우드 서비스의 VPC 플로우 로그 페이지에서 Amazon VPC(Virtual Private Cloud) 트래픽을 모니터할 수 있습니다. 동적 그래픽은 네트워크 포트 및 IP 주소 간에 허용되거나 거부된 트래픽(트래픽 플로우 포함)과 경고가 발생한 트래픽을 보여줍니다. 이 플로우 정보는 Amazon AWS VPC 플로우 로그 소스로부터 자동으로 채워집니다.

트래픽이 VPC별로 올바르게 그룹화될 수 있도록 구성 페이지에서 AWS 신임 정보가 올바른지 확인하십시오. 신임 정보가 올바르지 않거나 누락되었거나 플로우 데이터에 부합하지 않는 경우 트래픽이 알 수 없음으로 레이블 지정된 VPC로 이동합니다. 신임 정보 구성에 대한 자세한 정보는 AWS IAM 서비스를 사용하여 수동으로 Amazon AWS 교차 계정 액세스 설정을 참조하십시오.

개요 VPC 표시에는 VPC 노드를 나타내는 디스크가 표시됩니다. 한 디스크가 각 VPC를 나타내며, 레이블이 지정되지 않은 다른 디스크는 인터넷을 나타냅니다. VPC 노드 간의 트래픽은 필터에서 선택할 수 있는 특정 시간 범위에 대해 추적됩니다. 기본적으로는 최근 5분이 선택됩니다.

VPC 개요 디스플레이에서 디스크의 바깥쪽 테두리는 해당 VPC가 소유한 총 노드의 백분율을 나타냅니다. 원의 안쪽 호는 특정 VPC에서 성공 트래픽 대 거부된 트래픽의 비율을 파악하는 데 도움이 됩니다. 둘 이상의 VPC에서 공용 IP 또는 분석할 수 없는 IP가 발견될 경우 이는 각 VPC에서 개수로 포함됩니다.

하나의 VPC만 있는 경우 QRadar Cloud Visibility 는 데이터가 로드된 후 자동으로 VPC의 세부사항으로 드릴 다운합니다. 그렇지 않은 경우 VPC 디스크를 클릭하여 특정 VPC로 드릴 다운할 수 있습니다. 개별 VPC에서 뒤로를 클릭하면 개요 모드로 돌아갑니다. 인터넷을 나타내는 디스크는 클릭할 수 없습니다.

VPC에서 두 노드 간의 연결을 클릭하면, QRadar에서 플로우 목록 페이지가 열립니다. 여기서 데이터를 필터링하여 실시간으로 플로우를 모니터하고 조사하거나 고급 검색을 수행하여 표시된 플로우를 필터링할 수 있습니다.