16Cyber Attack View·MITRE·참조Cyber Attack View·MITRE·참조
이 장은 Threat Prevention이 잡아낸 위협을 한눈에 보여 주는 분석 뷰(Cyber Attack View)와, 공격자의 수법을 표준 언어로 풀어 주는 MITRE ATT&CK, 그리고 로그를 해석하는 데 필요한 로그 필드 참조 를 빠짐없이 정리합니다. 이어서 명령줄 참조·커널 파라미터·커널 디버그를 어느 가이드에서 찾아야 하는지도 안내합니다. 여기서 다루는 내용은 Custom Policy와 Autonomous Policy 모두에 공통입니다.
Cyber Attack View — 공격을 한눈에
Cyber Attack View - Gateway 는 공격 벡터(attack vector)별로 네트워크를 노린 사이버 공격을 시각화 해, 주의가 필요한 이벤트를 콕 짚어 주는 분석 뷰입니다. 화면 곳곳의 위젯(widget)을 더블클릭하면 다음 드릴다운(drill-down) 단계로 파고들어, 요약 통계에서 출발해 결국 개별 로그까지 추적할 수 있습니다.
뷰를 여는 두 가지 길
이 뷰는 SmartConsole 에서도, 웹 기반 SmartView 에서도 열 수 있습니다.
SmartConsole에서 열기
- SmartConsole로 Security Management Server 또는 Domain Management Server 에 접속합니다.
- 왼쪽 탐색 패널에서 Logs & Events 를 클릭합니다.
- 상단의 + 탭을 클릭하면 New Tab 탭이 열립니다.
- 왼쪽 트리에서 Views 를 클릭합니다.
- 상단 검색창에
cyber를 입력합니다. - 사용 가능한 Cyber Attack View 목록이 나타납니다.
- Cyber Attack View - Gateway 를 더블클릭합니다(또는 선택 후 Open).


SmartView에서 열기
- 웹 브라우저로 관리 서버의 SmartView에 접속합니다.
https://<IP Address of Management Server>/smartview
- 상단의 + 탭을 클릭하면 New Tab Catalog 탭이 열립니다.
- 왼쪽 트리에서 Views 를 클릭합니다.
- 상단 검색창에
cyber를 입력합니다. - 사용 가능한 Cyber Attack View 목록이 나타납니다.
- Cyber Attack View - Gateway 를 더블클릭합니다(또는 선택 후 Open).


어떤 이벤트가 화면에 올라오는가
이 뷰에서 서로 연관 지어진(correlated) 이벤트는 모두 Severity(심각도)와 Confidence Level(신뢰도)이 Medium 이상으로 태그 되어 있습니다. 이 태그는 Check Point가 부여하며 사용자가 바꿀 수 없 습니다. 뷰의 배경에서 도는 쿼리는 이 태그가 붙은 이벤트만 골라 보여 줍니다. 그 밖의 이벤트는 모두 Additional Events 섹션에 따로 모입니다.
기본 쿼리(Default Query)
뷰 전체는 다음 기본 쿼리로 데이터를 거른 뒤, 그 결과를 여러 위젯에 나눠 그립니다. 아래에서 설명하는 각 위젯은 이 기본 쿼리 위에 자신만의 필터를 덧붙여 동작합니다.
Pre-defined Filter > Log Type Filter
Product Family > Equals > Threat
Severity > Equals > Medium, High, Critical
Confidence Level > Equals > Medium, Medium-High, High기본 위젯
뷰를 처음 열면 다음 위젯이 기본으로 배치되어 있습니다.
| 위젯 | 종류 | 설명 |
|---|---|---|
| Infected Hosts | Infographic | 선택한 보고 기간 동안 멀웨어에 감염된 호스트 수 를 보여 줍니다. |
| Timeline of Infected Hosts | Timeline | 보고 기간 동안 감염 호스트에 대한 날짜별 로그 수 를 보여 줍니다. |
| Attacks Allowed by Policy | Infographic | 현재 Security Policy가 허용한 공격 수를 공격 벡터별로 보여 줍니다. |
| Prevented Attacks | Infographic | 현재 Security Policy가 차단한 공격 수를 공격 벡터별로 보여 줍니다. |
| SandBlast Threat Emulation | Infographic | 차단된 악성 파일 수 를 보여 줍니다. |
| Cyber Attack Timeline | Timeline | Anti-Bot·Anti-Virus·IPS·Threat Emulation 등 여러 Software Blade의 로그 수 를 기간별로 보여 줍니다. |
뷰와 위젯 편집하기
뷰와 위젯을 직접 손보려면 오른쪽 위 모서리에서 Options > Edit 를 클릭합니다. 그러면 상단 툴바에 다음 버튼이 활성화됩니다.
| 버튼 | 설명 |
|---|---|
| Add Widget | 새 위젯을 추가합니다. 종류: Table, Chart, Timeline, Map, Infographic, Container, Rich Text |
| Undo | 마지막 동작을 되돌립니다. |
| Redo | 되돌린 동작을 다시 합니다. |
| Discard | 모든 변경을 버리고 편집 모드를 나갑니다. |
| Done | 모든 변경을 저장하고 편집 모드를 나갑니다. |
편집 모드에서는 각 위젯의 오른쪽 위 모서리에도 위젯 종류에 따라 다음 버튼이 나타납니다.
| 버튼 | 설명 |
|---|---|
| Remove | (Add Widget으로 추가한) 요소를 위젯에서 지웁니다. |
| Add | 위젯에 요소를 더 추가합니다(Chart, Timeline, Map, Infographic, Rich Text). |
| Chart Type | 차트 종류를 고릅니다(Columns, Bars, Pie, Area, Line). |
| Edit Filter | 쿼리 필터를 편집합니다. |
| Settings | 이 위젯(Container)과 그 요소의 설정을 구성합니다. |
| Remove Widget | 위젯을 뷰에서 통째로 삭제합니다. |
Settings 로 구성할 수 있는 항목은 위젯 종류마다 다릅니다.
- Container — Title, Description, Layout(Horizontal·Vertical·Grid·Tabs).
- Infographic — Title, Field Name, Filter, Icon(마우스를 올리면 아이콘 이름 툴팁이 보임), Primary Text(아이콘 오른쪽에 표시), Secondary Text(Primary Text 아래 작은 글씨), Icon template(아이콘 모양·크기와 카운터 표시 여부), Horizontal Alignment(Left·Center·Right), Vertical Alignment(Top·Middle·Bottom), Style(Normal·Small).
- Table — Title, Description, Table Type(Statistical Table·Logs Table), Columns(분석할 로그 필드와 표시 방식).
- Chart — Title, Description, Chart Type, Values for Y-axis, Values for X-axis, Sort order, Number of values to show, Number of samples to show, Axis titles, Legend.
위젯 크기를 바꾸려면 위젯 오른쪽 아래 모서리를 누른 채 끌어 원하는 크기로 맞춘 뒤 마우스를 놓습니다. 기본값으로 되돌리려면 오른쪽 위 모서리에서 Options > Restore Defaults 를 클릭합니다.
위젯 다루기 — 종류별 조작법
위젯 종류에 따라 드릴다운·필터링·정렬 방법이 조금씩 다릅니다.
- Infographic — 제목이나 아이콘을 더블클릭하거나, 오른쪽 클릭 후 Drill Down 을 누르면 다음 단계로 들어갑니다.
- Table — 열 머리글을 한 번 클릭하면 오름차순·내림차순 정렬, 값에 마우스를 올리면 전체 텍스트 툴팁이 보입니다. 다음 단계로 가려면 행을 더블클릭하거나 오른쪽 클릭 후 Drill Down. 특정 값만 보려면 그 값을 오른쪽 클릭 후 Filter: "<VALUE>", 특정 값을 빼고 보려면 Filter Out: "<VALUE>".
- Chart — 차트 영역에 마우스를 올리면 툴팁이 보입니다. 막대를 더블클릭하거나 오른쪽 클릭 후 Drill Down 으로 내려갑니다. 필터링은 Table과 같은 방식(Filter / Filter Out)입니다.
- Timeline — 막대를 더블클릭하거나 오른쪽 클릭 후 Drill Down. 범례(legend)에서는 특정 항목을 더블클릭하면 그 항목만 표시, 한 번 클릭하면 그 항목을 그래프에서 제거, 같은 항목을 다시 한 번 클릭하면 복원합니다. 두 개 이상을 끈 뒤 모두 되살리려면, 꺼진 항목을 하나씩 한 번 클릭해 전부 켜거나, 한 항목을 더블클릭해 그것만 표시한 뒤 같은 항목을 한 번 더 클릭합니다.
- Map — 원으로 표시된 나라에 마우스를 올리면 툴팁이 보이고, 더블클릭하거나 오른쪽 클릭 후 Drill Down. 필터링도 Filter / Filter Out 으로 합니다.
Infected Hosts — 감염된 호스트
이 위젯은 보고 기간 동안 멀웨어에 감염된 네트워크 호스트 수 를 보여 줍니다. Security Gateway는 어떤 호스트에서 바깥으로 나가는 악성 통신이나 전파(측면 이동, lateral movement) 를 감지하면 그 호스트를 감염된 것으로 간주합니다. 이런 멀웨어 통신은 Anti-Bot 과 IPS 이벤트에 드러나며, 여기 표시되는 이벤트는 Severity·Confidence Level이 Medium 이상입니다. 제목이나 아이콘을 더블클릭하면 내부 네트워크의 감염 호스트에 대한 요약 드릴다운 뷰로 들어갑니다.

드릴다운 뷰의 위젯
| 위젯 | 종류 | 설명 |
|---|---|---|
| Infected Hosts | Infographic | 멀웨어에 감염된 호스트 수. |
| Top 20 Infected Hosts | Chart | (로그 수 기준) C&C 서버에 접속한 상위 호스트 — 상위 20개 감염 호스트의 출발지 IP와 탐지된 악성 연결 수. 색이 다르면 다른 호스트. |
| Top Malicious Command And Control Connections | Table | (연결 빈도 기준) C&C 서버에 접속한 상위 호스트 — 감염 호스트의 호스트명·출발지 IP·출발지 사용자명, C&C 서버 IP, 악성 C&C 연결 수. |
| List of Infected Hosts | Table | 감염 호스트 목록 — 호스트명·출발지 IP·출발지 사용자명, 탐지된 멀웨어 시그니처 이름(ThreatWiki·Check Point Research 기준), Malware action, 로그 수. |
| Timeline of Infections (Top 20) | Timeline | 모든 감염 호스트의 C&C 악성 연결을 시간순으로 — 상위 20개 호스트의 출발지 IP·로그 수·날짜·시각. 색이 다르면 다른 호스트. |
이 위젯들은 기본 쿼리에 더해 다음 쿼리를 함께 실행합니다.
(blade:Anti-Bot AND severity:(Medium OR High OR Critical) AND
confidence_level:(Medium OR Medium-High OR High) NOT "Mail
analysis") OR (blade:IPS AND "Malware Traffic")Timeline of Infected Hosts — 감염 추세
이 위젯은 보고 기간 동안 감염 호스트의 날짜별 로그 수 를 보여 줘, 네트워크의 감염 추세를 파악하게 합니다. 색이 다르면 다른 호스트를 가리킵니다. 막대를 더블클릭하면 해당 로그(다음 드릴다운 단계)로 들어갑니다.

기본 쿼리에 더해 다음 쿼리를 실행합니다.
Customer Filter = NOT "Mail analysis"
Blade > Equals > Anti-BotAttacks Allowed By Policy — 정책이 허용한 공격
이 위젯은 현재 Security Policy가 (차단하도록 구성되지 않아) 허용한 공격을 공격 벡터별로 보여 줍니다. 어떤 벡터와 어떤 종류의 공격이 들어오는지 이해해 방어를 개선하는 것이 목적입니다. 제목·아이콘을 더블클릭하면 아래의 세부 드릴다운 뷰로 들어갑니다.

이 섹션의 쿼리는 기본 쿼리에 더해 허용 계열 액션 만 고릅니다.
Action > Equals > Bypass,Detect이 Attacks Allowed By Policy 섹션은 다음 다섯 가지 드릴다운으로 나뉩니다 — Users that Received Malicious Emails, Hosts that Downloaded Malicious Files, Directly Targeted Hosts, Host Scanned by Attackers, Hosts that Accessed Malicious Sites.
Users that Received Malicious Emails (Allowed)
이메일은 악성 페이로드를 나르는 가장 흔한 벡터입니다. 이 드릴다운은 이메일 공격 시도를 요약합니다. IPS·Anti-Virus·Threat Emulation·Threat Extraction 블레이드가 나란히 작동해 이메일의 악성 여부를 판정 하고 다층 방어를 제공합니다.

| 위젯 | 종류 | 설명 |
|---|---|---|
| Malicious Emails | Infographic | Security Gateway가 악성으로 판정한 이메일 총수. |
| Top 10 Email Protection Types | Chart | 악성 이메일을 잡아낸 상위 Check Point 보호 기능(전체 블레이드)의 이름과 잡은 이메일 수. |
| Top Targeted Recipients | Chart | 악성 이메일을 가장 많이 받은 수신자와 그 수. |
| Top Malicious Senders | Chart | 악성 이메일을 가장 많이 보낸 발신자와 그 수. |
| Detected Malicious Emails | Table | From, To, Subject, File Name, File Size, File MD5, Protection Name. |
| Timeline of Email Campaigns (Top 10 Protections) | Timeline | 탐지된 악성 이메일 수와 시간 흐름. 보호 종류별로 나뉘며, 색이 다르면 다른 캠페인. |
기본 쿼리에 더해 다음을 실행합니다.
Calculated Service > Equals > SMTPHosts that Downloaded Malicious Files (Allowed)
이 드릴다운은 악성 파일을 이용한 공격 을 요약하며, Check Point Threat Prevention의 다층 방어가 잡은 모든 악성 파일을 보여 줍니다.

| 위젯 | 종류 | 설명 |
|---|---|---|
| Malicious Downloaded Files | Infographic | 악성 파일을 내려받은 호스트 수와 내려받은 악성 파일 수. |
| Malware Families | Chart | 내려받은 상위 멀웨어 패밀리(ThreatWiki·Research 기준). 색이 다르면 다른 패밀리. |
| Top Users that Downloaded Malicious Files | Chart | 악성 파일을 가장 많이 내려받은 호스트(다운로드 수 기준 정렬). |
| Top Downloaded Malicious Files | Chart | 상위 악성 파일의 다운로드 횟수(등장 횟수 기준 정렬). |
| Detected Malicious Files | Table | 내려받은 호스트, 탐지한 보호 기능 이름, 파일 이름·유형·MD5, Malicious Domain. |
| Timeline of Downloaded Malicious Files (Top 10 Protections) | Timeline | 내려받은 악성 파일의 로그 수. 색이 다르면 다른 파일. |
기본 쿼리에 더해 다음을 실행합니다.
Custom Filter = ((blade:"threat emulation") OR (blade:"anti-virus"
AND "signature") OR (blade:ips AND (("Adobe Reader Violation" OR
"Content Protection Violation" OR "Instant Messenger" OR "Adobe
Flash Protection Violation"))))Directly Targeted Hosts (Allowed)
이 드릴다운은 네트워크·호스트 익스플로잇(exploit) 시도 를 요약합니다. 호스트 익스플로잇 시도는 Threat Prevention 이벤트의 대부분을 차지합니다.

| 위젯 | 종류 | 설명 |
|---|---|---|
| Top Hosts | Infographic | 공격받은 내부 호스트 총수와 탐지된 익스플로잇 시도 총수. |
| Top 5 Attackers | Chart | 익스플로잇 시도 수 기준 상위 공격자 — 출발지 IP와 로그 수. 색이 다르면 다른 취약점. |
| Top 5 Attacked Hosts | Chart | 익스플로잇 시도 수 기준 상위 피공격 호스트 — IP와 로그 수. |
| Top Detected Exploit Attempts | Chart | 상위 익스플로잇 시도 — 익스플로잇 이름과 로그 수. 색이 다르면 다른 취약점. |
| Top Detected Attacked Hosts on the Network | Table | 피공격 내부 호스트 IP, 악용된 취약점 이름, CVE, 호스트별 이벤트 수, Severity. |
| Timeline of Exploit Attacks | Timeline | 악용된 취약점 이름과 시간 흐름. 색이 다르면 다른 취약점. |
기본 쿼리에 더해 다음을 실행합니다.
Custom Filter = blade:IPS NOT ("SMTP" OR "Adobe Reader Violation"
OR "Content Protection Violation" OR "Mail Content Protection
Violation" OR "SMTP Protection Violation" OR "Phishing Enforcement
Protection" OR "Adobe Flash Protection Violation" OR "Adobe Reader
Violation" OR "Content Protection Violation" OR "Instant
Messenger" OR "Adobe Flash Protection Violation" OR "Scanner
Enforcement Violation" OR "Port Scan" OR "Novell NMAP Protocol
Violation" OR "Adobe Flash Protection Violation" OR "Adobe
Shockwave Protection Violation" OR "Web Client Enforcement
Violation" OR "Exploit Kit")Host Scanned by Attackers (Allowed)
이 드릴다운은 내부 네트워크에서 스캔당한 호스트 를 보여 줍니다. 네트워크 스캐너는 흔하므로 이 단계의 이벤트가 많이 보이는 것은 정상입니다.

| 위젯 | 종류 | 설명 |
|---|---|---|
| Top Statistics | Infographic | 가장 많이 스캔당한 내부 호스트 수. |
| Top Scanning Attempts Per Scanner | Chart | 스캐너별 스캔 시도 수(시도 수 기준 정렬) — 스캐너 출발지 IP와 시도 수. |
| Top Protections | Chart | 스캔 이벤트를 가장 많이 보고한 보호 기능 이름과 탐지 수. |
| Top Scanned Hosts | Table | 가장 많이 스캔당한 내부 호스트 — 목적지(호스트) IP, 출발지(스캐너) IP, 목적지·출발지 총수. |
| Top Scanners | Table | 스캐너 정보 — 출발지(스캐너) IP, 목적지(호스트) IP와 스캔당한 목적지 총수, 매칭된 Check Point 서비스(프로토콜·포트). |
| Timeline of Top 10 Scanners | Timeline | 탐지된 스캐너별 스캔당한 호스트 수와 시간 흐름. 색이 다르면 다른 스캐너. |
기본 쿼리에 더해 다음을 실행합니다.
Custom Filter = "Scanner Enforcement Violation" OR "Port Scan" OR
"Novell NMAP Protocol Violation"Hosts that Accessed Malicious Sites (Allowed)
이 드릴다운은 내부 네트워크에서 악성 사이트로 접근한 시도 를 요약합니다.

| 위젯 | 종류 | 설명 |
|---|---|---|
| Hosts that Accessed Malicious Sites | Infographic | 악성 웹사이트에 접근한 내부 호스트 수. |
| Top 10 Protection Types | Chart | 웹 공격 보호가 보고한, 탐지된 멀웨어 패밀리별 이벤트 수(ThreatWiki·Research 기준). 색이 다르면 다른 패밀리. |
| Top 15 Hosts | Chart | 악성 사이트에 접근한 내부 호스트(호스트별 연결 수 기준 정렬) — 출발지 IP, 탐지된 멀웨어 패밀리, 호스트별 연결 로그 수. |
| Top Malicious Sites | Table | 내부 호스트 출발지 IP, 호스트별 연결 로그 수, 악성 사이트 URL, 악성 사이트 목적지 포트. |
| Timeline Showing Access to Malicious Sites | Timeline | 탐지된 멀웨어 패밀리와 시간 흐름. 보호 종류별로 나뉘며, 색이 다르면 다른 패밀리. |
기본 쿼리에 더해 다음을 실행합니다.
Custom Filter = ((blade:IPS AND ("Adobe Flash Protection
Violation" OR "Adobe Shockwave Protection Violation" OR "Web
Client Enforcement Violation" OR "Exploit Kit")) OR (blade:Anti-
Virus AND ("URL Reputation" OR "DNS Reputation")))
Calculated Service > Not equals > smtpAttacks Prevented By Policy — 정책이 차단한 공격
이 위젯은 Security Policy가 실제로 차단한 공격을 공격 벡터별로 보여 줍니다.

이 섹션의 쿼리는 기본 쿼리에 더해 차단 계열 액션 만 고릅니다.
Action > Equals > Drop,Reject,Block,Prevent,Redirect차단 섹션의 드릴다운은 허용 섹션과 같은 다섯 갈래로 나뉘고, 위젯 구성도 동일합니다. 다만 보여 주는 것이 허용된 공격이 아니라 차단된 공격 이라는 점, 그리고 일부 쿼리·Best Practice가 다릅니다.
Users that Received Malicious Emails (Prevented)
위젯 구성(Malicious Emails, Top 10 Email Protection Types, Top Targeted Recipients, Top Malicious Senders, Detected Malicious Emails, Timeline of Email Campaigns)은 허용 섹션과 같습니다.

기본 쿼리에 더해 다음을 실행합니다.
Calculated Service > Equals > SMTP
Custom Filter = ((blade:ips AND ("Adobe Reader Violation" OR
"Content Protection Violation" OR "Mail Content Protection
Violation" OR "SMTP Protection Violation" OR "Phishing Enforcement
Protection" OR "Adobe Flash Protection Violation")) OR
(blade:"Threat Emulation") OR (blade:Anti-Virus ) OR
(blade:"Threat Extraction" AND content_risk ("Medium" OR "High" OR
"Critical"))) AND service:("pop3" OR "smtp" OR "imap")Hosts that Downloaded Malicious Files (Prevented)
위젯 구성(Malicious Downloaded Files, Malware Families, Top Users that Downloaded Malicious Files, Top Downloaded Malicious Files, Detected Malicious Files, Timeline of Downloaded Malicious Files)은 허용 섹션과 같습니다.

기본 쿼리에 더해 다음을 실행합니다.
Custom Filter = ((blade:"threat emulation") OR (blade:"anti-virus"
AND "signature") OR (blade:ips AND (("Adobe Reader Violation" OR
"Content Protection Violation" OR "Instant Messenger" OR "Adobe
Flash Protection Violation"))))Directly Targeted Hosts (Prevented)
위젯 구성(Top Hosts, Top 5 Attackers, Top 5 Attacked Hosts, Top Detected Exploit Attempts, Top Detected Attacked Hosts on the Network, Timeline of Exploit Attacks)과 쿼리는 허용 섹션의 Directly Targeted Hosts와 같습니다.

Host Scanned by Attackers (Prevented)
위젯 구성(Top Statistics, Top Scanning Attempts Per Scanner, Top Protections, Top Scanned Hosts, Top Scanners, Timeline of Top 10 Scanners)과 쿼리는 허용 섹션과 같습니다.

Custom Filter = "Scanner Enforcement Violation" OR "Port Scan" OR
"Novell NMAP Protocol Violation"Hosts that Accessed Malicious Sites (Prevented)
위젯 구성(Hosts that Accessed Malicious Sites, Top 10 Protection Types, Top 15 Hosts, Top Malicious Sites, Timeline Showing Access to Malicious Sites)과 쿼리는 허용 섹션과 같습니다.

Custom Filter = ((blade:IPS AND ("Adobe Flash Protection
Violation" OR "Adobe Shockwave Protection Violation" OR "Web
Client Enforcement Violation" OR "Exploit Kit")) OR (blade:Anti-
Virus AND ("URL Reputation" OR "DNS Reputation")))
Calculated Service > Not equals > smtpSandBlast Threat Emulation — 차단된 악성 파일
이 위젯은 보고 기간 동안 차단된 악성 파일 수 를 보여 줍니다. 제목·아이콘을 더블클릭하면 드릴다운 뷰로 들어갑니다.

| 위젯 | 종류 | 설명 |
|---|---|---|
| Top Statistics | Infographic | CPU Level 또는 File Exploit 보호가 악성으로 판정한 파일 수. |
| Malicious Emails | Table | 날짜·시각, 발신 이메일, 수신 이메일, 제목, 첨부 파일 이름·MD5, Protection Name, 기록된 이메일 수. |
| Top Senders | Chart | 악성 이메일을 가장 많이 보낸 사용자(로그 수 기준 정렬)와 보낸 수. |
| Top Recipients | Chart | 악성 이메일을 가장 많이 받은 사용자(로그 수 기준 정렬)와 받은 수. |
| Top Sources | Chart | 악성 이메일을 가장 많이 보낸 출발지 호스트와 그 수. |
| Downloaded Malicious Files | Table | From, To, Subject, File Name, File Size, File MD5, Protection Name. |
| Timeline of CPU Level and File Exploit Protections | Timeline | 보호 로그 수와 시간 흐름. |
기본 쿼리에 더해 다음을 실행합니다.
Custom Filter = "*CPU-Level Detection Event*" OR Exploited
Blade > Equals > Threat Emulation
Product Family > Equals > ThreatMITRE ATT&CK
MITRE ATT&CK 은 전 세계 보안 커뮤니티가 위협 모델과 방법론을 발전시키는 데 쓰는 지식 베이스 입니다. 이를 통해 Check Point 고객은 공격자가 자기 네트워크에 쓴 상위 기법(technique)과 전술(tactic) 을 드러내는 방식으로 보안 사고를 검토할 수 있습니다.
동작 원리는 이렇습니다 — 악성 파일이 발견될 때마다 Threat Emulation(SandBlast 기술)이 그 공격에 쓰인 기법·전술을 해당 로그에 덧붙 입니다.
Cyber Attack Timeline 위젯
이 위젯은 보고 기간 동안 Anti-Bot·Anti-Virus·IPS·Threat Emulation 등 여러 Software Blade의 로그 수 를 보여 줘, 대규모 공격이 발생했는지 가늠하게 합니다. 막대를 더블클릭하면 다음 드릴다운 단계로 들어갑니다. 이 위젯은 앞의 기본 쿼리(Default Query)를 그대로 실행 합니다.

Threat Emulation 로그에 MITRE ATT&CK 데이터 넣기
- SmartConsole 을 엽니다.
- Gateways & Servers 뷰에서 해당 Security Gateway의 Threat Emulation 블레이드를 켭니다.
- 그 Security Gateway를 선택하고 Actions > Open Shell 을 클릭합니다.
- 다음을 실행해 엔진 버전을 확인합니다.
tecli advanced engine version
Threat Emulation 엔진 버전이 58.990001056보다 높아야 합니다. 5. 사용 중인 Threat Prevention 프로파일(예: Optimized)을 열어 Threat Emulation 블레이드가 활성화되어 있는지 확인합니다.

MITRE 데이터가 담긴 로그 보기
- Logs & Events 뷰에서 Logs 탭을 엽니다.
- 검색창에 다음 쿼리를 입력해 Threat Emulation이 찾은 악성 파일을 찾습니다.
Blade:"threat Emulation" AND type:"log" AND NOT severity:
"informational"
- 로그 중 하나를 엽니다.


이 로그는 해당 공격에 쓰인 MITRE ATT&CK 기법(Techniques)과 전술(Tactics) 을 보여 줍니다. 한 로그에 execution·persistence처럼 여러 동작이 함께 나타날 수 있습니다. 각 기법의 자세한 설명과 완화(mitigation) 방안은 MITRE ATT&CK 웹사이트에서 확인하세요.
SmartView의 MITRE ATT&CK 뷰
악성 파일에 초점을 맞춘 Logs & Events 의 MITRE ATT&CK 뷰는 공격자가 네트워크에 쓴 기법을 한눈에 보여 줍니다.
- 가장 많이 쓰인 상위 기법을 검토합니다.
- 그중 하나를 더블클릭합니다.
- 하위 뷰(sub-view)로 공격의 표적과 공격 벡터를 식별합니다.


로그 필드 (Log Fields)
Log Fields 는 Threat Prevention 로그에 담기는 각 필드의 의미 를 정리한 참조입니다. 로그를 해석하거나 위 Cyber Attack View의 쿼리를 짤 때 바탕이 됩니다. 각 필드에는 SmartConsole에 보이는 표시 이름(Display Name), 내부적으로 쓰는 Check Point 필드 이름(쿼리에 사용), 설명, 출력 예시가 있습니다.
| 표시 이름 | 필드 이름 | 설명 | 출력 예시 |
|---|---|---|---|
| Action | action | 정책에 정의된, 공격에 대한 대응. | prevent |
| Action Details | action_details | 탐지된 악성 동작의 설명. | Communicating with a Command and control server |
| Analyzed On | analyzed_on | 탐지된 리소스가 분석된 위치. | "Check Point Threat Emulation Cloud" |
| App Package | app_package | 보호 대상 모바일 기기의 앱 고유 식별자. | com.facebook.katana |
| Application Name | appi_name | 모바일 기기에 내려받은 앱 이름. | Free Music MP3 Player |
| Application Repackaged | app_repackaged | 원본 앱이 공식 개발자가 아닌 곳에서 리패키징되었는지 여부. | TRUE |
| Application Signature ID | app_sig_id | 모바일 앱의 고유 SHA 식별자. | b6511332331bc8bc64... |
| Application Version | app_version | 모바일 기기에 내려받은 앱 버전. | 1.3 |
| Attack Information | attack_info | 호스트·네트워크 취약점일 때 취약점 설명. | Linux EternalRed Samba Remote Code Execution |
| Attack Name | attack | 호스트·네트워크 취약점일 때 취약점 분류 이름. | Windows SMB Protection Violation |
| Attack Status | attack_status | 엔드포인트 컴퓨터의 악성 이벤트일 때 공격 상태. | Active |
| Attacker Phone Number | attacker_phone_number | 악성 SMS일 때 악성 링크를 보낸 발신자 전화번호. | 15712244010 |
| BCC | bcc | 이메일의 숨은 참조(Blind Carbon Copy) 주소. | mail@example.com |
| Blade | product | Software Blade 이름. | Anti-Bot & Advanced DNS |
| BSSID | bssid | 모바일 Wi-Fi 공격과 관련된 Wi-Fi 네트워크의 고유 MAC 주소. | 98:FC:11:B9:24:12 |
| Bytes (sent\received) | sent_bytes + received_bytes 집계 | 공격에서 주고받은 바이트 양. | 24 B \ 118 B |
| CC | cc | 이메일의 참조(Carbon Copy) 주소. | mail@example.com |
| Certificate Name | certificate_name | 인증서와 연관된 호스트명을 식별하는 Common Name. | Piso-Nuevo |
| Client Name | client_name | 이벤트를 탐지한 클라이언트 앱 또는 Software Blade. | Check Point Endpoint Security Client |
| Confidence Level | confidence_level | Check Point ThreatCloud 기반 탐지 신뢰도. | Medium |
| Content Risk | content_risk | 문서에서 추출한 콘텐츠의 위험도. | 4 - high |
| Dashboard Event ID | dashboard_event_id | Cloud Dashboard의 이벤트 고유 ID. | 1729 |
| Dashboard Origin | dashboard_orig | Cloud Mobile Dashboard 이름. | SBM Cloud management |
| Dashboard Time | dashboard_time | 로그가 생성된 Cloud Mobile Dashboard 시각. | 7th july 2018 22:27 |
| Description | description | 탐지된 공격에 대한 추가 정보 또는 연결 관련 오류. | Check Point Online Web Service failure. See sk74040... |
| Destination | dst | 공격 목적지 IP 주소. | 192.168.22.2 |
| Determined By | te_verdict_determined_by | 파일을 악성으로 판정한 에뮬레이터. | Win7 64b,Office 2010,Adobe 11: local cache... |
| Developer Certificate Name | developer_certificate_name | 모바일 앱 서명에 쓰인 개발자 인증서 이름. | iPhone Developer (6MZTQJDTZ) |
| Developer Certificate Sha | developer_certificate_sha | 모바일 앱 서명에 쓰인 개발자 인증서의 SHA. | Sha1 |
| Device ID | device_identification | 모바일 기기의 고유 ID. | 2739 |
| Direction | interfacedir | 연결 방향. | 'inbound'; 'outbound' |
| Email Recipients Number | email_recipients_num | 같은 이메일을 받은 수신자 수. | 6 |
| Email Subject | email_subject | Check Point가 검사한 이메일 제목. | invoice #43662 |
| Extension Version | extension_version | SandBlast Agent 브라우저 확장의 빌드 버전. | SandBlast Extension 990.45.6 |
| Extracted File Hash | extracted_file_hash | 압축 파일일 때 내부 파일들의 해시 목록. | 8e3951897bf8371e6... |
| Extracted File Names | extracted_file_names | 압축 파일일 때 내부 파일 이름 목록. | malicious.js |
| Extracted File Types | extracted_file_types | 압축 파일일 때 내부 파일 유형. | js |
| Extracted File Verdict | extracted_file_verdict | 압축 파일일 때 내부 파일의 판정. | malicious |
| File Direction | file_direction | Anti-Virus가 찾은 악성 파일일 때 연결 방향 — Incoming(다운로드), Outgoing(업로드). | Incoming |
| File MD5 | file_md5 | 탐지된 파일의 MD5 해시. | 8e3951897bf8371e6... |
| File Name | file_name | 탐지된 파일 이름. | malicious.exe |
| File SHA1 | file_sha1 | 탐지된 파일의 SHA1 해시. | 4d48c297e2cd81b1ee... |
| File SHA256 | file_sha256 | 탐지된 파일의 SHA256 해시. | 110d6ae802d229a810... |
| File Size | file_size | 탐지된 파일 크기(바이트). | 8.4KB |
| File Type | file_type | 탐지된 파일의 확장자. | wsf |
| First Detection | first_detection | 감염이 처음 탐지된 시각. | 1th january 2018 |
| Geographic Location | calc_geo_location | 모바일 기기 악성 활동 시 기기 위치(경도, 위도). | 32.0686513, 34.7945463 |
| Hardware Model | hardware_model | 모바일 기기 하드웨어 모델. | Samsung A900 |
| Host Time | host_time | 엔드포인트 컴퓨터의 로컬 시각. | 7th july 2018 22:27 |
| Host Type | host_type | 출발지 엔드포인트 컴퓨터의 유형. | Desktop |
| Impacted Files | impacted_files | 엔드포인트 감염 시 멀웨어가 영향을 준 파일 목록. | privatedoc.txt; image.png |
| Industry Reference | industry_reference | 관련 MITRE 취약점 문서 링크. | https://cve.mitre.org/.../CVE-2017-0148 |
| Installed Blades | installed_products | 설치된 Endpoint Software Blade 목록. | Anti-Ransomware, Anti-Exploit, Anti-Bot |
| Interface | interfaceName | 연결이 지나간 Security Gateway 인터페이스 이름. | eth1 |
| Jailbreak Information | jailbreak_message | 모바일 OS 무결성이 깨졌는지 여부 — True(탈옥·루팅됨), False(정상). | TRUE |
| Last Detection | last_detection | 감염이 마지막으로 탐지된 시각. | 2th january 2018 |
| Malware Action | malware_action | 탐지된 멀웨어 활동의 설명. | 'DNS query for a site known to be malicious' |
| Malware Family | malware_family | 악성 IOC와 관련된 멀웨어 이름. | Locky |
| MDM ID | mdm_id | MDM 시스템상 모바일 기기 ID. | 4718 |
| Network Certificate | network_certificate | SSL 가로채기에 쓰인 인증서의 공개 키. | example.com |
| Not Vulnerable OS | emulated_on | 파일을 악성으로 판정하지 못한 에뮬레이터. | Win7 64b,Office 2010,Adobe 11 |
| Origin | orig | 이 이벤트를 처음 보고한 Security Gateway 이름. | My_GW |
| OS Name | os_name | 출발지 엔드포인트 컴퓨터의 OS 이름. | Windows 7 Professional N Edition |
| OS Version | os_version | 출발지 엔드포인트 컴퓨터의 OS 빌드 버전. | 6.1-7601-SP1.0-SMP |
| Packet Capture | packet_capture | 악성 연결을 기록한 PCAP 캡처 파일 링크. | |
| Parent Process MD5 | parent_process_md5 | 공격을 일으킨 프로세스의 부모 프로세스 MD5 해시. | d41d8cd98f00b204e9... |
| Parent Process Name | parent_process_name | 공격을 일으킨 프로세스의 부모 프로세스 이름. | cmd.exe |
| Parent Process Username | parent_process_username | 부모 프로세스의 소유자 사용자명. | johndoe |
| Performance Impact | performance_impact | IPS 시그니처가 Security Gateway에 주는 성능 영향. | Medium |
| Phone Number | phone_number | 모바일 기기의 전화번호. | 15712244010 |
| Policy | policy_date | 마지막 정책 가져오기 날짜. | 1th january 2018 |
| Policy Management | policy_mgmt | 이 Security Gateway를 관리하는 Management Server 이름. | My_MGMT_server |
| Policy Name | policy_name | 이 Security Gateway가 마지막으로 가져온 정책 이름. | My_Perimeter |
| Process MD5 | process_md5 | 공격을 일으킨 프로세스의 MD5 해시. | d41d8cd98f00b204e9... |
| Process Name | process_name | 공격을 일으킨 프로세스 이름. | bot.exe |
| Process Username | process_username | 공격을 일으킨 프로세스의 소유자 사용자명. | johndoe |
| Product Family | product_family | Software Blade 패밀리 이름. | Threat |
| Product Version | client_version | 컴퓨터에 설치된 SandBlast Agent 클라이언트 빌드 버전. | 80.85.7076 |
| Protection Name | protection_name | 공격 시그니처의 구체적 이름. | 'Exploited doc document' |
| Protection Type | protection_type | 공격 탐지에 쓰인 보호 유형. | SMTP Emulation |
| Reason | reason | 공격을 탐지·차단한 이유. | Internal error occurred, could not connect to cws.checkpoint.com:80... |
| Recipient | to | 목적지 이메일 주소. | recipient@example.com |
| Remediated Files | remediated_files | 감염을 성공적으로 정리했을 때 복구된 파일 목록. | malicious.exe, dropper.exe |
| Resource | resource | 악성 요청의 URL·도메인·DNS. | www[.]maliciousdomain[.]xyz |
| Risk | file_risk | Threat Extraction이 의심 콘텐츠를 찾았을 때 위험도. | 4 |
| Scope | scope | 규칙에 정의된 보호 범위(Protected scope). | 192.168.1.3 |
| Sender | from | 출발지 이메일 주소. | sender@example.com |
| Service | service_name | 프로토콜과 목적지 포트. | http [tcp/80] |
| Severity | severity | Check Point ThreatCloud 기반 사고 심각도. | High |
| Source | src | 공격 출발지 IP 주소. | 91.2.22.28 |
| Source IP-phone | src_phone_number | 출발지 모바일 기기의 전화번호. | 15712244010 |
| Source Port | s_port | 연결의 출발지 포트. | 35125 |
| SSID | ssid | SandBlast Mobile에서 의심·악성 이벤트가 발견된 Wi-Fi 네트워크 이름. | Airport_Free_Wifi |
| Subject | subject | Check Point가 검사한 이메일 제목. | invoice #43662 |
| Suppressed logs | suppressed_logs | 한 버스트(burst) 안의 악성 연결 시도 수. 버스트는 출발지·목적지·프로토콜이 모두 같은 연결 시도가 아주 짧은 시간에 반복된 것. | 72 |
| Suspicious Content | scrubbed_content | Threat Extraction이 제거한 콘텐츠. | Embedded Objects: |
| System App | system_app | 탐지된 앱이 기기 ROM에 설치되어 있는지 여부. | False |
| Threat Extraction Activity | scrub_activity | Security Gateway가 찾아 정리한 위험 활성 콘텐츠 설명. | Active content was found - DOCX file was converted to PDF |
| Threat Profile | smartdefense_profile | 다른 블레이드와 따로 관리될 때의 IPS 프로파일 이름. | Recommended_IPS_internal |
| Time | time | 로그가 생성된 타임스탬프. | 7th july 2018 22:27 |
| Total Attachments | total_attachments | 이메일의 첨부 파일 수. | 3 |
| Triggered By | triggered_by | 보호 적용을 촉발한 메커니즘 이름. | SandBlast Anti-Ransomware |
| Trusted Domain | trusted_domain | 피싱 이벤트일 때 공격자가 사칭한 도메인. | www.checkpoint.com |
| Type | type | 로그 유형. | log |
| Vendor List | vendor_list | 악성 URL 판정을 제공한 벤더 이름. | Check Point ThreatCloud |
| Verdict | verdict | 악성 활동·파일의 판정. | Malicious |
| Vulnerable OS | detected_on | 파일을 악성으로 판정한 에뮬레이터. | Win7 Office 2013 Adobe 11 ... |
명령줄 참조·커널 파라미터·커널 디버그
Threat Prevention의 명령줄과 커널 수준 작업은 별도의 전용 문서에서 다룹니다. 원문도 여기서는 해당 문서로 안내만 합니다.
- Command Line Reference — Threat Prevention 관련 CLI 명령은 R82 CLI Reference Guide 를 참고하세요.
- Working with Kernel Parameters(커널 파라미터 다루기) — R82 Quantum Security Gateway Guide > "Working with Kernel Parameters" 장을 참고하세요.
- Kernel Debug(커널 디버그) — R82 Quantum Security Gateway Guide > "Kernel Debug on Security Gateway" 장을 참고하세요.
커널·디버그 작업에 알아 둘 용어
커널 파라미터와 커널 디버그를 다루기 전에, Threat Prevention이 도는 게이트웨이 데이터 평면(data plane)의 구조 를 이루는 핵심 용어를 짚어 둡니다. 이 개념들은 위에서 안내한 R82 Quantum Security Gateway Guide의 커널 장에서 본격적으로 쓰입니다.
| 용어 | 뜻 |
|---|---|
| CoreXL | 멀티코어 플랫폼에서 여러 Check Point 방화벽 인스턴스를 여러 CPU 코어에 병렬 로 돌려 성능을 높이는 기술입니다. |
| CoreXL Firewall Instance | CoreXL을 켜면 방화벽 커널이 여러 벌 복제되고, 복제본(=방화벽 인스턴스)마다 한 CPU 코어에서 돕니다. 각 인스턴스는 완전하고 독립적인 방화벽 검사 커널 로, 동시에 트래픽을 처리합니다. |
| CoreXL SND | Secure Network Distributer. 네트워크 인터페이스에서 들어오는 트래픽을 받아, (SecureXL이 켜져 있으면) 허가된 패킷을 가속하고, 가속되지 않는 패킷을 방화벽 인스턴스들에 분배 합니다. 분배는 출발지 IP·목적지 IP·IP 프로토콜 종류를 기준으로 정적으로 정해지며, 연결의 첫 패킷에서 결정됩니다. |
| SecureXL | 게이트웨이를 지나는 IPv4·IPv6 트래픽을 가속 하는 Check Point 기술입니다. |
| Expert Mode | Gaia에서 전체 시스템 root 권한 을 주는 상위 명령줄 셸. 커널 파라미터·디버그 작업은 대부분 Expert mode에서 합니다. |
정리하면, 이 장의 요지는 Cyber Attack View로 허용·차단된 공격을 벡터별로 분석하고, MITRE ATT&CK으로 공격자의 기법·전술을 표준 언어로 읽어 내며, 로그 필드 참조로 개별 로그를 정확히 해석하고, CLI·커널 참조로 더 깊이 파고든다 는 것입니다.