주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=DNS-protection-Live-Discover

실시간 검색을 사용하여 DNS Protection 데이터 쿼리

위협 분석 센터의 실시간 검색을 사용하여 DNS Protection 데이터를 쿼리할 수 있습니다. Live Discover를 사용하면 SQL 쿼리를 사용하여 로그 및 보고서 의 보고서보다 더 세분화된 데이터를 가져올 수있습니다. 예를 들어 정책 작업, 도메인 또는 위치별 DNS 쿼리 수와 같은 DNS Protection 데이터를 쿼리할 수 있습니다.

DNS Protection용 실시간 검색을 사용하려면 위협 분석 센터 > 실시간 검색 으로 이동하고 DNS Protection를 클릭합니다. Live Discover에는 DNS Protection용 Data Lake 쿼리가 기본 제공됩니다. 이러한 쿼리를 사용하거나 편집하거나 새 쿼리를 만들 수 있습니다. 이러한 쿼리를 편집하거나 새 쿼리를 만들려면 디자이너 모드를 설정합니다.

참고

DNS Protection에 대한 새 쿼리를 만드는 경우 데이터 레이크를 원본으로 선택합니다 ****.

라이브 디스커버를 사용하는 방법에 대한 자세한 내용은 Live Discover를 참조하십시오.

Data Lake 스키마

사용 가능한 테이블 및 데이터에 대한 자세한 내용은 스키마 뷰어에서 Data Lake 스키마를 확인할 수 있습니다.

스키마 뷰어를 열려면 다음을 수행합니다.

  1. 위협 분석 센터 > 실시간 검색 으로 이동하고 DNS Protection 를 클릭합니다.
  2. 디자이너 모드가 켜져 있는지 확인합니다.

  3. 의 섹션에서 다음 작업을 수행할 수 있습니다.

    • 쿼리를 편집하려면 편집할 쿼리를 선택하고 편집 을클릭합니다.
    • 새 쿼리를 생성하려면 새 쿼리 만들기를 클릭합니다.

  4. SQL 대화 상자의 오른쪽 위 모서리에서 스키마를 클릭합니다.

    스키마 뷰어를 엽니다.

    스키마 뷰어가 새 탭에서 열립니다.

  5. DNS Protection의 경우 데이터 레이크 드롭다운 목록에서 방화벽을 선택합니다.

    방화벽 스키마를 선택합니다.

    현재 DNS Protection 필드 이름은 방화벽 테이블(xgfw_data)에 포함되어 있습니다.

DNS Protection 필드 이름

다음 표에서는 Data Lake의 DNS Protection 필드 이름을 설명합니다.

필드 이름 설명
조치 적용된 정책에 따라 DNS 쿼리에 대해 수행된 작업
바이트 DNS query size와 DNS response size의 합계
dns_qid DNS 쿼리 ID
dns_qname DNS 쿼리 이름
DNS_qtype DNS 쿼리 유형
dns_duration DNS 요청의 지속 시간(밀리초)
도메인 쿼리된 도메인의 이름
domain_category 쿼리된 도메인의 범주
도메인 위험 쿼리된 도메인의 위험 수준
방문 횟수 DNS 요청 수
log_type "DNS"는 DNS Protection 로그임을 나타냅니다.
log_component "fe-dns"는 DNS Protection 로그임을 나타냅니다.
object_name 정책 작업이 "거부"이고 "사유"가 "사용자 지정 도메인 차단 또는 허용"인 경우 도메인 목록의 이름입니다.
프로토콜 DNS query에서 사용하는 프로토콜
policy_name 작업을 수행하는 데 사용된 정책의 이름
query_class DNS 쿼리 클래스, 일반적으로
query_flags DNS 요청과 연결된 DNS 쿼리 플래그
query_size DNS 쿼리 크기(바이트)
이유 정책에 의해 작업이 적용된 이유
response_code DNS query의 응답 코드
response_records_num DNS 응답의 레코드 수
response_ip_num DNS 응답에 대해 반환된 IP 주소 수
resolved_ip DNS 쿼리가 확인한 IP 주소
response_type DNS 응답에서 각 RRSet에 대한 DNS 레코드 유형(예: A, AAAA, CNAME)
response_name 반환된 DNS 레코드의 도메인 이름
response_class DNS response에서 각 RRSets에 대한 DNS query class
response_ttl_list DNS 응답에 있는 레코드의 TTLS(Time-to-Live) 목록
response_size DNS 응답의 총 크기(바이트)
응답 DNS 응답 텍스트
위험 점수 쿼리된 도메인과 관련된 위험 수치
security_status DNS 쿼리에 대한 응답에 대해 DNSSEC의 유효성 검사 여부
src_ip DNS 쿼리가 시작된 원본 IP 주소
src_port DNS 쿼리가 시작된 소스 포트
src_location DNS 쿼리가 시작된 위치
타임 스탬프 DNS 쿼리가 처리된 타임스탬프