옵저버블에 대한 보관 규칙 수정

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 옵저버블에 대한 보관 규칙을 수정하고 규칙이 영향을 주는 예상 기록 수를 확인합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    이 태스크 정보

    샘플 보관 규칙은 기본적으로 비활성입니다.

    관찰 대상, 표시기, 관련 기록 및 객체에 대해 역사적으로 유의 옵션 및 조건은 항상 False로 설정되어야 합니다. 이 옵션을 아니오로 설정하면 기록을 보관할 수 있지만 이 옵션이 예로 설정된 경우에는 규칙 정의와 관계없이 기록을 보관할 수 없음을 의미합니다.

    프로시저

    1. 다음으로 이동 모두 > 시스템 보관 > 보관 규칙.
      TISC에 적용할 수 있는 보관 규칙 목록이 표시됩니다. 이러한 보관 규칙은 객체 유형마다 다르며 독립적으로 적용할 수 있습니다.
    2. 보관 규칙을 선택합니다.
      예를 들어 기본 시스템 보관 규칙을 보려면 디렉터리 옵저버블 기록을 선택합니다.
    3. 필터 조건 추가를 클릭합니다.
    4. 역사적으로 유의 옵션을 선택하고 조건을 False로 설정합니다.
      이 옵션을 아니오로 설정하면 기록을 보관할 수 있지만 이 옵션이 예로 설정된 경우에는 규칙 정의와 관계없이 기록을 보관할 수 없음을 의미합니다.
    5. 이 예에서는 옵저버블의 상태를 비활성으로 설정하고 만료 시간을 2년으로 설정합니다.
      즉, 상태가 비활성이고 해당 옵저버블의 만료 기간이 2년으로 설정되어 있을 때 옵저버블 기록을 보관할 수 있으므로 현재 날짜로부터 해당 기간 이전의 모든 항목이 보관됩니다.
      주:
      모든 보관 규칙은 1시간마다 트리거되므로 규칙에 대한 모든 변경 사항은 예약된 작업 시간부터 수정됩니다. 작업을 명시적으로 실행하고 작업이 예약될 때까지 기다리지 않으려면 그에 따라 수정할 수 있습니다. 아래 단계를 따르십시오.
    6. 다음으로 이동 관련 링크 > 예상 비용 다시 계산.

      기록 예상치가 다시 계산되고 예상 값으로 업데이트되었습니다.

      주:
      예상 기록 값이 0이면 기록이 보관되지 않지만 예상 기록 값이 1이면 애플리케이션이 해당 값을 식별하고 하나의 기록이 보관됩니다.
    7. 지금 보관 실행을 선택합니다.
    8. 아래의 보관 실행 섹션으로 이동하여 보관 실행 프로세스를 확인하십시오.
      주:
      기록 예상 값도 1이므로 보관되는 총 기록 수는 단 하나의 기록입니다.
    9. 다음으로 이동 위협 인텔 라이브러리 > 옵저버블.
    10. 보관된 기록을 검색합니다.
      기록은 보관되어 있어야 하며 기록을 검색할 때 결과가 표시되지 않습니다.
      주:
      • TISC 보관 규칙의 일부로 보관된 관련 기록의 일부로 나열된 모든 소스 및 관련 기록도 집계된 옵저버블 기록과 함께 보관됩니다. 보관 로그 섹션으로 드릴다운하면 백그라운드에서 자동으로 실행되고 이 섹션 아래에 표시된 보관된 기록 목록을 볼 수 있습니다.
      • 보관된 기록을 보려면 관련 테이블 내에서 기록을 검색합니다. 동시에 다음으로 이동하여 보관된 기록을 확인할 수도 있습니다. 시스템 보관 > 보관 로그. 보관된 기록 수가 표시됩니다.