도메인 분리 및 IBM QRadar 공격 수집
도메인 분리 는 공격 수집에서 IBM QRadar 지원됩니다. 도메인 분리를 사용하여 데이터, 프로세스 및 관리 작업을 도메인이라는 논리적 그룹으로 분할할 수 있습니다. 어떤 사용자가 데이터를 보고 액세스할 수 있는지를 포함하여 이러한 분리의 여러 측면을 제어할 수 있습니다.
지원 수준: 기본
- 비즈니스 논리: 데이터가 애플리케이션의 서비스 제공자 사용 사례에 적합한 도메인으로 들어가도록 보장합니다.
- 애플리케이션은 런타임에서 도메인 분리를 지원합니다. 도메인 분리에는 사용자 인터페이스, 캐시 키, 보고서, 롤업, 집계 등에서의 분리가 포함됩니다.
- 인스턴스 소유자는 여러 테넌트에서 작동하도록 애플리케이션을 설정해야 합니다.
샘플 사용 사례: 서비스 제공자(SP)가 채팅을 사용하여 테넌트 고객의 메시지에 응답할 때 고객이 SP의 응답을 볼 수 있어야 합니다.
지원 수준에 대한 자세한 내용은 도메인 분리를 위한 애플리케이션 지원을 참조하십시오.
Offense Ingestion에서 IBM QRadar 도메인 분리가 작동하는 방식
도메인 분리를 달성하려면 다음 단계를 따르십시오.
- 해당 도메인에서 sn_si.admin 역할을 가진 사용자를 생성합니다. 주:프로필을 만들 때 도메인 선택기를 사용하여 특정 도메인을 선택합니다. 상위 도메인에서 사용자를 만들고 나중에 프로필의 도메인을 변경하지 마십시오. sn_si.admin 역할을 가진 프로필의 각 도메인에 대한 특정 사용자가 있어야 합니다. 이 사용자를 사용하여 프로파일에서 설정을 만들거나 수정할 수 있습니다.
- 기존 예약된 작업을 비활성화합니다.
- 모든 도메인에 IBM QRadar 대해 프로세스 폴링 큐, IBM QRadar 프로세스 프로파일 및 오펜스 업데이트의 예약된 작업을 복제합니다.
- '다른 사용자 이름으로 실행'을 시스템 사용자에서 해당 도메인의 sn_si.admin 역할을 가진 사용자로 변경하고 예약된 작업을 실행합니다.