이벤트 수집 수집 일정 ArcSight ESM 생성

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기3분

새로운 상관 관계 이벤트에 대한 폴링 또는 풀 일정을 정의할 수 있습니다. 이 단계에서 상관관계 이벤트 검색에 대한 기존 설정을 확인하거나 필요에 따라 일정을 수정할 수 있습니다. 또한 이 단계에서는 날짜 범위를 사용하여 과거 상관관계 이벤트를 검색할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.admin.

이 태스크 정보

스케줄링 단계 중에 과거 상관관계 이벤트를 수집할지 여부를 선택할 수 있습니다. 또한 프로파일 구성과 일치하는 향후 새 상관관계 이벤트를 폴링할 빈도를 선택합니다.

sn_si.admin 역할을 가진 사용자는 프로파일별로 이러한 폴링 간격을 구성합니다. 상관관계 이벤트 수집 통합의 ArcSight ESM 성능은 다른 폴링 간격의 영향을 받을 수 있습니다. 일정을 세울 때, 서버의 폴링 오버헤드를 ArcSight ESM 줄이는 것과 이벤트가 생성되거나 업데이트될 때 가능한 한 빨리 알림을 받으려는 욕구 사이에서 균형을 맞추는 것이 좋습니다. 모든 프로파일에 대해 5분 기본값이 설정되어 있지만 필요한 경우 이 설정을 1분 정도로 수정하는 것을 선호할 수 있습니다.

신규 및 업데이트된 상관관계 이벤트 끌어오기

프로시저

진행률 표시줄에 스케줄링 페이지가 표시되지 않으면 스케줄링을 선택합니다.

<ArcSight> 콘솔에서 상관관계 이벤트를 끌어오는 방법과 시기를 예약하려면 하나를 선택합니다.

옵션	설명
진행 중인 이벤트 수집 필드 선택됨 일회성 검색 필드 지워짐	진행 중 이벤트 기본 설정에 Now Platform 따라 인스턴스는 5분마다 서버에서 새로운 상관관계 이벤트를 가져옵니다 ArcSight ESM . 상관관계 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 최신 데이터를 가져오려는 수집 폴링 오버헤드의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분 정도로 낮게 수정할 수 있습니다.
진행 중인 이벤트 수집 필드가 지워짐 일회성 검색 필드 선택됨	일회성 검색 과거 상관관계 이벤트를 수집하기 위해 일회성 끌어오기를 원할 경우 이 구성을 사용합니다. 이 설정을 구성하면 프로파일이 한 번 사용되어 날짜 범위를 기반으로 하는 기록 이벤트에서 상관관계 이벤트를 검색합니다. 날짜 이후 필드 오른쪽에서 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 가져오기를 시작할 날짜를 선택합니다. 날짜 이후 값부터 현재 날짜까지 상관관계 이벤트가 검색됩니다. 현재 날짜로부터 7일 전까지의 이벤트를 검색할 수 있습니다. 이 기능은 보관을 위해 상당한 양의 과거 이벤트를 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 기내 이벤트를 검색하기 위한 것입니다. 상관 관계 이벤트를 끌어온 후 이 설정은 현재 날짜에서 앞으로 이 프로필에 대한 상관 관계 이벤트를 더 이상 검색하지 않습니다. 이 설정은 입력한 범위에 대해 발견된 모든 상관관계 이벤트로 보안 인시던트를 채웁니다.

옵션

설명

진행 중인 이벤트 수집 필드 선택됨
일회성 검색 필드 지워짐

진행 중 이벤트

기본 설정에 Now Platform 따라 인스턴스는 5분마다 서버에서 새로운 상관관계 이벤트를 가져옵니다 ArcSight ESM . 상관관계 이벤트가 발견되고 인시던트 생성 필터링 기준이 일치하면 보안 인시던트가 생성됩니다. 최신 데이터를 가져오려는 수집 폴링 오버헤드의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 1분 정도로 낮게 수정할 수 있습니다.

진행 중인 이벤트 수집 필드가 지워짐
일회성 검색 필드 선택됨

일회성 검색

과거 상관관계 이벤트를 수집하기 위해 일회성 끌어오기를 원할 경우 이 구성을 사용합니다.

이 설정을 구성하면 프로파일이 한 번 사용되어 날짜 범위를 기반으로 하는 기록 이벤트에서 상관관계 이벤트를 검색합니다. 날짜 이후 필드 오른쪽에서 달력 아이콘을 클릭합니다. 표시되는 달력에서 경보 가져오기를 시작할 날짜를 선택합니다. 날짜 이후 값부터 현재 날짜까지 상관관계 이벤트가 검색됩니다.

현재 날짜로부터 7일 전까지의 이벤트를 검색할 수 있습니다. 이 기능은 보관을 위해 상당한 양의 과거 이벤트를 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 기내 이벤트를 검색하기 위한 것입니다.

상관 관계 이벤트를 끌어온 후 이 설정은 현재 날짜에서 앞으로 이 프로필에 대한 상관 관계 이벤트를 더 이상 검색하지 않습니다. 이 설정은 입력한 범위에 대해 발견된 모든 상관관계 이벤트로 보안 인시던트를 채웁니다.

초기 상관관계 이벤트 수집 시간을 예약하는 예로, 현지 시간으로 하루에 한 번 실행되는 일일 ArcSight ESM 보안 검사가 있는 경우, 현지 시간으로 오전 4시 5분에 실행되도록 인스턴스에서 해당 상관관계 이벤트 프로파일을 Now Platform 설정하여 보안 장애 이벤트를 즉시 캡처하고 보안 인시던트를 만들 수 있습니다. 초기 이벤트 수집 필드에 04 05 00 을 입력합니다. 증분(분) 필드에 1440 (24시간)을 입력하여 초기 이벤트 수집으로부터 24시간 동안 다음 이벤트 수집을 예약합니다. 초기 이벤트 수집 시간과 다음 이벤트 수집 시간이 모두 필드에 표시됩니다.

이 예제의 설정을 구성하려면 다음 단계를 수행합니다.
1. 예약 페이지가 표시되면 진행 중인 이벤트 수집 확인란을 선택하여 이 옵션을 활성화합니다.
2. 증분(분) 필드에 1440 (24시간)을 입력합니다.
3. 초기 상관 관계 이벤트 수집 시간 설정 확인란을 클릭하여 초기 이벤트 수집 및 다음 이벤트 수집 필드를 편집할 수 있습니다.
4. 초기 이벤트 수집 시간 필드에 04 05 00을 입력합니다.
  다음 이벤트 수집 시간(예상) 필드에 다음 이벤트 수집 시간이 표시됩니다.
계속을 클릭하여 추가 옵션 페이지로 이동합니다.

주:
하루에 생성하고 집계할 수 있는 기본 보안 인시던트 수와 플로우 기간은 통합 설정에서 정의됩니다 ArcSight ESM . 필요한 경우 이러한 설정을 수정할 수 있습니다. 자세한 내용은 ArcSight ESM 이벤트 수집 통합을 위한 통합 설정 문서를 참조하십시오.