아크사이트의 액티브 리스트, 자동 청소. Part 2

[post-views]
11월 16, 2017 · 2 분 읽기
아크사이트의 액티브 리스트, 자동 청소. Part 2

모든 ArcSight 콘텐츠 개발자들에게 아주 일반적인 작업은 예약된 기준이나 요구에 따라 자동으로 활성 리스트를 정리하는 것입니다.
이전 게시물에서는 트렌드를 사용하여 활성 리스트를 정기적으로 정리하는 방법을 설명했습니다: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/오늘은 이것을 달성할 수 있는 두 가지 방법을 더 보여드리겠습니다.

ESM에서 명령줄 명령어를 기반으로 활성 리스트 자동 정리하기

주된 아이디어는 처음에 콘텐츠 패키지를 제거한 다음 명령줄에서 다시 설치하는 것입니다.

먼저 ‘export’ 형식으로 콘텐츠 패키지를 만들고, 이 패키지에 시간표 또는 필요에 따라 정리할 모든 활성 리스트와 이러한 활성 리스트와 상호작용하는 다른 리소스를 추가해야 합니다. 그런 다음 ESM에서 다음 명령어로 간단한 bash 스크립트를 작성해야 합니다:

  1. 첫 번째 명령어는 패키지를 제거할 것입니다. ‘echo “1” |’ 줄의 시작 부분에 있으면 자동으로 옵션을 선택합니다 ‘1: Create new archive for package’ 패키지 콘텐츠가 변경되었는 경우를 대비해서.echo “1” | /opt/arcsight/manager/bin/arcsight package -action uninstall -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname
  2. 두 번째 명령어는 패키지를 다시 설치할 것입니다:/opt/arcsight/manager/bin/arcsight package -action install -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname

다시 콘텐츠 패키지를 설치했을 때 모든 트렌드 자료가 트렌드의 시간 범위 매개변수 ‘Start’에서 다시 쿼리되기 때문에 사용 사례에서 트렌드를 사용할 경우 이 방법이 적합하지 않다는 점에 주의하십시오. 이는 성능에 영향을 줄 수 있습니다.스크립트가 준비되면, 먼저 예상대로 작동하는지 테스트한 후에 예약하거나 작업으로 추가하십시오 ‘명령어 실행’ 규칙 트리거에서.

규칙을 기반으로 한 자동 정리

예를 들어 특정 라인에 대한 활성 리스트의 카운터를 재설정하거나 새로운 날에 이 줄을 삭제해야 하는 경우, 활성 리스트 필드에 ‘마지막 이벤트 시간’과 ‘이벤트 카운트’을 추가해야 합니다. ‘마지막 이벤트 시간’ 필드에 ‘종료 시간’ 을 삽입하고 이벤트에서, ‘이벤트 카운트’‘집계된 이벤트 카운트’를 삽입하세요. 변수의 도움으로 활성 리스트와 비교할 규칙 변수에 추가하십시오 ‘종료 시간’ (현재 이벤트 시간)과 ‘마지막 이벤트 시간’ 을 활성 리스트와 비교하십시오. ‘GetDayOfYear’변수를 사용해서. 만약 ‘GetDayOfYear(종료 시간)’ 이 더 크면 ‘GetDayOfYear(마지막 이벤트 시간)’ 은 이벤트 카운터를 재설정하거나 활성 리스트의 항목을 삭제할 필요가 있습니다. 새해가 왔는지 확인하는 것 또한 잊지 마십시오.

활성 리스트 자동 정리의 다른 방법이 있을 수 있다고 생각하며, 이 글들이 가능한 방법에 대한 기본 이해를 제공하고 새로운 훌륭한 사용 사례를 구축하는 기회를 열어줄 것입니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물