ArcSight ESM에서 추가 데이터

ArcSight SmartConnector를 설치한 적이 있는 모든 사람은 설치 가이드의 ‘ArcSight 필드로의 디바이스 이벤트 매핑’ 장에 대해서 알고 있습니다. 이는 디바이스-특정 필드를 ArcSight 이벤트 스킴으로 매핑하는 정보가 제공되는 곳입니다. 분석가들에게는 필수적인 장이죠, 그렇지 않나요? 확실히, 일부 SmartConnector에 대해 ‘추가 데이터’ 필드가 있다는 것을 눈치채셨을 겁니다. 예를 들어:어디서 나오는 걸까요? 왜 우리가 그것들을 필요로 할까요? 어떻게 사용해야 할까요?

자, 파싱 중에, 커넥터는 이벤트에서 데이터를 처리하고 얻는 방법을 알고 있습니다. 중요한 값들은 즉시 ArcSight 필드로 매핑되지만, 나머지는 널리 사용되지 않거나 어떤 이유로 매핑되지 않습니다. 무시하는 건 옳지 않으므로, ArcSight는 사용자가 그 값들이 필요한지 여부를 결정하고 필요 시 매핑할 수 있는 기능을 제공합니다.
추가 데이터를 사용함으로써 대역폭, 저장 공간 및 커넥터 부하를 절약할 수 있습니다.

SmartConnector는 마주치는 모든 추가 데이터 이름을 추적하고 이 정보를 ArcSight 콘솔에 보고합니다.

‘추가 데이터’ 필드에 대한 조작은 ArcSight 콘솔에서 SmartConnector 명령을 통해 수행됩니다. 예시는 다음과 같습니다:예를 들어 보겠습니다. 기본적으로 Windows Unified Connector는 Windows 버전을 어떤 ArcSight 필드에도 매핑하지 않습니다. 하지만 저는 그것을 원합니다. 어떻게 해야 할까요?
선택하십시오 ‘추가 데이터 이름 가져오기’ (위에 표시된 메뉴에서).
Viewer 패널에 다음과 같은 모든 사용 가능한 추가 데이터 필드 목록이 표시됩니다:보시다시피, ‘WindowsVersion’이라는 필드가 있습니다. 이 값을 ArcSight 필드의 디바이스 버전에 넣고 싶습니다.

선택하십시오 ‘추가 데이터 이름 매핑…’ 명령. 다음과 같은 대화 상자가 열립니다:요청된 정보를 지정하십시오. ‘ArcSight 필드’는 추가 데이터를 매핑하고자 하는 필드입니다 (우리 예제에서는 – 대문자/낙타케이스의 디바이스 버전).참고: 디바이스 벤더 및 디바이스 제품 필드는 일반 매핑을 생성하기 위해 비워두거나 특정 매핑을 위해 채울 수 있습니다. 추가 데이터 이름은 일반적으로 ‘추가 데이터 이름 가져오기’ 출력에 표시된 이름 중 하나입니다. ArcSight 필드는 유효한 ArcSight 이벤트 필드여야 합니다.성공적인 매핑에 대한 명령 출력은 다음과 같습니다:
성공적으로 추가 데이터 이름 [WindowsVersion]을 이벤트 필드 [deviceVersion]에 Microsoft/Microsoft_Windows 벤더/제품에 매핑하였습니다

이제 새로 들어온 이벤트를 확인해 봅시다. 가봅시다:그 값이 더 이상 필요하지 않다면 그것을 언매핑할 수 있습니다. 추가 데이터 값을 언매핑하려면 ‘추가 데이터 이름 언매핑…’ 명령을 사용하십시오. 다음 대화 상자가 열립니다:요청된 정보를 지정하십시오. 추가 데이터 이름은 지정된 디바이스 벤더 및 제품 조합에 대해 이전에 매핑된 이름 중 하나여야 합니다. ‘확인’을 클릭하십시오.

성공적인 언매핑에 대한 명령 출력은 다음과 같습니다:
성공적으로 추가 데이터 이름 [WindowsVersion]을 Microsoft/Microsoft_Windows 벤더/제품로 부터 언매핑하였습니다

완료.