ArcSight. EPS 최적화 (집계 및 필터링)

거의 모든 ArcSight 초보자들은 로그 소스에서 높은 EPS(초당 이벤트 수)가 들어올 때, 특히 라이선스 한계에 가깝거나 성능 문제가 발생할 때 상황에 직면하게 됩니다.

들어오는 EPS를 줄이기 위해 ArcSight는 이벤트 처리를 위한 두 가지 기본 방법인 이벤트 집계와 필터링을 제공합니다. 이 기사에서는 이 두 가지 옵션을 사용하여 들어오는 EPS를 최적화하는 방법을 설명하고자 합니다.

이벤트 집계

첫 번째이자 가장 효과적인 옵션은 커넥터에서의 집계입니다. 집계는 여러 유사한 이벤트를 하나의 이벤트로 집계하는 스마트 압축과 같습니다. 최대 10,000개의 이벤트를 하나의 이벤트로 집계할 수 있으며, 이는 들어오는 EPS를 최대 10,000배까지 줄일 수 있음을 의미합니다. 작동 방식을 살펴보겠습니다.
방화벽에서 ArcSight로 3개의 유사한 이벤트를 전송했습니다:
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy
Outcome=Deny, Source IP=x.x.x.x, Source Port=xx, Destination IP=z.z.z.z, Destination Port=zz
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy
여기서 우리는 1번째와 3번째 이벤트가 동일하다는 것을 볼 수 있는데, 이 경우 집계가 활성화된 커넥터는 1번째와 3번째 이벤트를 결합하여 하나의 이벤트로 만듭니다:
Outcome=Allow, Source IP=x.x.x.x, Source Port=xx, Destination IP=y.y.y.y, Destination Port=yy 집계된 이벤트 수=2.집계를 설정하려면 커넥터의 설정 챕터 ‘필드 기반 집계’로 이동하십시오.
설정할 매개변수:시간 간격. 커넥터가 동일한 이벤트를 그룹화해야 하는 시간입니다. 30초 이상의 시간으로 설정하는 것은 권장되지 않으며, 이 시간 동안 이벤트는 커넥터에 의해 지연되며 결과적으로 대상에 지연 전달됩니다.이벤트 임계값. 시간 창과 함께 집계되어야 하는 이벤트 수입니다. 집계할 이벤트 수를 설정합니다. 커넥터는 이 수만큼 유사한 이벤트를 하나로 그룹화합니다.필드 이름. 집계를 위해 동일한 값을 가져야 하는 필드를 정의합니다. ArcSight 데이터베이스에 저장해야 하는 모든 필드를 선택하십시오. 집계 필드 목록에 정의되지 않은 다른 모든 필드는 손실되므로 주의하십시오.합산할 필드. 합산하려는 숫자 필드를 선택합니다. ‘Bytes In’ 및 ‘Bytes Out’ 필드가 가장 자주 사용됩니다.공통 필드 보존. 공통 필드가 있는 경우 집계된 이벤트에 다른 필드를 저장하려면 ‘예’로 설정하십시오.

이벤트 필터링

EPS를 최적화하는 두 번째 옵션은 커넥터에서 불필요한 이벤트를 필터링하는 것입니다. 이 옵션을 사용하면 커넥터 수준에서 중요하지 않은 이벤트를 폐기할 수 있으므로 로그 소스를 수정할 필요가 없습니다.
ArcSight 콘솔에서 커넥터 설정의 기본 탭, 하위 탭 필터에서 구성하는 것이 더 편리합니다. 여기에서 ESM으로 들어오지 않길 원하는 이벤트에 대한 필터를 설정할 수 있습니다. 커넥터가 윈도우 이벤트 ID 5156: ‘Windows 필터링 플랫폼이 연결을 허용하였습니다’를 보내지 않기 원한다면 스크린샷처럼 필터를 추가해야 합니다:특정 이벤트만 보내고 싶다면(허용 이벤트 목록을 만들고 싶다면), 필터에 협상을 추가해야 합니다. 예를 들어, 성공적 및 실패한 로그인(Event IDs 4624 및 4625)만 보내기를 원한다면 아래 스크린샷에 표시된 대로 필터를 구성해야 합니다. 그렇게 하면 이러한 이벤트만 ESM으로 전송됩니다.하지만 ESM 목적지가 아닌 곳으로 이벤트를 필터링해야 하는 경우, 커넥터 설정 메뉴에서 ‘deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:5156″’ 형식으로 구성할 수 있습니다(따옴표 제외). 4624 및 4625 ID를 가진 이벤트만 보내야 하는 경우 필터는 다음과 유사해야 합니다: ‘ Not (deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4624” Or deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4625″)’
ESM 목적지가 아닌 곳으로 복잡한 필터를 구성해야 하는 경우, 이를 먼저 ESM 콘솔에서 설정하고 테스트하여 커넥터의 목적지 구성 .xml 파일에 복사하는 것이 좋습니다. /current/user/agent/ 폴더(이름은 312jhSFgBABCV2Sp8uG1sLA==.xml처럼 보입니다)에서 문자열을 찾아야 합니다:
zonebasedfiltering.zonedefinition=” Not (deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4624” Or deviceEventClassId EQ “Microsoft-Windows-Security-Auditing:4625″)”

이벤트 필터링과 집계를 함께 사용하면 들어오는 EPS 비율을 최적화하고 상당히 줄일 수 있습니다. 그러나 이러한 매개변수를 무분별하게 사용하면 중요한 데이터가 손실될 수 있으니 주의하십시오.

ArcSight 운영 개선에 관심 있으면, 또한 이 기사를 읽어보세요 IT 피드를 ArcSight로 허위 긍정 트리거 없이 전달하십시오..