추가 데이터로 이벤트 강화하기

이전 글에서는 우리가 살펴보았습니다 추가 데이터 필드 그리고 그것들을 어떻게 사용하는지. 하지만 이벤트에 필요한 정보가 추가 데이터 필드에도 없다면 어떻게 해야 할까요?

ArcSight에서 이벤트가 분석가들에게 모든 필요한 정보를 포함하지 않는 상황에 항상 직면할 수 있습니다. 예를 들어, 사용자 이름 대신 사용자 ID, 호스트 이름 대신 호스트 ID 등입니다.

확실히, 분석에서 Active List를 사용하고 알림/상관 이벤트에 필요한 데이터를 추가하여 이 상황에서 벗어날 수 있습니다. 하지만 이벤트 검색이나 조사에 관해서는 상황이 좀 더 나빠집니다. 왜냐하면 이벤트가 여전히 ID만 포함하고 있기 때문입니다.
따라서, 우리는 ArcSight 데이터베이스에 수집되기 전에 이벤트를 풍부하게 하는 기능이 필요합니다. 추측해 보세요, ArcSight에 이를 수행할 수 있는 방법이 있습니다. 여러 가지 방법도 있습니다. 그리고 그것들을 모두 설명하려고 합니다.

이벤트 소스, 물리적 접근 시스템 (PAS)이 있고, 기본적으로 이 소스로부터의 이벤트에는 사용자 이름이 없는 사용자 ID만 있는 경우를 상상해 봅시다.
그리고 물리적으로 건물에 없는 직원에 대한 도메인 컨트롤러에서의 성공적인 인증을 통지하는 간단한 사례조차도 PAS 이벤트에 사용자 이름이 필요합니다.

사전 지속성 규칙으로 이벤트 풍부화하기

첫 번째 방법은 사전 지속성 규칙을 사용하는 것입니다.
사전 지속성 규칙은 기본 이벤트를 데이터베이스에 지속시키기 전에 이러한 기본 이벤트를 풍부하게 하기 위해 기본 이벤트 분석과 다양한 이벤트 필드 설정을 가능하게 하는 소수의 기능을 포함합니다.
일반적인 사용 시나리오는 다음과 같습니다:

1. 사용자 ID와 사용자 이름 매칭을 갖춘 Active List를 만듭니다. 사용자 ID를 키 필드로 사용합니다.
2. 사전 지속성 규칙을 만듭니다. 조건을 정의합니다, 우리 경우에는 PAS 이벤트입니다. 로컬 변수로 가서 GetActiveListValue 변수를 만듭니다. 1단계의 Active List를 지정하고, 사용자 ID를 포함하는 필드를 선택합니다 (목적지 사용자 ID라고 가정합시다). 이 변수는 Active List에서 사용자 ID에 해당하는 사용자 이름을 가져옵니다.
3. Actions 탭으로 가서 ‘각 이벤트에서’ 트리거에 ‘이벤트 필드 설정’ 액션을 추가합니다. 우리는 새로 만든 변수를 목적지 사용자 이름 필드 옆에 선택하여 Active List에서 사용자 이름으로 목적지 사용자 이름 필드를 풍부하게 하고자 합니다. 따라서 액션은 다음과 같은 모습이어야 합니다:
4. 규칙을 저장하십시오. 이 규칙을 실시간 규칙으로 배포하십시오.

모든 새로운 이벤트는 Active List로부터의 사용자 이름으로 풍부화될 것입니다.
이 시나리오에서는 한 가지 점을 염두에 두어야 합니다. 즉, 최신 정보로 업데이트된 Active List입니다.
Active List에서 매칭되는 사용자 이름이 없는 사용자 ID의 이벤트는 목적지 사용자 이름 필드가 비어 있을 것입니다.

이 기사에서는 효율적인 사용 사례를 만들고 조사 중에 노력을 절약할 수 있는 데이터로 ArcSight 이벤트를 풍부화하는 여러 방법 중 하나를 살펴보았습니다.

이 기사 다음 부분에서는 이 과제를 달성할 두 가지 다른 방법을 소개하겠습니다.
지켜봐 주세요. 안전하게 지내세요.