역사적 상관관계

새로운 Use Case를 배포하거나 설계했고 과거에 저희 회사가 위협에 노출되었는지 알고 싶다면 어떻게 해야 할까요?

ArcSight를 사용할 때 많은 사람들이 역사적 상관관계를 실현할 방법이 있는지 궁금해 합니다. 실제로 여러 실생활 시나리오가 있습니다. 첫 번째는 배치된 이벤트입니다. 예를 들어, 이벤트가 실시간으로 ESM에 도달하지 않고 일정 시간 프레임(한 시간에 한 번, 하루에 한 번 등)마다 도착하는 경우입니다. 두 번째는 과거 데이터에 상관관계를 적용하는 것으로, 미래 발생 건뿐만 아니라 과거에도 조치를 취할 수 있도록 하는 것입니다. 세 번째는 필요한 시간에 규칙을 실행할 수 있는 기능으로, 근무 시간 이후에 ‘비임계’ 규칙을 실행하여 상관관계 엔진을 언로드하는 것입니다.

ArcSight ESM은 이러한 모든 작업을 수행할 수 있는 기능이 있습니다. 이를 Scheduled rules라고 합니다.

Scheduled rules는 실시간 데이터와 과거 데이터를 모두 고려하여 규칙을 배포하거나, 규칙이 실행되는 시점을 제어하고 싶을 때 실시간 규칙의 유용한 대안입니다. Scheduled rules 엔진은 역사적 데이터를 처리하고, 실제 행동을 취하며 상관된 이벤트를 생성할 수 있으며, 이는 실시간 규칙 엔진에 의해 생성된 것과 동일합니다.

규칙을 어떻게 예약할까요? 단일 규칙이 아닌 규칙 그룹을 예약해야 합니다. 하나 이상의 규칙을 예약하려면 폴더에 배치하십시오.규칙 그룹을 예약하려면 다음을 수행해야 합니다:

1. Navigator의 Rules 리소스로 이동합니다.
2. 규칙 그룹을 선택하고 마우스 오른쪽 버튼을 클릭하여 컨텍스트 메뉴에서 Schedule Rule Group을 선택합니다. (필요한 규칙이 그룹에 포함되지 않은 경우 새 규칙 그룹을 생성하고 이를 링크하거나 이동시킵니다).
3. 작업을 추가하고 이름을 짓고 설명합니다. 하단의 ‘Click here to set up schedule frequency’를 클릭하여 규칙 그룹을 실행할 일정을 지정합니다.
4. 이 규칙에 대한 필터를 지정합니다. 기본적으로 필터는 모든 이벤트로 설정되어 있습니다. Filter Results를 클릭하여 규칙과 관련된 이벤트만 표시하도록 필터를 세분화하십시오. 필터를 좁히면 규칙이 실행될 때 성능이 최적화됩니다.
5. 적용 또는 확인을 클릭하여 배포합니다.

규칙은 Rule Group 편집기의 Jobs 탭에 지정된 일정에 따라 배포되며, 규칙 조건이 충족되면 트리거됩니다.

Job Frequency 편집기 및 시간 매개 변수 관련 사항을 염두에 두십시오.첫 번째 실행 시, 규칙은 ‘Start’ 타임스탬프부터 $Now(실행 시간)까지의 모든 이벤트를 평가합니다. 이후 실행에서는 마지막 실행 이후의 이벤트만 $Now까지 관찰됩니다.

이제 가장 복잡하고 정교한 시나리오를 적용할 준비가 되었습니다.