이 문서에서는 시스템이 며칠 동안 실행된 후 FireSIGHT Management Center에서 연결 이벤트가 사라질 때 근본 원인을 파악하고 문제를 해결하는 방법에 대해 설명합니다. Management Center의 컨피그레이션 설정 때문에 발생할 수 있습니다.
FireSIGHT Management Center에 대한 지식이 있는 것이 좋습니다.
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
FireSIGHT Management Center에 저장되는 연결 이벤트의 수를 확인하려면
이 정보를 통해 현재 컨피그레이션에서 연결 이벤트를 유지할 수 있는 시간과 횟수를 알 수 있습니다.
어떤 연결이 기록되고 있는지, 그리고 그 연결이 기록되는 흐름의 위치를 검토합니다. 조직의 보안 및 규정 준수 요구 사항에 따라 연결을 로깅해야 합니다. 생성하는 이벤트 수를 제한하는 것이 목표인 경우 분석에 중요한 규칙에 대해서만 로깅을 활성화합니다. 그러나 네트워크 트래픽에 대한 폭넓은 보기를 원하는 경우 추가 액세스 제어 규칙 또는 기본 작업에 대한 로깅을 활성화할 수 있습니다. 중요하지 않은 트래픽에 대한 연결 로깅을 비활성화하여 연결 이벤트를 더 오래 유지할 수 있습니다.
이 차트에서는 각 규칙 작업에 사용할 수 있는 다양한 로깅 옵션에 대해 설명합니다.
규칙 작업 또는 로깅 옵션 | 시작할 때 기록 | 끝에 로그 |
신뢰 기본 작업: Trust |
X | X |
허용 기본 작업: 침입 기본 작업: 검색 |
X | X |
모니터링 | X(필수) | |
차단 차단 후 재설정 기본 작업: 차단 |
X | |
인터랙티브 차단 인터랙티브 차단 후 재설정 |
X | X(우회된 경우) |
보안 인텔리전스 | X |
연결 이벤트는 시스템 정책의 Maximum Connection Events 설정에 따라 정리됩니다. 설정을 변경하려면
저장할 수 있는 연결 이벤트의 최대 양은 Management Center 모델에 따라 다릅니다.
Management Center 모델 | 최대 이벤트 수 |
FS750, DC750 | 5천만 대 |
FS1500, DC1500 | 1억 |
FS2000 | 3억 |
FS3500, DC3500 | 5억 |
FS4000 | 10억 |
가상 어플라이언스 | 1천만 대 |
시간 범위에 걸쳐 이벤트 수를 표시하는 위젯의 경우 총 이벤트 수는 이벤트 뷰어에서 세부 데이터를 사용할 수 있는 이벤트 수를 반영하지 않을 수 있습니다. 이는 시스템이 디스크 공간 사용량을 관리하기 위해 이전 이벤트 세부 정보를 정리하는 경우가 있기 때문에 발생합니다. 이벤트 세부 정보 정리를 최소화하기 위해 이벤트 로깅을 세부적으로 조정하여 구축에 가장 중요한 이벤트만 로깅할 수 있습니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
18-Jul-2014 |
최초 릴리스 |