JSA 구성 요소 유형

JSA 콘솔

JSA 콘솔은 JSA 제품 인터페이스, 실시간 이벤트 및 플로우 보기, 보고서, 공격, 자산 정보 및 관리 기능을 제공합니다. 분산 환경에서 JSA 콘솔은 구축 시 다른 구성 요소를 관리하는 데 사용됩니다.

이벤트 컬렉터

이벤트 수집기는 로컬 및 원격 로그 소스에서 이벤트를 수집하고 JSA에서 사용할 수 있도록 원시 이벤트 데이터를 정규화합니다. 시스템 자원을 보존하기 위해 이벤트 콜렉터는 동일한 이벤트를 함께 묶고 데이터를 이벤트 프로세서로 보냅니다.

이벤트 프로세서

이벤트 프로세서는 하나 이상의 이벤트 수집기 구성 요소에서 수집된 이벤트를 처리합니다. 이벤트가 콘솔에 정의된 사용자 정의 규칙과 일치하는 경우, 이벤트 프로세서는 규칙 응답에 정의된 조치를 따릅니다.

각 이벤트 프로세서 에는 로컬 저장소가 있습니다. 이벤트 데이터는 프로세서에 저장되거나 데이터 노드에 저장될 수 있습니다.

JSA 플로우 프로세서

JSA 플로우 프로세서 는 네트워크의 디바이스에서 네트워크 플로우를 수집합니다. 네트워크 탭, 스팬 포트, NetFlow 및 JSA 플로우 로그와 같은 라이브 및 녹화된 피드가 포함됩니다.

플로우 프로세서(Flow Processor)

플로우 프로세서는 하나 이상의 JSA 플로우 프로세서 어플라이언스에서 플로우를 처리합니다. 플로우 프로세서 어플라이언스는 네트워크의 라우터에서 직접 NetFlow, J-Flow 및 sFlow와 같은 외부 네트워크 플로우를 수집할 수도 있습니다.

플로우 프로세서 에는 온보드 프로세서와 플로우 데이터를 위한 내부 스토리지가 포함되어 있습니다.

데이터 노드

데이터 노드는 이벤트 및 플로우 프로세서로부터 보안 이벤트 및 플로우를 수신하고 데이터를 디스크에 저장합니다.

데이터 노드는 항상 이벤트 프로세서 또는 플로우 프로세서에 연결됩니다.

오프사이트 소스 및 타겟 어플라이언스

오프사이트 어플라이언스는 JSA 콘솔에서 모니터링하는 구축의 일부가 아닌 JSA 어플라이언스입니다.

오프사이트 소스 어플라이언스는 정규화된 데이터를 Event Collector로 전달합니다. 전달하기 전에 데이터를 암호화하도록 오프사이트 소스를 구성할 수 있습니다.

오프사이트 대상 어플라이언스는 이벤트 콜렉터 또는 배치의 프로세서에서 정규화된 이벤트 또는 플로우 데이터를 수신합니다.

이후 버전의 JSA 시스템은 이전 버전의 JSA 시스템에서 데이터를 수신할 수 있지만 이전 버전은 이후 버전에서 데이터를 수신할 수 없습니다. 문제를 방지하려면 발신자를 업그레이드하기 전에 모든 수신자를 업그레이드하십시오.