JSA 데이터 저장소를 사용하도록 라우팅 규칙 구성

새로운 제품인 JSA Data Store는 보안 및 운영 로그 데이터를 정규화하고 향후 분석 및 검토를 위해 저장합니다. 이 오퍼링은 조직의 Events Per Second JSA 라이선스에 포함되지 않고 로그를 무제한으로 저장할 수 있도록 지원하며, 조직은 이렇게 저장된 데이터를 기반으로 맞춤형 앱과 보고서를 구축하여 환경에 대한 심층적인 인사이트를 얻을 수 있습니다.

Log Only (Exclude Analytics)(로그 전용(분석 제외)) 옵션을 사용하려면 JSA 데이터 저장소에 대한 권한이 필요하지만 현재는 적용되지 않습니다. 앞으로 인타이틀먼트가 시행되면 수집된 이벤트 데이터에 대한 액세스가 적법하게 허가된 시스템으로 제한됩니다. 라이센스가 적용되고 Log Only (Exclude Analytics)(로그만(분석 제외)) 옵션을 선택하면 라우팅 규칙과 일치하는 이벤트가 디스크에 저장되고 보고 검색할 수 있습니다. 이벤트는 사용자 지정 규칙 엔진을 우회하며 실시간 상관 관계 또는 분석이 발생하지 않습니다. 이벤트는 공격에 기여할 수 없으며 기록 상관 관계가 실행될 때 무시됩니다.

다음 앱도 Log Only 이벤트를 무시합니다.

JSA 사용자 행동 분석
Watson을 통한 JSA 고문

탐색 메뉴()에서 Admin(관리)을 클릭합니다.
System Configuration(시스템 구성) 섹션에서 Routing Rules(라우팅 규칙)를 클릭합니다.
도구 모음에서 Add(추가)를 클릭합니다.
Routing Rule(회람 규칙) 창에서 회람 규칙의 이름과 설명을 입력합니다.
Mode(모드) 필드에서 Online(온라인)을 선택합니다.
Forwarding Event Collector 목록에서 Log Only (Exclude Analytics) 옵션을 적용할 이벤트 수집기를 선택합니다.
Data Source(데이터 소스) 필드에서 Events(이벤트)를 선택합니다.
필터를 적용하여 Log Only (Exclude Analytics)(로그 전용 (분석 제외)) 옵션을 적용할 이벤트를 지정합니다.
1. 모든 수신 데이터에 Log Only (Exclude Analytics)(로그만(분석 제외)) 옵션을 적용하려면 Match All Incoming Events(모든 수신 이벤트 일치 ) 확인란을 선택합니다.
  
  메모:
  이 확인란을 선택하면 필터를 추가할 수 없습니다.
2. Log Only (Exclude Analytics)(로그만(분석 제외)) 옵션을 일부 이벤트에만 적용하려면 필터 조건을 지정한 다음 Add Filter(필터 추가)를 클릭합니다.
Log Only (Exclude Analytics)(로그만(분석 제외)) 옵션을 적용하여 지정된 필터와 일치하는 데이터를 기록하려면 Log Only(Analytics 제외)를 선택합니다.

메모:
Log Only (Exclude Analytics) 옵션은 이벤트가 데이터베이스에 Log Only로 저장되고 플래그가 지정되고 CRE를 우회하도록 지정합니다. 이러한 이벤트는 기록 상관 관계에 사용할 수 없으며 라이선스에 100% 다시 적립됩니다. 이 옵션은 흐름에 사용할 수 없습니다.

Forward 및 Log Only (Exclude Analytics) 옵션을 결합할 수 있습니다. 이벤트는 온라인 모드에서 지정된 전송 대상으로 전달됩니다. 이벤트는 데이터베이스에 Log Only로 저장되고 플래그가 지정되며 CRE를 우회합니다. 이러한 이벤트는 기록 상관 관계에 사용할 수 없으며 라이선스에 100% 다시 적립됩니다. 오프라인 모드에서는 이 옵션을 사용할 수 없습니다.

데이터가 여러 규칙과 일치하는 경우 가장 안전한 라우팅 옵션이 적용됩니다. 예를 들어 삭제하도록 구성된 규칙과 일치하는 데이터 및 CRE 처리를 무시하는 규칙인 경우 데이터는 삭제되지 않습니다. 대신 데이터는 CRE를 우회하고 데이터베이스에 저장됩니다.
저장을 클릭합니다.

JSA 데이터 저장소를 사용하도록 라우팅 규칙 구성

관련 설명서