Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

용량 증대를 위한 구축 확장

기업은 처리 또는 데이터 저장 용량이 부족하거나 특정 데이터 수집 요구 사항이 있는 경우 JSA 올인원 어플라이언스 이상으로 구축을 생성하거나 확장할 수 있습니다.

JSA 구축의 토폴로지 및 구성은 네트워크에서 분석하려는 모든 데이터를 수집, 처리 및 저장할 수 있는 해당 구축의 기능과 용량에 영향을 받습니다.

프로세싱 또는 스토리지가 올인원 어플라이언스의 용량 이상으로 확장해야 하는 경우, JSA 환경을 분산 구축으로 재구성할 수 있습니다. 자세한 내용은 All-in-One Console에 기기 추가를 참조하십시오.

배치에서 처리해야 하는 초당 이벤트(EPS) 또는 분당 플로우(FPM)를 대략적으로 예측하려면 방화벽, 프록시 서버 및 Windows 상자에서 수집된 로그의 크기를 사용하십시오.

올인원 구축에 이벤트 또는 플로우 프로세서를 추가해야 하는 이유

다음 조건에서 플로우 또는 이벤트 콜렉터를 배치에 추가해야 할 수 있습니다.

  • 데이터 수집 요구 사항이 올인원 어플라이언스의 수집 기능을 초과합니다.

  • All-in-One 어플라이언스가 설치된 위치가 아닌 다른 위치에서 이벤트 및 흐름을 수집해야 합니다.

  • 올인원의 50Mbps 연결보다 빠른 더 크거나 더 빠른 패킷 기반 플로우 소스를 모니터링하고 있습니다.

올인원 어플라이언스는 최대 15,000개의 초당 이벤트(EPS) 및 300,000개의 분당 플로우(FPM)를 수집할 수 있습니다. 콜렉션 요구사항이 더 크면 이벤트 콜렉터플로우 프로세서 를 배치에 추가할 수 있습니다.

올인원(All-in-One) 어플라이언스는 수집된 이벤트와 플로우를 처리합니다. 이벤트 콜렉터플로우 프로세서를 추가하여, 올인원 어플라이언스가 검색 및 기타 보안 태스크에 대해 일반적으로 수행하는 처리를 사용할 수 있습니다.

패킷 기반 플로우 소스에는 플로우 프로세서에 연결된 플로우 프로세서가 필요하거나, 플로우 프로세서 어플라이언스가 없는 배포의 경우 올인원 어플라이언스에 연결됩니다. NetFlow 또는 IPFIX와 같은 외부 플로우 소스를 플로우 프로세서 또는 All-in-One 어플라이언스에서 직접 수집할 수 있습니다.

배포에 원격 수집기 추가

로컬에서 더 많은 이벤트를 수집하고 원격 위치에서 이벤트 및 플로우를 수집해야 하는 경우 JSA 이벤트 수집기 또는 JSA 플로우 프로세서 를 추가하여 구축을 확장할 수 있습니다.

예를 들어, JSA 올인원을 구축한 제조 회사에 전자 상거래와 원격 영업 사무소를 추가한다고 가정해 보겠습니다. 이제 보안 위협을 모니터링해야 하며 PCI 감사도 받아야 합니다.

더 많은 직원을 고용하고 인터넷 사용량이 대부분 다운로드에서 직원과 인터넷 간의 양방향 트래픽으로 변경됩니다. 귀사에 대한 세부 정보는 다음과 같습니다.

  • 현재 초당 이벤트 수(EPS) 라이선스는 1000EPS입니다.

  • 영업 사무소의 이벤트와 흐름을 수집하고 전자 상거래 플랫폼에서 이벤트를 수집하려고 합니다.

  • 전자 상거래 플랫폼에서 이벤트를 수집하려면 최대 2000개의 초당 이벤트(EPS)가 필요합니다.

  • 원격 영업 사무소에서 이벤트를 수집하려면 최대 2000개의 초당 이벤트 수(EPS)가 필요합니다.

  • 분당 플로우 수(FPM) 라이선스는 원격 사무실에서 플로우를 수집하기에 충분합니다.

다음과 같은 작업을 수행합니다.

  1. 본사에 전자 상거래 플랫폼을 추가한 다음 원격 영업 사무소를 엽니다.

  2. 원격 영업 사무소에 이벤트 콜렉터플로우 프로세서 를 설치하여 인터넷을 통해 본사의 올인원 어플라이언스로 데이터를 전송합니다.

  3. EPS 라이센스를 1000 EPS에서 5000 EPS로 업그레이드하여 원격 사무실에서 수집되는 추가 이벤트에 대한 요구 사항을 충족합니다.

다음 다이어그램은 이벤트 콜렉터플로우 프로세서 가 원격 사무실에 추가되는 경우의 배치 예를 보여줍니다.

그림 1: 원격 사무실 Collectors in Remote Office 의 컬렉터

이 배포에서는 다음 프로세스가 발생합니다.

  • 원격 사무실에서 이벤트 콜렉터는 로그 소스에서 데이터를 수집하고 플로우 프로세서 는 라우터 및 스위치에서 데이터를 수집합니다. 수집기는 데이터를 병합하고 정규화합니다.

  • 수집기는 데이터를 압축하여 광역 네트워크를 통해 올인원 어플라이언스로 보냅니다.

  • 올인원(All-in-One) 어플라이언스는 데이터를 처리하고 저장합니다.

  • 귀사는 검색, 분석, 보고, 알림 및 공격 관리를 위해 JSA 웹 애플리케이션을 사용하여 네트워크 활동을 모니터링합니다.

  • 올인원은 로컬 네트워크에서 이벤트를 수집하고 처리합니다.

올인원 구축에 처리 용량 추가

JSA 구축에 이벤트 프로세서와 플로우 프로세서를 추가하여 처리 용량을 늘리고 스토리지를 늘릴 수 있습니다. 프로세서를 추가하면 처리 및 스토리지 로드가 전용 서버로 이동하여 JSA 콘솔의 리소스를 확보할 수 있습니다.

올인원 어플라이언스에 이벤트 프로세서 또는 플로우 프로세서를 추가하면 올인원이 JSA 콘솔 역할을 합니다. 올인원 어플라이언스의 처리 능력은 프로세서에서 보낸 데이터를 관리하고 검색하는 데 사용되며, 데이터는 이제 콘솔이 아닌 이벤트 프로세서 및 기타 스토리지 장치에 저장됩니다.

일반적으로 다음과 같은 이유로 JSA 구축에 이벤트 프로세서와 플로우 프로세서를 추가합니다.

  • 배포가 증가함에 따라 워크로드가 올인원 어플라이언스의 처리 용량을 초과합니다.

  • 보안 운영 센터에서 더 많은 동시 검색을 수행하는 분석가를 더 많이 고용합니다.

  • 모니터링되는 데이터의 유형과 해당 데이터의 보존 기간이 증가하므로 처리 및 스토리지 요구 사항이 증가합니다.

  • 보안 분석가 팀이 성장함에 따라 더 나은 검색 성능이 필요합니다.

여러 JSA 검색을 동시에 실행하고 모니터링하는 로그 소스 유형을 더 추가하면 올인원 어플라이언스의 처리 성능에 영향을 미칩니다. 검색 횟수와 모니터링되는 데이터의 양이 증가함에 따라 이벤트 프로세서와 플로우 프로세서를 추가하여 JSA 구축 성능을 개선하십시오.

가장 강력한 올인원 어플라이언스에서 JSA 구축을 15,000 EPS 및 300,000 FPM 이상으로 확장하는 경우 해당 데이터를 처리하기 위해 프로세서 어플라이언스를 추가해야 합니다.

예: 구축에 JSA 이벤트 프로세서 추가

최대 40,000 EPS를 수집하고 처리하는 JSA 이벤트 프로세서 1624를 추가할 수 있습니다. JSA 이벤트 프로세서 1624를 구축에 추가할 때마다 용량이 40,000 EPS씩 증가합니다. 최대 1,200,000FPM을 수집하고 처리하는 JSA 플로우 프로세서 1724를 추가합니다.

JSA 이벤트 프로세서(1624)는 수집기 및 프로세서이다. 분산 네트워크가 있는 경우 이벤트 콜렉터를 추가하여 로드를 분산하고 이벤트 프로세서에서 시스템 자원을 확보하는 것이 좋습니다.

다음 다이어그램에서는 이벤트 프로세서와 플로우 프로세서가 JSA 어플라이언스(올인원)에 추가될 때 처리 용량이 추가되며, 다음과 같은 변경 사항이 발생합니다.

  • 이벤트 및 플로우 처리가 올인원 어플라이언스에서 이벤트 및 플로우 프로세서로 이동됩니다.

  • 이벤트 처리 용량은 올인원에 있던 15,000 EPS를 포함하여 40,000 EPS로 증가합니다.

  • 유량 처리 용량은 올인원에 있던 300,000FPM을 포함하여 1,200,000FPM으로 증가합니다.

  • 이벤트 및 플로우 프로세서에 의해 전송되는 데이터는 이벤트 및 플로우 프로세서에서 처리되고 저장됩니다.

그림 2: 처리 용량 Adding Processing Capacity 추가

JSA 콘솔과 동일한 네트워크에 이벤트 프로세서와 플로우 프로세서를 설치하면 검색 성능이 더 빨라집니다.

프로세서와 수집기를 추가하면 JSA 구축의 처리 용량이 확장됩니다. 배포의 스토리지 용량을 늘릴 수도 있습니다. 회사의 데이터 보존 요구 사항은 더 많은 트래픽 또는 보존 정책 변경으로 인해 증가할 수 있습니다. 배포에 데이터 노드를 추가하면 데이터 스토리지 용량이 확장되고 검색 성능이 향상됩니다.

프로세서에 컬렉터를 추가해야 하는 경우

올인원(All-in-One) 어플라이언스에 컬렉터를 추가하는 것과 동일한 이유로 이벤트 컬렉터 및 플로우 프로세서를 이벤트 프로세서에 추가합니다.

  • 데이터 수집 요구 사항이 프로세서의 수집 기능을 초과합니다.

  • 프로세서가 설치된 위치와 다른 위치에서 이벤트 및 흐름을 수집해야 합니다.

  • 패킷 기반 플로우 소스를 모니터링하고 있습니다.

메모:

이벤트 수집기는 이벤트를 버퍼링할 수 있지만 플로우 프로세서는 흐름을 버퍼링할 수 없습니다.

프로세서가 콘솔과 동일한 네트워크에 설치되면 검색 성능이 향상되기 때문에 원격 위치에 컬렉터를 추가한 다음 해당 데이터를 프로세서로 전송하면 JSA 검색 속도가 빨라집니다.

All-in-One 콘솔에 기기 추가

모든 통합형 콘솔은 통합형 콘솔의 리소스와 성능을 확장하기 위해 다른 장치를 추가하여 분산 배포의 일부가 될 수 있습니다. 더 많은 어플라이언스를 추가하면 스토리지를 늘리고, 더 많은 데이터를 처리하고, 더 빠르게 검색할 수 있습니다. 콘솔 어플라이언스는 네트워크의 다른 JSA 어플라이언스를 관리합니다. 일체형 콘솔에 기기를 추가하면 분산 배포 콘솔이 됩니다.

호스트를 추가하면 사용자가 올인원 장치의 기능, 스토리지 및 리소스를 확장하여 분산 배포를 생성할 수 있습니다.

  1. All-in-One Console에 관리자로 로그인합니다.

  2. Admin(관리자) 탭에서 System and License Management(시스템 및 라이선스 관리 ) 아이콘을 클릭합니다.

  3. 표시 목록에서 시스템을 선택합니다.

  4. Deployment Actions(배포 작업) 메뉴에서 Add Host(호스트 추가)를 선택합니다.

  5. 호스트 IP, 호스트 암호(루트 사용자 암호)를 입력합니다. 을 클릭하고 호스트 연결을 암호화하거나 네트워크 주소 변환 매개 변수를 정의하도록 속성을 구성합니다.

  6. 호스트 연결 암호화 또는 네트워크 주소 변환을 선택하고 선택을 구성합니다.

  7. Add(추가)를 클릭합니다.

  8. Admin(관리자) 탭에서 Deploy Changes(변경 사항 구축)를 클릭합니다.

  9. 계속을 클릭하여 서비스를 다시 시작합니다.

호스트가 배포에 추가되고 장치가 사용자 인터페이스에 추가됩니다. 호스트를 추가한 후 장치에 라이센스를 할당해야 할 수 있습니다.

관련 설명서