JSA 구성 요소

메모:

구축 시 모든 JSA 어플라이언스의 소프트웨어 버전은 버전 및 패치 수준이 동일해야 합니다. 다른 버전의 소프트웨어를 사용하는 배포는 지원되지 않습니다.

JSA 구축에는 다음 구성 요소가 포함될 수 있습니다.

JSA 플로우 프로세서

스팬 포트 또는 네트워크 탭을 통해 네트워크에서 트래픽 흐름을 수동적으로 수집합니다. JSA 플로우 프로세서는 NetFlow와 같은 외부 플로우 기반 데이터 소스의 수집도 지원합니다.

JSA 콘솔

JSA 제품 사용자 인터페이스를 제공합니다. 인터페이스는 실시간 이벤트 및 플로우 보기, 보고서, 공격, 자산 정보 및 관리 기능을 제공합니다.

분산 JSA 구축에서는 JSA 콘솔을 사용하여 다른 구성 요소를 포함하는 호스트를 관리할 수 있습니다.

판사

JSA 콘솔에서 실행되는 서비스인 치안 판사는 핵심 처리 구성 요소를 제공합니다. 각 배포에 대해 하나의 치안 판사 구성 요소를 추가할 수 있습니다. 치안 판사는 네트워크 트래픽 및 보안 이벤트에 대한 보기, 보고서, 경고 및 분석을 제공합니다.

치안 판사 구성 요소는 사용자 지정 규칙에 따라 이벤트를 처리합니다. 이벤트가 규칙과 일치하는 경우 Magistrate 구성 요소는 사용자 지정 규칙에 구성된 응답을 생성합니다.

예를 들어, 사용자 정의 규칙은 이벤트가 규칙과 일치할 때 공격이 생성됨을 나타낼 수 있습니다. 사용자 지정 규칙과 일치하는 항목이 없는 경우 치안 판사 구성 요소는 기본 규칙을 사용하여 이벤트를 처리합니다. 공격은 여러 입력, 개별 이벤트 및 분석된 동작 및 취약성과 결합된 이벤트를 사용하여 처리되는 경고입니다. 치안 판사 구성 요소는 범죄의 우선 순위를 지정하고 사건 수, 심각도, 관련성 및 신뢰성을 포함한 여러 요소를 기반으로 규모 값을 할당합니다.

JSA 이벤트 수집기

로컬 및 원격 로그 소스에서 이벤트를 수집합니다. 원시 로그 소스 이벤트를 정규화합니다. 이 프로세스 중에 JSA 콘솔의 치안 판사 구성 요소는 로그 소스에서 이벤트를 검사하고 이벤트를 JSA 식별자(QID)에 매핑합니다. 그런 다음 이벤트 콜렉터는 시스템 사용량을 절약하기 위해 동일한 이벤트를 번들로 묶고 정보를 이벤트 프로세서로 보냅니다.

JSA 이벤트 프로세서

하나 이상의 이벤트 수집기 구성 요소에서 수집된 이벤트를 처리합니다. 이벤트 프로세서는 JSA 제품의 정보를 상호 연관시키고 이벤트 유형에 따라 정보를 적절한 영역에 배포합니다. 이벤트 프로세서는 배치에 이벤트 콜렉터가 없는 경우에도 이벤트를 수집할 수 있습니다.

이벤트 프로세서에는 이벤트에 대한 동작 변경 또는 정책 위반을 나타내기 위해 JSA 제품이 수집하는 정보도 포함됩니다. 완료되면 이벤트 프로세서는 이벤트를 치안 판사 구성 요소로 보냅니다.

이벤트 프로세서를 추가해야 하는 경우: 다른 국가 또는 주에서 이벤트를 수집하고 저장하는 경우 현지 데이터 수집 법률을 준수하기 위해 이벤트 프로세서를 추가해야 할 수 있습니다.

데이터 노드

데이터 노드를 사용하면 신규 및 기존 JSA 구축에서 필요에 따라 필요에 따라 스토리지 및 처리 용량을 추가할 수 있습니다. 데이터 메모는 더 많은 데이터를 압축되지 않은 상태로 유지할 수 있도록 하여 배포에 대한 검색 속도를 높입니다.

데이터 수집과 독립적으로 스토리지 및 처리 능력을 확장할 수 있으며, 그 결과 적절한 스토리지 및 처리 용량이 있는 배포가 생성됩니다. 데이터 노드는 플러그 앤 플레이 방식이며 언제든지 구축에 추가할 수 있습니다. 데이터 노드는 기존 구축과 원활하게 통합됩니다.

배포에서 데이터 볼륨이 증가하면 데이터를 더 빨리 압축해야 합니다. 데이터 압축은 분석이 가능하기 전에 시스템이 쿼리된 데이터의 압축을 풀어야 하므로 시스템 성능을 저하시킵니다. 배포에 데이터 노드 어플라이언스를 추가하면 데이터를 압축되지 않은 상태로 더 오래 유지할 수 있습니다.

데이터 노드에 대한 자세한 내용은 데이터 노드 개요를 참조하십시오.