LEEF 개요
LEEF (Log Event Extended Format) 는 IBM® Security QRadar®의 사용자 정의된 이벤트 형식입니다.
모든 공급업체는 이 문서를 참조하여 LEEF 이벤트를 생성할 수 있습니다.
QRadar 는 LEEF 이벤트를 통합, 식별 및 처리할 수 있습니다. LEEF 이벤트는 UTF-8 문자 인코딩을 사용해야 합니다.
다음 프로토콜을 사용하여 LEEF 출력의 이벤트를 QRadar 로 전송할 수 있습니다.
- Syslog
- 로그 파일 프로토콜을 사용한 파일 가져오기
중요: QRadar 가 LEEF 이벤트를 사용하기 전에 Universal LEEF 구성 태스크를 완료해야 합니다. Universal LEEF 이벤트를 수집하도록 로그 파일 프로토콜을 구성하는 방법에 대한 자세한 정보는 DSM Configuration Guide를 참조하십시오.
LEEF 이벤트를 제공하기 위해 선택하는 메소드는 QRadar에서 이벤트를 자동으로 감지할 수 있는지 여부를 판별합니다. 이벤트가 자동으로 감지되면 QRadar 에 필요한 수동 구성 레벨이 줄어듭니다.
LEEF 이벤트가 수신되면 QRadar 는 디바이스 또는 어플라이언스를 식별하기 위해 이벤트 트래픽을 분석합니다. 이 프로세스를 트래픽 분석이라 합니다. 일반적으로 QRadar에서 새 로그 소스를 식별하고 작성하는 데 25개이상의 LEEF 이벤트가 필요합니다. 트래픽 분석이 이벤트 소스를 식별할 때까지 초기 25개의 이벤트가 SIM 일반 로그 DSM 이벤트로 분류되며 이벤트 이름은 알 수 없는 로그 이벤트로 설정됩니다. 이벤트 트래픽이 식별된 후 QRadar 는 로그 소스를 작성하여 어플라이언스 또는 소프트웨어에서 전달되는 이벤트를 올바르게 분류하고 레이블을 지정합니다. 디바이스에서 보낸 이벤트는 로그 보기 탭의 QRadar 에서 볼 수 있습니다.
중요: 1,000개의 이벤트 후에 로그 소스를 식별할 수 없는 경우, QRadar 는 시스템 알림을 작성하고 트래픽 분석 큐에서 로그 소스를 제거합니다. QRadar 는 여전히 이벤트를 수집할 수 있지만 사용자가 개입하여 이벤트 유형을 식별하도록 로그 소스를 수동으로 작성해야 합니다.