시간이 경과된(stale) 자산 데이터

새 자산 레코드가 작성되는 비율이 시간이 경과된 자산 데이터가 제거되는 비율을 초과하면 시간이 경과된 자산 데이터에 문제가 있을 수 있습니다. 시간이 경과된 자산 데이터에 의해 발생한 자산 증가 편차를 처리하려면 자산 보존 임계값을 제어하고 관리해야 합니다.

시간이 경과된 자산 데이터는 특정 시간 내에 능동적으로 또는 수동적으로 관찰되지 않은 히스토리 자산 데이터입니다. 시간이 경과된 자산 데이터는 구성된 보존 기간을 초과하면 삭제됩니다.

히스토리 레코드는 IBM QRadar 수동적으로, 이벤트 및 플로우를 통해 또는 포트 및 취약성 스캐너를 통해 능동적으로 관찰되는 경우 다시 활성 상태가 됩니다.

자산 증가 편차를 방지하려면 단일 자산에 허용되는 IP 주소 수와 QRadar 가 자산 데이터를 보유하는 기간 사이의 올바른 밸런스를 찾아야 합니다. 높은 레벨의 자산 데이터 보존을 수용하도록 QRadar 를 구성하기 전에 성능 및 관리성 트레이드오프를 고려해야 합니다. 항상 더 긴 보존 기간과 더 높은 자산당 임계값이 바람직하게 보이지만 환경에서 허용되는 기준선 구성을 판별하고 해당 구성을 테스트하는 것이 더 좋은 방법입니다. 그러면 균형에 맞는 적절한 값을 찾을 때까지 보존 임계값을 조금씩 늘릴 수 있습니다.