Micro Focus ArcSight 데이터 소스에 연결

Micro Focus ArcSight 데이터 소스를 플랫폼에 연결하여 애플리케이션 및 대시보드에서 Micro Focus ArcSight 보안 데이터를 수집하고 분석할 수 있도록 하십시오. Universal Data Insights 커넥터를 사용하면 보안 제품 전체에서 연합 검색을 사용할 수 있습니다.

1. 메뉴 > 연결 > 데이터 소스로 이동하십시오.
2. 데이터 소스 탭에서 데이터 소스 연결을 클릭하십시오.
3. Micro Focus ArcSight를 클릭한 후 다음을 클릭하십시오.
4. 데이터 소스에 대한 연결을 구성하십시오.
   1. 데이터 소스 이름 필드에서 데이터 소스 연결을 고유하게 식별하는 이름을 지정하십시오.
      데이터 소스에 복수의 연결 인스턴스를 작성하여 이름별로 명확하게 구분하는 것이 좋습니다. 영숫자 문자 및 다음 특수 문자가 허용됩니다. - . _
   2. 데이터 소스 설명 필드에 데이터 소스 연결의 목적을 표시하는 설명을 작성하십시오.
      데이터 소스에 복수의 연결 인스턴스를 작성하여 설명을 통해 각 연결의 용도를 명확하게 나타낼 수 있습니다. 영숫자 문자 및 다음 특수 문자가 허용됩니다. - . _
   3. 클러스터와 데이터 소스 대상 사이에 방화벽이 있는 경우 Edge Gateway 를 사용하여 컨테이너를 호스팅하십시오. 에지 게이트웨이 (선택사항) 필드에서 사용할 Edge Gateway 를 지정하십시오.
      커넥터를 호스트할 Edge Gateway 를 선택하십시오. Edge Gateway 에서 새로 배치된 데이터 소스 연결의 상태가 연결됨으로 표시되는 데 최대 5분이 걸릴 수 있습니다.
   4. ArcSight 로거 IP 주소 또는 호스트 이름 필드에서 플랫폼이 통신할 수 있도록 ArcSight Logger 의 IP 주소 또는 호스트 이름을 설정하십시오. 호스트 이름은 ArcSight Logger 콘솔의 연결 > 시스템 > 프로세스 상태섹션에서 찾을 수 있습니다.
   5. 호스트 포트 필드에서 데이터 소스 호스트와 연관된 포트 번호를 설정하십시오. 포트는 기본적으로 443입니다.
5. 데이터 소스에서 검색 조회의 동작을 제어하는 조회 매개변수를 설정하십시오.
   1. 동시 검색 한계 필드에서 데이터 소스에 대해 작성할 수 있는 동시 연결 수를 설정하십시오. 연결 수의 기본 한계는 4입니다. 이 값은 1보다 작거나 120보다 커서는 안됩니다.
   2. 조회 검색 제한시간 한계 필드에서 데이터 소스에 대해 조회가 실행되는 기간에 대한 시간 한계 (분) 를 설정하십시오. 기본 시간 제한은 30입니다. 값이 0으로 설정되면 시간 초과가 없습니다. 이 값은 1보다 작거나 120보다 커서는 안됩니다.
   3. 결과 크기 한계 필드에서 검색 조회에서 리턴되는 최대 항목 또는 오브젝트 수를 설정하십시오. 기본 결과 크기 제한은 10,000입니다. 값은 1보다 작거나 500 ,000보다 크지 않아야 합니다.
   4. 조회 시간 범위 필드에서 마지막 상태된 X 분으로 표시되는 검색 시간 범위를 분 단위로 설정하십시오. 기본값은 5분입니다. 이 값은 1보다 작거나 10,000보다 커서는 안됩니다.
   중요: 동시 검색 한계 및 결과 크기 한계를 늘리면 데이터 소스에 더 많은 양의 데이터를 전송할 수 있으며, 이는 데이터 소스에 대한 부담을 증가시킵니다. 쿼리 시간 범위를 늘리면 데이터의 양도 늘어납니다.
6. 선택사항: ArcSight 가 자체 서명된 SSL (Security Sockets Layer) 인증서로 구성된 경우 연결 인증서를 추가하십시오.
   1. ArcSight Logger에 구성된 자체 서명 인증서를 지정하십시오.
   2. 호스트 이름 또는 IP 주소 값이 공통 이름 값과 일치하지 않는 경우 SNI(Server Name Indicator)를 제공해야 합니다. SNI는 자원 연결의 TLS(Transport Layer Security) 핸드쉐이크에 별도의 호스트 이름을 제공할 수 있도록 해줍니다.
   3. 인증서 세부사항을 복사하여 제공된 공간에 붙여넣은 후 완료를 클릭하십시오.
7. 선택사항: STIX 속성 맵핑을 사용자 정의해야 하는 경우 속성 맵핑 사용자 정의 를 클릭하고 JSON BLOB를 편집하여 새 특성 또는 기존 특성을 연관된 대상 데이터 소스 필드에 맵핑하십시오.
8. ID 및 액세스를 구성하십시오.
   1. 구성 추가를 클릭하십시오.
   2. 구성 이름 필드에 액세스 구성을 설명하고 설정할 수 있는 이 데이터 소스 연결에 대한 다른 액세스 구성과 구별할 수 있는 고유 이름을 입력하십시오. 영숫자 문자 및 다음 특수 문자만 허용됩니다. - . _
   3. 구성 설명 필드에 액세스 구성을 설명하고 설정할 수 있는 이 데이터 소스 연결에 대한 다른 액세스 구성과 구별할 수 있는 고유한 설명을 입력하십시오. 영숫자 문자 및 다음 특수 문자만 허용됩니다. - . _
   4. 액세스 편집 을 클릭하고 데이터 소스에 연결할 수 있는 사용자 및 액세스 유형을 선택하십시오.
   5. ArcSight Logger에 대한 액세스 권한이 있는 사용자 이름 및 비밀번호를 입력하십시오.
   6. 추가를 클릭하십시오.
   7. 구성을 저장하고 연결을 설정하려면 완료를 클릭하십시오.
   데이터 소스 설정 페이지의 연결에서 추가된 데이터 소스 연결 구성을 확인할 수 있습니다. 카드의 메시지는 데이터 소스와의 연결을 나타냅니다.

   데이터 소스를 추가할 때 데이터 소스가 연결된 것으로 표시되기 전에 몇 분이 걸릴 수 있습니다.

   팁: 데이터 소스를 연결한 후 데이터를 검색하는 데 최대 30초가 걸릴 수 있습니다. 전체 데이터 세트가 리턴되기 전에 데이터 소스가 사용 불가능으로 표시될 수 있습니다. 데이터가 리턴된 후 데이터 소스는 연결된 것으로 표시되고 연결 상태를 유효성 검증하기 위한 폴링 메커니즘이 발생합니다. 연결 상태는 폴링 후 60초동안 유효합니다.

   다른 사용자 및 다른 데이터 액세스 권한이 있는 이 데이터 소스에 대한 다른 연결 구성을 추가할 수 있습니다.

9. 구성을 편집하려면 다음 단계를 완료하십시오.
   1. 데이터 소스 탭에서 편집할 데이터 소스 연결을 선택하십시오.
   2. 구성 섹션에서 구성 편집 () 을 클릭하십시오.
   3. ID및 액세스 매개변수를 편집하고 저장을 클릭하십시오.