Cato 이벤트 로그 및 수집에 대한 모범 사례

이 글은 이벤트 로그를 최적화하고 또한 SIEM 수집 프로세스를 위한 추천 모범 사례를 설명합니다.

개요

모든 이벤트 로그를 제3자 서비스에 저장하고 유용한 로그와 불필요한 로그를 구분하지 않고 SIEM에 수집하면 불필요한 저장 및 SIEM 비용, 알림 피로, SIEM 성능 저하 등의 문제가 발생할 수 있습니다. 이 기사는 Cato 고객이 이벤트 로그 저장과 SIEM 수집 프로세스를 최적화하고 이러한 문제를 피할 수 있도록 권장하는 모범 사례를 설명합니다.

추천 모범 사례에는 두 가지 주요 워크플로우가 포함됩니다:

  • 저장 요구를 줄이기 위한 이벤트 압축

  • SIEM에 수집할 때 가치가 제한적인 이벤트 제거

이 워크플로우 외에도 우리는 Cato 계정에 대한 일반적인 로그 모범 사례를 제공합니다.

저장 최적화를 위한 이벤트 압축

Cato 이벤트 로그에 필요한 저장량을 최적화하기 위해, 이벤트 데이터를 내보내는 동안 압축하고 API 요청 시 gzip 압축을 활성화하여 최대 95%까지 필요한 저장량을 줄일 수 있습니다.

Cato API 작업에 대한 자세한 정보는 Cato API 시작하기를 참조하세요.

For example Python scripts, see the Cato Github repository.

이벤트를 저장하지만 SIEM에 수집하지 않는 경우 압축률이 매우 높기 때문에 특정 유형의 낮은 가치의 이벤트를 제거하여 이벤트 수를 줄이는 큰 이점이 없습니다. 그러나 이벤트 로그를 SIEM에 수집하는 경우, 해당 프로세스를 최적화하고 유용한 이벤트만 수집하는 것이 중요합니다. 아래 워크플로우에 설명되어 있습니다.

불필요한 이벤트 제거

이 섹션에서는 이벤트를 분석하고 그 수를 줄이는 방법을 결정하기 위한 추천된 워크플로우를 제공합니다.

  1. 이벤트 유형에 따라 이벤트 제거 - 이벤트 페이지에서 인기 있는 필드 패널을 사용하여 각 이벤트 유형에 대한 이벤트 수를 봅니다. 대부분의 경우, 생성된 이벤트의 대다수는 보안 이벤트입니다. 보안 이벤트를 기록할 필요가 없다면, eventsFeed 쿼리나 이벤트 로그 통합에서 필터링하여 SIEM으로 수집하는 것을 피할 수 있습니다. 다른 이벤트 유형을 제거하는 것은 전체 수에 큰 영향을 미치지 않을 가능성이 큽니다.

    Event_Logging_BP_-_Event_Type.png

  2. 하위 유형에 따라 이벤트 제거 - 보안 이벤트를 기록해야 하는 경우, 여전히 필요 없는 특정 보안 이벤트 하위 유형을 제거할 수 있습니다. 많은 계정에서 인터넷 및 WAN 방화벽 이벤트가 보안 이벤트의 대다수를 나타냅니다. 만약 다른 유형의 보안 이벤트에만 관심이 있다면, eventsFeed 쿼리나 이벤트 로그 통합에서 방화벽 이벤트를 필터링하여 SIEM으로 수집하는 것을 피함으로써 수집된 이벤트 수를 상당히 줄일 수 있습니다

    Event_Logging_BP_-_Sub-Type_2.png

  3. 애플리케이션에 따라 이벤트 제거 - 방화벽 이벤트를 기록해야 한다고 가정할 때, 그 이벤트들의 상당한 부분이 기록할 필요 없는 애플리케이션 트래픽에 의해 생성될 수 있습니다. 예를 들어, DNS 이벤트는 종종 많은 수의 방화벽 이벤트를 나타내며, 당신에게 제한적인 유용성을 가질 수 있습니다. 사용 가능한 필드 섹션에서, 각 애플리케이션에 대한 이벤트 수를 분석하고 기록할 필요가 없는 트래픽을 식별합니다. 그런 다음 허용 조치와 이벤트 없음으로 방화벽 규칙을 생성하여 이러한 애플리케이션에 대한 이벤트 생성을 제거하십시오. 사용자 정의 애플리케이션을 생성하고 이벤트 추적이 필요 없는 DNS 서버의 대상 IP로 정의할 것을 권장합니다. 그런 다음 해당 사용자 정의 애플리케이션을 허용하는 단일 방화벽 규칙을 생성할 수 있습니다.

    Event_Logging_BP_-_Application.png

    이벤트 생성을 하지 않고 허용할 수 있는 기타 애플리케이션 및 서비스의 예시는 다음과 같습니다:

    • ICMP 및 SNMP와 같은 일반 네트워크 모니터링 프로토콜

    • 안전한 트래픽으로 알려진 많은 수의 이벤트를 발생시키는 애플리케이션, 예를 들어 Windows Update, Microsoft Teams, Zoom

Cato 계정의 일반적인 로그 모범 사례

  • 자원 > 이벤트 통합 페이지에서 Cato 이벤트와의 통합을 활성화하십시오. 계정이 현재 이벤트 통합을 유지 관리하지 않더라도, 이를 활성화하면 Cato가 계정 이벤트 피드의 데이터를 분석하여 문제 해결을 도와줄 수 있습니다. 이 기능을 활성화하지 않으면 데이터는 문제 해결에 사용할 수 없습니다.

    Event_Logging_BP_-_Enable_Integration.png

  • XDR 스토리에 포함될 이벤트를 생성하기 위해 XDR 대응 정책을 구성하십시오. 기본적으로 XDR 스토리 이벤트는 생성되지 않으며, 이벤트는 설정된 규칙에 따라 생성됩니다. XDR 스토리를 위한 대응 정책 생성 및 XDR 이벤트 필드에 대한 자세한 정보는 XDR 스토리를 위한 대응 정책 생성을 참조하십시오.

  • 이벤트 페이지에 표시된 이벤트 총계와 저장소 또는 SIEM에 보내지는 실제 이벤트 수 사이에 약간의 차이가 있을 수 있습니다. 이는 표시된 수가 반올림될 수 있거나, 때로는 여러 이벤트가 단일 내보낸 이벤트 로그로 결합되기 때문에 발생할 수 있습니다. 동일한 이벤트가 1분 동안 두 번 이상 발생했을 때 이러한 일이 발생합니다. 자세한 정보는 네트워크에서 이벤트 분석을 참조하십시오.

    Event_Logging_BP_-_Total_Events.png

도움이 되었습니까?

2명 중 2명이 도움이 되었다고 했습니다.

댓글 0개