White Papers

Table Of Contents

SIEM 솔루션으로 데이터를 전달하도록 구성

SIEM 솔루션에는 데이터 소스를 사용하기 위한 유틸리티가 필요한 경우가 많습니다. Splunk 범용 전달자는 설치 도중 또는 설치 후에

Event Repository와 함께 사용하도록 구성할 수 있는 경량 전달 솔루션입니다. 다음 예에서는 Splunk 범용 전달자가 Event Repository

에서 Splunk SIEM 인스턴스로 데이터를 푸시하기 위한 설치 및 구성 참조를 제공합니다.

다음 문서 중 하나를 사용하여 Event Repository가 설치된 환경에 따라 범용 전달자를 설치하십시오.

● Windows에 범용 전달자를 설치하려면 이 Splunk 문서를 참조하십시오.

● Linux, Solaris, macOS, FreeBSD 또는 AIX에 범용 전달자를 설치하려면 이 Splunk 문서를 참조하십시오.

설치 후 Event Repository와 함께 사용할 범용 전달자를 구성하려면 이 Splunk 문서를 참조하십시오.

Docker를 설치하고 사전 요구 사항을 구성한 후 Event Repository 실행으로 이동합니다.

Event Repository 이미지 다운로드

다음 워크플로를 사용하여 Event Repository 이미지를 다운로드합니다.

1. 타겟 컴퓨터에 Docker가 설치되어 실행 중인지 확인합니다.

2. https://hub.docker.com/r/dellemc/dtd-event-repository로 이동하여 Docker 자격 증명으로 로그인합니다.

3. dtd-event-repository 이미지를 다운로드합니다.

4. dtd-event-repository 이미지 다운로드 위치로 이동하여 PowerShell 또는 터미널 애플리케이션을 엽니다.

5. 다음 명령을 입력하여 Event Repository를 설치합니다.

docker pull dellemc/dtd-event-repository

연결되지 않은 환경

SIEM 솔루션이 연결되지 않은 모드로 구성된 경우 다음 문서를 참조하십시오.

● 나중에 사용하기 위해 Docker 이미지를 저장하는 단계를 보려면 이 Docker 문서로 이동하십시오.

● 이전에 저장된 Docker 이미지를 로드하는 단계를 보려면 이 Docker 문서로 이동하십시오.

Event Repository 실행

Docker 이미지를 다운로드한 후 에이전트에서 데이터 수집을 시작하려면 Event Repository를 초기화해야 합니다. Docker 실행 명령에

대한 자세한 내용은 이 Docker 문서를 참조하십시오. 다음 표에는 Event Repository 컨테이너를 구성하는 데 필요한 Docker 기반 변수

가 자세히 나와 있습니다.

변수 의미

-d Docker 컨테이너를 분리 모드로 실행합니다.

dellemc/dtd-event-repository

이 컨테이너에 사용할 컨테이너 이미지를 정의합니다.

노트: 특정 버전의 Event Repository 이미지가 필요한 경우 다

음 명령을 추가합니다. <version number> 예: dellemc/

dtd-event-repository:1.0.2.0

-it Docker 컨테이너에 연결된 대화형 명령줄 세션을 시작합니다.

-p 컨테이너에 사용되는 포트를 지정합니다.

--rm 컨테이너가 종료되면 자동으로 제거합니다.

-v Docker 호스트와 Docker 컨테이너 간에 공유되는 볼륨을 생성할

수 있습니다.

● 다음 예에서는 Event Repository 컨테이너를 시작하고 호스트 컴퓨터의 C:\eventrepository\Data를 컨테이너의 /app/

appSettings.json에 매핑하고 컨테이너에서 포트 5001을 사용하는 동안 포트 31235에서 수신하는 호스트를 구성합니다.

노트: 이 예에서는 타겟 컴퓨터에 최신 Docker 이미지가 없는 경우 최신 Docker 이미지를 검색합니다.

30 통합