:

Windows 이벤트 로그 보관

Tenable Identity Exposure에서는 공격 지표 기능 내에서 보안 분석을 지원하기 위해 가능한 한 Windows 이벤트 로그를 처리하고자 노력하지만, 서비스를 실행 중인 컴퓨터의 가용 메모리와 같은 기술적인 한계가 있습니다.

기본 전역 보관 기간은 5분입니다. 단, 특정 Windows 이벤트 로그의 경우 보안 엔진에 발생할 수 있는 상관관계 문제를 완화하기 위해 보관 기간이 연장되어 있습니다.

SYSMON 5722 및 5723: 6시간 동안 보관됨.
Microsoft-Windows-Security-Auditing/4624: 이 로그는 탐지 및 상관관계 목적으로 공격 지표에서 많이 사용되기 때문에 동적인 보관 기간을 갖습니다. 시스템에서 이벤트 처리와 시스템 리소스와의 균형을 맞추기 위해 메모리 사용량에 따라 보관 기간을 조정합니다.
- 첫 한 시간: 보안 분석 서비스에서 기본 보관 기간인 5분을 적용합니다.
- 첫 한 시간 경과 후, 시스템에서 남은 메모리를 평가해 보관 기간을 다음과 같이 조정합니다.
  - 가용 메모리가 50%를 초과하는 경우: 1일.
  - 가용 메모리가 35%~50%인 경우: 6시간.
  - 가용 메모리가 20%~35%인 경우: 1시간.
  - 가용 메모리가 10%~20%인 경우: 10분.
  - 가용 메모리가 10% 미만인 경우: 기본값 5분.

동적으로 보관 기간을 조정함으로써 시스템에서 보안 분석을 위해 충분한 메모리를 유지하면서 동시에 수신되는 이벤트를 효율적으로 관리할 수 있습니다.

Copyright © 2024 Tenable, Inc. All rights reserved. Tenable, Tenable Nessus, Tenable Lumin, Assure 및 Tenable 로고는 Tenable, Inc. 또는 그 계열사의 등록 상표입니다. 기타 모든 제품 또는 서비스는 해당 소유자의 상표입니다.