A. '파일 샘플 가져오기' 작업을 사용하여 S3 버킷 허용 목록 전체를 다운로드한 다음, '루프' 작업과 '조건부' 검사를 사용하여 반복합니다.

B. 사용자 지정 Lambda/Azure Function API Gateway 엔드포인트를 쿼리하는 '일반 API 호출' 작업을 구성합니다. 이 엔드포인트는 해시를 수신하여 S3 허용 목록과 비교하고 부울 결과를 반환합니다.

C. 외부 데이터 소스에 대한 특수 XQL 커넥터를 사용하여 S3 버킷을 직접 쿼리하려면 'XQL 쿼리 실행' 작업을 활용합니다.

D. XSIAM 내의 '조회 목록'에 허용 목록을 저장하고 외부 스크립트를 통해 주기적으로 업데이트한 다음 '조건부' 작업을 사용하여 '조회 목록'과 비교합니다.

E. '수동 검토' 작업을 추가하여 인간 분석가가 해시를 S3 허용 목록에 대해 수동으로 확인하도록 합니다.

A. 

B. 

C. 
{<디>}:

D. 

A. 각 로그 소스에 대해 '수집 매핑 규칙'을 구현하여 모든 사용자 식별자를 공통 형식(예: 소문자 이메일 주소)으로 정규화하고 모든 관련 데이터 세트에서 새로운 '정규화된 사용자 ID' 필드에 저장합니다.

B. 알려진 모든 사용자 식별자와 해당 정규 매핑을 저장하는 '조회 테이블'(또는 XSIAM '엔터티 데이터 세트')을 개발합니다. 수집 시 각 로그 소스가 이 조회 테이블과 조인되도록 '보강 규칙'을 구성하고 'canonical_user_id' 필드를 추가합니다.

C. XSIAM의 '엔터티 스티칭' 기능을 활용하여 다양한 사용자 식별자(사용자 이름, 이메일, 직원 ID)를 단일 'XSIAM 사용자 엔터티'에 자동으로 연결하는 규칙을 정의하여 쿼리가 여러 식별자에 걸쳐 암묵적으로 해결되도록 합니다.

D. XSIAM이 실시간으로 외부 ID 공급자에게 쿼리를 보내고 각 이벤트에 대한 표준 사용자 정보를 필요에 따라 검색할 수 있는 '연합 쿼리' 메커니즘을 만듭니다.

E. 발견된 모든 고유 사용자 식별자의 '요약 데이터 세트'(예: 일일 롤업)를 생성하여 사용자 조회를 위해 쿼리해야 하는 데이터 볼륨을 줄입니다.

A. 사이트 B에 새로운 브로커 C를 설치하고 Cortex XSIAM 테넌트 A에 등록합니다.

B. 사이트에 새로운 브로커 C를 설치하고 Cortex XSIAM 테넌트 B에 등록합니다.

C. 또한 Broker A를 Cortex XSIAM 테넌트 B에 등록합니다.

D. 콘솔에서 모든 엔드포인트를 선택하고 프록시로 새 브로커 C를 추가합니다.

A. XSIAM 컬렉터에 할당된 CPU와 메모리를 늘리십시오. 이는 잠재적인 해결책이지만, 특정 병목 현상을 즉시 파악할 수는 없습니다.

B. XSIAM Collector의 'collector.log' 및 'pipeline.log'를 검토하여 파싱 실패, 처리되지 않은 이벤트 또는 특정 처리 단계에서 발생하는 지속적인 백로그와 관련된 오류나 경고를 확인하십시오. 느린 파서 또는 문제가 있는 데이터 소스를 나타내는 반복되는 메시지를 확인하십시오.

C. 영향을 받는 데이터 소스에 대한 모든 사용자 지정 구문 분석 규칙과 정규화 규칙을 일시적으로 비활성화하여 성능이 향상되는지 확인합니다. 이렇게 하면 사용자 지정 로직이 병목 현상의 원인인지 파악하는 데 도움이 되지만, 실제로는 시스템 중단을 초래합니다.

D. XSIAM Data Lake의 디스크 I/O 성능과 여유 공간을 확인하세요. 중요한 사항이지만, 제공된 지표가 낮은 반면 (높은) 경우 저장 전 처리 병목 현상을 나타냅니다.

E. 부하를 분산하기 위해 추가 XSIAM 수집기를 배포합니다. 이는 병목 현상을 파악하기 위한 즉각적인 문제 해결 단계가 아니라 확장을 위한 솔루션입니다.