소개
이 문서에서는 SecureX 타일의 캐시가 작동하는 방법에 대해 설명합니다.
정보가 SecureX Live Data에 있습니까?
이 질문에 대한 답은 "아니요"입니다. SecureX에서는 각 통합과 각 타일이 특정 캐시에 종속되기 때문입니다.
만료 시간은 통합 및 Tile 자체에 따라 달라집니다.
예를 들어 CSE(Secure Endpoint) 및 SecureX Integration을 사용할 수 있습니다.
먼저 통합이 유효하고 작동하는지 확인한 다음 Integration Modules > My Integration Modules
.
Secure Endpoint Module을 검색하고 Secure Endpoint Module이 통합되어 있고 오류가 표시되지 않는지 확인합니다.
통합 검사
그런 다음 CSE 콘솔에서 Quarantine Event를 트리거합니다.
콘솔 이벤트
SecureX로 다시 이동하고 격리에 해당하는 타일을 확인하면 데이터가 없음을 확인할 수 있습니다.
SecureX 데이터 없음
이미지에 표시된 대로 CSE 콘솔에서 이벤트가 발생한 지 최소 2분이 경과되었습니다.
쿼리 시간
대시보드에 데이터가 표시되지 않는 이유를 자세히 알아보려면 Quarantines Tile(격리 타일)로 이동하여 ellipsis (...) > Information.
SecureX 쿼런틴
이 정보는 SecureX의 이 특정 타일에 대해 하드코딩되는 Valid_time 값을 보여줍니다.
data로 이동하고 valid_time이라는 섹션을 확장합니다.
API 정보
쿼리하는 시간과 상관없이 start_time과 end_time의 차이는 항상 5분입니다.
앞에서 언급한 대로 이 start_time과 end_time 차이는 통합과 Tile 자체에 따라 달라집니다.
최소 5분이 경과한 후 SecureX로 다시 이동하면 이벤트를 볼 수 있습니다.
쿼런틴 이벤트
포스트 캐시 시간
정보는 자동으로 새로 고쳐지지만, 추가 정보를 원하는 경우 문제 해결 세션 동안 HTTP Archive Format (HAR) 로그를 캡처할 수 있습니다.
참고: Persistent Har 로그를 사용하는 것이 좋으며, 무게는 더 나가지만 방향이 바뀌어도 계속 유지되며 페이지가 새로 고쳐집니다.
HAR 로그를 수집하여 열면 이벤트가 발생한 시간의 Valid(유효) 시간을 확인하고 Secure Endpoint Console 및 SecureX에서 탐지 시간의 상관관계를 확인할 수 있습니다.
유효 시간
start_time은 19:30:00 UTC입니다. Secure Endpoint(보안 엔드포인트) 콘솔에 이벤트가 표시되면 UTC 19:31:20에 격리가 발생했습니다.
그러나 SecureX에서는 정보를 찾을 때까지(약 19:33:26 UTC/13:33:26 CST) end_time이 완료되지 않았으므로 캐시가 만료되지 않았습니다.
Telemetry가 SecureX에 게시되었음을 확인할 수 있습니다.
API 정보
HAR 로그에서 캐시가 만료되고 새 start_time이 시작됨을 확인할 수 있습니다.
참고: SecureX의 API 정보에서 사용된 URL을 볼 수 있으므로 HAR 로그를 확인하고 비교할 수 있습니다.
캐시 만료의 예
- 보안 클라이언트 - 컴퓨터 요약: 거의 즉시
- FMC - 이벤트 요약: 1분
- SMA - 수신 메일 요약: 5분
- Umbrella - 범주별 보안 차단(일반): 5분