Agent Client Collector for Visibility 기본 검사 및 정책

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • Agent Client Collector for Visibility는 비즈니스 규칙 외에도 다양한 검사 및 기본 정책을 제공합니다.

    정책

    ACC-V에 대해서는 Enhanced Discovery, Windows SAM Discovery, Windows SAM background, Software installed의 네 가지 정책이 있습니다.
    주:
    ACC-V 정책은 하루에 한 번 실행됩니다. 수집된 총 데이터는 약 572KB입니다. 이는 설치된 약 1,500개의 소프트웨어 애플리케이션과 머신당 CI 데이터 이외의 약 500개의 실행 중인 프로세스의 평균을 고려합니다.
    향상된 검색 정책
    이 정책은 24시간(86,400초)으로 기본 설정된 일정에 따라 실행됩니다. 정책 간격은 예를 들어 4시간마다 실행되도록 조정할 수 있습니다(간격을 14,400으로 설정). ACC-V 정책 구성은 ACC-V에 정의된 정책 필터에 따라 모든 에이전트로 동기화됩니다. 필요한 경우 다음 ACC-F 시스템 속성을 업데이트합니다.
    • [sn_agent.disco_minimum_threshold_for_rediscovery_minutes]: 시스템이 너무 자주 검색되는 것을 방지하려는 경우
    • [sn_agent.disco_disable_ci_clobber_of_agentless_disco]: 검색 충돌을 방지하려는 경우
    • [sn_agent.disco_ci_clobber_of_agentless_disco_threshold_days]: 검색 충돌을 방지하려는 경우
    Windows SAM 검색 정책
    이 정책은 Windows 데스크톱이나 LinuxWindows 서버와 같은 Windows 엔드포인트 장치에 설치된 소프트웨어를 캡처하는 작업을 담당합니다.
    Windows SAM 백그라운드 정책
    이 정책을 통해 Windows 엔드포인트 장치에서 SAM의 Osqueryd 로그를 처리하는 백그라운드 작업을 사용할 수 있습니다.
    소프트웨어 설치 정책
    이 정책은 Windows 엔드포인트 장치를 제외한 모든 장치에서 설치된 소프트웨어를 캡처하는 작업을 담당합니다. 수집된 데이터는 [cmdb_sam_sw_install] 테이블에 저장됩니다. 소프트웨어 설치 정책은 24시간마다 실행되도록 예약되어 있습니다.
    주:
    Windows 엔드포인트 장치에는 Windows 운영 체제가 있고 클래스 컴퓨터에 속한 장치가 포함됩니다.

    자세한 내용은 시스템 속성을 참조하십시오. 정책에 대한 자세한 내용은 검사 및 정책을 참조하십시오.

    검사 유형

    ACC-V에는 세 가지 검사 유형(EnhancedDiscovery, SAM Advanced Discovery, Installed Software)이 있습니다.
    EnhancedDiscovery
    이 검사 유형은 ACC가 endpoint_discovery.rb를 실행할 때 생산되는 페이로드를 처리하는 EnhancedDiscoveryHandler 스크립트 포함을 호출하는 작업을 담당합니다.
    SAM Advanced Discovery
    이 검사 유형은 sam_advanced.rb 파일에서 생성된 SAM 데이터를 처리하기 위해 EnhancedDiscoveryHandler 스크립트 포함을 호출하는 Windows SAM 검색 정책에 대한 것입니다.
    Installed Software
    installed_software.rb 파일에서 생성된 설치된 소프트웨어 데이터를 처리하기 위해 EnhancedDiscoveryHandler 스크립트 포함을 호출하는 Software installed policy에 대한 검사 유형입니다.

    검사 정의

    4개의 ACC-V 정책에서 사용하는 4개의 검사 정의가 있습니다.
    향상된 검색
    이 정책 구성은 ACC-V에 정의된 정책 필터에 따라 모든 에이전트로 동기화됩니다. 검사 정의는 특정 자산과 함께 실행되도록 구성되며 에이전트와 MID 서버 간에 무엇이 동기화되는지를 결정합니다. 정책에 대한 자세한 내용은 검사 및 정책을 참조하십시오.
    주:
    에이전트가 실행 중인 관련 프로세스와 함께 OS 일련 번호와 TCP 연결을 검색할 수 있으려면 Linux 시스템에서 "dmidecode" 및 "ss"에 대한 sudo 액세스가 필요합니다. 예를 들어 이 컨텐츠는 /etc/sudoers 또는 /etc/sudoers.d/ 내 개별 파일에 추가할 수 있습니다. 
    Cmnd_Alias AGENT_ACC_V = /usr/sbin/dmidecode,/usr/sbin/ss
servicenow ALL=(root) NOPASSWD:AGENT_ACC_V
    Windows – SAM 백그라운드 로그 확인
    검사 정의 로그는 8분마다 실행되며 Osqueryd 로그에서 생성된 데이터의 인라인 집계를 수행합니다. 데이터를 수집한 후에는 모든 중간 데이터 결과를 임시 마커 파일에 기록하여 다음 실행에서 다시 사용합니다. 이러한 다시 사용을 통해 대상 시스템에 필요한 로그 파일 수와 디스크 공간이 제한됩니다.
    주:
    백그라운드 집계 검사가 매 간격으로 실행되면서 시스템 자원 소비가 급증하는 것을 확인할 수 있습니다.
    Windows – 소프트웨어 설치 및 사용량 메트릭

    이 검사 정의는 24시간마다 데이터를 수집합니다.

    설치된 소프트웨어
    이 검사 정의는 Windows 엔드포인트 장치가 아닌 모든 장치의 설치된 소프트웨어 데이터를 가져옵니다.

    비즈니스 규칙

    Enhanced Discovery – On CI Delete 비즈니스 규칙은 특정 CI와 연결된 CI가 sn_agent_cmdb_ci_agent에서 삭제될 때 엔드포인트 검색 검사를 트리거합니다.