Dell Security Management Server에서 "감사 데이터베이스가 할당된 최대 스토리지의 95% 이상에 도달했습니다" 알림을 해결하는 방법

영향을 받는 제품:

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Data Protection | Enterprise Edition
• Dell Data Protection | Virtual Edition

Dell Security Management Server 콘솔에 기록된 중요 알림이 표시될 수 있습니다. 감사 데이터베이스가 최대 스토리지 할당 용량 2GB의 95%에 도달했습니다.

그림 1: (영어로만 제공) Dell Security Management Server 알림

이 문서에서는 알림이 나타내는 내용에 대해 설명하고 생성되는 이벤트 수를 줄이기 위해 취할 수 있는 몇 가지 문제 해결 단계를 제공합니다.

감사 데이터베이스는 Advanced Threat Protection, Web Control 및 Firewall(활성화된 경우) 플러그인을 실행하는 엔드포인트에서 업로드된 이벤트를 저장합니다. 일부 이벤트의 예로는 위협이 발견되고, 위협이 종료되거나 격리되고, 스크립트가 차단되거나 종료될 수 있습니다. 감사 데이터베이스에 저장되는 이벤트는 Security Management Server 콘솔의 Enterprise > Advanced Threat Events 에서 찾을 수 있습니다.

감사 데이터베이스가 할당된 최대 크기의 95%에 도달하면 위의 알림을 서버 콘솔에 기록합니다. 감사 데이터베이스는 2시간마다 배치 작업을 실행하여 이전 이벤트를 다듬고 최신 이벤트를 위한 공간을 마련합니다. 필요한 경우 감사 데이터베이스 크기를 대규모 환경의 기본값으로 늘릴 수 있습니다. 구성 수정을 위해 Dell Data Security ProSupport 참조 Dell Data Security 국제 지원 전화 번호 에 문의하십시오.

생성된 대부분의 이벤트 엔드포인트(여러 디바이스에서 가능)는 반복적으로 실행되는 스크립트 제어 이벤트 또는 메모리 보호 이벤트에서 비롯됩니다. 엔드포인트가 생성하는 이벤트의 수를 줄이기 위해 알려진 안전 스크립트 및 프로세스를 제외하거나 허용 목록에 추가하여 더 이상 알림을 생성하지 않도록 할 수 있습니다.

이러한 이벤트를 식별하는 가장 빠른 방법은 Advanced Threat 탭과 Advanced Threat Events 탭을 통해 Security Management Server에서 보고서를 생성하는 것입니다. 보고서의 정보를 사용하여 엔드포인트에서 생성되는 이벤트 수를 줄이기 위해 필요한 제외를 생성할 수 있습니다.

아래에 생성되는 이벤트를 제공하는 보고서를 가져오는 데 사용할 수 있는 두 가지 방법이 있습니다.

Advanced Threat 탭에서 환경에 있는 스크립트 목록과 스크립트가 실행된 횟수를 확인할 수 있습니다. 이 작업은 다음을 선택하여 수행할 수 있습니다.

1. 엔터프라이즈
2. Advanced Threats
3. 보호
4. 스크립트 컨트롤
5. 내보내기

그림 2: (영어로만 제공) 스크립트 내보내기

Threat Data Report를 활성화하면 환경의 현재 상황을 빠르게 파악할 수 있습니다.

1. 엔터프라이즈
2. Advanced Threats
3. 옵션
   • Threat Data Report

그림 3: (영어로만 제공) 위협 데이터 보고서 토큰

토큰이 있으면 이벤트 옆에 있는 URL에 대처하고 [토큰]을 환경의 토큰으로 교체하여 보고서 URL을 생성할 수 있습니다.

그림 4: (영어로만 제공) 보고서 URL 작성

메모리 보호에도 동일한 단계를 수행합니다.

Threat Data Report가 활성화되지 않은 경우 Advanced Threat Events 의 데이터를 대신 내보낼 수 있습니다. 모든 데이터를 수신하려면 다음을 선택합니다.

1. 엔터프라이즈
2. 고급 위협 이벤트
3. 유형
4. Protection Status Changed를 제외한 모든 옵션을 지웁니다(이 옵션은 수다스러운 옵션일 수 있으며 디바이스가 재부팅될 때 이벤트로 입력됨).

그림 5: (영어로만 제공) 보호 상태 변경

이 옵션을 선택하면 다음을 수행합니다.

1. 타임스탬프 값을 수정합니다.
2. 내보내기

그림 6: (영어로만 제공) 타임스탬프 수정

이 데이터를 사용하면 자주 실행되는 스크립트를 확인하고 SHA256 해시를 찾고 해당 스크립트와 메모리 이벤트 모두에 대한 위치를 실행할 수 있습니다. 이를 통해 환경의 허용 목록에 추가해야 하는지 여부를 결정할 수 있습니다.

ScriptsOverview_DATE.csv를 정렬하여 스크립트가 표시되는 디바이스 수(디바이스 수) 및 보고된 횟수(경고 또는 차단)를 확인할 수 있습니다.

예 #1

그림 7: (영어로만 제공) ScriptsOverview_Date.csv

MemoryprotectionDataReport.csv를 사용하여 환경 내에서 발생한 메모리 이벤트를 확인할 수도 있습니다. 프로세스 이름을 기준으로 정렬하면 여러 디바이스에서 많이 실행되는 실행 파일을 신속하게 식별하고 제외가 필요할 수 있는 위치를 구축하는 데 도움이 될 수 있습니다.

예 #2

그림 8: (영어로만 제공) MemoryprotectionDataReport.csv

아래 문서에서는 안전한 것으로 간주되고 예상되는 경우 허용 목록 스크립트 및 메모리 이벤트를 사용할 수 있습니다. Dell Endpoint Security Suite Enterprise에서 제외를 추가하는 방법

메모리 보호 및 스크립트 제어에 적합한 허용 목록을 구축하면 일일 이벤트 수가 크게 줄어들고 공간이 부족할 때 감사 이벤트 알림이 표시되지 않아야 합니다.

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.