보안 분석가 작업 공간를 사용하여 보안 위협 관리

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 소요 시간: 5분

    • 보안 인시던트 응답 에는 플레이북, 엿보기 보기, 여러 보안 인시던트에 대한 작업을 위한 탭 등 분석을 지원하는 강력한 도구를 제공하는 이라는 새로운 사용자 인터페이스 보안 분석가 작업 공간 가 포함되어 있습니다.

    보안 분석가를 위해 특별히 제작된 의 강력한 도구를 보안 분석가 작업 공간 사용하면 보안 인시던트와 관련해 계속 증가하는 데이터 볼륨을 분석할 수 있습니다. 또한 자동화된 작업은 보안 인시던트 조사 시간을 크게 단축하며, 이는 공격 차단과 침해 발생의 차이가 될 수 있습니다.

    사용하기 전에 보안 분석가 작업 공간

    사용을 보안 분석가 작업 공간시작하기 전에 인스턴스에 최소한 London 패치 3이 설치되어 있고, 올바른 역할이 정의되어 있는지 확인해야 하며, ServiceNow Store에서 보안 인시던트 응답 UI 애플리케이션을 다운로드했습니다. .
    주:
    인스턴스에서 London 패치 3 이전 버전을 실행 중인 경우 HI 고객 서비스 시스템을 통해 보안 인시던트 응답 UI 플러그인을 요청해야 합니다.

    보안 분석가 작업 공간 액세스

    이 새 작업 공간에 액세스하려면 다음으로 이동하십시오. 보안 인시던트 > 인시던트(신규 UI).

    그림 1. 보안 인시던트
    보안 인시던트 탐색 모음

    작업 공간이 별도의 브라우저 탭에서 열립니다.

    그림 2. 보안 인시던트
    모든 미해결 보안 인시던트

    빠른 필터로 분석하려는 보안 인시던트를 찾습니다.

    에서는 보안 분석가 작업 공간 분석하려는 보안 인시던트를 빠르게 찾을 수 있도록 보안 인시던트 목록을 필터링하는 데 사용할 수 있는 여러 도구를 제공합니다. 빠른 필터를 사용하면 필터의 기준에 따라 보안 인시던트의 하위 집합을 선택할 수 있습니다.
    그림 3. 빠른 필터
    빠른 필터

    사용하려는 빠른 필터를 클릭하기만 하면 됩니다.

    주:
    편집 버튼을 클릭하여 목록 화면에 표시할 빠른 필터를 식별할 수 있습니다. 최소 1개의 필터를 선택해야 하며, 최대 6개까지 선택해야 합니다.

    클래식 환경을 사용하여 빠른 필터뿐만 아니라 기본 필터 보안 분석가 작업 공간도 정의할 수 있습니다. 자세한 내용은 다음에 대한 기본 및 보조 필터 설정 보안 분석가 작업 공간 문서를 참조하십시오.

    보안 인시던트 목록 개인화

    인스턴스의 모든 목록과 마찬가지로 에서는 보안 분석가 작업 공간 분석 요구 사항에 맞게 목록을 개인화하고 표시된 정보를 정렬할 수 있는 도구를 제공합니다.
    그림 4. 보안 인시던트 목록 개인화
    보안 인시던트 목록 필터링 옵션

    Peek 보기로 시간 절약

    보안 인시던트 기록을 열기 전에 피킹 뷰를 사용하여 시간을 절약할 수 있습니다. 이 기능을 사용하면 전체 페이지를 다시 로드하지 않고도 중요한 보안 아티팩트를 빠르게 찾을 수 있습니다. 보안 인시던트 번호 왼쪽에 있는 > 아이콘을 클릭하면 확인할 수 있습니다.

    그림 5. 보기 보기
    엿보기 뷰를 보여주는 보안 인시던트
    피킹 뷰는 중요한 정보의 스냅샷을 단일 뷰에서 제공합니다. 이 뷰를 사용하면 여러 인시던트로 작업할 때 귀중한 시간을 절약할 수 있습니다. 특정 필드에서 아래쪽 화살표를 클릭하여 할당 그룹 또는 특정 분석가 할당과 같은 즉석에서 업데이트를 수행할 수 있습니다.
    그림 6. 상세 정보 보기 보기
    상세 정보 엿보기

    보안 인시던트에서 빠른 실행

    특정 보안 인시던트를 선택하고 연 후에는 기록에 대해 시간을 절약하는 작업을 수행할 수 있습니다.
    • 보안 인시던트가 열려 있는 경우 기록 편집 아이콘을 클릭하여 해당 필드를 빠르게 변경합니다. 기록이 종결된 경우에는 해당 태그만 변경할 수 있습니다.
    • 첨부 파일 관리를 클릭하여 보안 인시던트에 파일을 첨부합니다. 첨부 파일을 다운로드 또는 제거하고 첨부 파일에 적용된 암호화를 편집할 수도 있습니다.
    • 동료에게 빠른 이메일을 보내려면 이메일 작성을 클릭합니다. 이메일은 자유 형식이거나 템플릿 목록에서 선택한 미리 준비된 이메일을 보낼 수 있습니다. 보낸 이메일과 받은 회신은 인시던트 타임라인에 캡처됩니다.
      주:
      이메일 및 이메일 알림에 재사용 가능한 콘텐츠가 포함된 사용자 지정 템플릿을 만들 수 있습니다. 변수는 제목, 우선순위 또는 위협 범주와 같은 보안 인시던트 또는 경보와 관련된 정보를 삽입하는 데 사용할 수 있습니다. 과 관련된 보안 인시던트 응답이메일 및 이메일 알림에는 보안 인시던트 [sn_si_incident] 테이블을 사용합니다. 자세한 내용은 다음을 참조하십시오. 이메일 템플릿
    • 자세히를 클릭하면 설명, 비즈니스 영향 및 우선순위와 같은 보안 인시던트의 간략한 스냅샷을 볼 수 있습니다. 할당 그룹할당 대상 필드에서 아래쪽 화살표를 클릭하여 해당 필드를 즉석에서 변경할 수도 있습니다.
    그림 7. 할당 그룹
    빠른 실행

    여러 보안 인시던트 처리

    탭 인터페이스를 사용하면 여러 보안 인시던트를 동시에 열어 둘 수 있으므로 클릭 한 번으로 여러 보안 인시던트 간에 전환할 수 있습니다. 이를 통해 시간을 절약하고 여러 소스의 위협이 식별될 때 큰 그림을 볼 수 있습니다.
    그림 8. 여러 보안 인시던트 처리
    보안 인시던트 탭 인터페이스

    보안 인시던트 탭에서 분석 정보 보기

    보안 인시던트 기록을 열면 다음 세 개의 탭이 표시됩니다.
    • 개요
    • 탐색
    • 인시던트 타임라인

    개요 탭

    개요 탭을 사용하여 보안 인시던트의 정보를 한 위치에서 봅니다. 다른 애플리케이션이나 콘솔을 열 필요가 없습니다.
    그림 9. 개요
    개요 탭
    개요 탭에 표시되는 타일은 사용자 지정할 수 있습니다. 필요에 따라 축소 및 확장할 수 있으며 그립 아이콘을 드래그하여 이동할 수 있습니다. 추가 옵션 아이콘을 클릭하여 타일을 삭제하거나 제목 텍스트를 변경합니다.
    그림 10. 개요 탭
    개요 탭 둘러보기.

    탐색 탭

    탐색 탭을 사용하여 개요 탭에 표시되는 타일을 구성합니다. 왼쪽 창에서 보려는 타일을 선택하고 아이콘을 클릭하기만 하면 됩니다. 고정된 타일은 개요 탭에 자동으로 나타납니다.
    그림 11. 노출 탭
    개요에 고정
    탐색 탭의 왼쪽 창에는 개요 탭에 표시할 수 있는 다양한 정보가 포함되어 있습니다. 예를 들어 옵저버블을 확장하여 관련 목록을 표시합니다.
    • 옵저버블
    • 위협 조회 결과
    • 보안 스캔 결과
    • 도메인 조회
    • 관찰 대상 보강

    추가적인 관련 목록은 사용자, 구성 항목인시던트에서 사용할 수 있습니다.

    인시던트 타임라인 탭

    추적을 위해 조사 중에 인시던트 타임라인 탭을 사용합니다. 보안 인시던트에 대해 작업이 수행될 때마다 시스템은 인시던트 타임라인에 기록합니다.
    • 작업 메모 추가 상자에 작업 메모를 입력하고 게시를 클릭하여 타임라인에 수동으로 작업 메모를 추가할 수도 있습니다.
    • 검색 상자를 사용하여 특정 타임라인 활동을 검색할 수 있습니다.
    • 활동 필터 아이콘을 사용하면 보려는 타임라인 활동 유형만 표시할 수 있습니다(예: 특정 분석가가 생성한 인시던트만).
    • 개요 탭에서 고정/고정 해제 아이콘을 사용하여 시던트 타임라인을 추가하거나 제거할 수 있습니다.
    그림 12. 인시던트 타임라인 탭
    인시던트 타임라인

    플레이북을 사용하여 보안 인시던트 처리

    내장된 보안 분석가 플레이북을 사용하여 특정 유형의 보안 위협을 단계별로 해결합니다. 예를 들어 분석가는 플레이북을 사용하여 악성 코드 활동으로 인한 피싱 공격 및 위협을 해결할 수 있습니다. 자세한 내용은 플레이북으로 보안 위협 해결 문서를 참조하십시오.