위협 분석가 워크벤치를 사용하여 케이스 생성
케이스는 조직을 위협하는 캠페인 또는 위협 액터에 대한 정보를 추적하는 데 사용됩니다. 케이스가 생성되면 단일 케이스 또는 케이스 작업의 모든 관련 정보를 검토하고 분석할 수 있는 아티팩트를 추가할 수 있습니다.
시작하기 전에
필요한 역할: sn_sec_tisc.analyst, sn_sec_tisc.admin
프로시저
- 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터.
- 위협 분석가 워크벤치 아이콘을 클릭합니다.
-
이동 케이스 관리 > 모든 케이스.
모든 케이스가 표시됩니다.
- 새로 만들기를 클릭합니다.
-
필드에 적절한 정보를 입력합니다.
표 1. 새 케이스 작성 필드 설명 케이스 ID 케이스의 고유 식별자입니다. 시스템에서 생성된 ID입니다. 짧은 설명 조사 중인 요청이나 문제에 대한 요약 또는 간단한 설명입니다. 설명 배경, 필요한 분석, 예상 결과 등 케이스에 대한 관련 정보를 포함하는 자세한 설명입니다. 케이스 유형 조사 중인 케이스 유형을 선택합니다. 조사에 사용할 수 있는 옵션은 다음과 같습니다. - 위협 헌팅
- 정보 요청
- 취약성 관리 케이스
- 규정 준수 케이스
- 인시던트 응답 케이스
- 공동 작업 케이스
- 기타
우선순위 요청 또는 문제의 심각도에 대한 평가입니다. 할당 그룹 케이스 작업에 책임이 있는 할당된 그룹입니다. 상태 케이스의 현재 상태입니다. 할당 대상 케이스 작업을 담당하는 분석가입니다. 기한 작업을 완료하거나 종결해야 하는 날짜 및 시간입니다. 기고자 작업에서 롤업된 담당자 목록으로, 그 위에 추가할 수 있어야 합니다. TLP TLP당 데이터 민감도 설정을 나타내는 고유 값입니다. 감시 목록 사용자가 감시 목록에 추가되면 상태 및 우선순위 변경에 대한 이메일 알림을 받게 됩니다. 제한 강화 허용된 그룹 및 허용된 구성원의 구성원을 수정하려면 이 확인란을 선택합니다. 자세한 내용은 케이스에 대한 제한 적용 문서를 참조하십시오. -
인사이트 섹션의 필드에 적절한 정보를 입력합니다.
표 2. 인사이트 필드 설명 메모 위협 조사와 관련된 추가 메모입니다. 권장 사항 또는 작업 위협 조사와 관련된 권장 사항 또는 작업입니다. 분석 및 결과 위협 조사와 관련된 분석 및 결과를 입력합니다. 종결 요약 결과의 종결 요약을 추가합니다. -
저장을 클릭합니다.
기록이 저장된 후 인텔리전스 임포트 탭을 클릭하면 인텔리전스 임포트 기능을 사용하여 위협 인텔리전스 데이터를 임포트할 수 있습니다.주:케이스 관리에서 데이터를 임포트하고 처리하는 경우 고유한 항목이 임포트 기록과 연결됩니다.