인시던트 통합 규칙 생성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 인시던트 통합 규칙을 생성하여 성격이 유사한 여러 인시던트를 하나의 상위 인시던트 아래에 통합합니다.

    시작하기 전에

    필요한 역할:
    • sn_dlir.admin - 생성, 편집 및 삭제
    • sn_dlir.analyst 및 sn_dlir.analyst_read - 보기(읽기 전용)

    이 태스크 정보

    DLP 관리자는 이러한 인시던트 통합 규칙을 정의하여 동일한 특성의 DLP 인시던트를 하나의 상위 인시던트 아래에 자동으로 통합합니다. DLP 인시던트 통합 규칙을 사용하면 통합 기간 및 통합 식별에 제공된 구성에 따라 DLP 인시던트를 통합할 수 있습니다.

    주:

    통합된 인시던트가 생성되면 상위 DLP 인시던트의 하위 인시던트가 됩니다. 통합된 인시던트의 심각도가 상위 인시던트의 심각도보다 높으면 상위 인시던트 심각도가 하위 인시던트와 일치하도록 업데이트됩니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 관리 > DLP 인시던트 통합 규칙.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. DLP 할당 규칙 양식
      필드 설명
      이름 인시던트 통합 규칙의 이름입니다.
      활성 인시던트 통합 규칙이 활성 상태인지 여부를 나타내는 옵션입니다.
      실행 순서

      인시던트 통합 규칙 우선순위입니다. 이 필드는 두 개 이상의 규칙이 트리거 조건을 공유할 때 인시던트 통합 규칙이 실행되는 순서를 나타냅니다.

      가장 낮은 수의 인시던트 통합 규칙이 가장 높은 우선순위를 갖습니다. 작업 순서를 설정하려면 값을 입력합니다. 예를 들어 100, 200, 300 등의 값을 입력합니다.

      기본값은 100입니다.
      설명 인시던트 통합 규칙에 대한 고유한 설명입니다.
      조건 조건 작성기의 조건입니다. 이러한 조건은 DLP 인시던트 테이블을 기반으로 합니다. 인시던트 통합 규칙에 대한 조건을 작성하려면 인시던트 필드를 선택합니다.

      조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.

      조건을 더 추가하려면 AND 또는 OR을 클릭합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 두 조건을 일치시킬 수 있습니다.

      두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.

      예를 들어 조건을 통합 소스, 포함, Symantec으로 선택하여 이 인시던트 통합 규칙의 조건을 설정할 수 있습니다.

      주:
      조건 작성기의 조건은 대/소문자를 구분합니다.
      통합 기간 인시던트 통합 기간을 설정하는 옵션입니다.

      선택한 필드에 대해 동일한 값이 있는 이 기간의 인시던트는 첫 번째 인시던트 아래에 통합됩니다. 이 규칙과 일치하는 첫 번째 인시던트가 상위 인시던트가 되고 나머지 인시던트는 하위 인시던트가 됩니다.
      인시던트 통합 기준 여러 인시던트에 대해 선택한 필드에 동일한 값이 있는 경우 DLP 인시던트 필드를 선택하여 인시던트를 통합합니다.

      하나 이상의 필드를 선택합니다. 하나 이상의 필드를 선택합니다.

      다음 예는 Symantec 통합을 위한 인시던트 통합이라는 이름의 인시던트 통합 규칙을 보여줍니다. 조건 작성기에는 통합 소스가 Symantec이어야 합니다. 조건 기간 옵션이 1시간으로 설정되고 인시던트 통합 기준에 대해 정책 이름 옵션이 선택됩니다.

      Symantec DLP 인시던트 수집 시 이 규칙이 실행되며, 여러 인시던트의 정책 이름이 동일한 경우 이 규칙과 일치하는 첫 번째로 수집된 인시던트 아래에 인시던트가 통합됩니다.

    4. 제출을 클릭합니다.
      통합 규칙에 따라 통합된 인시던트는 DLP 분석가 작업 공간의 하위 인시던트 목록에서 사용할 수 있습니다.