Carbon Black - 인시던트 보강 통합 시작하기

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • Carbon Black 인시던트 보강을 사용하면 로그에서 잠재적으로 악의적인 표시기를 쿼리하여 보안 인시던트를 쉽게 조사할 수 있습니다. Carbon Black - 인시던트 보강 통합을 사용하려면 먼저 Carbon Black - 인시던트 보강 통합을 다운로드하고 적절한 엔드포인트 기본 URL 및 MID Server를 추가해야 합니다 ServiceNow Store .

    시작하기 전에

    필요한 역할: sn_si_admin

    프로시저

    1. 에서 통합 다운로드 ServiceNow Store레이블이 표시됩니다.
    2. 다운로드가 완료되면 웹 사이트에 액세스 Carbon Black 하고 프로필에서 엔드포인트 기본 URL 및 API 토큰을 가져옵니다.
    3. 인스턴스에서 다음으로 이동합니다. Security Operations > 통합 > 통합 구성레이블이 표시됩니다.
    4. Carbon Black - 인시던트 보강 카드에서 구성을 클릭합니다.
      카본 블랙 인시던트 보강
    5. 필요에 따라, 필드를 채웁니다.
      필드 설명
      이름 이 구성의 이름입니다.
      엔드포인트 기본 Carbon Black 사이트에서 가져온 엔드포인트 URL입니다.
      링크 URL 사용 가능한 경우 Carbon Black 인스턴스에 연결되는 링크 URL입니다.
      API 토큰 Carbon Black 사이트에서 획득한 API 토큰입니다.
      최대 행 수 검색할 행의 최대 수입니다. 기본값은 1000행입니다.
      가장 빠른 결과(일) 일수 단위로 보려는 가장 빠른 결과입니다.
      이진 및 프로세스 검색 수행 이진 검색을 수행하여 파일 해시와 같은 이진 파일을 찾고 실행되었을 수 있는 .exe 프로세스에 대한 검색을 처리하려면 이 옵션을 선택합니다.
      검색 결과에 원시 데이터 샘플 포함 사이팅 검색 결과에 원시 데이터 샘플을 포함하려면 이 옵션을 선택합니다. 반환되는 데이터의 양은 보안 인시던트 응답 속성원시 데이터 속성의 행 수 설정에 따라 달라집니다.
      MID Server 활성 MID Server를 사용하려면 Any를 선택하거나 특정 MID Server 이름을 선택합니다.
      주:
      이 통합을 구성하면 워크플로우가 활성화됩니다. 워크플로우를 관리하려면 워크플로우 편집기로 이동합니다.
    6. 제출을 클릭합니다.
      통합 구성 카드가 표시됩니다.
    7. 통합 구성 카드의 원래 목록으로 돌아가려면 구성 표시 드롭다운 목록에서 아니요를 선택합니다.