보안 인시던트 종결 워크플로우
인시던트 상태를 업데이트하여 보안 인시던트를 종결합니다.
시작하기 전에
필요한 역할: sn_si.analyst
프로시저
-
종결 활동을 수행합니다.
이는 보안 인시던트를 종결하기 전에 작업을 검토하기 위한 필수 단계입니다. 모든 응답 작업은 분석가가 검토하고 보안 인시던트로 닫기 전에 닫거나 취소해야 합니다. 분석가가 활성 작업 검토를 클릭하면 사용자가 응답 작업 탭으로 이동합니다. 보안 인시던트를 닫는 중이라는 세션 메시지가 표시됩니다. 계속을 클릭합니다.
- 계속을 클릭합니다. 첫 번째 단계 – 활성 작업 검토 보안 인시던트 종결이 완료되었습니다.
그림 1. 종결 작업 검토 중 - 다음 단계로 이동하여 분석가가 검토할 활성 Playbook을 검토합니다(선택 사항). 링크를 클릭하여 활성 Playbook 작업을 검토하고 필요에 따라 종결할 수 있습니다. 주:보안 인시던트가 종결되면 모든 활성 워크플로우, Playbook 활동 및 플로우가 자동으로 취소됩니다.
그림 2. Playbook 작업 검토 - 사후 인시던트 검토 보고서: 이제 종결을 추가로 진행하기 위해 사후 인시던트 활동을 검토하도록 이동됩니다. 평가가 선택 사항인 경우 단계를 건너뛰거나 평가가 필수인 경우 평가를 수행하고 완료합니다.
그림 3. 검토/평가 받기 - 보고서 구성/미리 보기: 이 단계도 선택적 단계입니다. 링크를 클릭하여 보고서를 검토하고 다음 단계로 진행합니다.
- 해결 상세 정보 제공: 분석가는 지식 문서를 자동으로 생성하는 확인란을 선택할 수 있습니다.
- 종결 코드, 종결 메모를 입력하고 인시던트 종결을 클릭합니다.
주:분석가가 보안 인시던트 닫기 대화 상자를 취소하는 경우 분석가는 세부 정보 탭으로 이동하여 인시던트 상태를 닫기로 변경하여 닫기를 계속할 수 있습니다.