보안 인시던트 응답 이해

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • (SIR)을 사용하여 보안 인시던트 응답 초기 분석부터 방지, 근절 및 복구에 이르기까지 보안 인시던트의 수명주기를 관리합니다. Security Incident Response를 사용하면 분석가가 수행한 인시던트 대응 절차를 포괄적으로 이해하고 분석 기반 대시보드 및 보고를 통해 해당 절차의 추세와 병목현상을 이해할 수 있습니다.

    이 9분짜리 비디오를 시청하여 SIR 프로세스, 공격 차단 사용 보안 인시던트 응답 및 Explorer에서 보안 인시던트 응답 보안 활동 보기에 대해 알아봅니다.

    타사 사이버 보안 솔루션과의 기본 제공 통합 및 스토어의 ServiceNow 파트너 개발 통합을 통해 효율적이고 정확한 인시던트 대응을 위한 보안 자동화 및 오케스트레이션이 가능합니다.

    조사를 보호하고 보안 인시던트를 비공개 보안 인시던트 응답 로 유지하기 위해 시스템에 대한 액세스를 특정 보안 관련 역할 및 ACL로 제한하는 수단을 제공합니다. 비보안 관리자는 명시적으로 입장을 허용하지 않는 한 액세스를 제한할 수 있습니다.
    주:
    IT 시스템 관리자[admin]는 ServiceNow 사용자 역할을 가장할 수 있습니다. 그러나 Security Incident Response의 애플리케이션 관리자 역할이 있는 사용자를 가장하는 경우 관리자는 보안 인시던트 및 프로필 정보를 포함하여 해당 역할이 부여하는 기능에 액세스할 수 없습니다. 탐색 모음의 모듈과 애플리케이션에 대한 액세스도 제한됩니다. 또한 관리자는 Security Incident Response에 대한 애플리케이션 관리자 역할이 있는 사용자의 암호를 변경할 수 없습니다.

    SIR 정보 플로우

    Security Incident Response는 통합에서 조사, 해결 및 검토에 이르기까지 다음과 같은 정보 플로우를 사용합니다.

    그림 1. Security Incident Response 정보 플로우
    SIR 정보 플로우

    검색

    보안 인시던트는 다음과 같은 방법으로 기록하거나 만들 수 있습니다.
    • 보안 인시던트 양식에서
    • 내부적으로 생성되거나 경보 규칙을 통해 외부 모니터링 또는 취약성 추적 시스템에서 생성되거나 수동으로 생성된 이벤트에서
    • 외부 모니터링 또는 추적 시스템에서
    • 서비스 카탈로그에서 제출

    분석

    선택한 뷰(기본값, 비 IT 보안, 보안 ITIL 등)에 따라 보안 인시던트 양식에 영향을 받는 CI 및 영향을 받는 CI 그룹의 취약성, 인시던트, 변경, 문제, 작업의 조합이 표시될 수 있습니다. 시스템은 NIST(National Institute of Standards and Technology) 데이터베이스 또는 기타 타사 탐지 소프트웨어를 상호 참조하여 맬웨어, 바이러스 및 기타 취약성 영역을 식별할 수 있습니다. 보안 인시던트가 해결되면 인시던트를 사용하여 나중에 참조할 보안 지식베이스 문서를 만들 수 있습니다.

    영향을 받는 다른 시스템 또는 감염 가능성이 있는 비즈니스 서비스를 찾으려면 비즈니스 서비스 맵을 사용하여 추가 분석을 수행합니다.

    방지, 근절 및 복구

    취약성을 모니터링하고 분석할 때 작업을 생성하고 다른 부서에 할당할 수 있습니다. 비즈니스 서비스 맵을 사용하여 영향을 받는 모든 시스템, 문서, 활동, SMS 메시지, 브리지 호출 등에 대한 작업, 문제 또는 변경을 작성할 수 있습니다.

    검토

    인시던트가 해결된 후 종결 전에 다른 단계가 발생할 수 있습니다. 사후 인시던트 검토를 수행할 수 있습니다. 지식베이스 문서를 생성하면 향후 유사한 인시던트를 해결하는 데 도움이 될 수 있습니다. 중요한 인시던트는 사후 인시던트 해결 검토가 필요할 수 있습니다. 이 검토는 여러 형태를 취할 수 있습니다. 예:
    • 회의를 수행하여 인시던트에 대해 논의하고 응답을 수집합니다.
    • 인시던트의 각 범주 또는 우선순위에 맞게 설계된 해결 검토 질문 목록을 작성하여 인시던트를 담당한 팀에 배포합니다.
    • 인시던트 관리자는 직접 보고서를 작성하고 정보를 수집할 수 있습니다.
    다음을 포함하는 인시던트 해결 검토 보고서를 자동으로 생성할 수 있습니다.
    1. 수행된 작업 요약
    2. 타임라인
    3. 발생한 보안 인시던트의 유형
    4. 모든 관련 인시던트, 변경, 문제, 작업, CI 그룹
    5. 해결 상세 정보
    또한 자동화된 보안 사고 해결 검토 조사 시스템을 사용할 수 있습니다. 보안 인시던트에 할당된 모든 사용자의 이름을 수집하고 사용자 지정된 설문 조사를 보내 인시던트 처리에 대한 데이터를 수집합니다. 그런 다음 이 데이터를 생성된 보안 인시던트 검토 보고서에서 사용할 수 있으며, 보고서는 최종 초안으로 편집할 수 있습니다. 학습한 교훈과 향후 유사한 문제를 해결하기 위해 취해야 할 단계를 포함하는 유사한 데이터를 지식베이스 문서에 추가할 수 있습니다.

    스토어에서 앱 요청

    ServiceNow Store 웹 사이트를 방문하면 사용 가능한 모든 앱을 확인하고 스토어에 요청을 제출하는 방법에 대한 정보를 참조할 수 있습니다. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.

    Security Incident Response 용어

    에서 보안 인시던트 응답사용되는 용어는 다음과 같습니다.
    용어 정의
    활성 종결 또는 취소됨 상태가 아닌 보안 인시던트
    관리자 잠금 보안 관련 역할 및 ACL을 가진 직원에 대한 액세스를 제한하는 보안 인시던트 응답 기능입니다.
    인바운드 보안 요청 새 전자 배지 요청과 같이 영향이 적은 보안 수요에 대해 제출된 요청입니다.
    사후 인시던트 활동 관리 보안 인시던트의 원본 및 처리 검토. 최종 결과물은 수행된 모든 작업과 수행 이유를 문서화하는 사후 인시던트 보고서입니다.
    응답 작업 위협에 대응하여 동작을 추적하기 위해 보안 인시던트에 할당된 작업입니다.
    보안 인시던트 계산기 이해 미리 구성된 조건이 충족되면 레코드 값을 업데이트하는 데 사용되는 계산기입니다.
    보안 인시던트 트리맵 보안 인시던트 데이터를 중첩된 사각형 형태로 계층적으로 표시하는 차트 종류입니다.
    위협 조회 파일, URL 및 IP 주소에서 맬웨어를 검사하기 위해 보안 인시던트 카탈로그에서 제출된 요청입니다.
    취약성 검사 영향을 받는 자원(서버, 컴퓨터 및 기타 구성 항목)의 취약성을 검사하기 위해 보안 인시던트 양식에서 시작된 요청입니다.