설정 도우미 참조
설정 도우미는 기본 시스템을 설정 보안 인시던트 응답 하기 위해 수행해야 하는 단계를 안내합니다. 이 섹션에서는 추가 설명이 필요할 수 있는 복잡한 단계에 대한 추가 정보를 제공합니다.
프로세스 정의 생성 보안 인시던트 응답
프로세스 정의를 생성하여 보안 인시던트가 한 상태에서 다음 상태로 전환되는 방식을 정의할 수 있습니다. 프로세스 정의는 서비스 데스크와 최종 사용자가 전체 수명주기 동안 문제를 추적하는 데 도움을 줍니다.
시작하기 전에
필요한 역할: sn.si_admin
프로시저
Security Incident Response 프로세스 정의 이해
보안 인시던트 응답 프로세스 정의 상태 플로우를 대체하고 최종 사용자와 서비스 데스크에 문제의 상태를 제공합니다. 프로세스 정의는 수명 주기를 통해 문제를 추적하는 데 도움이 됩니다. 보안 인시던트 응답 는 자체 상태 세트가 있는 SM(Service Management) 애플리케이션입니다. 잘못된 상태는 의 프로세스 선택일부로 보고됩니다.
보안 인시던트 응답 프로세스 정의
| 상태 | 설명 |
|---|---|
| 초안 | 요청 개시자가 보안 인시던트에 대한 정보를 추가하지만 아직 작업할 준비가 되지 않았습니다. |
| 분석 | 인시던트가 할당되었고 문제를 분석하는 중입니다. |
| 포함 | 이 문제는 확인되었으며 보안 직원이 이를 억제하고 피해 통제를 수행하기 위해 노력하고 있습니다. 이러한 작업에는 서버를 오프라인으로 전환하고, 인터넷에서 장비 연결을 끊고, 백업이 있는지 확인하는 작업이 포함될 수 있습니다. |
| 근절 | 이 문제는 억제되었으며 보안 직원이 문제를 해결하기 위한 조치를 취하고 있습니다. |
| 복구 | 문제가 해결되었으며 영향을 받는 시스템의 운영 준비 상태를 확인하는 중입니다. |
| 검토 | 보안 인시던트가 완료되고 모든 시스템이 정상 작동 상태로 돌아왔지만 그래도 인시던트 사후 검토가 필요합니다. |
| 종결 | 인시던트가 완료되었지만 보안 인시던트를 종결하기 전에 종결 처리 정보 탭에서 정보를 입력해야 합니다. |
보안 인시던트 작업 프로세스 정의
다음 프로세스 정의는 보안 인시던트 작업에 사용됩니다.
| 상태 | 설명 |
|---|---|
| 준비 | 작업은 에이전트에 할당된 후 작업할 준비가 됩니다. |
| 할당됨 | 작업이 에이전트에 할당됩니다. |
| 작업 진행 중 | 할당된 에이전트가 작업을 진행 중입니다. |
| 완료 | 작업이 완료되었습니다. |
| 취소됨 | 작업이 취소되었습니다. |
NIST는 다음 두 가지 모델을 지원합니다.
- NIST 상태 저장
이 프로세스 정의를 사용하면 분석가가 단계를 건너뛰지 않고 순차적으로 한 상태에서 다른 상태로 이동할 수 있습니다. 예를 들어, 분석가가 초안 상태로 시작하는 경우 이 프로세스 정의의 순차적 순서는 초안>분석>포함>근절>복구입니다. 따라서 NIST 상태 저장 프로세스 정의는 단방향이며 분석가가 정방향 상태로만 진행할 수 있도록 합니다.
또 다른 예로, 분석가가 분석 상태로 시작하는 경우 이 프로세스 정의의 순차적 순서는 분석>포함>근절>복구입니다.
- NIST 오픈
이 프로세스 정의를 통해 분석가는 앞으로 또는 뒤로 한 상태에서 다른 상태로 이동할 수 있습니다. 예를 들어 분석가가 분석 상태로 시작하는 경우 프로세스 정의의 순서는 분석>포함>근절>복구 또는 분석>초안일 수 있습니다. 따라서 NIST 오픈 프로세스 정의는 양방향이며 분석가가 요구 사항에 따라 정방향 또는 역방향 상태로 이동할 수 있도록 합니다.
보안 인시던트 응답 프로세스 선택
프로세스 선택 보안 인시던트 및 응답 작업에 대해 잘못된 상태의 프로세스를 나열합니다.
관리자는 수동으로 또는 스크립트를 사용하여 인시던트나 작업을 유효한 상태로 수정할 수 있습니다. 비어 있는 관련 목록(인시던트 없음, 작업 없음)은 모든 활성 작업이 유효한 상태임을 나타냅니다. 사용 가능한 상태는 인시던트의 현재 상태에 따라 다릅니다. 자세한 내용은 프로세스 정의를 사용하여 잘못된 보안 인시던트 또는 작업 상태 정정 문서를 참조하십시오.
보안 인시던트 응답 프로세스 정의 선택
회사 보안 인시던트 및 응답 작업에 적합한 상태에 사용할 프로세스 정의를 선택할 수 있습니다.
시작하기 전에
이 태스크 정보
프로시저
-
검색 아이콘을 클릭하여 사용 가능한 프로세스 정의를 나열합니다.
사용자 지정 보안 인시던트 응답 프로세스 정의 스크립트 포함 만들기
회사 보안 인시던트 및 응답 작업에 적합한 상태에 대한 사용자 지정 프로세스 정의 스크립트를 만듭니다.
시작하기 전에
이 태스크 정보
프로시저
-
필드에 적절한 정보를 입력합니다.
표 4. 프로세스 정의 작성 필드 설명 이름 이 스크립트 포함의 이름. API 이름 스크립트 포함의 이름을 기반으로 생성됩니다. 클라이언트 호출 가능 스크립트 포함을 클라이언트 스크립트, 목록 및 보고서 필터, 참조 한정자 또는 지정된 경우 URL의 일부로 사용할 수 있도록 합니다. 애플리케이션 보안 인시던트 다음에서 접근 가능 이 애플리케이션 범위만 를 선택합니다. 활성 선택하면 프로세스 정의 페이지에서 이 스크립트 포함을 선택할 수 있습니다. 설명 스크립트에 대한 유용한 정보는 다음과 같습니다. 스크립트 다른 스크립트에서 호출될 때 실행할 서버 측 스크립트를 정의합니다. 스크립트는 단일 JavaScript 클래스 또는 전역 함수를 정의해야 합니다. 클래스 또는 함수 이름이 이름 필드와 일치해야 합니다.
스크립트 내용에 대한 자세한 내용은 을 참조하십시오 프로세스 정의 스크립트 포함.
프로세스 정의 스크립트 포함
프로세스 정의 스크립트 포함은 프로세스 정의를 정의하기 위한 메서드를 제공합니다.
여기에 설명된 상수, 특성, 배열 및 메서드 호출을 구현하여 프로세스 정의 스크립트 포함을 사용자 지정합니다.
사용처
이 스크립트 포함을 사용하여 프로세스 정의를 생성합니다.
스크립트 포함 본문
- 상수: 초기 상태 정의
- 보안 인시던트 및 응답 작업: 프로세스 정의 배열
- 메서드 호출: 정보 검색
상수
상수는 보안 인시던트 및 응답 작업의 초기 상태를 정의하는 데 사용됩니다.
INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,
나중에 다음 방법으로 사용됩니다.
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},다음 상수 집합은 보안 인시던트와 응답 작업 모두의 상태를 정의합니다.
각 배열에는 인시던트 또는 작업이 특정 상태일 때 사용할 수 있는 상태에 대한 정의도 포함되어 있습니다.
TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
{state:10, label:"Ready", choice:[10, 16]},
{state:16, label:"Assigned", choice:[16, 18]},
{state:18, label:"Work in Progress", choice:[18, 3]},
{state:3, label:"Close Complete", choice:[]},
{state:7, label:"Cancelled", choice:[]},
],예제는 객체 배열입니다. 각 개체는 상태와 가능한 전환 상태를 정의합니다.
상태 객체의 순서에 따라 원하는 플로우 순서가 결정됩니다.
작업이 '초안' 상태(값 1)일 때 가능한 상태는 1(초안, 변경 없음) 및 10(준비, 프로세스의 다음 단계)입니다.
상태를 벗어나는 전환 횟수에는 제한이 없습니다. '완료 종결' 및 '취소됨' 상태는 최종 상태이므로 가능한 상태 전환이 없습니다.
개체의 특성 순서는 중요하지 않습니다. 정의가 더 명확해지면 레이블을 먼저 배치하십시오.
속성
- state: 상태의 숫자 값
- 레이블: 상태와 관련된 읽을 수 있는 텍스트
- choice: 상태가 전환할 수 있는 상태 값의 배열(상태 드롭다운의 내용을 결정함)
- 필수: 이 상태에서 필수가 되는 필드 ID의 목록
- readonly: 이 상태에서 읽기 전용이 되는 필드 ID의 목록
- visible: 이 상태로 표시되는 필드 ID의 목록
- notmandatory: 이 상태에서 필수가 아닌 필드 ID의 목록
- notvisible: 이 상태에서 더 이상 표시되지 않는 필드 ID의 목록
선택적 특성이 사용되는 경우 상태 간에 필드가 표시/숨김, 필수/비필수, 표시/숨김 또는 읽기 전용으로 적절하게 설정되도록 하는 것은 작성자의 책임입니다.
예를 들어, 'visible' 속성을 사용하지 않는 한 한 상태에서 필드를 숨기면 나중에 다른 상태로 표시되지 않습니다.
프로세스 플로우 정의 배열
프로세스 플로우 포매터(보안 인시던트 및 응답 작업 양식의 맨 위에 있는 막대)에 표시되는 정보를 정의하려면 시스템이 각 상태에 대해 표시할 내용에 대한 정보를 요구합니다.
TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
{label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
{label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
{label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
{label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],TASK_PF 배열은 프로세스 포매터 막대에 표시되는 텍스트(순서 및 활동 포함)를 결정하는 데 사용되는 레이블, 조건 및 설명의 모음입니다.
이 예에서 '준비' 텍스트는 표시되는 두 번째 항목입니다. 작업이 'state=10^EQ' 조건을 충족하면 강조 표시됩니다.
포인터를 텍스트 위로 가져가면 '보안 인시던트 응답 작업을 할당할 준비가 되었습니다'라는 설명이 표시됩니다.
상태를 단일 포매터 상태로 결합할 수 있습니다.
이 예에서는 '완료 종결' 상태와 '취소됨' 상태 모두 상단 표시줄에 '종결'로 표시됩니다.
메서드 호출
| 수익 유형 | 방법 요약 | 설명 |
|---|---|---|
| 문자열 | getInitialIncidentState: 함수() | 초기 인시던트 상태 숫자 값 반환 |
| 문자열 | getInitialTaskState: 함수(): | 초기 작업 상태 숫자 값 반환 |
| 문자열 배열 | getIncidentStates: 함수(): | 인시던트 상태의 배열 반환 |
| 문자열 배열 | getTaskStates: 함수(): | 작업 상태의 배열 반환 |
| 객체 배열 | getIncidentProcessFlows: 함수(): | 인시던트 프로세스 플로우 정의 배열 반환 |
| 객체 배열 | getTaskProcessFlows: 함수(): | 작업 프로세스 흐름 정의 배열 반환 |
다음 메서드 집합은 인시던트나 작업이 업데이트될 때마다 호출되며 특정 변경 전환에 대해 작업을 수행할 수 있도록 합니다.
| 수익 유형 | 방법 요약 | 설명 |
|---|---|---|
| void | performIncidentStateChange: 함수(현재, 이전) | 이 예시에서 이 방법은 SM 관련 값을 설정하고 누군가가 할당되면 인시던트가 '초안'에서 벗어나도록 하는 데 사용됩니다. |
| void | performTaskStateChange: 함수(현재, 이전) | 이 예에서 이 방법은 타임스탬프(할당 및 종결 시)를 업데이트하고 assigned_to 필드가 채워지면 작업을 '준비'에서 '할당됨'으로 진행하는 데 사용됩니다. |
프로세스 정의를 사용하여 잘못된 보안 인시던트 또는 작업 상태 정정
관리자는 수동으로 또는 스크립트를 사용하여 보안 인시던트 또는 작업을 유효한 상태로 수정할 수 있습니다. 사용 가능한 상태는 인시던트의 현재 상태에 따라 다릅니다.
시작하기 전에
이 태스크 정보
상태를 대량으로 변경하려면 다음을 수행합니다.
프로시저
-
첫 번째 기록에서 상태 필드를 두 번 클릭하고 새 상태를 선택한 다음 녹색 확인 표시(
)를 클릭하여 변경을 완료합니다.
보안 인시던트 그룹 생성
보안 인시던트 그룹을 설정하고 적절한 역할과 사용자를 그룹에 할당합니다.
시작하기 전에
- user_admin 역할이 있는 경우 보안 인시던트 할당 그룹을 생성할 수 있습니다.
- sn_si.admin 역할이 있는 경우 보안 인시던트 할당 그룹을 만들고 편집할 수 있습니다.
이 태스크 정보
조직에서 필요한 만큼 그룹을 생성하는 것이 좋습니다. 또한 관리자용 그룹을 하나 생성하고 이 그룹에만 관리자 역할을 할당하는 것이 좋습니다.
프로시저
-
이 그룹에 대한 보안 인시던트 유형을 선택해야 합니다.
- 유형 필드가 표시되지 않으면 유형을 추가하도록 양식을 구성합니다.
- 유형 필드 옆에 있는 잠금 아이콘을 클릭합니다.
-
참조 조회 아이콘(조회
)을 클릭합니다.
- 보안 인시던트 유형을 검색하여 선택합니다.
보안 인시던트 계산기 그룹 생성
보안 인시던트 계산기 그룹은 계산기를 그룹화하는 데 사용됩니다.
시작하기 전에
프로시저
보안 인시던트 계산기 생성
보안 인시던트 계산기를 사용하면 미리 정의된 수식에 따라 보안 인시던트의 심각도를 계산할 수 있습니다. 필요한 경우 보안 인시던트 계산기를 직접 정의할 수 있습니다.
시작하기 전에
프로시저
보안 인시던트 계산기 이해
보안 인시던트 계산기는 미리 정의된 조건이 충족될 때 기록 값을 업데이트하는 데 사용됩니다. 계산기는 레코드 업데이트 방법을 결정하는 데 사용되는 기준에 따라 그룹화됩니다.
기본 시스템에는 보안 인시던트 응답 다음과 같은 보안 인시던트 계산기 그룹 및 계산기가 포함됩니다. 각 그룹 내에서 조건을 만족하는 첫 번째 계산기를 실행합니다.
| 보안 인시던트 계산기 그룹 이름 | 그룹에 포함된 계산기 | 설명 |
|---|---|---|
| 비즈니스 영향 | 심각도 계산기의 집계 | 이 계산기는 다른 필드 값의 값에 가중치를 부여하여 중요도를 결정하는 보안 중요도 계산기에 위임합니다. |
| 심각도 | 영향을 받은 비즈니스 | 이 심각도 계산기는 간단한 조건 작성기를 사용하여 선택 기준을 정의합니다. |
| 중요한 서비스가 영향을 받음 | 이 심각도 계산기는 고급 조건을 사용하여 선택 기준을 정의합니다. 보안 인시던트의 구성 항목이 매우 중요한 비즈니스 서비스와 연결된 경우 위험 점수, 비즈니스 영향 및 우선순위 필드가 계산기에 정의된 대로 상승됩니다. |
|
| 중요 서비스 변경 | 이 심각도 계산기는 고급 조건을 사용하여 선택 기준을 정의합니다. 보안 인시던트가 조건을 충족하면 스크립트가 실행되어 필드 상승 수준을 정의합니다. 보안 인시던트의 구성 항목이 가장 중요하거나 상당히 중요한 비즈니스 서비스와 관련된 경우 위험 점수, 비즈니스 영향 및 우선순위 필드가 계산기에 정의된 대로 상승됩니다. |
|
| 다중 공격 벡터 | 이 심각도 계산기는 간단한 조건 작성기를 사용하여 선택 기준을 정의합니다. 보안 인시던트의 구성 항목이 웹, 이메일 및 가장 공격 벡터와 연결된 경우 위험 점수, 비즈니스 영향 및 우선순위 필드가 계산기에 정의된 대로 상승됩니다. |
|
| 범주 및 서비스로 우선순위 설정 | 이 심각도 계산기는 고급 조건 작성기를 사용하여 선택 기준을 정의합니다. 다음 조건이 충족되면 보안 인시던트 우선 순위가 1 - 중요 로 설정됩니다.
주: 이 계산기는 Starter Security Operation 가격 책정 계층이 있는 경우 기본 시스템에서 사용할 수 있습니다. |
|
| 옵저버블로 우선순위 설정 | 이 심각도 계산기는 고급 조건 작성기를 사용하여 선택 기준을 정의합니다. 다음 조건이 충족되면 보안 인시던트 우선 순위가1 - 중요 로 설정됩니다.
주: 이 계산기는 Advanced Security Operation 가격 책정 계층이 있고 Threat Feeds 플러그인을 활성화하는 경우 기본 시스템에서 사용할 수 있습니다. |
|
| 사용자 중요도 | 사용자 중요도 가져오기 | 이 심각도 계산기는 간단한 조건 작성기를 사용하여 선택 기준을 정의합니다. 이 심각도 계산기를 사용하면 부서 필드가 재무로 변경될 때 사용자 비즈니스 중요도가 1 - 중요로 변경됩니다. |
| 사용자 그룹 중요도 가져오기 | 이 심각도 계산기는 고급 조건 작성기를 사용하여 선택 기준을 정의합니다. 이 심각도 계산기는 관련 목록의 데이터에 대해 실행되는 계산기의 예를 제공합니다. |
심각도 계산기
보안 인시던트를 생성할 때 위험 점수, 비즈니스 영향 및 우선순위 필드에 기본값이 포함됩니다. 인시던트를 저장하면 비즈니스 규칙에서 각 활성 심각도 계산기에 정의된 조건에 대해 보안 인시던트의 정보를 자동으로 확인합니다. 이러한 보안 계산기는 각 계산기의 주문 필드에 정의된 순서대로 한 번에 하나의 보안 계산기에서 확인됩니다. 보안 인시던트의 정보가 계산기 중 하나에 정의된 조건과 일치하면 계산기에 설정된 규칙에 따라 심각도 필드 값이 업데이트됩니다.
예를 들어 영향을 받는 CI에 대한 보안 인시던트를 만들고 해당 CI가 매우 중요하다고 가정합니다. 보안 인시던트가 저장되면 CI 정보가 심각도 계산기에 정의된 조건과 비교됩니다. 중요 서비스의 영향을 받는 심각도 계산기에 대해 보안 인시던트의 유효성을 검사하면 심각도 필드가 자동으로 업데이트되고 다음과 유사한 메시지가 보안 인시던트 상단에 표시됩니다.
- [공격 벡터] [내용] [웹]
- [공격 벡터] [내용] [이메일]
- [사업단위] [내용] [금융]
또한 기록을 열고 심각도 계산 관련 링크를 클릭하여 언제든지 기존 보안 인시던트의 심각도 값을 업데이트할 수 있습니다.
보안 인시던트 위험 점수 계산기
범주 및 서비스로 우선순위 설정 및 옵저버블로 우선순위 설정 계산기는 보안 인시던트에 대한 위험 점수를 계산하는 데 사용됩니다.
사용자 중요도 계산기
사용자 중요도 그룹의 두 계산기(사용자 중요도 가져오기 및 사용자 그룹 중요도 가져오기)는 사용자 기록에 정의된 기준 또는 사용자가 속한 그룹에 따라 중요도를 높일 수 있는 방법의 예시를 제공합니다.
필요에 따라 편집하거나 새 사용자 중요도 계산기를 만들 수 있습니다.
사용자 중요도 가져오기 계산기는 부서 필드가 재무로 변경될 때 사용자 비즈니스 중요도가 1 - 중요로 변경되도록 합니다.
var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].보안 인시던트 위험 점수 계산
위험 점수는 보안 인시던트의 우선순위, 보안 인시던트 유형(서비스 거부, 스피어 피싱 또는 악성 코드 활동) 및 표시기에서 실패한 평판 점수를 트리거한 소스 수를 기준으로 위험을 나타내는 산술 평균으로 계산됩니다.
위험 점수는 분석가의 보안 인시던트 작업 우선순위를 지정하는 데 도움이 됩니다.
- 심각도 계산
- 위험 점수 업데이트
- SI 위험 점수 업데이트
예를 들어 보안 인시던트의 비즈니스 영향 이 2-높음 으로 설정되고 우선순위 가 3-보통으로 설정된 경우 위험 점수 가중치 테이블의 각 가중치를 조회하여 다음과 같이 계산합니다.
값이 2인 보안 인시던트 비즈니스 영향 = 가중치 60.
값이 3인 보안 인시던트 우선순위 = 가중치 40
(60 + 40)/2 = 위험 점수 50.
그런 다음 보안 인시던트 목록에서 보안 인시던트의 위치는 업데이트된 위험 점수에 따라 순서가 변경됩니다.
- 보안 인시던트 양식에 대한 비즈니스 영향
- 보안 인시던트 양식 우선순위
- 보안 인시던트 양식의 심각도(기본적으로 숨겨짐)
- 영향을 받는 사용자 관련 목록에 대한 비즈니스 영향
- 영향을 받는 서비스 관련 목록에 대한 비즈니스 영향
- 취약한 항목 관련 목록의 취약성에 대한 비즈니스 영향
- 영향을 받는 사용자와 보안 인시던트 간의 연결이 만들어지거나 수정된 경우
- 영향을 받는 서비스와 보안 인시던트 간의 연결이 만들어지거나 수정되는 경우
- 취약한 항목과 보안 인시던트 간의 연결이 생성되거나 수정된 경우
위험 점수 가중치 양식에서 모든 위험 점수 업데이트 및 모든 위험 점수 지우기를 클릭할 때마다 작업 메모도 업데이트됩니다.
위험 점수 가중치 유지
보안 인시던트에서 위험 점수를 계산하는 데 사용되는 위험 점수 가중치는 개별적으로 제거하거나 업데이트할 수 있습니다. 또한 모든 보안 인시던트에 대해 제거하거나 업데이트할 수 있습니다. 보안 인시던트에서 이를 제거하는 기능은 가중치 값을 변경할 때 유용합니다.
시작하기 전에
프로시저
보안 인시던트 응답 SLA 생성
에 대한 서비스 수준 계약(SLA)을 보안 인시던트 응답정의할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.admin
프로시저
보안 인시던트 SLA 복구
SLA 기록을 복구하여 SLA 타이밍 및 기간 정보가 정확해지도록 할 수 있습니다.
시작하기 전에
프로시저
-
양식 헤더 컨텍스트 메뉴를 클릭하고 SLA 복구를 선택합니다.
보안 인시던트 응답 Runbook 만들기
Runbook은 게시된 지식 문서와 특정 작업 간의 연결입니다. 작업을 수행하는 동안 Runbook의 지식 문서가 자동으로 열리고 작업과 관련된 정보가 제공됩니다.
시작하기 전에
필요한 역할: sn.si.knowledge_admin
이 태스크 정보
프로시저
사용자가 보고한 피싱 공격의 유효성을 검사하는 규칙 만들기
직원이 피싱 공격으로 보이는 이메일을 받으면 피싱 이메일 주소를 사용하여 보고할 수 있습니다. 의심스러운 이메일은 조직에서 정의한 규칙을 사용하여 확인됩니다.
시작하기 전에
- acme+phishing@service-now.com 와 같은 이메일 주소를 정의합니다. +피싱 태그는 필터링을 활성화하기 위해 SMTP에서 지원되며 인스턴스는 SMTP로 전송된 이메일을 받을 수 있습니다.
- phishing@acme.com(Exchange 사서함)와 같은 전자 메일 주소를 정의하면 이 주소를 acme+phishing@service-now.com(메일 전달 규칙을 통해 정의된 인스턴스 사서함)로 전달합니다.
필요한 역할: sn_sec_cmn.write
이 태스크 정보
직원이 의심스러운 이메일을 발견하면 피싱 이메일 주소에 첨부 파일로 전달해야 합니다. 첨부된 이메일이 위협을 정의하는 규칙과 일치하면 보안 인시던트가 생성됩니다.