이벤트 및 경보에서 생성되는 보안 인시던트
경보 모니터링 도구에서 이벤트를 임포트하면 이벤트가 먼저 경보에 의해 Event Management 처리되고 경보로 그룹화됩니다. 이러한 경고를 사용하여 사용자 지정 가능한 경고 규칙에 따라 보안 인시던트를 만들거나 수동으로 검토하여 보안 인시던트로 조사할 경고를 선택할 수 있습니다.
애플리케이션의 Event Management 모듈에서 경보 규칙중요 경보에서 보안 인시던트 만들기라는 샘플 경보 규칙을 찾을 수 있습니다. 이 경보 규칙은 중요한 보안 관련 이벤트가 타사 모니터링 애플리케이션 내에서 ServiceNow 또는 외부 공급업체 모니터링 애플리케이션에서 수신될 때 자동으로 보안 인시던트를 만듭니다. 보안 인시던트가 생성되면 새 이벤트가 수신될 때 업데이트됩니다. 경보 규칙에서 작업 템플릿을 수정하여 이 경보 규칙에 의해 생성된 보안 인시던트의 초기 값을 변경할 수 있습니다. 만들려는 다양한 보안 인시던트를 처리하기 위해 조건이 다른 다른 경고 규칙을 정의할 수 있습니다.
또는 보안 관리자 역할이 있는 사용자인 경우 의심스러운 경고에서 보안 인시던트 만들기 단추를 클릭하여 보안 인시던트를 수동으로 만들 수 있습니다.
외부 도구에서 받은 이벤트에는 다음 정보가 포함되어야 합니다.
- 영향을 받는 자원이 되는 CI의 이름, IP 주소 또는 sys_id로 설정된 노드입니다.
- 이벤트 분류는 다른 IT 이벤트와 구별하기 위해 보안으로 설정됩니다.
- 보안 인시던트에 대한 설명을 채우는 이벤트 설명입니다.
- 추가 정보에는 이전에 나열된 필드 또는 기타 이벤트 필드(예: 범주, 공격 벡터, 반환 URL 또는 상관관계 ID)에 맞지 않는 추가 정보가 포함될 수 있습니다. 형식은 다음 JSON 형식을 사용하여 필드 이름을 해당 값과 함께 나열하는 문자열입니다.
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
주:
각 필드 및 값 쌍에 대해 열 이름이 fieldName과 일치하는 보안 인시던트의 필드가 비어 있으면 fieldValue로 설정됩니다. 보안 인시던트의 필드가 비어 있지 않으면 변경되지 않습니다. 두 경우 모두, 이벤트 및 추가 정보에 인코딩된 모든 필드와 값은 이벤트를 설명하는 작업 메모 항목에 기록됩니다. 보안 인시던트에서 변경된 사항이 없으면 작업 메모 항목이 생성되지 않습니다. 테이블에 추가하는 사용자 지정 필드를 포함하여 보안 인시던트의 모든 필드를 설정할 수 있습니다.