조사 캔버스에서 타임라인 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 분석가는 TISC(위협 인텔리전스 보안 센터) 내 조사 캔버스의 타임라인 기능을 통해 조사 중에 엔터티와 관련된 타임라인 이벤트를 시각화, 생성 및 편집할 수 있습니다. 이 기능은 시간 분석의 효율성을 크게 향상시킵니다.

    시작하기 전에

    이 기능은 이벤트를 시간순 뷰로 표시하여 분석 프로세스를 간소화하고 빠른 의사 결정과 보다 효율적인 위협 대응도 지원합니다.

    필요한 역할: sn_sec_tisc.analyst

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터.
    2. 위협 분석가 워크벤치 아이콘을 선택합니다.
    3. 이동 조사 캔버스 > 모든 캔버스.
    4. 캔버스 기록을 선택합니다.
      캔버스 기록으로 이동하는 또 다른 옵션은 다음 단계와 같이 설명되는 케이스입니다.
    5. 옵션: 이동 케이스 관리 > 모든 케이스.
    6. 옵션: 케이스 기록을 엽니다.
      주:
      케이스를 만들 때 캔버스를 만들거나 기존 캔버스를 연결해야 합니다. 연결 후 타임라인 추가 옵션을 포함한 캔버스 작업을 사용자 인터페이스에서 자동으로 사용할 수 있습니다.
    7. 선택한 캔버스 기록의 조사 캔버스 섹션으로 이동합니다.
    8. 타임라인 표시 타임라인 표시 토글 아이콘을 선택하여 타임라인 섹션을 표시합니다.

      타임라인 섹션이 숨겨져 있으므로 타임라인 표시 옵션을 선택해야 합니다.

      그림 1. 조사 캔버스의 타임라인 보기 아이콘
      조사 캔버스에 타임라인 토글 표시

      다음 스크린샷은 조사 캔버스의 타임라인 구성요소를 보여줍니다.

      구성요소 번호 구성요소 이름 설명
      01 범위 표시기 현재 발생 중이거나 결정된 기간 동안 이전에 발생한 이벤트를 나타냅니다.
      02 이벤트 표시기 결정된 기간 동안 이벤트가 발생한 특정 순간을 나타내는 주석 라인
      03 아이콘 특정 이벤트 유형의 시각적 표현
      04 팝오버 타임라인을 선택하면 팝오버가 표시됩니다. 사용자가 타임라인 위로 마우스를 가져가면 도구 설명이 표시됩니다.
      05 그룹화된 이벤트 두 개 이상의 이벤트가 현재 뷰에서 너무 가깝게 배치되어 시각적으로 그룹화되면 자동으로 표시됩니다.
      06 통제 축소 타임라인 뷰를 타임라인의 이전 시간 및 이벤트로 이동
      07 통제 확대 타임라인 뷰를 나중 시간으로 이동하고 타임라인의 이벤트를 나중으로 이동합니다.
      08 타임라인 역방향 통제 시간을 따라 뒤로 이동하여 현재 뷰와 동일한 시간 범위를 표시합니다.
      09 범례 컨트롤 범례를 표시하거나 숨기는 드롭다운
      10 타임라인 레이블 뷰의 타임라인 섹션을 반영하기 위해 동적으로 변경되거나 업데이트되는 날짜 레이블
      11 타임라인 전달 통제 시간을 따라 앞으로 이동하며 현재 뷰와 동일한 시간 범위를 표시합니다.
      12 시작 날짜 케이스에 대해 이벤트가 열린 시작 날짜 및 시간입니다.
      13 종료 날짜 이벤트가 종료되는 종료 날짜 및 시간입니다. 시간은 분 및 시간으로 표시됩니다.

      타임라인 이벤트

    9. 시작 날짜종료 날짜를 선택합니다.
    10. 변경 내용을 적용하려면 적용 을 선택하고, 다른 타임라인을 선택해야 하는 경우 재설정 을 선택하여 재설정합니다.

      캔버스에는 여러 이벤트가 포함될 수 있습니다. 특정 기간 내의 특정 이벤트 또는 이벤트의 하위 집합에 초점을 맞추려면 원하는 날짜 범위를 설정하고 적용을 클릭합니다.

      적용되면 타임라인 뷰가 확대되어 필터링된 이벤트만 표시되므로 관련 활동을 집중적으로 분석하고 쉽게 조사할 수 있습니다.

      캔버스 관점에서 각 노드에는 여러 이벤트가 있을 수 있습니다. 노드를 선택하고 노드를 마우스 오른쪽 버튼으로 클릭하여 상세 정보 표시 또는 기록 오픈을 선택하면 애플리케이션에 해당 기록의 양식 뷰가 표시됩니다.

      캔버스 노드 상세 정보 표시

      또한 양식 내에서 타임라인 이벤트라는 항목이 추가된 관련 기록 섹션으로 이동합니다. 캔버스 시각화를 연결하는 특정 노드와 연결된 모든 타임라인 이벤트에 대한 상세 뷰가 제공됩니다.

      관련 기록 - 타임라인 이벤트

      타임라인 이벤트 섹션에서 선택한 노드와 연결된 이벤트를 볼 수 있습니다. 이 섹션을 사용하여 노드에서 이벤트를 추가 하거나 제거하는 옵션이 있습니다.

      캔버스 - 관련 기록에 타임라인 이벤트 추가

      이 기능을 사용하면 캔버스의 시각화를 보완하여 노드에 링크되는 이벤트를 직접 제어할 수 있습니다.

      중요사항:
      옵저버블에 대한 기본 이벤트: 특정 옵저버블에 대해 특정 이벤트가 자동으로 표시됩니다. 예를 들어 파일 옵저버블에는 처음 발견됨마지막으로 발견됨 필드가 포함됩니다.

      타임라인에 표시되는 필드를 결정하는 기본 시스템에 프로비저닝된 시스템 속성 sn_sec_tisc.timeline_node_fields 입니다.

      기본적으로 first_seen 및 last_seen 필드가 포함되어 있습니다. 요구 사항에 따라 이 속성을 수정하여 새 필드를 추가하거나 기존 필드를 제거할 수 있습니다.

      • 파일 옵저버블이 캔버스에 추가되면 기본적으로 이러한 이벤트가 표시됩니다.
      • 이러한 기본 이벤트는 구성에 의해 구동되지 않으며 옵저버블 기록에 채워진 값에 따라 자동으로 나타납니다.
      • 처음 발견됨마지막으로 발견됨에 값이 포함되어 있으면 추가 설정 없이 해당 이벤트가 캔버스에 표시됩니다.