타임라인에 대한 사용자 지정 이벤트 유형 구성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 조사 캔버스의 타임라인 구성요소는 선택한 엔터티와 관련된 모든 이벤트를 시간대별로 보여줍니다. 이 기능을 통해 분석가는 시간 경과에 따른 작업, 업데이트 및 변경 사항을 추적하여 엔터티 활동에 대한 포괄적인 기록 관점을 제공할 수 있습니다. 결과적으로 효과적인 시간적 위협 분석을 지원합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    이 태스크 정보

    관리자는 사용자 지정 이벤트 유형을 구성하여 타임라인을 조직의 조사 요구에 맞춰 관련 이벤트를 강조 표시하고 임시 위협 분석을 개선할 수 있습니다.

    분석가는 인텔리전스 기록과 관련된 이벤트를 추가, 편집 또는 제거할 수 있습니다. 또한 타임라인은 각 캔버스에 대한 사용자별 날짜 범위를 보존하여 일관되고 상세한 분석 환경을 제공합니다. 자세한 내용은 캔버스에 타임라인 이벤트 추가 문서를 참조하십시오.

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 관리 > 노드맵 통제 > 타임라인 사용자 지정 이벤트 유형.
    2. 새로 만들기를 선택합니다.
    3. 필드에 적절하게 입력합니다.
      필드설명
      이벤트 이름 타임라인에 기록된 특정 활동 또는 이벤트 발생을 식별하는 고유한 이름입니다.

      이는 각 이벤트의 기본 레이블 역할을 하여 생성된 노드, 업데이트된 상태 또는 추가 세부 정보를 빠르게 이해하는 데 도움이 됩니다.
      설명 이벤트의 컨텍스트를 제공하기 위한 이벤트 유형의 설명입니다.
      상태 타임라인에서 이벤트의 현재 상태를 나타냅니다.
      아이콘 이 유형의 이벤트를 시각적으로 나타내기 위해 타임라인에 나타나는 아이콘입니다.
      색상 타임라인에서 이벤트를 나타내는 아이콘의 색상을 지정합니다.
    4. 사용자 지정 타임라인 이벤트 구성을 저장합니다.
      주:
      기본적으로 사용자 지정 타임라인 이벤트는 이벤트를 수동으로 사용하도록 설정할 때까지 사용되지 않습니다.
    5. 타임라인 이벤트 구성 섹션으로 이동하여 객체 또는 옵저버블을 추가하거나 제거합니다.
      타임라인 구성
    6. 객체 또는 옵저버블에 대한 엔터티 및 적용 가능한 테이블을 추가하거나 편집하려면 추가 를 선택합니다. 즉, 이제 타임라인이 적용되는 테이블을 지정할 수 있습니다.
    7. 엔터티를 선택합니다.
      객체 또는 옵저버블을 추가하도록 선택할 수 있습니다. 객체를 선택하면 애플리케이션에 연결된 모든 해당 테이블이 표시됩니다. 필요에 따라 항목을 추가하거나 제거하여 목록을 수정할 수 있습니다.

      타임라인 이벤트 구성 섹션에서 포함된 테이블 필드는 각 이벤트가 적용되는 특정 기록 유형을 나타냅니다. 예를 들어 이벤트가 해당 취약성에 더 이상 적용되지 않아야 하는 경우 관리자는 취약성과 같은 엔터티를 목록에서 제거할 수 있습니다. 취약성 유형의 엔터티가 제거되면 해당 취약성에 대한 이벤트가 더 이상 트리거되지 않습니다.

      주:

      옵저버블에 대한 기본 이벤트: 특정 옵저버블에 대해 특정 이벤트가 자동으로 표시됩니다. 예를 들어 파일 옵저버블에는 처음 발견됨마지막으로 발견됨 필드가 포함됩니다.

      타임라인에 표시되는 필드를 결정하는 기본 시스템에 프로비저닝된 시스템 속성 sn_sec_tisc.timeline_node_fields 입니다.

      기본적으로 first_seen 및 last_seen 필드가 포함되어 있습니다. 요구 사항에 따라 이 속성을 수정하여 새 필드를 추가하거나 기존 필드를 제거할 수 있습니다.

      • 파일 옵저버블이 캔버스에 추가되면 기본적으로 이러한 이벤트가 표시됩니다.
      • 이러한 기본 이벤트는 구성에 의해 구동되지 않으며 옵저버블 기록에 채워진 값에 따라 자동으로 나타납니다.
      • 처음 발견됨마지막으로 발견됨에 값이 포함되어 있으면 추가 설정 없이 해당 이벤트가 캔버스에 표시됩니다.
    8. 저장을 선택하여 변경 내용을 확인합니다.
      이 작업이 완료되면 돌아가서 사용자 지정 타임라인 이벤트를 활성화할 수 있습니다. 이 작업은 사용자 지정 타임라인 이벤트를 지정된 테이블에 적용할 수 있는지 확인합니다.
      주:

      구성 후에는 각 이벤트를 활성화하거나 비활성화할 수 있습니다.

      • 활성화된 이벤트는 조사 캔버스 내에서 선택할 수 있으며 관련 노드에 추가할 수 있습니다.
      • 비활성화된 이벤트는 타임라인 이벤트 추가 목록에서 숨겨지며 타임라인에 추가할 수 없습니다.

    다음에 수행할 작업

    이벤트가 구성되면 조사 캔버스로 이동하여 타임라인 항목을 확인하고 항목을 추가하거나 편집할 수 있습니다. 자세한 내용은 캔버스에 타임라인 이벤트 추가 문서를 참조하십시오. 타임라인 기능 사용에 대한 자세한 내용은 다음 문서를 참조하십시오 조사 캔버스에서 타임라인 사용.