위협 분석가 워크벤치를 사용하여 케이스 생성
케이스는 조직을 위협하는 캠페인 또는 위협 행위자에 대한 정보를 추적하는 데 사용됩니다. 케이스가 생성되면 단일 케이스 또는 케이스 작업에서 모든 관련 정보를 검토하고 분석할 수 있는 아티팩트를 추가할 수 있습니다.
시작하기 전에
필요한 역할: sn_sec_tisc.analyst, sn_sec_tisc.admin
프로시저
- 다음으로 이동 작업 공간 > Threat Intelligence Security Center.
- 위협 분석가 워크벤치 아이콘을 클릭합니다.
-
이동 케이스 관리 > 모든 케이스.
모든 케이스가 표시됩니다.
- 새로 만들기를 클릭합니다.
-
필드에 적절하게 입력합니다.
표 1. 새 케이스 작성 필드 설명 케이스 ID 케이스의 고유 식별자입니다. 시스템 생성 ID입니다. 간단한 설명 조사 중인 요청 또는 문제에 대한 요약 또는 간단한 설명입니다. 설명 케이스에 대한 관련 정보(예: 배경, 필요한 분석, 예상되는 결과)를 포함하는 자세한 설명입니다. 케이스 유형 조사 중인 케이스의 유형을 선택합니다. 조사에 사용할 수 있는 옵션은 다음과 같습니다. - 위협 헌팅
- 정보 요청
- 취약성 관리 케이스
- 규정 준수 케이스
- 인시던트 응답 케이스
- 공동 작업 케이스
- 기타
우선순위 요청 또는 문제의 심각도에 대한 평가입니다. 담당 그룹 케이스 작업을 담당하도록 할당된 그룹입니다. 상태 케이스의 현재 상태입니다. 담당자 케이스 처리를 담당하는 분석가입니다. 기한 작업이 완료되거나 종결되어야 하는 날짜 및 시간입니다. 기고자 작업에서 롤업된 담당자 목록이며 목록 위에 추가할 수 있어야 합니다. TLP TLP당 데이터 민감도 설정을 나타내는 고유 값입니다. 관찰 목록 사용자가 감시 목록에 추가되면 해당 사용자는 상태 및 우선순위 변경에 대한 이메일 알림을 받게 됩니다. 제한 강화 허용된 그룹의 구성원과 허용된 구성원을 수정하려면 이 확인란을 선택합니다. 자세한 내용은 케이스에 대한 제한 적용 문서를 참조하십시오. -
인사이트 섹션의 필드에 적절한 정보를 입력합니다.
표 2. 인사이트 필드 설명 메모 위협 조사와 관련된 추가 메모입니다. 권장 사항 또는 작업 위협 조사와 관련된 권장 사항 또는 작업입니다. 분석 및 결과 위협 조사와 관련된 분석 및 결과를 입력합니다. 종결 요약 결과의 종결 요약을 추가합니다. -
저장을 클릭합니다.
기록을 저장한 후 인텔리전스 임포트 탭을 클릭하여 인텔리전스 임포트 기능을 사용하여 위협 인텔리전스 데이터를 임포트할 수 있습니다.주:케이스 관리에서 데이터를 임포트하고 처리하는 경우 임포트 기록에 고유 항목이 연결됩니다.