를 사용하여 보안 위협 관리 보안 분석가 작업 공간

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 5분

    • 보안 인시던트 응답 에는 플레이북, 엿보기 뷰 및 여러 보안 인시던트를 처리하기 위한 탭을 포함하여 분석을 지원하는 강력한 도구를 제공하는 새로운 사용자 인터페이스가 보안 분석가 작업 공간 포함되어 있습니다.

    보안 분석가를 위해 특별히 설계된 강력한 도구를 보안 분석가 작업 공간 사용하면 보안 인시던트와 관련하여 계속 증가하는 데이터 볼륨을 분석할 수 있습니다. 또한 자동화된 작업은 보안 인시던트 조사 시간을 크게 단축하며, 이는 공격을 중지하는 것과 침해를 겪는 것의 차이가 될 수 있습니다.

    사용하기 전에 보안 분석가 작업 공간

    보안 분석가 작업 공간사용하려면 먼저 인스턴스에 London 패치 3 이상이 설치되어 있는지, 올바른 역할이 정의되어 있는지, 다음이 있는지 확인해야 합니다. 에서 보안 인시던트 응답 UI 애플리케이션을 다운로드함 ServiceNow Store.
    주:
    인스턴스에서 London 패치 3 이전 버전을 실행 중인 경우, HI 고객 서비스 시스템을 통해 보안 인시던트 응답 UI 플러그인을 요청해야 합니다.

    보안 분석가 작업 공간 액세스

    이 새 작업 공간에 액세스하려면 다음으로 이동합니다. 보안 인시던트 > 인시던트(신규 UI).

    그림 1. 보안 인시던트
    보안 인시던트 탐색 모음

    작업 공간이 별도의 브라우저 탭에서 열립니다.

    그림 2. 보안 인시던트
    모든 오픈 보안 인시던트

    빠른 필터로 분석하려는 보안 인시던트를 찾습니다.

    분석 보안 분석가 작업 공간 하려는 보안 인시던트를 빠르게 찾을 수 있도록 보안 인시던트 목록을 필터링하는 몇 가지 도구를 제공합니다. 빠른 필터를 사용하면 필터의 기준에 따라 보안 인시던트의 하위 집합을 선택할 수 있습니다.
    그림 3. 빠른 필터
    빠른 필터

    사용하려는 빠른 필터를 클릭하기만 하면 됩니다.

    주:
    편집 버튼을 클릭하여 목록 화면에 표시할 빠른 필터를 지정할 수 있습니다. 최소 1개(최대 6개)의 필터를 선택해야 합니다.

    클래식 환경을 사용하여 에 대한 보안 분석가 작업 공간기본 필터뿐만 아니라 추가 빠른 필터도 정의할 수 있습니다. 자세한 내용은 에 대한 기본 및 보조 필터 설정 보안 분석가 작업 공간 문서를 참조하십시오.

    보안 인시던트 목록 개인화

    인스턴스의 모든 목록과 마찬가지로, 이 보안 분석가 작업 공간 앱은 분석 요구 사항에 맞게 목록을 개인화하고 표시된 정보를 정렬하는 도구를 제공합니다.
    그림 4. 보안 인시던트 목록 개인화
    보안 인시던트 목록 필터링 옵션

    엿보기 보기로 시간 절약

    보안 인시던트 기록을 열기 전에 미리 보기 보기를 사용하면 시간을 절약할 수 있습니다. 이 기능을 사용하면 전체 페이지를 다시 로드하지 않고도 중요한 보안 아티팩트를 빠르게 찾을 수 있습니다. 보안 인시던트 번호 왼쪽에 있는 > 아이콘을 클릭하기만 하면 미리 볼 수 있습니다.

    그림 5. 미리 보기
    미리 보기를 보여주는 보안 인시던트
    엿보기 보기는 단일 보기에서 중요한 정보의 스냅샷을 제공합니다. 이 뷰는 여러 인시던트로 작업할 때 귀중한 시간을 절약할 수 있습니다. 특정 필드에서 아래쪽 화살표를 클릭하여 할당 그룹 또는 특정 분석가 할당과 같은 즉석에서 업데이트를 수행할 수 있습니다.
    그림 6. 세부 정보 보기 보기
    세부 정보 보기

    보안 인시던트에 대한 빠른 작업 수행

    특정 보안 인시던트를 선택하고 연 후에는 해당 기록에서 시간을 절약해 주는 작업을 수행할 수 있습니다.
    • 보안 인시던트가 열려 있는 경우 기록 편집 아이콘을 클릭하여 필드를 빠르게 변경합니다. 기록이 종결된 경우에는 해당 태그만 변경할 수 있습니다.
    • 첨부 파일 관리를 클릭하여 보안 인시던트에 파일을 첨부합니다. 첨부 파일을 다운로드하거나 제거하고 첨부 파일에 적용된 암호화를 편집할 수도 있습니다.
    • 이메일 작성을 클릭하여 동료에게 빠른 이메일을 보냅니다. 이메일은 자유 형식이거나 템플릿 목록에서 선택한 미리 준비된 이메일을 보낼 수 있습니다. 보낸 이메일과 받은 회신은 인시던트 타임라인에 캡처됩니다.
      주:
      이메일 및 이메일 알림에 재사용 가능한 콘텐츠가 포함된 사용자 지정 템플릿을 생성할 수 있습니다. 변수는 제목, 우선순위 또는 위협 범주와 같은 보안 인시던트 또는 경보와 관련된 정보를 삽입하는 데 사용할 수 있습니다. 와 관련된 보안 인시던트 응답이메일 및 이메일 알림에 보안 인시던트 [sn_si_incident] 테이블을 사용합니다. 자세한 내용은 이메일 템플릿을 참조하십시오.
    • 자세히를 클릭하면 설명, 비즈니스 영향 및 우선순위와 같은 보안 인시던트의 간략한 스냅샷을 볼 수 있습니다. 할당 그룹할당 대상 필드에서 아래쪽 화살표를 클릭하여 해당 필드를 즉석에서 변경할 수도 있습니다.
    그림 7. 할당 그룹
    빠른 실행

    여러 보안 인시던트 처리

    탭 인터페이스를 사용하면 여러 보안 인시던트를 동시에 열어 둘 수 있으므로 클릭 한 번으로 전환 할 수 있습니다. 이를 통해 시간을 절약하고 여러 소스의 위협이 식별될 때 큰 그림을 볼 수 있습니다.
    그림 8. 여러 보안 인시던트 처리
    보안 인시던트 탭 인터페이스

    보안 인시던트 탭에서 분석 정보 보기

    보안 인시던트 기록을 열면 다음 세 개의 탭이 표시됩니다.
    • 개요
    • 탐색
    • 인시던트 타임라인

    개요 탭

    개요 탭을 사용하여 단일 위치에서 보안 인시던트의 정보를 볼 수 있습니다. 다른 애플리케이션이나 콘솔을 열 필요가 없습니다.
    그림 9. 개요
    개요 탭
    개요 탭에 표시되는 타일은 사용자 지정할 수 있습니다. 필요에 따라 축소 및 확장할 수 있으며 그립 아이콘을 끌어 이동할 수 있습니다. 추가 옵션 아이콘을 클릭하여 타일을 삭제하거나 제목 텍스트를 변경합니다.
    그림 10. 개요 탭
    개요 탭 둘러보기.

    탐색 탭

    탐색 탭을 사용하여 개요 탭에 표시되는 타일을 구성합니다. 왼쪽 창에서 보려는 타일을 선택하고 아이콘을 클릭하기만 하면 됩니다. 고정된 타일이 개요 탭에 자동으로 나타납니다.
    그림 11. 노출 탭
    개요에 고정
    탐색 탭의 왼쪽 창에는 개요 탭에 표시할 수 있는 다양한 정보가 포함되어 있습니다. 예를 들어 옵저버블을 확장하여 이러한 관련 목록을 표시합니다.
    • 옵저버블
    • 위협 조회 결과
    • 보안 스캔 결과
    • 도메인 조회
    • 관찰 대상 보강

    추가 관련 목록은 사용자, 구성 항목 및 인시던트에서 사용할 수 있습니다.

    인시던트 타임라인 탭

    추적 목적으로 조사 중에 인시던트 타임라인 탭을 사용합니다. 보안 인시던트에 대한 작업이 수행될 때마다 시스템은 이를 인시던트 타임라인에 기록합니다.
    • 작업 메모 추가 상자에 작업 메모를 입력하고 게시를 클릭하여 타임라인에 작업 메모를 수동으로 추가할 수도 있습니다.
    • 검색 상자를 사용하여 특정 타임라인 활동을 검색할 수 있습니다.
    • 활동 필터링 아이콘을 사용하면 보려는 타임라인 활동 유형만 표시할 수 있습니다(예: 특정 분석가가 만든 인시던트만).
    • 고정/고정 해제 아이콘을 사용하여 개요 탭에서 인시던트 타임라인을 추가하거나 제거할 수 있습니다.
    그림 12. 인시던트 타임라인 탭
    인시던트 타임라인

    Playbook을 사용하여 보안 인시던트 처리

    내장된 보안 분석가 플레이북을 사용하여 특정 유형의 보안 위협을 단계별로 해결합니다. 예를 들어 분석가는 Playbook을 사용하여 악성 코드 활동으로 인한 피싱 공격 및 위협을 해결할 수 있습니다. 자세한 내용은 플레이북으로 보안 위협 해결 문서를 참조하십시오.