보안 인시던트 종결 워크플로우

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 인시던트 상태를 업데이트하여 보안 인시던트를 종결합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    프로시저

    1. 다음으로 이동 작업 공간 > 보안 인시던트 응답 작업 공간.
    2. 예를 들어, 목록 > 보안 인시던트 > 오픈 인시던트.
    3. 종료하려는 인시던트를 엽니다.
    4. 세부 정보 탭으로 이동합니다.
    5. 인시던트 상태로 드릴다운하고 종결을 선택합니다.
    6. 종결 작업을 수행합니다.

      • 보안 인시던트를 종결하기 전에 모든 작업을 검토하기 위한 필수 단계입니다. 보안 인시던트로 종결하기 전에 분석가가 모든 응답 작업을 검토하고 종결하거나 취소해야 합니다. 분석가가 활성 작업 검토를 클릭하면 사용자가 응답 작업 탭으로 이동합니다. 보안 인시던트를 종결하는 중임을 알리는 세션 메시지가 표시됩니다. 계속을 클릭합니다.

      • 계속을 클릭합니다. 첫 번째 단계 – 보안 인시던트 종결의 활성 작업 검토가 완료되었습니다.
        그림 1. 종결 작업 검토
        보안 인시던트 팝업 창 닫기: 활성 작업 검토
      • 다음 단계로 이동하여 분석가가 검토할 활성 플레이북을 검토합니다(선택 사항). 링크를 클릭하여 활성 플레이북 작업을 검토하고 필요한 경우 닫을 수 있습니다.
        주:
        보안 인시던트가 종결되면 활성 워크플로우, Playbook 활동 및 플로우가 자동으로 취소됩니다.
        그림 2. Playbook 작업 검토
        보안 인시던트 팝업 창 닫기: 활성 플레이북 검토
        피싱 수동 플레이북을 사용하여 사용자가 보고한 피싱 인시던트를 분석합니다.
      • 사후 인시던트 검토 보고서: 이제 종결을 계속 진행하기 위해 사후 인시던트 활동을 검토하도록 이동됩니다. 평가가 선택 사항이면 단계를 건너뛰거나 평가가 필수인 경우 평가를 수행하고 완료합니다.
        그림 3. 검토/평가 수행
        보안 인시던트 팝업 창 닫기: 평가 수행.
        사후 인시던트 검토: 인시던트에 대한 평가입니다.
      • 보고서 구성/미리 보기: 이 역시 선택적 단계이며, 링크를 클릭하여 보고서를 검토하고 다음 단계로 진행합니다.
        사후 인시던트 검토: 인시던트의 보고서입니다.
      • 해결 상세 정보 제공: 분석가는 확인란을 선택하여 지식 문서를 자동으로 생성할 수 있습니다.
      • 종결 코드, 종결 메모를 입력하고 인시던트 종결을 클릭합니다.
        보안 인시던트 팝업 창 닫기: 종결 코드 및 종결 메모를 제공합니다.
      주:
      분석가가 보안 인시던트 닫기 대화 상자를 취소하면 분석가는 상세 정보 탭으로 이동하여 인시던트 상태를 종결 로 변경하여 종결을 계속할 수 있습니다.