기타 추가 보안 인시던트 응답 설정 작업
전역 도메인의 관리자인 경우 일상적인 작업의 처리 방법을 보안 인시던트 응답 구성합니다.
시작하기 전에
이러한 옵션은 많은 서비스 관리 애플리케이션에서 표준이므로 서비스 관리 용어를 사용합니다. 예를 들어 요청은 주 작업(즉, 보안 인시던트)에 사용되고 작업은 하위 작업 또는 응답 작업에 사용됩니다.
전역 도메인보다 낮은 도메인의 관리자인 경우 구성 화면을 볼 수 있지만 설정을 수정할 수는 없습니다.
프로시저
-
비즈니스 프로세스 탭의 필드에 내용을 입력합니다.
표 1. 구성 화면 - 비즈니스 프로세스 탭 필드 설명 수명주기 요청 또는 작업을 종결하거나 취소하려면 작업 메모가 필요함 보안 인시던트 또는 응답 작업을 종결하거나 취소하기 전에 사용자가 작업 메모를 입력하도록 요구하려면 이 옵션을 활성화합니다. 요청할 작업 메모 복사 응답 작업 작업 메모를 보안 인시던트의 작업 메모와 동기화하려면 이 옵션을 활성화합니다. 따라서 작업에 작업 메모가 추가되면 상위 보안 인시던트에 동일한 작업 메모가 나타납니다. 카탈로그 및 요청 생성 인바운드 이메일을 통해 요청 작성 또는 업데이트 인바운드 이메일에서 보안 인시던트를 만들거나 업데이트하려면 이 옵션을 활성화합니다. 다음을 사용하여 요청이 생성됨 카탈로그나 정규 양식을 선택하여 카탈로그를 활성화하고 보안 인시던트 템플릿을 카탈로그에 자동으로 게시하도록 설정합니다. 카탈로그를 비활성화하고 보안 인시던트 템플릿이 카탈로그에 자동으로 게시되는 것을 비활성화하려면 정규 양식만을 선택합니다.
템플릿에서 전용 카탈로그 항목 작성 애플리케이션에 대한 카탈로그 항목의 자동 게시를 활성화하려면 이 옵션을 활성화합니다. 알림 요청 또는 작업의 경우 선택한 필드가 변경되면 수신자에게 알림을 보냅니다. 보안 인시던트 및 응답 작업에서 선택한 필드가 변경될 때 특정 수신자에게 알림이 전송되도록 구성할 수 있습니다. - 테이블에서요청(보안 인시던트 또는 작업(응답 작업)을 선택합니다.
- 필드에서 알림을 생성하는 데 사용할 필드를 선택합니다. 선택한 필드가 변경되면 식별된 수신자에게 알림이 전송됩니다.
- 수신자에서 하나 이상의 수신자를 선택합니다.
- 특정 사용자 또는 특정 그룹을 선택하면 사용자 또는 그룹을 선택하는 메시지가 사용자에게 표시됩니다.
- 다른 필드나 수신자를 사용하여 더 많은 알림을 정의하려면 다음 알림 설정 집합에 대해 이전 단계를 반복합니다.
- 알림을 제거하려면 알림
아이콘을 클릭합니다.
보안 관리 잠금
조사를 보호하고 보안 인시던트를 비공개로 유지하기 위해 보안 관련 역할 및 ACL에 대한 액세스를 제한할 보안 인시던트 응답 수 있습니다. 비보안 관리자는 명시적으로 허용하지 않는 한 액세스가 제한될 수 있습니다.
시작하기 전에
보안 인시던트 응답 애플리케이션이 활성화되면 시스템 관리자 사용자에게 기본적으로 sn_si.admin 역할이 부여됩니다. 시스템 관리자는 보안 그룹 및 사용자를 설정할 수 있는 유일한 관리자입니다.
기능 및 기록에 보안 인시던트 응답 액세스하려면 보안 역할이 필요합니다.
필요한 역할: sn_si.admin프로시저
-
범위 필드에 sn_si 입력합니다.
제한된 호출자 접근 관리
RCA(제한된 호출자 접근) 기능을 사용하면 관리자가 애플리케이션 또는 애플리케이션 자원에 대한 교차 범위 액세스를 정의하고 액세스 요청을 허용하거나 거부할 수 있습니다. 이 기능은 보안 분석가가 중요한 보안 관련 정보를 보호할 수 있도록 기본적으로 활성화되어 보안 인시던트 응답 있습니다.
보안 인시던트 응답에 대한 빠른 시작 테스트 실행
업그레이드 적용 또는 애플리케이션 개발과 같이 구성 변경 후에도 보안 인시던트 응답가 계속 작동하는지 확인합니다. 인스턴스별 데이터를 사용할 때 통과하도록 이러한 빠른 시작 테스트를 복사하여 사용자 지정합니다.
보안 인시던트 응답 빠른 시작 테스트를 하려면 보안 인시던트 응답 플러그인(com.snc.security_incident)을 활성화하고 데모 데이터를 로드해야 합니다.
| 테스트 | 설명 | 릴리스 버전 |
|---|---|---|
| SIR: 보안 인시던트 생성 | 사용자가 보안 인시던트 양식에서 보안 인시던트를 성공적으로 만들 수 있는지 여부를 결정합니다. | Madrid |
| SIR: 보안 인시던트 카탈로그를 통해 보안 인시던트 생성 | 사용자가 카탈로그에서 보안 인시던트를 성공적으로 만들 수 있는지 여부를 결정합니다. | Madrid |
| SIR: 보안 인시던트 수명주기 | 정책 위반 워크플로우의 응답 작업을 확인합니다. | Madrid |
| SIR: PIR 평가 OOTB 구성 테스트 | 이 테스트를 사용하여 PIR 평가 및 기본 시스템 구성의 유효성을 확인합니다. | Tokyo |
| SIR: PIR 평가 조건부 구성 테스트 | 사후 인시던트 평가를 완료하지 않으면 필수 조건 규칙과 일치하는 보안 인시던트가 종결되지 않는지 확인합니다. 사후 인시던트 평가를 완료하지 않고도 선택적 조건 규칙과 일치하는 보안 인시던트를 종결할 수 있는지 확인합니다. 어떤 규칙과도 일치하지 않는 보안 인시던트에 대해서는 평가가 생성되지 않는지 확인합니다. |
Tokyo |
| SIR: PIR 실행 시간 경험 | PIR 보고서가 새 설계에 따라 구성되어 보안 인시던트에 첨부되어 있는지 검증합니다. | Tokyo |
| SIR: PIR 설계 시간 경험 | 관리자 구성에 따라 보안 인시던트가 보고서 템플릿과 매핑되어 있는지 검증합니다. | Tokyo |
| SIR: 보안 인시던트를 기존의 중요 보안 인시던트와 연결 | 보안 인시던트를 기존의 중요 보안 인시던트에 연결하고 중요 보안 인시던트로 롤업된 보안 인시던트의 데이터를 확인합니다. | Tokyo |
| SIR: 보안 인시던트를 중요 보안 인시던트로 승격 | 보안 인시던트를 중요 보안 인시던트로 승격하고 중요 보안 인시던트로 롤업된 보안 인시던트의 데이터를 확인합니다. | Tokyo |
| SIR: 보안 인시던트를 중요 보안 인시던트로 제안 | 보안 인시던트를 중요 보안 인시던트로 제안하고 중요 보안 인시던트로 롤업된 보안 인시던트의 데이터를 확인합니다. | Tokyo |
| SIR: 보안 인시던트 수명주기 | 정책 위반 응답 작업 워크플로우로 보안 인시던트 수명주기를 확인합니다. | Yokohama |
| SIR: 보안 케이스 생성 | 보안 인시던트 양식에서 보안 케이스를 생성합니다. | Yokohama |
| 제한 적용이 켜지면 허용된 구성원만 보안 인시던트에 액세스할 수 있는지 확인합니다. | 제한 적용이 활성화되면 허용된 구성원만 보안 인시던트에 액세스할 수 있는지 확인합니다. | Yokohama |
| "제한 적용"으로 활성화된 보안 인시던트가 어떤 사용자에게도 표시되지 않는지 확인 | "제한 적용"이 활성화된 보안 인시던트가 어떤 사용자에게도 표시되지 않는지 확인합니다. | Yokohama |
| 읽기 액세스 확인 | 보기 액세스 권한을 확인합니다. | Yokohama |
| 쓰기 액세스 확인 | 편집 액세스 권한을 확인합니다. | Yokohama |
| SIR 작업 공간: 읽기 액세스 | 읽기 액세스 사용자가 작업 공간에서도 보안 역할이 없이도 보안 인시던트를 볼 수 있는지 확인합니다. | Yokohama |
| SIR 작업 공간: 쓰기 권한 | 쓰기 액세스 사용자가 보안 역할 없이 보안 인시던트를 업데이트할 수 있는지 확인합니다. | Yokohama |
| SIR 작업 공간: 새 보안 인시던트 생성 | 작업 공간에서 새 보안 인시던트를 생성합니다. | Yokohama |
| SIR 작업 공간: 응답 작업 생성 | 기존 보안 인시던트에서 새 응답 작업을 생성합니다. | Yokohama |
| 보안용 Now Assist: 활성 보안 인시던트 요약 | 활성 보안 인시던트를 요약하고 표시된 섹션의 유효성을 확인합니다. | Zurich |
|
보안용 Now Assist: 작업 메모에 Summarization_Share된 보안 인시던트 |
생성된 요약을 작업 메모에 공유합니다. | Zurich |
| 보안용 Now Assist: 종결된 보안 인시던트 요약 | 종결된 보안 인시던트를 요약하고 표시된 섹션을 확인합니다. | Zurich |