보안 인시던트 목록에서 보안 인시던트 생성
보안 인시던트를 자동으로 생성하는 방법 외에도 필요에 따라 수동으로 보안 인시던트를 생성할 수 있습니다.
이 비디오에서는 보안 인시던트 목록에서 보안 인시던트를 생성하는 방법에 대한 시각적 개요를 보여줍니다.
시작하기 전에
필요한 역할: sn_si.basic
프로시저
-
보안 인시던트 목록(예: 모두 > 보안 인시던트 > 인시던트 > 모든 인시던트 표시).
-
새로 만들기를 클릭합니다.
-
양식에서 필드를 채웁니다.
필드 설명 보안 태그 선택 필요한 경우 보안 태그를 선택하여 기록에 메타데이터를 추가하거나 이 보안 인시던트 기록에 접근할 수 있는 사용자를 식별합니다. 이 필드는 보안 인시던트가 저장된 후에만 나타납니다. 번호 [읽기 전용] 보안 인시던트 번호입니다. 요청한 사람 작업을 수행하도록 요청하는 사람입니다. 구성 항목 보안 문제의 영향을 받는 서버, 컴퓨터, 라우터 또는 기타 구성 항목입니다. 영향을 받는 사용자 보안 문제의 영향을 받는 사람입니다. 위치 요청자 또는 자원의 위치입니다. 구성 항목을 선택하지 않으면 이 필드는 요청자의 위치로 미리 채워집니다. 범주 보안 문제의 유형을 식별하는 범주입니다. 범주를 선택하면 기록이 저장될 때 이 문제를 분석하기 위한 워크플로우가 실행됩니다. 예를 들어 DoS(서비스 거부)를 선택하면 보안 인시던트 - DoS(서비스 거부) - 템플릿 워크플로우가 실행됩니다.
자세한 내용은 보안 인시던트 응답 워크플로우 템플릿 문서를 참조하십시오.
하위 범주 문제를 추가로 정의하는 하위 범주입니다. 개설 일시 [읽기 전용] 인시던트가 열린 날짜 및 시간을 표시합니다. 상태 보안 인시던트의 현재 상태입니다. 보안 인시던트 생성 시 이 필드는 기본적으로 초안으로 설정됩니다. 하위 상태 보안 인시던트에 보류 중인 문제 또는 변경 사항이 포함되어 있는지 여부를 식별합니다. 소스 이메일, 전화 통화 또는 네트워크 모니터링과 같은 보안 인시던트의 소스를 식별합니다. 경보 센서 경보 또는 이벤트 데이터(예: CarbonBlack, CrowdStrike, McAfee)를 수집하는 보안 통합입니다. 경보 규칙 이 보안 인시던트 생성을 트리거한 보안 제품의 규칙입니다. 위험 점수 이 보안 인시던트에 대해 계산된 위험 점수를 표시합니다. 이 값은 보안 인시던트의 우선순위, 보안 인시던트 유형(서비스 거부, 스피어 피싱 또는 악성 코드 활동) 및 표시기에서 실패한 평판 점수를 트리거한 소스 수를 기반으로 합니다. 위험 점수는 분석가의 보안 인시던트 작업 우선순위를 정하는 데 도움이 됩니다. 세 가지 보안 인시던트 속성을 사용하면 목록 뷰에서 위험 점수 옆에 색상으로 구분된 점을 표시하여 쉽게 식별할 수 있습니다.
보안 인시던트의 특정 필드(예: 비즈니스 영향 또는 우선순위)를 변경하고 기록을 저장하면 위험 점수 가 자동으로 다시 계산되어 표시됩니다. 변경 사항은 작업 메모와 위험 점수 감사 관련 목록에도 반영됩니다.주:영향을 받는 사용자가 보안 인시던트, 영향을 받는 서비스 또는 취약한 항목과 연결되면 위험 점수도 다시 계산됩니다.새 위험 점수를 수동으로 입력할 수도 있습니다. 이 기능은 분석 중인 보안 인시던트 목록의 맨 위에 특정 보안 인시던트를 유지하려는 경우에 유용할 수 있습니다. 새 위험 점수를 입력하면 위험 점수 무효화 확인란이 자동으로 선택됩니다. 보안 인시던트의 변경 사항에 관계없이 수동으로 입력한 위험 점수는 자동으로 다시 계산되지 않습니다.주:이전 릴리스에서 인스턴스를 업그레이드한 경우 모든 미해결 보안 인시던트에 대한 위험 점수가 계산됩니다. 자세한 내용은 보안 인시던트 계산기 이해 문서를 참조하십시오.위험 점수 재정의 위험 점수의 자동 업데이트를 무효화하려면 이 확인란을 선택합니다. 재정의는 작업 메모에 반영됩니다. 비즈니스 영향 비즈니스에 대한 이 보안 인시던트의 중요도를 선택합니다. 기본값은 중요하지 않음입니다. 보안 인시던트 기록을 저장한 후 우선순위 조건 또는 위험 필드의 값을 변경하면 비즈니스 영향 이 다시 계산됩니다. 우선순위 긴급도에 따라 이 보안 인시던트를 처리할 순서를 선택합니다. 기록이 저장된 후 이 값이 변경되면 비즈니스 영향 계산에 영향을 줄 수 있습니다. 할당 그룹 이 보안 인시던트가 할당된 그룹입니다. 담당자 이 보안 인시던트를 분석하도록 할당된 사람입니다. 할당은 수동 또는 자동으로 수행할 수 있습니다. 자세한 내용은 보안 분석가 할당 문서를 참조하십시오. 간단한 설명 보안 인시던트에 대한 간단한 설명입니다.
지식 결과 간단한 설명을 입력하면 지식베이스의 관련 문서 링크가 나타납니다. 정보를 스캔하면 문제가 해결될 수 있습니다.
-
기록 헤더를 마우스 오른쪽 버튼으로 클릭하고 저장을 선택합니다.
보안 인시던트에 새 CI를 추가한 경우 다음 통합 워크플로우가 자동으로 실행됩니다.
- 보안 운영 - 실행 중인 프로세스 가져오기 플로우. 이 워크플로우는 호스트나 엔드포인트에서 CI(구성 항목)의 실행 중인 프로세스 목록을 검색합니다.
- 보안 인시던트 대응 - 실행 중인 서비스 가져오기 워크플로우. 이 워크플로우는 Windows 기반 CI에서 실행 중인 서비스 목록을 검색합니다.
- 보안 운영 통합 - 네트워크 통계 플로우 가져오기. 이 워크플로우는 호스트나 엔드포인트에서 활성 네트워크 연결 목록을 검색합니다.
-
이러한 워크플로우에서 가져온 정보를 보려면 향상된 데이터 표시 관련 링크를 클릭한 다음 표시된 탭 중 하나를 클릭합니다.
주:추가 워크플로우는 다음과 같이 활성화한 외부 공급업체 통합을 기반으로 실행됩니다 보안 운영 Carbon Black 통합 - 실행 중인 프로세스 플로우 가져오기