위협 분석가 워크벤치를 사용하여 케이스 생성
케이스는 조직을 위협하는 캠페인 또는 위협 행위자에 대한 정보를 추적하는 데 사용됩니다. 케이스를 만든 후에는 아티팩트를 추가하여 단일 케이스 또는 케이스 작업에서 모든 관련 정보를 검토하고 분석할 수 있습니다.
시작하기 전에
필요한 역할: sn_sec_tisc.analyst, sn_sec_tisc.admin
프로시저
- 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터.
- 위협 분석가 워크벤치 아이콘을 클릭합니다.
-
이동 케이스 관리 > 모든 케이스.
모든 케이스가 표시됩니다.
- 새로 만들기를 클릭합니다.
-
필드에 적절하게 입력합니다.
표 1. 새 케이스 작성 필드 설명 케이스 ID 케이스의 고유 식별자입니다. 시스템에서 생성된 ID입니다. 간단한 설명 조사 중인 요청이나 문제 또는 간단한 설명에 대한 요약입니다. 설명 배경, 필요한 분석, 예상되는 결과 등 케이스에 대한 관련 정보를 포함한 자세한 설명입니다. 케이스 유형 조사 중인 케이스의 유형을 선택합니다. 조사에 사용할 수 있는 옵션은 다음과 같습니다. - 위협 헌팅
- 정보 요청
- 취약성 관리 케이스
- 규정 준수 케이스
- 인시던트 응답 케이스
- 공동 작업 케이스
- 기타
우선순위 요청 또는 문제의 심각도에 대한 평가입니다. 할당 그룹 케이스 작업을 담당하는 할당된 그룹입니다. 상태 케이스의 현재 상태입니다. 담당자 케이스 작업을 담당하는 분석가입니다. 기한 작업을 완료하거나 종결해야 하는 날짜 및 시간입니다. 기고자 작업에서 롤업된 담당자 목록이며 그 위에 추가할 수 있어야 합니다. TLP TLP별 데이터 민감도 설정을 나타내는 고유 값입니다. 관찰 목록 사용자가 감시 목록에 추가되면 해당 사용자는 상태 및 우선 순위 변경에 대한 이메일 알림을 받게 됩니다. 제한 강화 허용된 그룹 및 허용된 구성원의 구성원을 수정하려면 이 확인란을 선택합니다. 자세한 내용은 케이스에 적용된 제한 사항 문서를 참조하십시오. -
인사이트 섹션의 필드에 적절히 입력합니다.
표 2. 인사이트 필드 설명 메모 위협 조사와 관련된 추가 메모입니다. 권장 사항 또는 작업 위협 조사와 관련된 권장 사항 또는 작업입니다. 분석 및 결과 위협 조사와 관련된 분석 및 결과를 입력합니다. 종결 요약 결과의 종결 요약을 추가합니다. -
저장을 클릭합니다.
기록이 저장되면 인텔리전스 임포트 탭을 클릭하여 인텔리전스 임포트 기능을 사용하여 위협 인텔리전스 데이터를 임포트할 수 있습니다.주:케이스 관리에서 데이터를 임포트하고 처리하는 경우 고유 항목이 임포트 기록과 연결됩니다.