인시던트 테스트 및 요청 승인

취리히 보안 관리

Release

zurich

ft:locale

ko-KR

ft:publication_title

취리히 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

보안 인시던트를 테스트하고 호스트 격리에 대한 요청을 승인합니다.

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 4분

테스트 및 미리 보기 단계를 사용하면 호스트 분리 및 호스트 분리 제거 워크플로 결과가 프로파일에 대해 예상대로 반환되는지 확인할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

구성의 이 단계에서 sn_si.admin 역할을 가진 사용자는 호스트 격리 기능으로 구성한 프로파일이 보안 인시던트와 일치하는 자산 ID를 예상대로 반환하는지 확인합니다. 프로파일의 설정과 일치하는 보안 이벤트 조건이 발생할 때 만들어지는 실제 ServiceNow AI Platform 보안 인시던트 응답 (SIR) 보안 인시던트를 봅니다.

호스트 시스템을 격리하는 요청이 제출된 후 승인자 역할을 가진 사용자로 요청을 처리합니다.

프로시저

인시던트 테스트 페이지가 표시되지 않으면 진행률 표시줄에서 인시던트 테스트를 클릭합니다.

프로파일에 대한 테스트 인시던트 페이지가 표시됩니다. 이 예에서는 이전 섹션에서 생성하고 구성한 호스트 격리™ 프로파일이 표시됩니다.
상단 필드 오른쪽에서 검색 아이콘을 클릭하여 미리 볼 보안 인시던트를 선택합니다.
표시되는 목록의 번호 열에서 미리 보기에 표시할 항목을 선택합니다.

프로파일에 대해 설정한 기준과 일치하는 보안 인시던트만 표시됩니다.

보안 인시던트가 페이지에 표시됩니다.
미리 보려는 모든 인시던트가 필드에 표시될 때까지 2단계와 3단계를 반복합니다.
미리 보기에 보안 인시던트를 최대 5개까지 선택합니다.
McAfee ePO 미리 보기를 클릭하여 보안 인시던트를 확인합니다.

프로파일과 일치하는 보안 이벤트 조건에 대해 생성된 인시던트가 탭에 표시됩니다.
주:
이때 테스트 인시던트 페이지에서 나가면 이 필드에서 보안 인시던트가 지워집니다.
탭을 선택하고 보안 인시던트에서 스크롤하여 작업 메모를 봅니다.

이 예에서는 이전 이미지의 SIR0010021 선택됩니다. 호스트 분리 워크플로우가 시작되는 작업 메모 목록입니다. 이 프로파일에 대해 승인 필요 옵션이 활성화되어 있기 때문에 작업 메모는 요청이 승인 보류 중임을 나타냅니다.
인시던트 맨 위에 요청이 시작되었음을 나타내는 보안 태그가 표시됩니다(호스트 격리 - 시작됨).

호스트 격리 역량에 대한 프로파일과 일치하는 보안 인시던트를 찾고 보안 인시던트를 확인했습니다.
승인 그룹에 속한 사용자인 경우 다음 단계에 따라 요청을 처리합니다.
1. 인스턴스에서 내 승인 으로 이동합니다.
  
  이 예시에서 승인자의 사용자 이름은 Mary admin™입니다.
  
  승인 목록이 표시됩니다.
2. 상태 열에서 항목을 클릭하여 승인 기록을 엽니다.
3. 표시되는 승인 기록에서 승인 또는 거부를 클릭합니다.
  
  요청을 처리한 후 워크플로우를 실행하는 데 약간의 시간이 걸릴 수 있습니다. 맨 위에 있는 기록에서 트랜잭션이 몇 초 이상 걸리는 경우 다음 그림과 같이 메시지가 표시됩니다.
  
  잠시 후 표시되는 승인 기록에서 상태 열이 요청 됨에서 승인됨으로 변경됩니다. 이 요청에 대한 호스트 컴퓨터를 격리하는 데 추가 승인이 필요하지 않습니다. 요청이 거부되면 호스트가 격리되지 않고 요청이 보류 상태로 유지됩니다. sn_si.analyst 역할을 가진 사용자가 요청이 거부된 경우 엔드포인트를 격리하려면 새 요청을 제출해야 합니다.
  
  위 그림의 호스트 컴퓨터를 격리하는 요청이 승인됩니다.
4. 다음으로 이동 보안 인시던트 > 인시던트 > 모든 인시던트 표시 그리고 번호 열에서 항목을 클릭하여 작업 중인 보안 인시던트를 엽니다.
  
  표시되는 보안 인시던트에서 호스트 격리 - 완료됨™ 태그가 호스트 격리 - 시작됨™ 태그를 대체합니다. 이 예에서는 호스트 분리 워크플로우가 성공적입니다.
  
  보안 인시던트에 대한 작업 메모에는 호스트 격리가 완료되고 승인자인 Mary admin™이 나열됨도 표시됩니다.
  
  중요사항:
  보안 인시던트에 대한 보안 태그 및 작업 메모에 호스트 격리 워크플로우가 성공적으로 완료되었다고 표시되지만 콘솔로 McAfee ePO 돌아가서 호스트 시스템이 네트워크에서 격리되었는지 확인합니다.
  
  자산에 대한 조사를 완료한 후 인스턴스의 호스트 격리 항목™ 테이블에서 ServiceNow AI Platform® 격리 제거 워크플로우를 시작하여 호스트를 네트워크로 반환합니다.
호스트를 격리에서 제거하고 네트워크로 되돌리려면 다음 단계를 수행합니다.
1. McAfee ePO 호스트 항목 격리 테이블이 표시되지 않으면 McAfee epO 통합 > Mcafee epO 통합 호스트 항목 격리.
  
  호스트 항목 격리 목록이 표시됩니다. 목록 상단의 상태 열에서 격리한 자산을 검색합니다.
2. 추가된 날짜 열에서 항목을 클릭하여 기록을 엽니다.
  호스트 항목 격리 기록이 표시됩니다. 보안 인시던트와 연관된 모든 작업에 대한 감사 추적이 작업 메모에 표시됩니다. 다음 그림에서 작업 메모의 마지막 항목은 성공적인 호스트 격리입니다. 격리가 완료된 날짜는 추가된 날짜 필드(2019-01-03 14:04:17)에 표시됩니다.
3. Remove Isolation(격리 제거)을 클릭하여 시스템을 네트워크에 복원하는 워크플로우를 시작합니다.
  호스트 항목 격리 기록이 표시됩니다. 기록 상단에 요청이 제출되었음을 나타내는 메시지가 표시됩니다. 상태가 격리 에서 승인 보류 중으로 변경되고 작업 메모가 기록됩니다. 이 경우 시스템 관리자가 컴퓨터를 네트워크로 복원하도록 요청했습니다.
4. 요청에 대한 알림을 받은 후 호스트 격리에 대한 승인 권한이 있는 사용자는 인스턴스에서 내 승인 으로 이동하여 격리 제거 요청에 대한 기록을 엽니다.
5. 승인을 클릭하여 요청을 승인하고 자산을 네트워크로 반환합니다.
  또는 거부 를 클릭하여 요청을 승인 보류 중 상태로 유지합니다. 요청이 거부되면 호스트를 격리하기 위해 새 요청을 제출해야 합니다. 호스트 분리 제거 요청을 승인하면 보안 인시던트의 태그가 제거됩니다. 작업 메모는 격리 제거 요청에 대한 감사 추적을 생성합니다. 이 예시에서는 시스템 관리자가 요청을 시작하고 승인했습니다.
  
  보안 인시던트에 대한 보안 태그 및 작업 메모는 호스트 분리 제거 워크플로가 성공적으로 완료되었음을 나타냅니다. 호스트가 네트워크에 다시 있는지 확인하려면 콘솔로 McAfee ePO 돌아가서 호스트 시스템이 현재 활성 상태인지 확인합니다.

계속하려면 하나를 선택합니다.

옵션	설명
이전	프로파일의 구성 단계로 돌아갑니다. 테스트 및 미리 보기 결과가 만족스럽지 않으면 프로파일 설정을 계속 구성합니다.
마침	구성을 완료합니다. 활성화를 확인하라는 메시지가 나타납니다.