이벤트 및 경보에서 생성되는 보안 인시던트
경보 모니터링 도구에서 이벤트를 가져오면 먼저 경보에서 Event Management 처리되고 경보로 그룹화됩니다. 이러한 경보를 사용하여 사용자 지정 가능한 경보 규칙에 따라 보안 인시던트를 만들거나 수동으로 검토하여 보안 인시던트로 조사할 경보를 선택할 수 있습니다.
애플리케이션 모듈 Event Management 에서 중요 경보로 보안 인시던트 생성이라는 경보 규칙 샘플 경보 규칙을 찾을 수 있습니다. 이 경보 규칙은 외부 공급업체 모니터링 애플리케이션 내부 ServiceNow 또는 외부 공급업체 모니터링 애플리케이션에서 중요한 보안 관련 이벤트가 수신될 때 자동으로 보안 인시던트를 생성합니다. 보안 인시던트가 생성된 후에는 새 이벤트가 수신되면 보안 인시던트가 업데이트됩니다. 경보 규칙의 작업 템플릿을 수정하여 이 경보 규칙에 의해 생성된 보안 인시던트의 초기 값을 변경할 수 있습니다. 생성하려는 각각의 고유한 다양한 보안 인시던트를 처리하기 위해 서로 다른 조건으로 다른 경보 규칙을 정의할 수 있습니다.
또는 보안 관리자 역할이 있는 사용자인 경우 의심스러운 경보에서 보안 인시던트 생성 버튼을 클릭하여 수동으로 보안 인시던트를 생성할 수 있습니다.
외부 도구에서 받은 이벤트에는 다음 정보가 포함되어야 합니다.
- 영향을 받는 자원이 되는 CI의 이름, IP 주소 또는 sys_id로 설정된 노드입니다.
- 이벤트 분류는 다른 IT 이벤트와 구분하기 위해 보안으로 설정됩니다.
- 보안 인시던트에 대한 설명을 채우는 이벤트 설명입니다.
- 추가 정보에는 범주, 공격 벡터, 반환 URL 또는 상관 관계 ID와 같이 이전에 나열된 필드 또는 기타 이벤트 필드에 맞지 않는 추가 정보가 포함될 수 있습니다. 형식은 다음 JSON 형식을 사용하여 필드 이름과 해당 값을 나열하는 문자열입니다.
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
주:
각 필드 및 값 쌍에 대해 열 이름이 fieldName과 일치하는 보안 인시던트의 필드가 비어 있으면 fieldValue로 설정됩니다. 보안 인시던트의 필드가 비어 있지 않으면 변경되지 않습니다. 두 경우 모두 이벤트와 추가 정보에 인코딩된 모든 필드 및 값은 이벤트를 설명하는 작업 메모 항목에 기록됩니다. 보안 인시던트에서 아무 것도 변경되지 않으면 작업 메모 항목이 생성되지 않습니다. 테이블에 추가하는 사용자 지정 필드를 포함하여 보안 인시던트의 모든 필드를 설정할 수 있습니다.