경보에서 인시던트 또는 보안 인시던트 생성
경보를 에스컬레이션하고 기본 문제를 해결할 수 있는 사람에게 경보를 할당해야 하는 경우 인시던트를 열 수 있습니다.
시작하기 전에
이 태스크 정보
보안 인시던트 응답 활성화되면 보안 인시던트를 생성할 수 있습니다.
경보 양식에서 인시던트 및 보안 인시던트를 수동으로 만들 수 있습니다. 중복 작업을 방지하기 위해 시스템은 인시던트를 만들기 전에 모든 작업 템플릿의 조건을 확인합니다.
스크립트 포함을 EvtMgmtCustomIncidentPopulator.populateFieldsFromAlert 사용하여 생성된 인시던트를 사용자 지정할 수 있습니다. 커스터마이제이션에는 사용자 지정된 조건에 따라 경보에서 인시던트로 필드를 매핑하거나 인시던트 생성을 중단하는 작업이 포함됩니다. 자세한 내용은 사용자 지정 경보 필드 문서를 참조하십시오.
추가 정보 필드에서 채워진 사용자 지정 경보 필드 값을 사용하여 인시던트 필드를 채울 수 있습니다. 데이터를 경보에 복사한 후 스크립트 포함을 사용하여 EvtMgmtCustomIncidentPopulator 값을 인시던트에 복사합니다. 자세한 내용은 사용자 지정 경보 필드 문서를 참조하십시오.
주:
보안 인시던트 응답이 활성화되면 기본 시스템에는 중요 경보에 대한 보안 인시던트 생성이라는 경보 작업 규칙이 포함됩니다. 이 경보 작업 규칙은 중요한 보안 이벤트가 보고될 때 보안 인시던트를 만듭니다.
프로시저
- 다음으로 이동 .
- 경보 번호를 클릭합니다.
-
인시던트를 만들려면 다음을 수행합니다.
- 인시던트를 만들려면 빠른 인시던트를 클릭합니다.
- 보안 인시던트를 생성하려면 보안 인시던트 생성을 클릭합니다. 이 옵션을 사용하려면 보안(secops) 플러그인을 설치해야 합니다.
- 업데이트를 클릭합니다.