SIR 인시던트 상태에 따라 공격 업데이트 및 종결을 자동화

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 통합에는 IBM QRadar 두 위반 모두 보안 인시던트를 생성할 수 있을 뿐만 아니라 보안 인시던트가 생성되거나 종결되면 보안 인시던트 번호, 할당 그룹, 보안 인시던트 URL 등의 관련 인시던트 세부 정보로 위반을 업데이트할 수 있는 기능이 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
    2. 보안 인시던트가 생성될 때 위반을 업데이트하기 위한 구성을 완료하려면 아래 지침을 따르십시오.
      옵션 또는 필드설명
      SIR 인시던트 작성 시 위반 업데이트 위반에서 보안 인시던트가 생성될 때 위반 상태를 업데이트하고 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 작성하는 초기 트리거 위반과 집계된 위반 모두에 대해 발생할 수 있습니다.
      초기 위반 상태 업데이트 다음을 선택할 수 있습니다.
      • 오픈: 위반의 상태가 오픈 으로 설정되고 위반에 대한 보안 인시던트가 작성되었음을 나타내는 설명이 추가됩니다.
      • 숨김: 위반의 상태가 숨김으로 설정되고 이 위반은 대시보드에 IBM QRadar 숨겨집니다.
      위반에 다시 게시된 초기 설명 선택한 스테이지에 따라 콘솔에 정의된 IBM QRadar 초기 설명이 여기에 표시됩니다.
      종결된 위반 끌어오기 통합이 에서 종결된 위반을 IBM QRadar가져오도록 하려면 이 옵션을 선택합니다.

      이러한 위반은 에서 보안 인시던트 생성, 상관 관계 및 기록 가시성 ServiceNow®에 대해 평가됩니다.

      기본적으로 종결된 오펜스는 무시되고 오픈 오펜스는 폴링 중에 검색 IBM QRadar 됩니다.
      SIR 인시던트 종결 시 위반 종결 자동 위반 종결 옵션을 사용하려면 이 옵션을 선택하십시오. 보안 인시던트가 관련 종결 코드로 종결 ServiceNow 되면 위반 상태가 종결 코멘트와 함께 종결로 업데이트 IBM QRadar 됩니다.
      주:
      보안 인시던트에 지정된 종결 코드는 대시보드에 지정된 종결 사유와 일치해야 합니다.IBM QRadar 해당하는 종결 사유가 발견된 경우에만 위반이 종결 IBM QRadar 됩니다. 해당 이유를 찾을 수 없는 경우 위반은 기본 종결 코드로 종결됩니다.
      위반에 다시 게시된 종결 설명 대시보드에 정의된 IBM QRadar 종결 설명이 여기에 표시됩니다.
      보안 인시던트 종결 시 기본 종결 사유 보안 인시던트가 종결될 때 사용할 기본 이유입니다. 보안 인시던트가 종결되면 종결 코드(또는 종결 이유)가 보안 인시던트 기록에 지정됩니다. 종결 코드가 대시보드에 IBM QRadar 지정된 종결 사유와 일치하지 않고 보안 인시던트를 종결하려고 하면 오류 메시지가 표시됩니다. 이러한 경우 보안 인시던트가 종결될 때 여기에 지정된 기본 종결 사유가 사용됩니다.

      IBM QRadar: 프로파일 작성: 공격 자동화
    3. 완료를 선택하여 구성을 완료하고 프로파일을 대기 중 상태로 이동합니다.
      확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서 IBM QRadar 위반을 끌어옵니다.