차단 목록 항목 테이블에서 직접 차단 목록 항목 제출
악성으로 판단되고 특정 Now Platform 보안 인시던트와 연결되지 않은 옵저버블의 경우 차단 목록에서 차단 목록 항목을 제출합니다.
시작하기 전에
필요한 역할: 보안 인시던트 관리자(sn_si.analyst)
이 태스크 정보
악성으로 확인된 옵저버블을 차단하거나, 악성이 아닌 옵저버블을 허용하고 옵저버블이 특정 ServiceNow AI Platform 보안 인시던트 기록과 연결되지 않은 경우 차단 목록에서 직접 차단 목록 항목을 제출합니다. 이러한 유형의 차단 목록 항목의 예로는 특정 사이트의 URL 또는 도메인이 있을 수 있습니다.
프로시저
-
다음으로 이동 .
-
항목 값 필드에 옵저버블에 대한 값을 입력합니다.
이 항목의 가능한 두 가지 결과:
- 양식의 나머지 필드는 자동으로 작성됩니다.
- 일치하는 옵저버블이 발견되면 일치하는 옵저버블이 존재한다는 메시지가 표시됩니다. 이 항목을 연결할 차단 목록을 선택하고 제출을 클릭합니다. 만료 기간을 설정하기 전에 이 항목을 연결할 차단 목록을 선택합니다.
-
워크플로우에 이메일 승인이 구성되어 있는 경우 승인 이메일 요청이 전송됩니다.
나머지 정보를 수동으로 입력하도록 요청하는 메시지가 표시되면 필드에 내용을 입력합니다.
필드 설명 옵저버블 유형 대화 상자에서 지원되는 옵저버블 유형입니다. 차단 목록 이름 항목을 추가할 차단 목록입니다. 주:만료 기간을 설정하기 전에 항목을 첨부할 차단 목록을 선택합니다.재정의 사용(기본값이 선택됨) 조회 결과 또는 소스입니다. 구성된 경우 조회 결과와 결과를 찾는 데 사용되는 소스를 입력할 수 있습니다. 이러한 필드는 일반적으로 보안 인시던트 기록이 생성될 때 채워집니다. 이 경우 조회 결과나 소스가 없으며 이러한 필드를 수동으로 채웁니다. 조회 결과 알 수 없음 또는 악성을 선택합니다. 소스 차단 목록 항목에서 위협 조회를 수행하는 소스(예: ThreatCrowd 등) 만료 기간 기본적으로 차단 목록에서 상속된 만료 기간입니다. 이 값을 재정의할 수 있지만 항목을 생성하는 동안에만 가능합니다. 0은 차단 목록 항목이 만료되지 않음을 나타냅니다.
이 값을 변경하면 이 항목은 입력한 일수 동안 활성화됩니다. 최소값은 1로 입력할 수 있으며 최댓값은 없습니다.
예를 들어 5월 1일 오후 2시 1분에 30일을 입력하면 차단 목록 항목은 5월 31일 오후 2시 1분에 만료됩니다. 그러나 스케줄러는 매일 00:00에 만료된 항목을 확인하고 6월 1일 00:00에 항목의 상태를 "만료됨"으로 변경합니다.
-
제출을 클릭합니다.
차단 목록 항목의 기본 만료 기간을 변경한 경우, 해당 기간이 선택한 차단 목록과 다르다는 경고 확인 대화 상자가 표시됩니다.
옵션 설명 예 만료 재정의를 확인하고 레코드를 저장한 다음 Check Point 차단 목록 항목으로 돌아갑니다. 워크플로우에 이메일 승인이 구성되어 있는 경우 승인 이메일 요청이 전송됩니다. 아니요 재정의를 취소합니다. 이때 만료 기간의 값을 변경할 수 있습니다. 값을 변경한 후 제출을 클릭하여 Check Point 차단 항목 목록으로 돌아갑니다.
-
표시되지 않으면 Check Point 차단 요청 목록 항목으로 이동하여 항목의 상태가 보류 중임을 확인합니다.
이제 항목을 승인할 준비가 되었습니다.