Security Case Management 는 위협 헌팅에 종사하는 보안 분석가가 환경에서 의심스러운 활동에 대한 정보를 수집할 수 있는 수단을 제공합니다. 보안 인시던트, 옵저버블, CI 및 영향을 받는 사용자와 같은 케이스 관련 기록을 케이스에 추가하여 광범위하고 구체적인 분석을 수행할 수 있습니다.

기록 및 관련 정보를 쉽게 전환할 수 있는 기능을 통해 분석가는 표적 캠페인, 지능형 지속 위협 등에 직면해 있는지 여부를 평가할 수 있습니다.

보안 케이스는 , 보안 인시던트 응답, 및 위협 인텔리전스를 비롯한 Security Case Management인스턴스의 다양한 소스에서 생성할 수 있습니다. 구성 항목 [cmdb.ci] 및 사용자 [sys.user] 테이블에 각각 있는 구성 항목과 영향을 받는 사용자로부터 케이스를 만들 수도 있습니다. 케이스가 생성되면 이러한 각 소스를 사용하여 기존 케이스에 중요한 분석 자원을 추가할 수도 있습니다.

각 보안 케이스는 세 개의 기본 섹션, 즉 헤더 섹션, 추가 케이스 세부 정보가 있는 섹션, 특정 위협을 식별하고 처리하기 위한 논거를 구축하는 데 도움이 되는 기록 모음이 포함된 케이스 아티팩트 섹션으로 구성됩니다.

케이스 헤더

케이스 헤더는 보안 케이스를 식별하고 분류하는 데 사용되는 기본 정보를 제공합니다. 케이스 번호는 SECC 프리픽스를 사용합니다.

추가 케이스 상세 정보

추가 케이스 상세 정보 섹션은 케이스의 현재 상태, 케이스에 대해 기록된 작업 메모 및 활동을 포함하여 케이스에 대해 이미 수행된 분석과 관련된 정보를 제공합니다.

케이스 아티팩트

케이스 아티팩트 섹션은 보안 케이스에 포함된 일련의 정보 탭을 제공합니다.

각 탭의 내용 내에서 검색을 수행할 수 있습니다. 이미 안전하다고 평가했거나 조사에 가치가 없는 특정 기록을 제외할 수도 있습니다. 제외된 기록은 삭제되지 않지만 보기에서 숨겨집니다. 필요한 경우 제외된 기록을 보고 다시 추가할 수 있습니다.

각 탭에서 추가 상세 정보 아이콘을 클릭하여 선택한 기록에 대한 관련 정보를 표시할 수 있습니다. 예를 들어 구성 항목 탭을 클릭하여 구성 항목 탐색기를 보고 특정 CI에 대한 추가 상세 정보를 클릭하면 해당 CI에 연결된 인시던트, 취약한 항목 및 주석을 볼 수 있습니다.

기록을 선택하고 케이스 관련 아티팩트에 대한 주석 달 기 버튼을 클릭하여 기록에 주석을 추가할 수도 있습니다. 주석은 각 분석가가 특정 아티팩트에 대해 작성할 수 있는 메모입니다.

분석가가 케이스를 검사하는 데 사용할 수 있는 다른 도구는 다음과 같습니다.

• 케이스에서 옵저버블에 대한 사이팅 검색 실행
• 보안 아티팩트 검색