조사 캔버스 탐색

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 조사 캔버스의 주요 목적은 필요한 보안 인시던트 데이터를 한 곳에 모으는 것입니다.

    보안 인시던트 조사는 SIR Workspace주로 몇 가지 주요 진입점을 중심으로 진행됩니다.

    다음은 기본 시스템 내의 보안 분석가를 위해 프로비저닝되는 몇 가지 주요 진입점입니다.
    • 관련된 옵저버블
    • 구성 항목
    • 영향을 받는 사용자
    • 연결된 피싱 메일
    • 이메일 검색

    해당하는 경우 엔트리포인트를 추가, 수정 또는 제거하여 위의 엔트리포인트를 구성할 수도 있습니다. 자세한 내용은 SI 설계 시간 조사 구성 문서를 참조하십시오.

    조사 탭에서 엔트리포인트 테이블은 상위 테이블 역할을 합니다. 상위 테이블에서 수행된 오케스트레이션 작업의 결과를 보유하는 모든 테이블은 엔트리포인트 내에서 하위 테이블로 표시됩니다.

    예를 들어 연결된 옵저버블 엔트리포인트의 경우 옵저버블 연결 테이블이 상위 테이블이고 위협 조회 결과, 샌드박스 제출 결과 등의 기타 테이블이 하위 테이블입니다.

    보안 분석가는 연결된 옵저버블 테이블에서 모든 오케스트레이션 작업을 수행할 수 있으며 여러 위치를 탐색할 필요 없이 동일한 페이지 내에서 연결된 모든 정보를 볼 수 있습니다.

    주:
    사용자가 악성 옵저버블과 같은 개요 페이지에서 상호 작용 가능한 차트를 클릭하면 조사 캔버스 내에서 악의적인 옵저버블의 필터링된 보기로 이동합니다. 또는 사용자가 모든 데이터가 있는 조사 캔버스로 이동하여 조사를 직접 시작할 수 있습니다.

    엔트리포인트 아래의 하위 테이블 목록도 구성할 수 있습니다. 자세한 내용은 SI 설계 시간 조사 구성 문서를 참조하십시오.

    다음은 기본 시스템 내에서 구성 및 프로비저닝되는 엔트리포인트(관련 옵저버블)의 자세한 예입니다.
    1. 드롭다운 목록에서 연결된 옵저버블 엔트리포인트를 선택합니다.

      여기서 상위 테이블도 연결된 옵저버블입니다.

      그림 1. 엔트리포인트 목록 구성
      진입점
    2. 상위 테이블에서 하나 이상의 옵저버블을 선택합니다.
    3. 원하는 기능을 실행합니다.

      예를 들어 위협 조회 실행 을 선택하여 선택한 옵저버블에 대한 위협 조회 결과를 가져옵니다.

      주:
      해당 옵저버블 작업이 실행되면 백엔드에서 프로세스가 실행되고 결과가 옵저버블 목록 아래에 표시됩니다.
    4. 관련 정보 보기를 클릭하여 옵저버블 결과를 봅니다. 결과는 같은 페이지에 표시됩니다.
      주:
      결과별 필터를 사용하여 결과를 볼 수 있으며, 모든 결과 또는 최신 결과 중 원하는 보기를 선택할 수 있습니다. 기본적으로 최신 결과가 표시됩니다. (통합의) 구현이 여러 개 있는 경우 구현당 최신 결과가 표시됩니다.

      또한 하위 테이블 결과인 연결된 관련 목록을 기준으로 결과를 필터링할 수 있습니다. 기본적으로 구성된 모든 하위 테이블 관련 목록이 표시됩니다. 자세한 내용은 SI 설계 시간 조사 구성 문서를 참조하십시오. 그러나 필요한 하위 테이블만 선택하도록 선택할 수 있습니다.

      관련 정보 보기

    5. 관련 정보 보기를 클릭하면 연결된 모든 하위 테이블 데이터를 한 곳에서 볼 수 있지만 뷰 닫기 버튼을 선택하여 관련 목록 뷰를 닫을 수 있습니다. 뷰를 닫으면 이전과 같이 옵저버블 상위 테이블만 볼 수 있습니다.
    6. 사용 가능한 관련 정보 결과 보기 테이블 내에서 모든 위쪽 방향 확장 아이콘을 클릭하여 모든 관련 목록 하위 테이블 데이터를 확장합니다.

      옵저버블 결과의 확장된 뷰

    7. 모든 하위 방향 축소 아이콘을 클릭하여 모든 관련 목록 하위 테이블 데이터를 축소합니다.
      뷰 축소
      주:
      모든 하위 테이블 데이터가 포함된 관련 정보 섹션 상단의 배너는 사용자에게 제공되는 옵저버블 관련 정보의 수를 보여줍니다. 예를 들어 처음에 두 개의 옵저버블을 선택하고 관련 정보 보기를 클릭하면 배너에 연결된 옵저버블 2개에 대해 사용 가능한 관련 정보 보기가 표시됩니다. 예를 들어 다른 옵저버블을 선택하면 배너에 정보가 오래되었다고 표시됩니다(아래 스크린샷). 최신 데이터를 얻으려면 관련 정보 보기를 다시 클릭해야 합니다.

      연결된 옵저버블 결과가 만료됨

      위의 옵저버블 관련 정보의 포괄적인 뷰 외에도 상위 테이블의 기록에 대한 자세한 정보를 보려면 옵저버블을 클릭하면 선택한 기록에 대한 자세한 뷰가 있는 다른 탭에서 상위 테이블 기록 양식이 열립니다. 선택한 특정 기록의 연결된 모든 하위 테이블 데이터도 연결된 정보 섹션 아래에 표시됩니다.

      그러나 연결된 정보 섹션에는 조사 캔버스에 표시된 대로 하위 테이블의 최신 결과만 읽기 전용 모드로 표시됩니다. 이 뷰에서는 아무 작업도 수행할 수 없습니다. 하위 테이블의 양식 페이지는 새 탭에서 열 수 있습니다. 이 탭은 모든 작업(있는 경우)으로 전체 기능 페이지를 렌더링합니다.

      드롭다운 목록을 사용하여 다른 테이블 간에 전환할 수 있습니다. 연결된 정보 섹션에서 각 양식을 확장하거나 축소할 수도 있습니다.

      옵저버블 양식 페이지(상위 테이블 기록 양식 페이지) 내에서 사용 가능한 특정 작업을 수행할 수 있습니다. 작업을 수행할 때마다 연결된 정보 배너에서 새로 고침을 클릭하여 데이터를 새로 고칠 수 있습니다.

    8. 모든 관련 목록 하위 테이블을 확장하려면 모두 확장 을 클릭합니다. 기본적으로 모든 하위 항목이 확장됩니다.
      그림 2. 옵저버블의 확장된 뷰
      엔트리포인트 확장 뷰