기타 추가 보안 인시던트 응답 설정 작업
전역 도메인의 관리자인 경우 일상적인 작업을 처리하는 방법을 보안 인시던트 응답 구성할 수 있습니다.
시작하기 전에
이러한 옵션은 많은 서비스 관리 응용 프로그램의 표준이므로 서비스 관리 용어를 사용합니다. 예를 들어 요청은 주 작업(즉, 보안 인시던트)에 사용되고 작업은 하위 작업 또는 응답 작업에 사용됩니다.
전역 도메인보다 낮은 도메인의 관리자인 경우 구성 화면을 볼 수 있지만 설정을 수정할 수는 없습니다.
프로시저
-
비즈니스 프로세스 탭의 필드에 내용을 입력합니다.
표 1. 구성 화면 — 비즈니스 프로세스 탭 필드 설명 수명주기 요청 또는 작업을 종결하거나 취소하려면 작업 메모가 필요함 보안 인시던트 또는 응답 작업을 종결하거나 취소하기 전에 먼저 사용자가 작업 메모를 입력하도록 하려면 이 옵션을 활성화합니다. 요청할 작업 메모 복사 응답 작업 메모를 보안 인시던트의 작업 메모와 동기화하려면 이 옵션을 활성화합니다. 따라서 작업의 작업 메모가 추가되면 상위 보안 인시던트에도 동일한 작업 메모가 표시됩니다. 카탈로그 및 요청 생성 인바운드 이메일을 통해 요청 작성 또는 업데이트 인바운드 이메일에서 보안 인시던트를 만들거나 업데이트하려면 이 옵션을 활성화합니다. 다음을 사용하여 요청이 생성됨 카탈로그 또는 일반 양식을 선택하여 카탈로그를 활성화하고 보안 인시던트 템플릿을 카탈로그에 자동으로 게시할 수 있도록 설정합니다. 카탈로그를 비활성화하고 카탈로그에 보안 인시던트 템플릿의 자동 게시를 사용하지 않으려면 일반 양식만을 선택합니다.
템플릿에서 전용 카탈로그 항목 작성 애플리케이션에 대한 카탈로그 항목의 자동 게시를 활성화하려면 이 옵션을 활성화합니다. 알림 요청 또는 작업의 경우 선택한 필드가 변경되면 수신자에게 알림을 보냅니다 보안 인시던트 및 응답 작업에서 선택한 필드가 변경될 때 특정 수신자에게 보낼 알림을 구성할 수 있습니다. - 테이블에서 요청(보안 인시던트 또는 작업(응답 작업))을 선택합니다.
- 필드에서 알림을 생성하는 데 사용할 필드를 선택합니다. 선택한 필드에 변경 사항이 작성되면 식별된 수신자에게 알림이 전송됩니다.
- 수신자에서 한 명 이상의 수신자를 선택합니다.
- 특정 사용자 또는 특정 그룹을 선택하면 사용자 또는 그룹을 선택하는 메시지가 사용자에게 표시됩니다.
- 다른 필드나 수신자를 사용하여 추가 알림을 정의하려면 다음 알림 설정 집합에 대해 앞의 단계를 반복합니다.
- 알림을 제거하려면 알림 오른쪽에 있는
아이콘을 클릭합니다.
보안 관리 잠금
조사를 보호하고 보안 인시던트를 비공개로 유지하기 위해 보안 관련 역할 및 ACL에 대한 액세스를 제한 보안 인시던트 응답 할 수 있습니다. 비보안 관리자는 명시적으로 입장을 허용하지 않는 한 액세스를 제한할 수 있습니다.
시작하기 전에
보안 인시던트 응답 애플리케이션이 활성화되면 시스템 관리자 사용자에게 기본적으로 sn_si.admin 역할이 부여됩니다. 시스템 관리자는 보안 그룹 및 사용자를 설정할 수 있는 유일한 관리자입니다.
기능과 기록에 액세스 보안 인시던트 응답 하려면 보안 역할이 필요합니다.
필요한 역할: sn_si.admin프로시저
-
Search applications(검색 응용 프로그램) 필드에 security를 입력합니다.
제한된 호출자 접근 관리
관리자는 RCA(제한된 호출자 접근) 기능을 사용하여 애플리케이션 또는 애플리케이션 리소스에 대한 교차 범위 액세스를 정의하고 액세스 요청을 허용하거나 거부할 수 있습니다. 이 기능은 보안 분석가가 중요한 보안 관련 정보를 보호할 수 있도록 기본적으로 활성화 보안 인시던트 응답 되어 있습니다.
보안 인시던트 응답에 대한 빠른 시작 테스트 실행
업그레이드 적용 또는 애플리케이션 개발과 같이 구성 변경 후에도 보안 인시던트 응답가 계속 작동하는지 확인합니다. 인스턴스별 데이터를 사용할 때 통과하도록 이러한 빠른 시작 테스트를 복사하여 사용자 지정합니다.
보안 인시던트 응답 빠른 시작 테스트를 하려면 Security Incident Response 플러그인(com.snc.security_incident)을 활성화하고 데모 데이터를 로드해야 합니다.
| 테스트 | 설명 | 릴리스 버전 |
|---|---|---|
| SIR: 보안 인시던트 생성 | 사용자가 보안 인시던트 양식에서 보안 인시던트를 성공적으로 만들 수 있는지 여부를 결정합니다. | Washington DC |
| SIR: 보안 인시던트 카탈로그를 통해 보안 인시던트 생성 | 사용자가 카탈로그에서 보안 인시던트를 성공적으로 만들 수 있는지 여부를 결정합니다. | Washington DC |
| SIR: 보안 인시던트 수명주기 | 정책 위반 워크플로우의 응답 작업을 확인합니다. | Washington DC |
| SIR: 위협 조회 | 위협 조회 기능을 확인합니다. | Washington DC |
| SIR: PIR 평가 OOTB 구성 | 이 테스트를 사용하여 PIR 평가 및 기본 시스템 구성의 유효성을 확인합니다. | Washington DC |
| SIR: PIR 평가 조건 구성 | 사후 인시던트 평가를 완료하지 않으면 필수 조건 규칙과 일치하는 보안 인시던트가 종결되지 않는지 확인합니다. 사후 인시던트 평가를 완료하지 않고도 선택적 조건 규칙과 일치하는 보안 인시던트를 종결할 수 있는지 확인합니다. 어떤 규칙과도 일치하지 않는 보안 인시던트에 대해서는 평가가 생성되지 않는지 확인합니다. |
Washington DC |
| SIR: PIR 실행 시간 검증 | PIR 보고서가 새 설계에 따라 구성되어 보안 인시던트에 첨부되어 있는지 검증합니다. | Washington DC |
| SIR: PIR 설계 시간 설정 검증 | 관리자 구성에 따라 보안 인시던트가 보고서 템플릿과 매핑되어 있는지 검증합니다. | Washington DC |
| SIR: 보안 인시던트를 기존의 중요 보안 인시던트와 연결 | 보안 인시던트를 기존의 중요 보안 인시던트에 연결하고 중요 보안 인시던트로 롤업된 보안 인시던트의 데이터를 확인합니다. | Washington DC |
| SIR: 보안 인시던트를 중요 보안 인시던트로 승격 | 보안 인시던트를 중요 보안 인시던트로 승격하고 중요 보안 인시던트로 롤업된 보안 인시던트의 데이터를 확인합니다. | Washington DC |
| SIR: 보안 인시던트를 중요 보안 인시던트로 제안 | 보안 인시던트를 중요 보안 인시던트로 제안하고 중요 보안 인시던트로 롤업된 보안 인시던트의 데이터를 확인합니다. | Washington DC |
| 제한 적용이 켜지면 허용된 구성원만 보안 인시던트에 액세스할 수 있는지 확인합니다. | 제한 적용이 활성화되면 허용된 구성원만 보안 인시던트에 액세스할 수 있는지 확인합니다. | Washington DC |
| 제한 적용이 켜지면 허용된 그룹만 보안 인시던트에 액세스할 수 있는지 확인합니다. | 제한 적용이 활성화되면 허용된 그룹만 보안 인시던트에 액세스할 수 있는지 확인합니다. | Washington DC |
| 읽기 액세스 확인 | 보기 액세스 권한을 확인합니다. | Washington DC |
| 쓰기 액세스 확인 | 편집 액세스 권한을 확인합니다. | Washington DC |