SIR 인시던트 상태에 따라 공격 업데이트 및 종결을 자동화

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 통합 IBM QRadar 에는 양방향 인터페이스가 있어 두 위반 모두 보안 인시던트를 생성할 수 있으며, 보안 인시던트가 생성 및/또는 종결되면 보안 인시던트 번호, 할당 그룹, 보안 인시던트 URL 등의 관련 인시던트 상세 정보로 위반을 업데이트할 수 있는 양방향 인터페이스가 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
    2. 아래 지침에 따라 보안 인시던트 생성 시 위반을 업데이트하기 위한 구성을 완료하십시오.
      옵션 또는 필드설명
      SIR 인시던트 작성 시 위반 업데이트 위반 상태를 업데이트하고 위반에서 보안 인시던트가 생성될 때 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성한 초기 트리거 위반과 집계된 위반 모두에 대해 발생할 수 있습니다.
      최초 위반 상태 업데이트 다음을 선택할 수 있습니다.
      • 오픈: 위반의 상태가 오픈 으로 설정되고 위반에 대한 보안 인시던트가 생성되었음을 나타내는 주석이 추가됩니다.
      • 숨김: 위반의 상태가 숨김 으로 설정되고 이 위반이 대시보드에 IBM QRadar 숨겨집니다.
      Offense에 다시 게시된 초기 댓글 선택한 단계에 따라 콘솔에 정의된 IBM QRadar 초기 코멘트가 여기에 표시됩니다.
      SIR 인시던트 종결 시 위반 종결 자동 위반 종결 옵션을 사용하려면 이 옵션을 선택하십시오. 보안 인시던트가 관련 종결 코드로 종결 ServiceNow 되면 위반 상태는 종결 주석과 함께 종결로 업데이트됩니다IBM QRadar.
      주:
      보안 인시던트에 지정된 종결 코드는 대시보드에 지정된 종결 사유와 일치해야 합니다 IBM QRadar . 해당 종결 사유가 발견된 경우에만 위반이 종결 IBM QRadar 됩니다. 해당 이유를 찾을 수 없는 경우 기본 종결 코드로 위반이 종결됩니다.
      종결 설명 다시 게시됨 Offense 대시보드에 정의된 종결 댓글이 IBM QRadar 여기에 표시됩니다.
      보안 인시던트가 종결될 때의 기본 종결 사유 보안 인시던트 종결 시 사용되는 기본 이유, 보안 인시던트 종결 시 보안 인시던트 기록에 종결 코드(또는 종결 사유)가 지정되고, 종결 코드가 대시보드에 지정된 IBM QRadar 종결 사유와 일치하지 않아 보안 인시던트를 종결하려고 하면 오류 메시지가 표시됩니다. 이러한 경우 여기에 지정된 기본 종결 사유는 보안 인시던트가 종결될 때 사용됩니다.

      IBM QRadar: 프로파일 작성: 공격 자동화
    3. Finish(마침)를 클릭하여 구성을 완료하고 프로파일을 Waiting 상태로 이동합니다.
      확인 대화 상자가 표시됩니다. 통합에 대한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서 범죄를 IBM QRadar 가져옵니다.