추가 옵션: 인시던트 상태에 따라 SIR 상호 관련된 이벤트 업데이트 및 종결을 자동화

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 통합 ArcSight ESM 에는 양방향 인터페이스가 있어 상관관계 이벤트를 통해 보안 인시던트를 생성하고, 보안 인시던트가 생성되거나 종결되면 보안 인시던트 번호, 할당 그룹, SIR 인시던트 URL 등의 관련 인시던트 상세 정보로 상관관계 이벤트를 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
    2. 아래 지침에 따라 보안 인시던트가 생성될 때 상관 관계가 있는 이벤트를 업데이트하기 위한 구성을 완료합니다.
      옵션 또는 필드설명
      SIR 인시던트 생성 시 상관 관계 이벤트 업데이트 ArcSight ESM 관관계 이벤트에서 보안 인시던트가 생성될 때 상관관계 이벤트 단계를 업데이트하고 추가 설명으로 이벤트를 업데이트하려면 이 옵션을 선택합니다. 이는 새 보안 인시던트를 생성하거나 기존 보안 인시던트를 집계할 수 있는 상관관계 이벤트에 대해 발생할 수 있습니다.
      주:
      이 옵션을 선택하지 않으면 보안 인시던트가 생성될 때 이벤트 스테이지가 업데이트되지 않습니다.
      상관 관계 이벤트 스테이지 업데이트 서버에서 검색한 사용 가능한 모든 스테이지를 ArcSight ESM 표시하는 상관 관계가 있는 이벤트 스테이지 업데이트 선택 목록에서 스테이지 옵션을 선택합니다.
      상관 관계가 있는 이벤트 스테이지가 구성되지 않음: 인스턴스에 상관 관계가 있는 이벤트 스테이지 ServiceNow AI Platform 를 구성하지 않은 경우 상관 관계가 있는 이벤트 스테이지 업데이트 선택 목록에 스테이지 할당 - 초기 설정 만 표시됩니다. 스테이지를 구성하려면 다음 단계를 수행합니다.
      • Enter Stage Resource ID 필드에 리소스 ID를 입력하고 Submit을 클릭합니다. 콘솔에서 자원 ID가 확인 ArcSight ESM 되고 다음 화면이 표시됩니다.
        ArcSight ESM: 스테이지 자원 ID
      • 저장을 클릭하여 새 단계(모니터링)를 저장합니다.
      • Select Correlated Event Stage 드롭다운 목록을 누릅니다.
        ArcSight ESM: 이벤트 스테이지 목록
      • 목록에서 새로 생성된 스테이지를 선택할 수 있습니다.
      상관 관계가 있는 이벤트 단계가 이미 구성됨: 상관 관계가 있는 이벤트 단계를 이미 구성한 경우 다음 단계를 수행합니다.
      • 상관 관계가 있는 이벤트 스테이지 업데이트 선택 목록에서 이전에 할당된 스테이지 사용을 선택합니다.
      • 아래와 같이 상관 관계 이벤트 스테이지 선택 목록에서 기존 스테이지를 선택합니다.
        ArcSight ESM: 이전에 할당된 스테이지
      • 상관 관계 이벤트에 다시 게시된 초기 의견: 상관 관계 이벤트 단계 값을 업데이트하는 것 외에도 상관 관계 단계 주석에 의견을 게시할 수도 있습니다. 지침에 나와 있는 것처럼 Security Incident Response 인시던트 양식의 필드에 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 댓글 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
      주:
      콘솔에 정의된 ArcSight ESM 기본 단계를 사용하거나 사용자 지정 단계를 생성할 수 있습니다. 새 스테이지를 만들려면 다음 단계를 수행합니다.
      • ArcSight ESM 콘솔에서 파일 > 신규 > 스테이지. 검사/편집 탭이 표시됩니다.
      • 새 스테이지를 정의하고 사용자 필요 확인란은 선택하지 않습니다. 스테이지가 올바르게 정의되었고 이벤트 수명주기에서 올바른 위치에 있는지 확인합니다.
    3. 상관 관계가 있는 이벤트 종결 자동화 섹션에서 보안 인시던트가 종결되었을 때 업데이트하는 방법을 정의할 수 있습니다.
    4. 양식에서 필드를 채웁니다.
      옵션 또는 필드설명
      SIR 인시던트 종결 시 상관 관계 이벤트 업데이트 상관관계 이벤트 상태를 업데이트하고 상관 관계가 있는 이벤트에서 보안 인시던트가 종결될 때 설명을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 중요 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
      주:
      이 옵션을 선택하지 않으면 보안 인시던트가 종결될 때 이벤트 스테이지가 업데이트되지 않습니다.
      상관 관계 이벤트 스테이지 업데이트 서버에서 검색 ArcSight ESM 한 사용 가능한 모든 스테이지를 표시하는 메뉴에서 스테이지 옵션을 선택합니다. 보안 인시던트를 종결할 때 모든 상관관계 이벤트에 대해 설정할 스테이지 값을 선택합니다.
      주:
      여기에 표시된 스테이지는 상관관계 이벤트 초기 업데이트 섹션에 구성된 스테이지를 기반으로 합니다.
      상관 관계 이벤트 스테이지 선택 여기에서 적절한 상태를 선택합니다.
      종결 설명 상관 관계 이벤트에 다시 게시됨 상관관계 이벤트 상태 값을 업데이트하는 것 외에도 상관관계 이벤트 주석에 종결 코멘트를 게시할 수도 있습니다. 지침에 나와 있는 것처럼 Security Incident Response 인시던트 양식의 필드에 $$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 댓글 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.

      ArcSight ESM: 종결 이벤트 스테이지
    5. Finish(마침)를 클릭하여 구성을 완료합니다.
      확인 대화 상자가 표시됩니다. 통합에 대한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서 상관관계 이벤트를 ArcSight ESM 끌어옵니다.