이 섹션은 연결된 옵저버블 및 구성 항목과 같은 섹션으로 그룹화된 관련 목록 항목으로 구성됩니다.
다음 관련 목록에는 기본 시스템의 일부로 사용할 수 있는 그룹이 나열되어 있습니다. 이러한 그룹을 수정하거나 애플리케이션 및 해당 작업 내에서 그룹을 생성할 수 있습니다.
이러한 그룹을 수정하거나 새 그룹을 생성할 수 있습니다. 자세한 내용은 보안 인시던트 및 응답 작업에 대한 관련 목록을 구성하고 그룹화하는 방법을 참조하십시오 보안 인시던트 관련 목록 구성 . 각 관련 목록은 .SIR Workspace
관련 목록
그룹화된 항목
비즈니스 영향
구성 항목
영향을 받는 사용자
관련 구성 항목
관련 사용자
영향을 받는 서비스
위협 인텔리전스
관련된 옵저버블
위협 조회 결과
피싱
연결된 피싱 메일
연결된 피싱 헤더
관련 보안 인시던트
상위 보안 인시던트
하위 보안 인시던트
유사한 보안 인시던트
SLA 기록
작업 SLA
소스 이벤트/경보
소스 이벤트 또는 경보는 소스 이메일, LogRhythm 드릴다운 로그, LogRhythm 이벤트, 집계된 IBM QRadar Offense 등의 SIEM 통합 지원 관련 목록입니다.
주:
이 목록은 인스턴스에 있는 통합에 따라 완전히 달라집니다. 관련 SIEM 통합 관련 목록을 보려면 최신 버전을 설치해야 합니다.
검색 찾기
사이팅 검색 결과
사이팅 검색 정보
사이팅
관찰 대상 보강
옵저버블 보강 결과
연결된 MISP 이벤트
MISP 보강 결과
엔드포인트 탐지 및 응답(EDR)
호스트 상세 정보
실행 중인 프로세스
운영 서비스
로그온한 사용자
네트워크 통계
파일 가져오기
호스트 항목 격리
엔드포인트에 대한 추가 작업
Microsoft Defender for Endpoint-Related Machines 세부 정보
주:
일반적으로 해당되는 경우 관련 목록 그룹에 대해 새 기록을 만들거나 기존 기록 또는 새 기록을 연결하거나 연결 해제할 수 있습니다.
보안 인시던트 관련 목록 구성
새 관련 목록 또는 새 관련 목록 그룹을 추가하고 에 표시되는 기존 그룹 또는 관련 목록을 수정할 수 있습니다 SIR Workspace.
시작하기 전에
보안 인시던트 관련 목록이 그룹화되어 작업 공간의 관련 기록 탭에 그룹 관련 목록 항목으로 표시됩니다.
필요한 역할: sn_si.admin
프로시저
클래식 UI에서 모두 > 보안 인시던트 > 열린 인시던트 표시.
인시던트 기록을 선택합니다.
인시던트 컨텍스트 메뉴를 마우스 오른쪽 버튼으로 클릭합니다.
이동 구성 > 관련 목록.
보안 인시던트 관련 목록 구성 양식이 표시됩니다.
이름 보기로 이동하고 새로 만들기를 선택합니다.
뷰의 이름을 입력합니다.
새로 만든 뷰를 선택합니다.
뷰를 선택한 후 슬러시버킷에서 필요한 관련 목록 필드를 선택합니다.
주:
수정하려면 뷰를 선택하고 항목을 제거하거나 추가합니다.
저장을 클릭합니다.
왼쪽 탐색에서 모두 > Now Experience 프레임워크 > 경험.
보안 인시던트 응답 작업 공간을 선택합니다.
UX 애플리케이션 보안 인시던트 응답 작업 공간 페이지가 표시됩니다.
UX 페이지 속성 탭으로 이동하여 목록 뷰에서 relatedListLayoutConfig 옵션을 선택합니다.
새로 만든 뷰 이름을 sn_si_incident.viewsUsedForGrouping 필드 아래의 값 텍스트 상자에 있는 기존 값 목록에 쉼표로 구분하여 추가합니다.
예를 들어 비즈니스 영향 으로 새 뷰 이름을 생성한 경우 값 텍스트 상자에서 sn_si_incident:groups 필드 아래에 business_impact (뷰 이름 내에서 밑줄로 구분되고 기존 값 뒤에 쉼표로 구분됨)로 지정해야 합니다.
주:
sn_si_incident.viewsUsedForGrouping 필드 아래에 새 뷰 이름을 추가하면 작업 공간의 관련 기록 탭에 항목이 생성됩니다.
si_other_records.viewsUsedForGrouping에서 뷰 이름 항목을 업데이트하면 관련 목록 그룹이 작업 공간의 기타 기록 탭에 추가됩니다.
다음은 새로 생성된 뷰가 추가된 예시 뷰입니다.
주:
requiredRolesForGrouping 에는 쉼표로 구분된 sys_user_role 레코드 이름이 포함되어 있습니다. SIR 작업 공간 사용자에게 그룹화된 관련 목록을 사용하려면 이러한 역할 중 하나 이상의 역할이 있어야 합니다. 사용자에게 이러한 역할이 없는 경우 뷰 규칙 구성을 사용하여 현재 사용자 역할에 대해 구성된 관련 목록 뷰는 그룹화되지 않고 세로로 표시됩니다. isGrouped 속성이 false로 설정되면 이 속성은 무시됩니다. 이 속성이 비어 있으면 모든 사용자가 그룹화된 관련 목록에 접근할 수 있습니다.
저장을 클릭합니다.
다음으로 이동 작업 공간 > 보안 인시던트 응답 작업 공간.
특정 보안 인시던트를 선택합니다.
작업 공간의 관련 기록 탭으로 이동합니다.
그룹화된 관련 목록이 표시됩니다.
응답 작업 관련 목록 구성
이 섹션을 사용하여 보안 인시던트 응답 애플리케이션에 표시되는 새로운 관련 목록을 구성합니다.
시작하기 전에
필요한 역할: sn_si.admin
이 태스크 정보
기본 목록이 거의 없기 때문에 응답 작업 관련 목록은 그룹화되지 않고 개별 관련 목록 항목으로 표시됩니다. 작업 공간에 있는 보안 인시던트 기록의 응답 작업 탭에서 응답 작업 관련 항목을 봅니다.
프로시저
다음으로 이동 모두 > 보안 인시던트 > 응답 작업 > 모든 작업 표시.
응답 작업 기록을 선택합니다.
보안 인시던트 응답 작업 컨텍스트 메뉴를 마우스 오른쪽 버튼으로 클릭합니다.
다음으로 이동 구성 > 관련 목록.
보안 응답 작업 관련 목록 구성 양식이 표시됩니다.
뷰 이름으로 이동하여 SIRW 뷰를 선택합니다.
슬러시버킷에서 원하는 관련 목록 필드를 선택합니다.
예: 영향을 받는 위치.
저장을 클릭합니다.
다음으로 이동 작업 공간 > 보안 인시던트 응답 작업 공간 > 응답 작업 > SIT 기록.
