다음에 대한 예상 결과 확인 Hybrid Analysis

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 옵저버블은 보안 인시던트에 의해 자동으로 생성되고 애플리케이션에서 스캔됩니다. 보안 인시던트에서 조회 결과를 찾아 위협 조회가 성공적으로 실행되었는지 확인합니다. 또한 원시 데이터를 보고 하위 옵저버블에 대한 위협 조회를 실행합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    프로시저

    1. 작업 중인 보안 인시던트 기록을 열고 조회가 성공적으로 실행되었는지 확인합니다.
      작업 메모의 조회 상태입니다.
      애플리케이션이 구성되면 인시던트 생성 시 워크플로우가 자동으로 시작됩니다. 그러면 조회의 실행 및 완료 상태가 보안 인시던트의 작업 메모에 표시됩니다.
    2. 조회가 성공적으로 실행되었는지 확인할 수 없는 경우 진행 방법에 대한 자세한 내용은 작업 메모를 검토합니다.
    3. 결과를 보려면 보안 인시던트 기록의 맨 아래로 이동하여 모든 관련 목록 표시 관련 링크를 클릭합니다.
      주:
      다음 단계의 그림은 시스템 설정에서 활성화된 탭 양식 설정으로 표시되어 있습니다. 배너 프레임의 오른쪽 상단에서 설정 톱니바퀴 아이콘을 클릭합니다. 표시되는 시스템 설정 대화 상자에서 양식을 클릭하고 탭 양식양식 사용이 선택되어 있는지 확인합니다.
      조회 결과.
      위협 조회 결과 탭에는 보안 인시던트 기록 하단에 조회 결과가 표시됩니다. 참고: 악성으로 확인되지 않은 레코드의 경우 Finding(발견) 열에 Unknown(알 수 없음 )이 표시됩니다. 악성과 일치하는 결과의 경우 발견 열에 악성이 표시됩니다.
    4. 옵저버블 열에서 옵저버블을 클릭하여 기록을 엽니다.
      찾기 및 보안 태그가 있는 옵저버블 기록을 엽니다.
      악성과 일치하는 조회의 경우 찾기 필드에 악성이 표시되고 옵저버블에는 악성으로 판명된 소스(이 경우 통합)Hybrid Analysis가 태그 위협 인텔리전스 됩니다.
    5. 옵션: 단계에 따라 원시 데이터를 보고, 하위 옵저버블 목록을 보고, 선택한 하위 옵저버블에 대한 위협 조회를 실행합니다.
      1. 보안 인시던트로 다시 이동하여 위협 조회 결과 탭에서 옵저버블 옆에 있는 파란색 정보 아이콘을 클릭합니다.
        기록의 정보 아이콘.
      2. 표시되는 창에서 Open Record(레코드 열기 )를 클릭하여 데이터를 봅니다.
        조회에서 표시되는 원시 데이터에서 볼 수 있는 옵저버블을 사용하여 통합은 Hybrid Analysis 하위 또는 관련 옵저버블도 생성합니다.
        옵저버블 기록의 원시 데이터입니다.
        API에서 생성한 링크, 원시 데이터 및 기타 정보가 표시됩니다.
      3. 보안 인시던트로 다시 이동하여 IoC 표시 관련 링크를 클릭합니다.
        조회를 통해 이러한 관련 옵저버블과 처음에 제출된 옵저버블 간의 기존 연결을 찾았기 때문에 하위 옵저버블이 보안 인시던트의 하위 옵저 버블 탭에 표시됩니다.
      4. 하위 열에서 옵저버블 옆에 있는 필드를 클릭하여 선택한 다음 위협 조회 실행 관련 링크를 클릭하여 조회를 수행합니다.
        하위 옵저버블 탭입니다.
      5. 표시되는 대화 상자에서 통합이 Hybrid Analysis 선택되었는지 확인하고 제출을 클릭합니다.
      6. 작업 메모에서 조회가 성공적으로 실행되었는지 확인하고 보안 인시던트의 위협 조회 결과 탭에서 하위 옵저버블에 대한 조회 결과를 찾습니다.
    위협 조회 결과 탭 아래에 결과가 표시되지 않으면 옵저버블이 통합에서 조회를 지원하는 유형인지 확인합니다.