Security Incident Response Orchestration 워크플로우 및 워크플로우 템플릿 이해

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 보안 인시던트 응답 기본 시스템에는 보안 인시던트 기록을 사용하도록 설계된 일련의 워크플로우와 워크플로우 템플릿이 있습니다.

    시작하기 전에

    필요한 역할: sn_si.basic

    이 태스크 정보

    sn_sec_cmn.admin이라는 적절한 역할이 있다고 가정할 때 모든 워크플로우와 워크플로우 템플릿을 필요에 맞게 조정할 수 있습니다. 워크플로우는 Security Operations 시스템 전체에서 다양한 작업을 수행하는 데 사용됩니다.

    그러나 워크플로우 템플릿은 보안 인시던트의 범주 필드에서 값을 선택하여 트리거됩니다. 이 경우 선택 항목과 연결된 워크플로 템플릿은 보안 분석가에게 특정 유형의 위협을 처리하는 방법을 지시하는 워크플로 템플릿을 시작합니다.

    예를 들어 보안 인시던트의 범주 필드에서 서비스 거부를 선택하면 보안 인시던트 - 서비스 거부 - 템플릿이 실행되고 분석가는 DOS의 대상이 비즈니스에 중요한지 여부를 결정하도록 지시됩니다. 이 경우 다음 작업에서 보안 인시던트의 우선 순위가 1 - 중요로 설정된 후 다음 작업을 실행합니다. 등등.

    보안 인시던트 응답 따라서 워크플로우와 워크플로우 템플릿은 템플릿이 보안 인시던트 내의 특정 기능 집합에 사용된다는 점을 제외하면 본질적으로 동일합니다.

    프로시저

    1. 다음으로 이동 모두 > Security Operations > 워크플로우 > 보안 워크플로우 보기레이블이 표시됩니다.
    2. 기본 시스템에 제공된 워크플로우 및 워크플로우 템플릿의 목록이 표시됩니다.
      응용 프로그램 모음에서 Security Operations 만든 새 워크플로도 목록에 포함됩니다.
    3. 보려는 워크플로우 또는 워크플로우 템플릿의 이름을 클릭합니다.
      주:
      워크플로는 여러 가지 방법으로 트리거할 수 있습니다. 워크플로를 워크플로 트리거와 연결한다고 해서 워크플로가 반드시 활성 상태인 것은 아닙니다.