보안 인시던트 Playbook

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 보안 인시던트 Playbook 플로우를 자동 또는 수동으로 호출합니다.

    하나 이상의 Playbook이 보안 인시던트와 연결된 경우에만 Playbook이 표시됩니다. Playbook 구성요소는 PAD(Process Automation Designer)에서 빌드한 프로세스에서만 작동하며 Flow Designer에서 빌드한 플로우에서는 작동하지 않습니다. 기존 Flow Designer가 사용 설정된 플로우의 경우 이 작업은 계속 작동하며 활동은 계속해서 응답 작업으로 렌더링됩니다.

    Playbook을 보안 인시던트에 연결하는 방법에는 두 가지가 있습니다.
    • Playbook 자동 호출
    • 수동으로 Playbook 추가

    자동으로 Playbook 호출

    Playbook이 자동으로 호출되려면 PAD(Process Automation Designer)를 사용하여 프로세스를 정의해야 하며, 트리거 조건이 충족되면 Playbook 탭이 자동으로 Playbook 탭이 렌더링되고 Playbook 활동이 표시됩니다.

    수동으로 Playbook 추가

    Playbook을 수동으로 호출하려면 양식 UI 작업 드롭다운으로 이동하여 Playbook 추가를 선택합니다. 자세한 내용은 Playbook 추가 문서를 참조하십시오.
    주:
    사용 가능한 Playbook이 이미 있는 경우 추가된 새 Playbook이 기존 Playbook과 병렬로 실행됩니다.
    • 분석가는 Playbook 내에서 상태별로 Playbook 카드를 필터링할 수 있습니다.
    • 분석가는 타원 아이콘에서 선택하여 Playbook을 취소할 수 있습니다.
    • 각 활동 내에서 분석가는 활동 카드 내에 정의된 작업(예: 건너뛰기, 완료로 표시, 취소 또는 오케스트레이션 작업(예: 샌드박스에 제출, 이메일 검색 등)을 수행할 수 있습니다.
    • 이러한 각 작업은 활동 정의 내에서 정의되며, 활동 정의 자체를 작성할 때 표시되는 전체 카드를 사용자 지정할 수 있습니다.
    주:
    모든 향후 활동 정의와 수행할 다음 단계는 잠금 아이콘과 함께 표시되며 사용자에게 읽기 전용 모드로 표시됩니다. Playbook 표시 모드는 아래 설명된 구성으로 제어됩니다.
    1. 다음으로 이동 모두 > 플레이북 경험레이블이 표시됩니다.
    2. Playbook Experience 페이지에서 SIR Playbook Experience를 선택합니다.
      그림 1. 플레이북 경험
      보안 인시던트 플레이북 경험
      플레이북 경험 SIR 플레이북 경험 페이지가 표시됩니다.
      그림 2. 플레이북 경험 기록
      SIR Playbook Experience 기록 편집
    3. 구성 기록을 클릭합니다.
      Playbook 구성 기록
    4. 구성 탭에서 SIR Playbook Experience 구성을 클릭합니다.
      그림 3. Playbook 구성
      Playbook 구성 편집
    5. 보류 중인 항목 가시성 필드의 드롭다운 목록으로 이동하여 원하는 옵션을 선택하고 기록을 저장합니다. 다음 옵션 중에서 선택합니다.
      • 보류 중인 활동 숨기기: 작업 공간의 Playbook 섹션에서 보려는 보류 중인 활동을 숨기려면 이 옵션을 선택합니다.
        그림 4. 사용자가 보고한 피싱 예시
        피싱 수동 Playbook에서 보류 중인 활동을 숨깁니다.
      • 보류 중인 스테이지 및 활동 표시: 작업 공간의 Playbook 섹션에서 보려는 보류 중인 스테이지 및 활동을 표시하려면 이 옵션을 선택합니다.
        그림 5. 보류 중인 스테이지 및 활동 표시
        피싱 수동 Playbook에 보류 중인 스테이지 및 활동 표시
      • 보류 중인 활동 및 스테이지 숨기기: 작업 공간의 Playbook 섹션에서 보려는 보류 중인 활동 및 스테이지를 숨기려면 이 옵션을 선택합니다.
        그림 6. 보류 중인 활동 및 스테이지 숨기기
        피싱에서 보류 중인 활동 및 스테이지 숨기기 수동 Playbook
    6. Playbook 섹션에서 필터 옵션을 사용하여 Playbook 카드 상태(활동 정의)별로 활동을 필터링합니다.
      그림 7. Playbook 카드 상태
      Playbook 카드 상태

    Playbook 추가

    이 섹션을 사용하여 Playbook을 수동으로 추가합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 보안 분석가 작업 공간레이블이 표시됩니다.
    2. 인시던트 기록을 엽니다.
    3. Add Playbook(플레이북 추가)을 클릭합니다.
      수동으로 Playbook 추가
      Playbook 추가 대화 상자가 표시됩니다.
      Playbook 추가
    4. Playbook 템플릿을 선택합니다.
    5. Add Playbook(플레이북 추가)을 클릭합니다.
      확인할 수 있는 확인 메시지 대화 상자가 표시됩니다.
    6. Add Anyway(어쨌든 추가)를 클릭합니다.
      확인 메시지
    7. Playbook이 상세 정보 탭 옆에 추가됩니다.
      Playbook 확인 메시지
    8. Playbook 탭을 클릭합니다.
      Playbook 활동
    9. 나열된 일련의 활동을 수행하여 다음 단계로 이동합니다.
      주:
      보안 인시던트가 Playbook과 연결된 경우 연결된 Playbook이 닫히거나 취소될 때까지 사용자는 동일한 Playbook을 동일한 보안 인시던트에 다시 연결할 수 없습니다.