SIR 인시던트 상태에 따라 위반 업데이트 및 종결 자동화

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • IBM QRadar 통합에는 양방향 인터페이스가 있어 두 공격 모두 보안 인시던트를 생성할 수 있으며 보안 인시던트가 생성 및/또는 종결되면 보안 인시던트 번호, 할당 그룹, 보안 인시던트 URL 등과 같은 관련 인시던트 세부 정보로 공격을 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
    2. 아래 지침에 따라 보안 인시던트가 생성될 때 위반을 업데이트하기 위한 구성을 완료합니다.
      옵션 또는 필드설명
      SIR 인시던트 작성 시 위반 업데이트 범죄에서 보안 인시던트가 생성될 때 위반 상태를 업데이트하고 의견을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 공격과 집계된 범죄 모두에 대해 발생할 수 있습니다.
      초기 위반 상태 업데이트 다음을 선택할 수 있습니다.
      • 오픈: 위반 상태가 오픈 으로 설정되고 위반에 대한 보안 인시던트가 생성되었음을 나타내는 주석이 추가됩니다.
      • 숨김: 위반 상태가 숨김 으로 설정되고 이 위반 행위는 대시보드에서 IBM QRadar 숨겨집니다.
      Offense에 다시 게시된 초기 설명 선택한 단계에 따라 콘솔에 IBM QRadar 정의된 초기 설명이 여기에 표시됩니다.
      SIR 인시던트 종결 시 위반 종결 자동 공격 종결 옵션을 사용하려면 이 옵션을 선택합니다. 관련 종결 코드를 사용하여 보안 인시던트가 종결 ServiceNow 되면 위반 상태가 종결 주석과 함께 종결됨으로 업데이트 IBM QRadar 됩니다.
      주:
      보안 인시던트에 지정된 종결 코드는 대시보드에 IBM QRadar 지정된 종결 이유와 일치해야 합니다. 위반은 해당 종결 사유가 발견된 경우에만 종결 IBM QRadar 됩니다. 해당하는 사유를 찾을 수 없는 경우, 위반은 기본 종결 코드로 종결됩니다.
      Offense에 다시 게시된 종결 설명 대시보드에 IBM QRadar 정의된 종결 설명이 여기에 표시됩니다.
      보안 인시던트가 종결될 때의 기본 종결 사유 보안 인시던트가 종결될 때 사용되는 기본 이유, 보안 인시던트가 종결될 때 종결 코드(또는 종결 이유)가 보안 인시던트 기록에 지정되어 있습니다. 종결 코드가 대시보드에 IBM QRadar 지정된 종결 이유와 일치하지 않는 경우 보안 인시던트를 종결하려고 하면 오류 메시지가 표시됩니다. 이러한 경우 여기에 지정된 기본 종결 사유는 보안 인시던트가 종결될 때 사용됩니다.

      IBM QRadar: 프로파일 작성: 공격 자동화
    3. Finish(마침)를 클릭하여 구성을 완료하고 프로필을 Waiting(대기 중) 상태로 이동합니다.
      확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서 IBM QRadar 위반 정보를 가져옵니다.