시스템 보강 쿼리에 대한 프로파일 및 보안 인시던트 구성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 설정한 조건에서만 프로파일이 트리거되도록 프로파일 설정을 구성합니다.

    시작하기 전에

    필요한 역할: ServiceNow AI Platform® 보안 인시던트 관리자(sn_si.admin)

    이 태스크 정보

    프로파일에 대해 선택한 역량을 McAfee ePO 자동으로 트리거하는 조건을 정의합니다. CI(구성 항목) 필드에 대한 대체 입력 필드를 선택할 수도 있습니다. 이 대체 필드에서 트리거 이벤트와 관련된 보안 인시던트만 프로파일을 자동으로 트리거하도록 필터링 조건을 설정할 수 있습니다.

    프로시저

    1. 구성 페이지가 표시되지 않으면 진행률 표시줄에서 구성을 클릭합니다.
    2. 양식에서 필드를 채웁니다
      옵션설명
      대체 CI 트리거 필드 사용 대체 구성 항목(CI) 트리거 필드입니다. 기본값은 선택 취소되어 있습니다.

      이 확인란의 선택을 취소하고 대체 CI 트리거 필드 옵션을 사용하지 않도록 설정하면 CI 필드의 대체 필드가 식별되지 않습니다. 사용하지 않도록 설정하면 CI 필드의 값을 보안 인시던트에 채 SIR 워야 하며 프로파일이 보강 데이터를 수집하기 전에 콘솔에서 McAfee ePO 필드의 값을 인식해야 합니다.

      인시던트 생성 시 CI 필드가 채워지지 않지만 CI 정보가 보안 인시던트의 다른 필드에 채워진다고 생각되면 이 확인란을 선택합니다. 이 옵션을 사용하면 대체 CI 트리거 필드 선택 목록이 표시됩니다. 선택 목록에서 대체 필드를 선택하여 CI 검색 기준을 확인합니다.

      대체 CI 트리거 필드에 대한 자세한 내용은 다음 문서를 참조하십시오 CI(구성 항목) 필드로 트리거 조건 정의.
      태그 표시 보안 태그는 보안 인시던트에 표시됩니다. 기본값은 선택 취소되어 있습니다.

      이 확인란의 선택을 취소하고 태그 지정 옵션을 사용하지 않도록 설정하면 구성 양식에 보안 태그 이름이 표시되지 않고 관련 보안 인시던트에 태그가 표시되지 않습니다. 이 예에서는 보안 태그 옵션이 비활성화되어 있습니다.
      인시던트를 기반으로 자동 트리거 필터 조건. 기본값은 선택 취소되어 있습니다.

      확인란의 선택을 취소하고 옵션을 사용하지 않도록 설정하면 보안 인시던트에서 프로파일을 수동으로 호출해야 합니다.

      이 옵션을 사용하면 필터 조건 작성기가 표시됩니다. 인시던트 작성 시 프로파일이 자동으로 실행되는 시기를 지정하려면 필터링 조건을 설정해야 합니다.

      보강 쿼리를 실행하는 프로파일에 대한 필터의 일반적인 예로는 범주가 악성 코드 활동이고비즈니스 영향이 1-중요입니다. 이러한 필터 조건은 특정 유형의 보안 이벤트와 관련된 인시던트를 찾는 데 도움이 되며 검토해야 하는 보안 인시던트 수를 제한하는 데 도움이 됩니다.

      이러한 필터 설정은 변경할 때까지 저장된 상태로 유지되며 구성의 인시던트 미리 보기 및 테스트 단계에서 편집할 수 있습니다.
      승인 필요 승인 요청 옵션. 기본값은 선택 취소되어 있습니다.

      이 승인 옵션은 모든 프로파일에 사용할 수 있습니다. 일반적으로 승인은 호스트 격리 및 맬웨어 검사와 같은 작업을 호출하는 기능에 사용됩니다.

      이 확인란의 선택을 취소하고 이 옵션을 사용하지 않도록 설정하면 승인 요청이 제출되지 않습니다. 이 예시에서는 시스템 보강 쿼리에 사전 권한이 필요하지 않습니다.
      McAfee 역량 프로파일 구성
    3. 대체 CI 필드 옵션을 사용하도록 설정하고 이 프로파일을 자동으로 호출하는 필터링 조건을 설정하려면 다음 단계를 수행합니다.
      1. 대체 CI 트리거 필드 사용 확인란을 선택합니다.
        대체 CI 트리거 필드가 표시됩니다. 이 예에서는 sn_si.admin 역할을 가진 사용자로서 인시던트 생성 시 보안 인시던트의 CI 필드가 채워지지 않을 것이라고 확신합니다. 또는 FQDN, 호스트 이름, IP 주소에 대한 CI 정보가 보안 인시던트의 식별된 CI 필드에 채워질 것이라고 생각하고 이를 대체하여 식별된 CI 필드를 선택합니다. 이 예에서는 식별된 CI가 선택되었지만 대체 CI에 대한 보안 인시던트의 모든 필드를 사용할 수 있습니다.
      2. 표시되는 대체 CI 트리거 필드 선택 목록에서 식별 된 CI 필드를 선택합니다.

        사용자 지정 필드를 포함하여 보안 인시던트에서 사용 가능한 모든 필드가 목록에 표시됩니다. 대체 CI 트리거 필드에 식별된 CI 가 표시됩니다.

        이 프로파일이 호출되고 초기 이벤트 트리거 시 연관된 보안 인시던트의 CI 필드가 채워지지 않으면 프로파일은 검색에 식별된 CI 필드의 값을 대신 사용합니다.

      3. 인시던트를 기반으로 자동 트리거 확인란을 선택합니다.
        필터 조건 작성기가 표시됩니다. 이 옵션을 사용하여 필터링 조건을 설정하고 보안 인시던트 생성 시 프로파일이 자동으로 호출되는 시기를 지정합니다.
      4. 이 특정 프로파일에 대해 선택한 ePO 기능을 자동으로 트리거하는 SIR 인시던트 조건을 정의합니다.
      5. 엔드포인트에서 작업을 실행하는 프로파일 기능에 승인이 필요한 경우 승인 필요 확인란을 선택합니다.
      6. 검색 아이콘을 사용하여 승인을 선택합니다.
    4. 마침을 클릭합니다.
      인시던트 생성 시 프로파일이 자동으로 트리거되고 대체 필드가 일치하는 CI 결과를 채우는 데 사용되도록 프로파일을 성공적으로 구성했습니다.