분석가가 보안 인시던트 응답 작업 공간에서 보안 인시던트를 종결하는 데 도움이 될 수 있는 다음 단계를 자동으로 생성합니다. 권장 단계는 기존 보안 인시던트 및 지식 문서를 기반으로 합니다.
시작하기 전에
권장되는 다음 단계는 종결 또는 취소됨이 아닌 모든 상태의 활성 보안 인시던트에 대해 작업합니다.
권장 작업 기술이 보안 인시던트에 적용되도록 AI 검색 애플리케이션을 활성화해야 합니다. 인스턴스에서 AI 검색이 활성화되어 있는지 확인하려면 다음으로 이동하십시오. . 페이지에 AI 검색이 활성화되지 않았다고 표시되면 지원팀에 문의하십시오.
필요한 역할: sn_si.analyst, sn_si.manager 또는 sn_si.basic
프로시저
-
다음으로 이동 을 클릭하고 나에게 할당된 보안 인시던트를 엽니다.
-
상황별 사이드바에서 권장 작업 아이콘을 선택합니다.
-
권장 사항 가져오기를 선택합니다.
-
AI 생성 콘텐츠 확인 모달에서 승인 을 선택합니다.
생성된 권장 작업이 카드에 표시됩니다. 작업에 대한 최대 4개의 참조가 맨 위에 표시됩니다. 이러한 참조는 지식 문서(KB) 또는 보안 인시던트(SIR#)의 조합일 수 있습니다.
-
카드에서 하나를 선택합니다.
| 옵션 | 설명 |
|---|
| 상세 정보 보기 |
이 정정 작업에 대한 상세 정보를 봅니다. |
| 작업 메모에 저장 |
작업 메모를 검토하고 편집할 수 있는 옵션을 한 후 보안 인시던트의 작업 메모에 저장합니다. |
| 참조 링크 선택 |
이러한 작업의 소스로 사용되는 보안 인시던트 또는 지식 문서를 봅니다. |
주: 더 보기 버튼을 클릭하여 권장 작업을 시간순으로 보고 보안 분석가에게 보안 인시던트를 분석하고 조사하기 위한 차선 전략을 안내합니다.
- 옵션:
권장 작업 패널에서 새로 고침 아이콘을 선택하여 권장 작업을 다시 생성합니다.
권장 작업은 1시간 동안 캐시된 상태로 유지됩니다. 다음과 같은 경우 권장 단계를 새로 고칠 수 있습니다.
- 마지막으로 작업을 생성한 이후에 보안 인시던트와 관련된 정보가 변경되었다고 생각합니다.
- 페이지에서 나갔다가 로그아웃했다가 다시 로그인한 다음 1시간 이내에 보안 인시던트로 돌아갑니다.
1시간 후에 보려면 3단계부터 시작하는 작업을 다시 생성해야 합니다.
- 옵션:
도움이 됨 또는 도움이 되지 않음 아이콘을 클릭하여 권장 사항에 대한 피드백을 공유하십시오.
주: 권장 사항을 도움이 되지 않음으로 표시하면 향후 권장 사항의 품질을 개선하는 데 도움이 되는 자세한 피드백을 추가할 수 있습니다.
-
카드에서 응답 작업 생성 을 선택합니다.
작업 공간에 새 탭이 열립니다. 짧은 설명과설명 필드는 선택한 권장 작업 카드의 상세 정보에서 자동으로 채워집니다.
-
필요에 따라 양식을 편집하고 저장을 선택하여 응답 작업을 생성합니다.
시스템 속성의 값을 변경할 때까지 생성하는 권장 작업의 두 옵션은 상세 정보 보기 와 응답 작업 생성으로 유지됩니다.
- 옵션:
권장 작업에서 응답 작업을 생성합니다.
기본적으로 워크플로우는 카드의 작업 메모에 권장 작업을 저장하는 옵션을 제공합니다. 작업 메모에 저장하는 대신 작업 카드에서 응답 작업을 생성하는 옵션을 사용하려면 SecOps 권장 작업 [sn_sec_ra.card_action_config] 시스템 속성의 값 필드를 변경해야 합니다.
-
보안 인시던트 관리자 역할 [sn_si.manager]을 가진 사용자가 sys_properties로 이동합니다. 목록.
-
SecOps 권장 작업 [sn_sec_ra.card_action_config] 시스템 속성을 찾아 기록을 엽니다.
-
값을 share_to_work_notes 에서 create_task로 변경합니다.
-
레코드를 저장합니다.
-
보안 인시던트 기록으로 돌아가서 페이지를 새로 고칩니다.
작업 카드는 상세 정보 보기 및 응답 작업 생성 옵션을 제공합니다.
