시간 경과에 따른 위협의 확산 여부를 확인하거나 정정 또는 근절 노력을 테스트합니다. 보안 인시던트에서 검색할 개별 또는 여러 옵저버블 및 날짜 범위를 선택할 수 있습니다. 결과는 보안 인시던트 옵저버블 관련 목록에 포함됩니다.
시작하기 전에
필요한 역할: sn_si.analyst
이 태스크 정보
사이팅 검색 역량에는 사이팅 검색을 실행하는 플로우가 Security Operations Integration - 사이팅 검색 플로우있습니다. 이 플로우는 옵저버블 목록을 수락하고, 구현 기능을 찾고, 사이팅 검색 구성을 기반으로 쿼리를 만들고, 구성된 플로우를 기반으로 검색을 실행합니다. 주: 활성 구현을 구성해야 합니다. 사이팅 검색은 Elasticsearch, Splunk, McAfee ESM, HPE ArcSight Logger 및 QRadar 인시던트 보강을 지원합니다. 사용할 수 있는 구현이 없으면 사이팅 검색 실행과 같은 역량 작업이 제품 메뉴에 표시되지 않습니다.
프로시저
-
보안 인시던트로 이동합니다.
-
IoC 표시 관련 링크를 선택합니다.
-
관련 목록 탭에서 옵저버블을 선택합니다.
-
사이팅 검색을 수행할 옵저버블을 선택합니다.
-
선택한 행에 대한 작업... 드롭다운 메뉴에서 사이팅 검색 실행을 선택합니다.
사이팅 검색 실행 대화 상자가 열립니다.
주: 대화 상자에 입력한 값은 이 실행에 대한 역량 구성 값을 덮어씁니다.
-
데이터를 검색할 일 수 또는 날짜 범위를 선택합니다.
| 옵션 | 설명 |
|---|
| 마지막 |
검색할 인시던트를 생성하기 전의 시간 또는 일 수입니다. 기본값은 7일입니다. 제한은 99시간 또는 일입니다.
|
| 다음 날짜 사이 |
검색할 날짜의 범위입니다. 기본 날짜는 다음과 같습니다.
- 인시던트가 열린 날짜 및 시간입니다.
- 인시던트가 시작되기 7일 전의 날짜 및 시간입니다.
|
주: 마지막 은 검색할 인시던트를 생성하기 전의 시간 또는 일 수입니다. 기본값은 7일입니다. 제한은 99시간 또는 일입니다.
-
검색을 선택합니다.
사이팅 검색 기록이 생성됩니다. 집계 및 연결된 사이팅 데이터는
사이팅 검색 결과 및
사이팅 검색 상세 정보 탭 아래 보안 인시던트에 표시됩니다.
주: 사이팅 검색 결과 데이터는 원시 데이터를 포함하도록 구성된 구현의 경우 원시 데이터를 제외하고 공유할 수 Trusted Security Circle있습니다.
표 1. 사이팅 검색 결과
| 결과 |
설명 |
| 번호 |
사이팅 검색의 식별자입니다. |
| 옵저버블 수 |
쿼리에서 검색한 옵저버블 수입니다. |
| 내부 사이팅 |
내부 사이팅 수입니다. |
| 외부 사이팅 |
외부 사이팅 수입니다. (위협 공유에서 수신) |
| 일치하는 구성 항목 |
사용자 환경에서 찾은 각 옵저버블에 대해 CMDB의 기존 기록과 일치하는 구성 항목 수입니다. |
| 시작 날짜 범위 |
사이팅 찾기를 시작할 시간입니다. |
| 종료 날짜 범위 |
목격을 찾는 것을 멈출 시간입니다. |
| 업데이트됨 |
마지막으로 수정한 날짜 및 시간입니다. |
주: 사이팅 검색에 사용되는 구현이 원시 데이터를 포함하도록 구성되어 있고 하나 이상의 사이팅이 발견되면 원시 데이터 샘플이 포함된 첨부 파일이 보안 인시던트의 맨 위에 나타납니다.
표 2. 사이팅 검색 상세 정보
| 상세 정보 |
설명 |
| 사이팅 검색 |
사이팅 검색의 식별자입니다. |
| 옵저버블 |
쿼리로 검색된 옵저버블입니다. |
| 옵저버블 유형 |
쿼리로 검색된 옵저버블의 유형입니다. |
| 내부 사이팅 |
내부 사이팅의 집계 수입니다. |
| 외부 사이팅 |
외부 사이팅의 집계된 수입니다. (위협 공유에서 수신) |
| 업데이트됨 |
마지막으로 수정한 날짜 및 시간입니다. |