Security Incident Response 오케스트레이션 워크플로우 및 워크플로우 템플릿 이해

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 보안 인시던트 응답 기본 시스템에는 보안 인시던트 기록을 사용하도록 설계된 일련의 워크플로우와 워크플로우 템플릿이 포함되어 있습니다.

    시작하기 전에

    필요한 역할: sn_si.basic

    이 태스크 정보

    sn_sec_cmn.admin이라는 적절한 역할이 있다고 가정할 때 모든 워크플로우와 워크플로우 템플릿을 필요에 더욱 적합하도록 조정할 수 있습니다. 워크플로우는 보안 운영 시스템 전체에서 다양한 작업을 수행하는 데 사용됩니다.

    그러나 워크플로우 템플릿은 보안 인시던트의 범주 필드에서 값을 선택하여 트리거됩니다. 이 경우 선택 항목과 연결된 워크플로 템플릿은 보안 분석가에게 특정 유형의 위협을 처리하는 방법을 지시하는 워크플로 템플릿을 시작합니다.

    예를 들어 보안 인시던트의 범주 필드에서 DoS(서비스 거부)를 선택하면 보안 인시던트 - DoS(서비스 거부) - 템플릿이 실행되고 분석가는 DOS의 대상이 비즈니스에 중요한지 여부를 결정하도록 지시됩니다. 이 경우 다음 작업으로 인해 보안 인시던트의 우선 순위가 1 - 중요로 설정된 후 다음 작업을 실행합니다. 등등.

    보안 인시던트 응답 따라서 워크플로우와 워크플로우 템플릿은 보안 인시던트 내의 특정 기능 집합에 사용되는 것을 제외하면 본질적으로 동일합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 운영 > 워크플로우 > 보안 워크플로우 보기.
    2. 기본 시스템에 제공된 워크플로우 및 워크플로우 템플릿 목록이 표시됩니다.
      애플리케이션 제품군에서 보안 운영 생성한 새 워크플로우도 목록에 포함됩니다.
    3. 보려는 워크플로우 또는 워크플로우 템플릿의 이름을 클릭합니다.
      주:
      워크플로우는 여러 가지 방법으로 트리거할 수 있습니다. 워크플로를 워크플로 트리거와 연결한다고 해서 워크플로가 반드시 활성 상태인 것은 아닙니다.