이벤트 및 경보에서 생성되는 보안 인시던트
이벤트는 경보 모니터링 도구에서 임포트될 때 먼저 경보에 의해 이벤트 관리 처리되고 경보로 그룹화됩니다. 이러한 경보는 사용자 지정 가능한 경보 규칙에 따라 보안 인시던트를 생성하는 데 사용하거나 수동으로 검토하여 보안 인시던트로 조사할 경보를 선택할 수 있습니다.
애플리케이션 모듈에서 경보 규칙중요 경보에서 보안 인시던트 생성이라는 샘플 경보 규칙을 이벤트 관리 찾을 수 있습니다. 이 경보 규칙은 외부 공급업체 모니터링 애플리케이션 내부 ServiceNow 또는 외부 공급업체 모니터링 애플리케이션에서 중요한 보안 관련 이벤트가 수신되면 보안 인시던트를 자동으로 생성합니다. 보안 인시던트가 생성되면 새 이벤트가 수신되면 업데이트됩니다. 경보 규칙의 작업 템플릿을 수정하여 이 경보 규칙에 의해 생성된 보안 인시던트의 초기 값을 변경할 수 있습니다. 생성하려는 보안 인시던트의 종류를 처리하기 위해 서로 다른 조건을 사용하여 다른 경보 규칙을 정의할 수 있습니다.
또는 보안 관리자 역할을 가진 사용자인 경우 의심스러운 경보에서 보안 인시던트 생성 단추를 클릭하여 보안 인시던트를 수동으로 생성할 수 있습니다.
외부 도구에서 받은 이벤트에는 다음 정보가 포함되어야 합니다.
- 영향을 받는 자원이 되는 CI의 이름, IP 주소 또는 sys_id로 설정된 노드입니다.
- 이벤트 분류는 다른 IT 이벤트와 구별하기 위해 보안으로 설정됩니다.
- 보안 인시던트에 대한 설명을 채우는 이벤트 설명입니다.
- 추가 정보에는 이전에 나열된 필드 또는 범주, 공격 벡터, 반환 URL 또는 상관관계 ID와 같은 기타 이벤트 필드에 맞지 않는 추가 정보가 포함될 수 있습니다. 형식은 다음 JSON 형식을 사용하여 값과 함께 필드 이름을 나열하는 문자열입니다.
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
주:
각 필드 및 값 쌍에 대해 열 이름이 fieldName과 일치하는 보안 인시던트의 필드가 비어 있으면 fieldValue로 설정됩니다. 보안 인시던트의 필드가 비어 있지 않으면 변경되지 않습니다. 두 경우 모두 이벤트와 추가 정보에 인코딩된 모든 필드 및 값은 이벤트를 설명하는 작업 메모 항목에 기록됩니다. 보안 인시던트에 아무런 변화가 없으면 작업 메모 항목이 생성되지 않습니다. 테이블에 추가하는 사용자 지정 필드를 포함하여 보안 인시던트의 모든 필드를 설정할 수 있습니다.