설정 도우미 참조
설정 도우미는 기본 시스템을 설정하기 위해 수행해야 하는 단계를 안내합니다.보안 인시던트 응답 이 섹션에서는 더 많은 설명이 필요할 수 있는 복잡한 단계에 대한 추가 정보를 제공합니다.
프로세스 정의 생성 보안 인시던트 응답
프로세스 정의를 생성하여 보안 인시던트가 한 상태에서 다음 상태로 전환되는 방식을 정의할 수 있습니다. 프로세스 정의는 서비스 데스크와 최종 사용자가 문제의 수명주기 동안 문제를 추적하는 데 도움을 줍니다.
시작하기 전에
필요한 역할: sn_si.admin
프로시저
보안 인시던트 응답 프로세스 정의 이해
보안 인시던트 응답 프로세스 정의 상태 플로우를 대체하고 최종 사용자와 서비스 데스크에 문제의 상태를 제공합니다. 프로세스 정의는 수명주기를 통해 문제를 추적하는 데 도움을 줍니다. 보안 인시던트 응답 는 자체 상태 세트가 있는 서비스 관리(SM) 애플리케이션입니다. 잘못된 상태는 의 일부 프로세스 선택로 보고됩니다.
보안 인시던트 응답 프로세스 정의
| 상태 | 설명 |
|---|---|
| 초안 | 요청 개시자가 보안 인시던트에 대한 정보를 추가하지만 아직 처리할 준비가 되지 않았습니다. |
| 분석 | 인시던트가 할당되고 문제를 분석하고 있습니다. |
| 포함 | 문제가 확인되었으며 보안 직원이 문제를 억제하고 피해 통제를 수행하기 위해 노력하고 있습니다. 이러한 작업에는 서버를 오프라인으로 전환하고, 장비의 인터넷 연결을 끊고, 백업이 있는지 확인하는 것이 포함될 수 있습니다. |
| 근절 | 문제가 억제되었으며 보안 담당자가 문제를 해결하기 위한 조치를 취하고 있습니다. |
| 복구 | 문제가 해결되고 영향을 받는 시스템의 운영 준비 상태가 검증됩니다. |
| 검토 | 보안 인시던트가 완료되었고 모든 시스템이 정상 기능으로 돌아왔지만, 사후 인시던트 검토는 여전히 필요합니다. |
| 종결됨 | 인시던트가 완료되었지만 보안 인시던트를 종결하려면 먼저 종결 처리 정보 탭의 정보를 입력해야 합니다. |
보안 인시던트 작업 프로세스 정의
다음 프로세스 정의는 보안 인시던트 작업에 사용됩니다.
| 상태 | 설명 |
|---|---|
| 준비 | 작업이 에이전트에 할당되면 작업 준비가 완료됩니다. |
| 할당됨 | 작업이 에이전트에게 할당됩니다. |
| 작업 진행 중 | 할당된 에이전트가 작업을 수행 중입니다. |
| 완료 | 작업이 완료되었습니다. |
| 취소됨 | 작업이 취소되었습니다. |
NIST는 다음 두 모델을 지원합니다.
- NIST 상태 저장
이 프로세스 정의를 사용하면 분석가가 단계를 건너뛰지 않고 순차적으로 한 상태에서 다른 상태로 이동할 수 있습니다. 예를 들어 분석가가 초안 상태로 시작하는 경우 이 프로세스 정의의 순차적 순서는 초안>분석>포함>근절>복구입니다. 따라서 NIST 상태 저장 프로세스 정의는 단방향이며 분석가가 전달 상태로만 진행할 수 있도록 합니다.
또 다른 예입니다. 분석가가 분석 상태로 시작하는 경우 이 프로세스 정의의 순차적 순서는 분석>포함>근절>복구입니다.
- NIST 오픈
이 프로세스 정의를 통해 분석가는 한 상태에서 다른 상태로 앞으로 또는 뒤로 이동할 수 있습니다. 예를 들어 분석가가 분석 상태로 시작하는 경우 프로세스 정의의 순서는 분석>포함>근절>복구 또는 분석>초안일 수 있습니다. 따라서 NIST 오픈 프로세스 정의는 양방향이며 분석가가 요구 사항에 따라 앞으로 또는 뒤로 상태로 이동할 수 있도록 합니다.
보안 인시던트 응답 프로세스 선택
보안 인시던트 응답 프로세스 선택은 보안 인시던트 및 응답 작업에 대해 잘못된 상태가 있는 프로세스를 나열합니다.
관리자는 수동으로 또는 스크립트를 사용하여 인시던트 또는 작업을 유효한 상태로 수정할 수 있습니다. 비어 있는 관련 목록(인시던트 없음, 작업 없음)은 모든 활성 작업이 유효한 상태임을 나타냅니다. 사용 가능한 상태는 인시던트의 현재 상태에 따라 달라집니다. 자세한 내용은 프로세스 정의를 사용하여 잘못된 보안 인시던트 또는 작업 상태 정정 문서를 참조하십시오.
프로세스 정의 선택 보안 인시던트 응답
회사 보안 인시던트 및 응답 작업의 적절한 상태에 사용할 프로세스 정의를 선택할 수 있습니다.
시작하기 전에
이 태스크 정보
프로시저
-
사용 가능한 프로세스 정의를 나열하려면 검색 아이콘을 선택합니다.
사용자 지정 보안 인시던트 응답 프로세스 정의 스크립트 포함 생성
회사 보안 인시던트 및 응답 작업에 적합한 상태에 대한 사용자 지정 프로세스 정의 스크립트를 생성합니다.
시작하기 전에
이 태스크 정보
프로시저
프로세스 정의 스크립트 포함
프로세스 정의 스크립트 포함은 프로세스 정의를 정의하는 메서드를 제공합니다.
여기에 설명된 상수, 속성, 배열 및 메서드 호출을 구현하여 프로세스 정의 스크립트 포함을 사용자 지정합니다.
사용 장소
이 스크립트 포함을 사용하여 프로세스 정의를 생성합니다.
스크립트 포함 본문
- 상수: 초기 상태 정의
- 보안 인시던트 및 응답 작업: 프로세스 정의 배열
- 메서드 호출: 정보 검색
상수
상수는 보안 인시던트 및 응답 작업의 초기 상태를 정의하는 데 사용됩니다.
INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,
나중에 다음 방법으로 사용됩니다.
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},다음 상수 집합은 보안 인시던트와 응답 작업 모두에 대한 상태를 정의합니다.
각 배열에는 인시던트나 작업이 특정 상태에 있을 때 사용할 수 있는 상태에 대한 정의도 포함되어 있습니다.
TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
{state:10, label:"Ready", choice:[10, 16]},
{state:16, label:"Assigned", choice:[16, 18]},
{state:18, label:"Work in Progress", choice:[18, 3]},
{state:3, label:"Close Complete", choice:[]},
{state:7, label:"Cancelled", choice:[]},
],예는 객체의 배열입니다. 각 개체는 상태와 가능한 전환 상태를 정의합니다.
상태 객체의 순서에 따라 원하는 플로우 순서가 결정됩니다.
작업이 '초안' 상태(값 1)인 경우 가능한 상태는 1(초안, 변경 없음) 및 10(준비, 프로세스의 다음 단계)입니다.
상태를 벗어나는 전환 수에는 제한이 없습니다. '종결 완료' 및 '취소됨' 상태는 최종 상태이므로 상태 전환이 가능합니다.
객체의 속성 순서는 중요하지 않습니다. 정의가 더 명확하면 레이블을 먼저 넣으십시오.
속성
- 상태: 상태의 숫자 값
- 레이블: 상태와 관련된 사람이 읽을 수 있는 텍스트
- 선택: 상태가 전환할 수 있는 상태 값의 배열(상태 드롭다운의 콘텐츠 결정)
- 필수: 이 상태에서 필수가 되는 필드 ID 목록
- readonly: 이 상태에서 읽기 전용이 되는 필드 ID 목록
- visible: 이 상태로 표시되는 필드 ID 목록입니다.
- notmandatory: 이 상태에서 필수가 아닌 필드 ID의 목록
- notvisible: 이 상태에서 더 이상 표시되지 않는 필드 ID의 목록입니다.
선택적 속성을 사용하는 경우 필드가 상태 간에 적절하게 표시/표시되지 않거나, 필수/필수가 아님, 표시/숨김 또는 읽기 전용으로 설정하는 것은 작성자의 책임입니다.
예를 들어, 한 상태에서 필드를 숨기면 '표시' 속성을 사용하지 않는 한 나중에 다른 상태에서 표시되지 않습니다.
프로세스 흐름 정의 배열
프로세스 플로우 포매터(보안 인시던트 및 응답 작업 양식의 맨 위에 있는 막대)에 표시되는 정보를 정의하려면 시스템에 각 상태에 대해 표시할 내용에 대한 정보가 필요합니다.
TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
{label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
{label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
{label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
{label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],TASK_PF 배열은 프로세스 포매터 막대에 표시되는 텍스트(순서 및 활동 포함)를 결정하는 데 사용되는 레이블, 조건 및 설명의 모음입니다.
이 예에서 '준비'라는 텍스트가 두 번째 표시되는 항목입니다. 작업이 'state=10^EQ' 조건을 충족하면 강조 표시됩니다.
포인터를 텍스트 위로 가리키면 '보안 인시던트 응답 작업을 할당할 준비가 되었습니다'라는 설명이 표시됩니다.
상태는 단일 포매터 상태로 결합할 수 있습니다.
이 예에서는 '완료 종결' 및 '취소됨' 상태가 모두 상단 표시줄에 '종결됨'으로 표시됩니다.
메서드 호출
| 수익 유형 | 메서드 요약 | 설명 |
|---|---|---|
| 문자열 | getInitialIncidentState: 함수() | 초기 인시던트 상태 숫자 값 반환 |
| 문자열 | getInitialTaskState: 함수(): | 초기 작업 상태 숫자 값 반환 |
| 문자열 배열 | getIncidentStates: 함수(): | 인시던트 상태의 배열 반환 |
| 문자열 배열 | getTaskStates: 함수(): | 작업 상태의 배열 반환 |
| 객체 배열 | getIncidentProcessFlows: 함수(): | 인시던트 프로세스 흐름 정의 배열 반환 |
| 객체 배열 | getTaskProcessFlows: 함수(): | 작업 프로세스 흐름 정의 배열 반환 |
다음 메서드 세트는 인시던트나 작업이 업데이트될 때마다 호출되며 이를 통해 특정 변경 전환에 대해 동작을 수행할 수 있도록 합니다.
| 수익 유형 | 메서드 요약 | 설명 |
|---|---|---|
| 무효 | performIncidentStateChange: 함수(current, previous) | 이 예시에서 이 방법은 SM 관련 값을 설정하고 누군가가 할당되면 인시던트가 '초안'에서 진행되도록 하는 데 사용됩니다. |
| 무효 | performTaskStateChange: 함수(현재, 이전) | 이 예에서 이 방법은 타임스탬프(할당 및 종결 시)를 업데이트하고 assigned_to 필드가 채워지면 작업을 '준비'에서 '할당됨'으로 진행하는 데 사용됩니다. |
프로세스 정의를 사용하여 잘못된 보안 인시던트 또는 작업 상태 정정
관리자는 수동으로 또는 스크립트를 사용하여 보안 인시던트 또는 작업을 올바른 상태로 수정할 수 있습니다. 사용 가능한 상태는 인시던트의 현재 상태에 따라 달라집니다.
시작하기 전에
이 태스크 정보
상태를 대량으로 변경하려면 다음을 수행합니다.
프로시저
-
첫 번째 기록에서 상태 필드를 두 번 클릭하고 새 상태를 선택한 다음 녹색 확인 표시(
)를 선택하여 변경을 완료합니다.
보안 인시던트 그룹 생성
보안 인시던트 그룹을 설정하고 적절한 역할과 사용자를 그룹에 할당합니다.
시작하기 전에
- user_admin 역할이 있는 경우 보안 인시던트 할당 그룹을 생성할 수 있습니다.
- sn_si.admin 역할이 있는 경우 보안 인시던트 할당 그룹을 생성하고 편집할 수 있습니다.
이 태스크 정보
조직에서 필요한 만큼 그룹을 생성하는 것이 좋습니다. 또한 관리자용 그룹을 하나 생성하고 이 그룹에만 관리자 역할을 할당하는 것도 좋습니다.
프로시저
-
이 그룹에 대해 보안 인시던 트 유형을 선택해야 합니다.
- 유형 필드가 표시되지 않으면 추가 하도록 양식을 구성합니다.
- 유형 필드 옆의 자물쇠 아이콘을 선택합니다.
-
참조 조회 아이콘(조회 아이콘)을 선택합니다
- 보안 인시던트 유형을 검색하여 선택합니다.
보안 인시던트 계산기 그룹 생성
보안 인시던트 계산기 그룹은 계산기를 그룹화하는 데 사용됩니다.
시작하기 전에
프로시저
보안 인시던트 계산기 생성
보안 인시던트 계산기를 사용하면 미리 정의된 수식을 기반으로 보안 인시던트의 심각도를 계산할 수 있습니다. 필요한 경우 고유한 보안 인시던트 계산기를 정의할 수 있습니다.
시작하기 전에
프로시저
보안 인시던트 계산기 이해
보안 인시던트 계산기는 사전 정의된 조건이 충족될 때 기록 값을 업데이트하는 데 사용됩니다. 계산기는 기록이 업데이트되는 방법을 결정하는 데 사용되는 기준에 따라 그룹화됩니다.
기본 시스템에는 보안 인시던트 응답 다음과 같은 보안 인시던트 계산기 그룹 및 계산기가 포함됩니다. 각 그룹 내에서 조건과 일치하는 첫 번째 계산기를 실행합니다.
| 보안 인시던트 계산기 그룹 이름 | 그룹에 포함된 계산기 | 설명 |
|---|---|---|
| 비즈니스 영향 | 심각도 계산기에서 집계 | 이 계산기는 다른 필드의 값에 가중치를 부여하여 중요도를 결정하는 보안 중요도 계산기에 위임됩니다. |
| 심각도 | 영향을 받는 비즈니스 | 이 심각도 계산기는 간단한 조건 작성기를 사용하여 선택 기준을 정의합니다. |
| 중요한 서비스가 영향을 받음 | 이 심각도 계산기는 고급 조건을 사용하여 선택 기준을 정의합니다. 보안 인시던트의 구성 항목이 매우 중요한 비즈니스 서비스와 연결되어 있으면 위험 점수, 비즈니스 영향 및 우선순위 필드가 계산기에 정의된 대로 상승합니다. |
|
| 중요한 서비스 변경 | 이 심각도 계산기는 고급 조건을 사용하여 선택 기준을 정의합니다. 보안 인시던트가 조건을 충족하면 스크립트가 실행되어 필드가 상승되는 수준을 정의합니다. 보안 인시던트의 구성 항목이 가장 중요하거나 상당히 중요한 비즈니스 서비스와 연결된 경우 위험 점수, 비즈니스 영향 및 우선순위 필드가 계산기에 정의된 대로 상승합니다. |
|
| 다중 공격 벡터 | 이 심각도 계산기는 간단한 조건 작성기를 사용하여 선택 기준을 정의합니다. 보안 인시던트의 구성 항목이 웹, 이메일 및 가장 공격 벡터와 연결된 경우 위험 점수, 비즈니스 영향 및 우선순위 필드가 계산기에 정의된 대로 상승합니다. |
|
| 범주 및 서비스로 우선순위 설정 | 이 심각도 계산기는 고급 조건 작성기를 사용하여 선택 기준을 정의합니다. 다음 조건이 충족되면 보안 인시던트 우선순위가 1 - 중요 로 설정됩니다.
주: 이 계산기는 스타터 보안 운영 가격 책정 계층이 있는 경우 기본 시스템에서 사용할 수 있습니다. |
|
| 옵저버블로 우선순위 설정 | 이 심각도 계산기는 고급 조건 작성기를 사용하여 선택 기준을 정의합니다. 다음 조건이 충족되면 보안 인시던트 우선순위가1 - 중요 로 설정됩니다.
주: 고급 보안 운영 가격 책정 계층이 있고 위협 피드 플러그인을 활성화하면 기본 시스템에서 이 계산기를 사용할 수 있습니다. |
|
| 사용자 중요도 | 사용자 중요도 가져오기 | 이 심각도 계산기는 간단한 조건 작성기를 사용하여 선택 기준을 정의합니다. 이 심각도 계산기를 사용하면 부서 필드가 재무로 변경되면 사용자 비즈니스 중요도가 1 - 중요로 변경됩니다. |
| 사용자 그룹 중요도 가져오기 | 이 심각도 계산기는 고급 조건 작성기를 사용하여 선택 기준을 정의합니다. 이 심각도 계산기는 관련 목록의 데이터에 대해 실행되는 계산기의 예를 제공합니다. |
심각도 계산기
보안 인시던트를 만들 때 위험 점수, 비즈니스 영향 및 우선순위 필드에 기본값이 포함됩니다. 인시던트를 저장하면 비즈니스 규칙이 각 활성 심각도 계산기에 정의된 조건에 대해 보안 인시던트의 정보를 자동으로 확인합니다. 각 계산기의 순서 필드에 정의된 순서대로 한 번에 하나의 보안 계산기로 확인됩니다. 보안 인시던트의 정보가 계산기 중 하나에 정의된 조건과 일치하면 심각도 필드 값이 계산기에 설정된 규칙에 따라 업데이트됩니다.
예를 들어, 영향을 받는 CI에 대한 보안 인시던트를 생성하고 CI가 매우 중요하다고 가정해 보겠습니다. 보안 인시던트가 저장되면 CI 정보가 심각도 계산기에 정의된 조건과 비교됩니다. 중요한 서비스의 영향을 받는 심각도 계산기에 대해 보안 인시던트를 확인하면 심각도 필드가 자동으로 업데이트되고 보안 인시던트 상단에 메시지가 나타납니다.
- [공격 벡터] [포함] [웹]
- [공격 벡터] [포함] [이메일]
- [비즈니스 단위] [포함] [재무]
기록을 열고 심 각도 계산 관련 링크를 클릭하여 언제든지 기존 보안 인시던트의 심각도 값을 업데이트할 수 있습니다.
보안 인시던트 위험 점수 계산기
범주 및 서비스로 우선순위 설정 및 옵저버블로 우선순위 설정 계산기는 보안 인시던트의 위험 점수를 계산하는 데 사용됩니다.
사용자 중요도 계산기
사용자 중요도 그룹에 있는 두 계산기(사용자 중요도 가져오기 및 사용자 그룹 중요도 가져오기)는 사용자 기록에 정의된 기준 또는 사용자가 속한 그룹에 따라 중요도를 높일 수 있는 방법의 예를 제공합니다.
필요에 따라 편집하거나 새 사용자 중요도 계산기를 만들 수 있습니다.
사용자 중요도 계산기 가져오기를 사용하면 부서 필드가 재무로 변경되면 사용자 비즈니스 중요도가 1 - 중요로 변경됩니다.
var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].보안 인시던트 위험 점수 계산
위험 점수는 보안 인시던트의 우선순위, 보안 인시던트 유형(서비스 거부, 스피어 피싱 또는 악성 코드 활동) 및 표시기에서 실패한 평판 점수를 트리거한 소스 수를 기준으로 위험을 나타내는 산술 평균으로 계산됩니다.
- 심각도 계산
- 위험 점수 업데이트
- SI 위험 점수 업데이트
예를 들어 보안 인시던트의 비즈니스 영향 이 2-높음 으로 설정되어 있고 우선순위가3-보통으로 설정된 경우 위험 점수 가중치 테이블의 각 가중치를 조회하고 계산하는 결과는 다음과 같습니다.
값이 2인 보안 인시던트 비즈니스 영향 = 가중치 60.
값이 3인 보안 인시던트 우선순위 = 가중치 40.
(60 + 40)/2 = 위험 점수 50.
그런 다음 업데이트된 위험 점수에 따라 보안 인시던트 목록에서 보안 인시던트의 위치가 다시 정렬됩니다.
- 보안 인시던트 양식에 대한 비즈니스 영향
- 보안 인시던트 양식의 우선순위
- 보안 인시던트 양식의 심각도(기본적으로 숨겨짐)
- 영향을 받는 사용자 관련 목록에 대한 비즈니스 영향
- 영향을 받는 서비스 관련 목록에 대한 비즈니스 영향
- 취약한 항목 관련 목록의 취약성에 대한 비즈니스 영향
- 영향을 받는 사용자와 보안 인시던트 간의 연결이 생성되거나 수정되는 경우
- 영향을 받는 서비스와 보안 인시던트 간의 연결이 생성되거나 수정되는 경우
- 취약한 항목과 보안 인시던트 간의 연결이 생성되거나 수정되는 경우
또한 위험 점수 가중치 양식에서 모든 위험 점수 업데이트 및 모든 위험 점수 지우기를 클릭할 때마다 작업 메모가 업데이트됩니다.
위험 점수 가중치 유지
보안 인시던트에서 위험 점수를 계산하는 데 사용되는 위험 점수 가중치는 개별적으로 제거하거나 업데이트할 수 있습니다. 또한 모든 보안 인시던트에 대해 제거하거나 업데이트할 수도 있습니다. 보안 인시던트에서 이를 제거하는 기능은 가중치 값을 변경할 때 유용합니다.
시작하기 전에
프로시저
SLA 생성 보안 인시던트 응답
에 대한 보안 인시던트 응답서비스 수준 계약(SLA)을 정의할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.admin
프로시저
보안 인시던트 SLA 복구
SLA 기록을 복구하여 SLA 타이밍 및 기간 정보가 정확한지 확인할 수 있습니다.
시작하기 전에
프로시저
보안 인시던트 응답 Runbook 생성
Runbook은 게시된 지식 문서와 특정 작업 간의 연결입니다. 작업을 수행하는 동안 Runbook의 지식 문서가 자동으로 열리고 작업과 관련된 정보를 제공합니다.
시작하기 전에
필요한 역할: sn_si.knowledge_admin
이 태스크 정보
프로시저
사용자가 보고한 피싱 공격을 확인하는 규칙 생성
직원이 피싱 공격으로 보이는 이메일을 수신하면 피싱 이메일 주소를 사용하여 보고할 수 있습니다. 의심스러운 이메일은 조직에서 정의한 규칙을 사용하여 확인됩니다.
시작하기 전에
- acme+phishing@service-now.com 와 같은 이메일 주소를 정의합니다. +피싱 태그는 SMTP에서 필터링을 사용하도록 지원되며 인스턴스는 전송된 이메일을 수신할 수 있습니다.
- phishing@acme.com(Exchange 사서함)와 같은 전자 메일 주소를 정의하면 이 주소가 acme+phishing@service-now.com(메일 전달 규칙을 통해 정의된 인스턴스 사서함)로 전달됩니다.
필요한 역할: sn_sec_cmn.write
이 태스크 정보
직원이 의심스러운 이메일을 발견하면 해당 이메일을 첨부 파일로 귀하의 피싱 이메일 주소로 전달해야 합니다. 첨부된 이메일이 위협을 정의하는 규칙과 일치하면 보안 인시던트가 생성됩니다.