추가 옵션: 인시던트 상태에 따라 SIR 상관 관계 있는 이벤트 업데이트 및 종결 자동화

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • ArcSight ESM 통합에는 상관관계 이벤트가 보안 인시던트를 생성할 수 있는 양방향 인터페이스는 물론 보안 인시던트 번호, 할당 그룹, SIR 인시던트 URL 등과 같은 관련 인시던트 상세 정보를 사용하여 보안 인시던트가 생성 및/또는 종결되면 상관관계 이벤트를 업데이트할 수 있는 기능이 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
    2. 아래 지침에 따라 보안 인시던트를 만들 때 상관 관계가 있는 이벤트를 업데이트하기 위한 구성을 완료합니다.
      옵션 또는 필드설명
      SIR 인시던트 작성 시 상관 이벤트 업데이트 에서 상관관계 이벤트 단계를 ArcSight ESM 업데이트하고 상관관계 이벤트에서 보안 인시던트가 생성될 때 추가 의견으로 이벤트를 업데이트하려면 이 옵션을 선택합니다. 이는 새 보안 인시던트를 만들고 기존 보안 인시던트를 집계할 수 있는 상관관계 이벤트에 대해 발생할 수 있습니다.
      주:
      이 옵션을 선택하지 않으면 보안 인시던트가 생성될 때 이벤트 스테이지가 업데이트되지 않습니다.
      상관 이벤트 스테이지 업데이트 서버에서 검색된 사용 가능한 모든 스테이지를 ArcSight ESM 표시하는 상관 이벤트 스테이지 업데이트 선택 목록에서 스테이지 옵션을 선택합니다.
      상관 이벤트 단계가 구성되지 않음: 인스턴스에 상관 이벤트 단계를 Now Platform 구성하지 않은 경우 상관 이벤트 스테이지 업데이트 선택 목록에 스테이지 할당 - 초기 설정 만 표시됩니다. 스테이지를 구성하려면 다음 단계를 따르십시오.
      • Enter Stage Resource ID(스테이지 자원 ID 입력) 필드에 자원 ID를 입력하고 Submit(제출)을 클릭합니다. 콘솔에서 리소스 ID가 ArcSight ESM 확인되고 다음 화면이 표시됩니다.
        ArcSight ESM: 스테이지 자원 ID
      • Save(저장)를 클릭하여 새 단계(Monitoring)를 저장합니다.
      • Select Correlated Event Stage 드롭다운 목록을 클릭합니다.
        ArcSight ESM: 이벤트 스테이지 목록
      • 목록에서 새로 만든 스테이지를 선택할 수 있습니다.
      이미 구성된 상관 이벤트 단계: 이미 구성된 상관 이벤트 단계를 이미 구성한 경우 다음 단계를 따르십시오.
      • 상관 관계 이벤트 스테이지 업데이트 선택 목록에서 이전에 할당된 스테이지 사용을 선택합니다.
      • 아래 그림과 같이 상관 이벤트 스테이지 선택 선택 목록에서 기존 스테이지를 선택합니다.
        ArcSight ESM: 이전에 할당된 스테이지
      • 상관 관계에 있는 이벤트에 다시 게시된 초기 설명: 상관관계 이벤트 단계 값을 업데이트하는 것 외에도 상관관계 단계 주석에 설명을 게시할 수도 있습니다. 지침에 표시된 대로 Security Incident Response 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 설명 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
      주:
      콘솔에 ArcSight ESM 정의된 기본 단계를 사용하거나 사용자 지정 단계를 생성할 수 있습니다. 새 스테이지를 만들려면 다음 단계를 수행합니다.
      • ArcSight ESM 콘솔에서 파일 > 신규 > 스테이지레이블이 표시됩니다. 검사/편집(Inspect/Edit) 탭이 표시됩니다.
      • 새 스테이지를 정의하고 사용자 필수 확인란을 선택하지 마십시오. 스테이지가 올바르게 정의되었고 이벤트 수명주기에서 올바른 위치에 있는지 확인합니다.
    3. 상관 관계 이벤트 종결 자동화 섹션에서 보안 인시던트가 종결될 때 이를 업데이트하는 방법을 정의할 수 있습니다.
    4. 양식의 필드에 내용을 입력합니다.
      옵션 또는 필드설명
      SIR 인시던트 종결 시 상관 이벤트 업데이트 상관관계 이벤트 상태를 업데이트하고 보안 인시던트가 상관 관계된 이벤트에서 종결될 때 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 만드는 주목할 만한 초기 트리거 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
      주:
      이 옵션을 선택하지 않으면 보안 인시던트를 닫을 때 이벤트 스테이지가 업데이트되지 않습니다.
      상관 이벤트 스테이지 업데이트 서버에서 검색 ArcSight ESM 된 사용 가능한 모든 스테이지를 표시하는 메뉴에서 스테이지 옵션을 선택합니다. 보안 인시던트를 종결할 때 모든 상관관계 이벤트에 대해 설정할 스테이지 값을 선택합니다.
      주:
      여기에 표시되는 스테이지는 상관관계 이벤트 초기 업데이트 섹션에 구성된 스테이지를 기반으로 합니다.
      상관 이벤트 스테이지 선택 여기에서 적절한 상태를 선택합니다.
      상관 이벤트에 다시 게시된 종결 설명 상관관계 이벤트 상태 값을 업데이트하는 것 외에도 상관관계 이벤트 주석에 종결 주석을 게시할 수도 있습니다. 지침에 표시된 대로 Security Incident Response 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 설명 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.

      ArcSight ESM: 종결 이벤트 스테이지
    5. Finish(마침)를 클릭하여 구성을 완료합니다.
      확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 성공적으로 완료했습니다. 일정에 따라 콘솔에서 ArcSight ESM 상관관계 이벤트를 끌어오려면 이 프로필을 활성화합니다.