하위 보안 인시던트 자동화를 위한 Playbook
중복 보안 인시던트는 하위 보안 인시던트로 분류되어 상위 보안 인시던트로 롤업됩니다.
하위 보안 인시던트 자동화 Playbook은 중복 보안 인시던트를 조사하고 종결하는 데 필요한 시간을 줄이는 데 도움이 됩니다. 이 Playbook은 하위 보안 인시던트(옵저버블, 영향을 받는 사용자, CI)의 특정 고유 아티팩트를 상위 보안 인시던트로 자동으로 롤업합니다.
필요 조건
필요한 역할:
- sn_si.admin
- flow_designer
스포크: Security Operations 스포크(sn_sec_spoke) 설치
핵심 기능
하위 자동화 Playbook은 다음 기능을 다룹니다.
- 보안 인시던트를 분석 스테이지로 이동합니다.
- 중복을 제거하고 영향을 받는 사용자와 CI를 상위 보안 인시던트에 추가(롤업)합니다.
- 하위 인시던트의 옵저버블을 상위 보안 인시던트에 추가합니다.
- 상위 보안 인시던트가 종결되면 하위 보안 인시던트를 종결하거나 취소합니다.
필요한 역량
자세한 내용은 ServiceNow Store를 참조하십시오.
보안 분석가 경험
보안 위협을 단계별로 해결하는 방법을 이해하려면 을 참조하십시오 Playbook으로 보안 위협 해결.
Flow Designer 기능이 포함된 하위 보안 인시던트 자동화 Playbook에 대한 심층적인 이해
시작
- sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
- 다음으로 이동 을 클릭하고 실패한 로그인 플레이북을 클릭합니다.
- 하위 보안 인시던트 자동화 Playbook의 사본을 만들고 필요한 수정을 합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.)
- 요구 사항에 따라 필요한 수정을 수행합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.)
- Playbook을 활성화합니다.
- 메인 플로우를 활성화하여 기본 시스템에서 사용할 수 있는 Playbook을 사용합니다.
- 요구 사항에 따라 수정한 후 복사한 플로우를 활성화합니다.
다음 이미지는 하위 보안 인시던트 자동화 Playbook의 복사본을 보여줍니다. 아래 단계를 검토하여 Playbook의 다양한 작업을 이해하십시오.
이 Playbook은 다음과 같은 경우에 트리거됩니다.
- 상위 보안 인시던트 필드가 비어 있지 않습니다.
- 상위 보안 인시던트가 초안, 분석, 포함 또는 근절 상태입니다.
다음 단계에서는 하위 보안 인시던트 자동화 플레이북에서 사용할 수 있는 작업 및 작업을 안내합니다.
- Playbook이 실행되기 시작하면 1단계에서 보안 인시던트가 초안 상태인 경우 업데이트되고 분석 상태로 설정됩니다.
- 2단계와 3단계에서는 보안 인시던트의 영향을 받는 사용자를 검색하여 상위 보안 인시던트로 롤업합니다. 중복 사용자는 제거됩니다.
- 4단계와 5단계에서는 하위 보안 인시던트와 연결된 구성 항목을 검색하고 고유한 CI를 상위 보안 인시던트로 롤업합니다.
- 6단계와 7단계에서는 하위 보안 인시던트와 연결된 옵저버블을 검색하고 고유 옵저버블을 상위 보안 인시던트로 롤업합니다.
- 8단계와 9단계에서는 영향을 받는 사용자, 구성 항목 및 옵저버블이 하위 보안 인시던트에서 상위 보안 인시던트로 롤업되었음을 나타내는 자동화된 작업 메모가 상위 및 하위 보안 인시던트에 게시됩니다.