보안 케이스 관리 는 위협 헌팅에 종사하는 보안 분석가가 환경에서 의심스러운 활동에 대한 정보를 수집할 수 있는 수단을 제공합니다. 보안 인시던트, 옵저버블, CI 및 영향을 받는 사용자와 같은 케이스 관련 기록을 케이스에 추가하여 광범위하고 구체적인 분석을 수행할 수 있습니다.

기록 및 관련 정보를 쉽게 전환할 수 있는 기능을 통해 분석가는 표적 캠페인, 지능형 지속 위협 등에 직면해 있는지 여부를 평가할 수 있습니다.

보안 케이스는 인스턴스의 다양한 소스에서 만들 보안 인시던트 응답위협 인텔리전스수 있습니다(예보안 케이스 관리: , 및 ). 구성 항목 [cmdb.ci] 및 사용자 [sys.user] 테이블에 각각 있는 구성 항목과 영향을 받는 사용자로부터 케이스를 만들 수도 있습니다. 케이스를 만든 후 이러한 각 소스를 사용하여 기존 케이스에 중요한 분석 리소스를 추가할 수도 있습니다.

각 보안 케이스는 헤더 섹션, 추가 케이스 상세 정보가 있는 섹션, 특정 위협을 식별하고 처리하기 위한 인수를 구축하는 데 도움이 되는 레코드 컬렉션이 포함된 케이스 아티팩트 섹션의 세 가지 기본 섹션으로 구성됩니다.

케이스 헤더

케이스 헤더는 보안 케이스를 식별하고 분류하는 데 사용되는 기본 정보를 제공합니다. 케이스 번호는 SECC 프리픽스를 사용합니다.

추가 케이스 상세 정보

추가 케이스 상세 정보 섹션은 케이스의 현재 상태, 케이스에 대해 기록된 작업 메모 및 활동을 포함하여 케이스에 대해 이미 수행된 분석과 관련된 정보를 제공합니다.

케이스 아티팩트

케이스 아티팩트 섹션은 보안 케이스에 포함된 일련의 정보 탭을 제공합니다.

각 탭의 내용 내에서 검색을 수행할 수 있습니다. 이미 안전하다고 평가했거나 조사에 가치가 없는 특정 기록을 제외할 수도 있습니다. 제외된 기록은 삭제되지 않지만 뷰에서 숨겨집니다. 필요한 경우 제외된 기록을 보고 다시 추가할 수 있습니다.

각 탭에서 추가 상세 정보 아이콘을 클릭하여 선택한 기록에 대한 관련 정보를 표시할 수 있습니다. 예를 들어 구성 항목 탭을 클릭하여 구성 항목 탐색기를 보고 특정 CI에 대한 추가 상세 정보를 클릭하면 해당 CI와 연관된 인시던트, 취약한 항목 및 주석을 볼 수 있습니다.

기록을 선택하고 케이스 관련 아티팩트에 대해 주석 달기 버튼을 클릭하여 기록에 주석을 추가할 수도 있습니다. 주석은 각 분석가가 특정 아티팩트에 대해 작성할 수 있는 단순한 메모입니다.

분석가가 케이스를 검사하는 데 사용할 수 있는 다른 도구는 다음과 같습니다.

• 케이스의 옵저버블에 대한 사이팅 검색 실행
• 보안 아티팩트 검색