추가 옵션: 인시던트 상태에 따라 SIR 상관 관계 있는 이벤트 업데이트 및 종결 자동화

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 통합 ArcSight ESM 에는 양방향 인터페이스가 있어 상관관계 이벤트가 보안 인시던트를 생성할 수 있을 뿐만 아니라 보안 인시던트가 생성 및/또는 종결되면 보안 인시던트 번호, 할당 그룹, SIR 인시던트 URL 등과 같은 관련 인시던트 상세 정보로 상관관계 이벤트를 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
    2. 아래 지침에 따라 보안 인시던트가 생성될 때 상관 관계가 있는 이벤트를 업데이트하기 위한 구성을 완료합니다.
      옵션 또는 필드설명
      SIR 인시던트 작성 시 상관 이벤트 업데이트 에서 상관관계 이벤트 단계를 ArcSight ESM 업데이트하고 상관관계 이벤트에서 보안 인시던트가 생성될 때 추가 코멘트로 이벤트를 업데이트하려면 이 옵션을 선택합니다. 이는 새 보안 인시던트를 만들고 기존 보안 인시던트를 집계할 수 있는 상관관계 이벤트에 대해 발생할 수 있습니다.
      주:
      이 옵션을 선택하지 않으면 보안 인시던트가 생성될 때 이벤트 단계가 업데이트되지 않습니다.
      상관 이벤트 스테이지 업데이트 서버에서 검색 ArcSight ESM 된 사용 가능한 모든 스테이지를 표시하는 상관 이벤트 스테이지 업데이트 선택 목록에서 스테이지 옵션을 선택합니다.
      상관 관계 있는 이벤트 단계가 구성되지 않음: 인스턴스에 상관 관계가 있는 이벤트 단계를 Now Platform 구성하지 않은 경우 상관 관계 있는 이벤트 스테이지 업데이트 선택 목록에 스테이지 할당 - 초기 설정 만 표시됩니다. 스테이지를 구성하려면 다음 단계를 수행합니다.
      • Enter Stage Resource ID(스테이지 자원 ID 입력) 필드에 자원 ID를 입력하고 Submit(제출)을 클릭합니다. 콘솔에서 ArcSight ESM 리소스 ID가 확인되고 다음 화면이 표시됩니다.
        ArcSight ESM: 스테이지 자원 ID
      • Save(저장)를 클릭하여 새 단계(Monitoring)를 저장합니다.
      • 상관 관계 이벤트 단계 선택 드롭다운 목록을 클릭합니다.
        ArcSight ESM: 이벤트 스테이지 목록
      • 목록에서 새로 생성된 스테이지를 선택할 수 있습니다.
      상관 관계 이벤트 단계가 이미 구성됨: 상관 관계 이벤트 단계를 이미 구성한 경우 다음 단계를 수행합니다.
      • 상관 관계 이벤트 스테이지 업데이트 선택 목록에서 이전에 할당된 스테이지 사용을 선택합니다.
      • 아래와 같이 Select Correlated Event Stage 선택 목록에서 기존 스테이지를 선택합니다.
        ArcSight ESM: 이전에 할당된 스테이지
      • 상관 관계 이벤트에 다시 게시된 초기 코멘트: 상관 관계 이벤트 스테이지 값을 업데이트하는 것 외에도 상관 관계 스테이지 주석에 코멘트를 게시할 수도 있습니다. 지침에 표시된 대로 보안 인시던트 응답 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 주석 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.
      주:
      콘솔에 ArcSight ESM 정의된 기본 단계를 사용하거나 고유한 사용자 지정 단계를 생성할 수 있습니다. 새 스테이지를 생성하려면 다음 단계를 수행합니다.
      • ArcSight ESM 콘솔에서 파일 > 신규 > 스테이지. 검사/편집 탭이 표시됩니다.
      • 새 스테이지를 정의하고 사용자 필수 확인란을 선택하지 마십시오. 스테이지가 올바르게 정의되었고 이벤트 수명주기에서 올바른 위치에 있는지 확인합니다.
    3. 상관 관계 이벤트 종결 자동화 섹션에서는 보안 인시던트가 종결되었을 때 업데이트하는 방법을 정의할 수 있습니다.
    4. 양식의 필드에 내용을 입력합니다.
      옵션 또는 필드설명
      SIR 인시던트 종결 시 상관 이벤트 업데이트 상관 관계 이벤트에서 보안 인시던트가 종결될 때 상관 관계 이벤트 상태를 업데이트하고 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생합니다.
      주:
      이 옵션을 선택하지 않으면 보안 인시던트가 종결될 때 이벤트 단계가 업데이트되지 않습니다.
      상관 이벤트 스테이지 업데이트 서버에서 검색된 사용 가능한 모든 스테이지를 ArcSight ESM 표시하는 메뉴에서 스테이지 옵션을 선택합니다. 보안 인시던트를 종결할 때 모든 상관관계 이벤트에 대해 설정할 스테이지 값을 선택합니다.
      주:
      여기에 표시되는 스테이지는 상관관계 이벤트 초기 업데이트 섹션에 구성된 스테이지를 기반으로 합니다.
      상관 관계 이벤트 스테이지 선택 여기에서 적절한 상태를 선택합니다.
      상관 관계에 있는 이벤트에 다시 게시된 종결 설명 상관관계 이벤트 상태 값을 업데이트하는 것 외에도 상관관계 이벤트 주석에 종결 설명을 게시할 수도 있습니다. 지침에 표시된 대로 보안 인시던트 응답 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하는 등 주석 섹션에 표시된 기본 텍스트를 편집할 수 있습니다.

      ArcSight ESM: 종결 이벤트 스테이지
    5. Finish(마침)를 클릭하여 구성을 완료합니다.
      확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 콘솔에서 ArcSight ESM 상관관계 이벤트를 끌어올 수 있습니다.