보안 인시던트 플레이북
보안 인시던트 플레이북 플로우를 자동으로 또는 수동으로 호출합니다.
하나 이상의 플레이북이 보안 인시던트와 연결된 경우에만 플레이북이 표시됩니다. 플레이북 구성요소는 PAD(프로세스 자동화 디자이너)가 빌드한 프로세스에서만 작동하며 플로우 디자이너가 빌드한 플로우에는 작동하지 않습니다. 기존 Flow Designer 사용 플로우의 경우 계속 작동하며 활동은 계속해서 응답 작업으로 렌더링됩니다.
플레이 북을 보안 인시던트와 연결하는 방법에는 두 가지가 있습니다.
- 자동으로 Playbook 호출
- 수동으로 Playbook 추가
자동으로 Playbook 호출
플레이북이 자동으로 호출되려면 PAD(프로세스 자동화 디자이너)를 사용하여 프로세스를 정의해야 하며, 트리거 조건이 충족되면 플레이북 탭이 자동으로 렌더링되고 플레이북 활동이 표시됩니다.
수동으로 플레이북 추가
플레이북을 수동으로 호출하려면 양식 UI 작업 드롭다운으로 이동하여 플레이북 추가를 선택합니다. 자세한 내용은 플레이북 추가 문서를 참조하십시오.
주:
사용 가능한 플레이북이 이미 있는 경우 추가된 새 플레이북은 기존 플레이북과 동시에 실행됩니다.
- 플레이북 내에서 분석가는 상태별로 플레이북 카드를 필터링할 수 있습니다.
- 분석가는 타원 아이콘에서 선택하여 플레이북을 취소할 수 있습니다.
- 분석가는 각 활동 내에서 활동 카드 내에 정의된 작업(예: 건너뛰기, 완료로 표시, 취소 또는 오케스트레이션 작업(예: 샌드박스에 제출, 이메일 검색 등)을 수행할 수 있습니다.
- 이러한 각 작업은 활동 정의 내에서 정의되며, 표시되는 전체 카드는 활동 정의 자체를 작성할 때 사용자 지정할 수 있습니다.
주:
이후의 모든 활동 정의와 수행할 다음 단계는 잠금 아이콘으로 표시되며 사용자에게 읽기 전용 모드입니다. 플레이북 표시 모드는 아래 설명된 구성에 의해 제어됩니다.
- 다음으로 이동 .
- 플레이북 경험 페이지에서 SIR 플레이북 경험을 선택합니다.
그림 1. 플레이북 경험 플레이북 경험 SIR 플레이북 경험 페이지가 표시됩니다.그림 2. 플레이북 경험 기록 - 구성 기록을 클릭합니다.
- 구성 탭에서 SIR 플레이북 경험 구성을 클릭합니다.
그림 3. 플레이북 구성 - 보류 중인 항목 가시성 필드의 드롭다운 목록으로 이동하여 원하는 옵션을 선택하고 기록을 저장합니다. 다음 옵션 중에 선택합니다.
- 보류 중인 활동 숨기기: 작업 영역의 플레이북 섹션에 표시할 보류 중인 활동을 숨기려면 이 옵션을 선택합니다.
그림 4. 사용자가 보고한 피싱 예 - 보류 중인 스테이지 및 활동 표시: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 스테이지와 활동을 표시하려면 이 옵션을 선택합니다.
그림 5. 보류 중인 스테이지 및 활동 표시 - 보류 중인 활동 및 스테이지 숨기기: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 활동과 스테이지를 숨기려면 이 옵션을 선택합니다.
그림 6. 보류 중인 활동 및 스테이지 숨기기
- 보류 중인 활동 숨기기: 작업 영역의 플레이북 섹션에 표시할 보류 중인 활동을 숨기려면 이 옵션을 선택합니다.
- 플레이북 섹션에서 필터 옵션을 사용하여 플레이북 카드 상태(활동 정의)별로 활동을 필터링합니다.
그림 7. 플레이북 카드 상태
플레이북 추가
이 섹션을 사용하여 플레이북을 수동으로 추가합니다.
시작하기 전에
필요한 역할: sn_si.analyst
프로시저
-
플레이북 추가를 클릭합니다.
플레이북 추가 대화 상자가 표시됩니다.
-
어쨌든 추가를 클릭합니다.
-
플레이 북 이 상세 정보 탭 옆에 추가됩니다.
-
플레이북 탭을 클릭합니다.