를 사용하여 상관 관계 인사이트 생성 보안 인시던트 응답용 Now Assist

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기3분

    • 패널에서 상관관계 인사이트를 Now Assist 생성하면 과거 이벤트를 작업 중인 보안 인시던트에 연결하는 데 도움이 됩니다. 생성한 관련 정보를 사용하여 영향을 받는 사용자, 구성 항목 및 옵저버블에 대한 조사 중복을 방지하고 작업 중인 인시던트를 보다 신속하게 해결할 수 있습니다.

    시작하기 전에

    패널에 상관 관계 인사이트 생성 옵션을 표시하려면 먼저 상관 관계 인사이트 생성 기술을 활성화해야 합니다 Now Assist .

    패널이 Now Assist 표시되지 않으면 활성화해야 합니다. 자세한 내용은 Turn on the Now Assist panel 문서를 참조하십시오.

    상관 관계 인사이트 검색에 대한 자세한 내용은 다음 문서를 참조하십시오 를 통한 상관 관계 인사이트 탐색 보안 인시던트 응답용 Now Assist.

    필요한 역할: sn_si.analyst, sn_si.manager 또는 sn_si.basic

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 보안 인시던트 응답 작업 공간 을 클릭하고 나에게 할당된 보안 인시던트를 엽니다.
    2. 또는 UI(UI16)의 Legacy 보안 인시던트 [sn_si_incident] 테이블에서 보안 인시던트를 찾아 엽니다.
    3. 상단 헤더에서 아이콘(AI 스파클 아이콘)을 Now Assist 선택하여 패널을 엽니다Now Assist.
    4. 상관 관계 인사이트 생성을 선택합니다.
      다음 값 중 하나 이상을 일치시킬 수 있으면 상관 관계 인사이트가 생성됩니다. 인사이트의 기반이 되는 다음 필터가 패널에 표시됩니다 Now Assist . 다른 보안 인시던트와 일치하는 필터만 표시됩니다.
      주:
      보안 인시던트 기록이 열려 있지 않은 경우 상관 관계 인사이트 생성을 선택한 후 보안 인시던트 기록의 번호를 입력하라는 메시지가 표시됩니다.
      • CI(구성 항목): 특정 시스템에서 잠재적인 취약성을 식별하는 데 도움이 되는 동일한 CI가 포함된 레코드입니다. 예를 들어 사용자의 노트북을 들 수 있습니다.
      • 영향을 받는 사용자: 사용자가 동일한 과거 인시던트를 통해 빈번한 피싱 시도 또는 여러 무단 액세스 시도와 같은 패턴을 확인할 수 있습니다. 특정 사용자의 이름을 예로 들 수 있습니다.
      • 옵저버블: 지속 가능한 공격 또는 악의적인 인프라의 반복적인 사용을 시사하는 공유 옵저버블로 연결된 레코드입니다. IP 주소, URL 또는 파일 해시를 예로 들 수 있습니다. 옵저버블에 대한 정확한 값(예: 전체 파일 해시)을 입력해야 합니다.

      이러한 필터에 대해 일치하는 데이터가 없으면 아무 것도 표시되지 않습니다. 작업 중인 보안 인시던트에 이러한 값 중 하나를 추가하고 저장한 다음 패널에서 대화를 재설정하고 다시 시도하라는 메시지가 표시됩니다.

    5. 대화를 재설정하려면 패널에서 재설정 메뉴 아이콘( 재설정 메뉴. )을 Now Assist 선택하고 대화 재설정을 선택합니다.
    6. 필터를 선택합니다.

      일치하는 결과가 패널에 표시됩니다 Now Assist .

      다음 예시에서는 구성 항목이 요청되었습니다. 이 검색은 높은 수준의 요약과 일치하는 구성 항목이 있는 기록에 대한 링크를 반환했습니다.

      결과는 보안 인시던트 기록(SIR), 인시던트(INC), 변경 요청(CHG), 문제(PRB) 및 취약한 항목(VIT)과 같은 기록 유형별로 그룹화됩니다.
      • 영향을 받는 사용자 필터는 SIR, INC 및 CHG 레코드를 반환합니다.
      • 구성 필터 항목은 SIR, INC, CHG, PRB 및 VIT 레코드를 반환합니다.
      • 옵저버블 필터는 SIR 레코드를 반환합니다.
      상관 관계 인사이트를 위한 구성 항목에 대해 반환된 기록이 있는 Now Assist 패널
    7. 옵션: 쿼리에 대한 30일 제한을 수정하려면 다음 단계를 수행합니다.
      1. 보안 인시던트 관리자 역할 [sn_si.manager]을 가진 사용자가 sys_properties로 이동합니다. 목록.
      2. 상관 관계 조사 기간 [sn_sec_gen_ai.correlation_lookback_period] 시스템 속성을 찾아 기록을 엽니다.
      3. 필드에 최대 360의 숫자를 입력합니다.
      4. 레코드를 저장합니다.
      5. 보안 인시던트 기록으로 돌아가서 페이지를 새로 고칩니다.