하위 보안 인시던트 자동화를 위한 플레이북

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 중복 보안 인시던트는 하위 보안 인시던트로 분류되어 상위 보안 인시던트로 롤업됩니다.

    하위 보안 인시던트 자동화 플레이북은 중복 보안 인시던트를 조사하고 종결하는 데 필요한 시간을 단축하는 데 도움이 됩니다. 이 플레이북은 하위 보안 인시던트의 특정한 고유 아티팩트(옵저버블, 영향을 받는 사용자, CI)를 상위 보안 인시던트에 자동으로 롤업합니다.

    필수 구성요소

    필요한 역할:
    • sn_si.admin
    • flow_designer

    스포크: Security Operations 스포크 설치(sn_sec_spoke)

    핵심 기능

    하위 자동화 플레이북에서는 다음과 같은 기능을 다룹니다.

    1. 보안 인시던트를 분석 단계로 이동합니다.
    2. 중복을 제거하고 영향을 받는 사용자 및 CI를 상위 보안 인시던트에 추가(롤업)합니다.
    3. 하위 인시던트의 옵저버블을 상위 보안 인시던트에 추가합니다.
    4. 상위 보안 인시던트가 종결되면 하위 보안 인시던트를 종결하거나 취소합니다.

    필요한 역량

    자세한 내용은 ServiceNow Store를 참조하십시오.

    보안 분석가 경험

    보안 위협을 단계별로 해결하는 방법을 이해하려면 을 참조하십시오 플레이북으로 보안 위협 해결.

    Flow Designer 기능을 갖춘 하위 보안 인시던트 자동화 플레이북에 대한 심층 이해

    시작
    1. sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
    2. 다음으로 이동 플로우 디자이너 > 디자이너 을 클릭하고 로그인 실패 플레이북을 클릭합니다.
    3. 하위 보안 인시던트 자동화 플레이북의 사본을 만들고 필요에 따라 수정합니다. 이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경을 수행하려는 경우에만 이 단계를 수행합니다.)
    4. 요구 사항에 따라 필요한 수정을 수행합니다. 이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경을 수행하려는 경우에만 이 단계를 수행합니다.)
    5. 플레이북을 활성화합니다.
      • 기본 시스템에서 사용할 수 있는 플레이북을 사용하려면 메인 플로우를 활성화합니다.
      • 요구 사항에 따라 수정한 후 복사된 플로우를 활성화합니다.
    다음 이미지는 하위 보안 인시던트 자동화 플레이북의 복사본을 보여줍니다. 아래 단계를 검토하여 플레이북의 다양한 작업을 파악합니다.
    하위 자동화 플로우:개요
    이 Playbook은 다음과 같은 경우에 트리거됩니다.
    • 상위 보안 인시던트 필드가 비어 있지 않습니다.
    • 상위 보안 인시던트가 초안, 분석, 포함 또는 근절 상태입니다.

    하위 자동화 플레이북: 트리거

    다음 단계에서는 하위 보안 인시던트 자동화 플레이북에서 사용할 수 있는 작업과 작업을 안내합니다.

    1. 플레이북 실행이 시작될 때 1단계에서 보안 인시던트가 초안 상태인 경우 업데이트되고 분석 상태로 설정됩니다.
      하위 자동화 플레이북: 1단계
    2. 2단계와 3단계에서는 보안 인시던트의 영향을 받는 사용자가 검색되어 상위 보안 인시던트로 롤업됩니다. 중복 사용자는 제거됩니다.
    3. 4단계와 5단계에서는 하위 보안 인시던트와 연결된 구성 항목이 검색되고 고유 CI가 상위 보안 인시던트로 롤업됩니다.
      하위 자동화 플레이북: 5단계
    4. 6단계와 7단계에서는 하위 보안 인시던트와 연결된 옵저버블이 검색되고 고유 옵저버블이 상위 보안 인시던트로 롤업됩니다.
      하위 자동화 플레이북: 7단계
    5. 8단계와 9단계에서는 영향을 받는 사용자, 구성 항목 및 옵저버블이 하위에서 상위 보안 인시던트로 롤업되었음을 나타내는 자동화된 작업 메모가 상위 및 하위 보안 인시던트에 게시됩니다.