보안 인시던트 플레이북
보안 인시던트 플레이북 플로우를 자동 또는 수동으로 호출합니다.
플레이북은 하나 이상의 플레이북이 보안 인시던트와 연결된 경우에만 표시됩니다. 플레이북 구성요소는 Flow Designer 빌드 플로우가 아닌 PAD(프로세스 자동화 디자이너) 구축 프로세스에만 작동합니다. 플로우 디자이너가 활성화된 기존 플로우의 경우 계속 작동하며 활동은 응답 작업으로 계속 렌더링됩니다.
플레이북을 보안 인시던트와 연결하는 방법에는 두 가지가 있습니다.
- Playbook 자동 호출
- 수동으로 플레이북 추가
Playbook 자동 호출
플레이북을 자동으로 호출하려면 PAD(프로세스 자동화 디자이너)를 사용하여 프로세스를 정의해야 하며, 트리거 조건이 충족되면 플레이북 탭이 플레이북 활동과 함께 자동으로 렌더링됩니다.
수동으로 플레이북 추가
플레이북을 수동으로 호출하려면 양식 UI 작업 드롭다운으로 이동하여 플레이북 추가를 선택합니다. 자세한 내용은 플레이북 추가 문서를 참조하십시오.
주:
사용 가능한 플레이북이 이미 있는 경우 추가된 새 플레이북이 기존 플레이북과 동시에 실행됩니다.
- 플레이북 내에서 분석가는 상태별로 플레이북 카드를 필터링할 수 있습니다.
- 분석가는 타원 아이콘에서 선택하여 플레이북을 취소할 수 있습니다.
- 각 활동 내에서 분석가는 활동 카드 내에 정의된 작업(예: 건너뛰기, 완료로 표시, 취소) 또는 오케스트레이션 작업(예: 샌드박스에 제출, 이메일 검색 등)을 수행할 수 있습니다.
- 이러한 각 작업은 활동 정의 내에 정의되며, 전체 카드 표시는 활동 정의 자체를 작성할 때 사용자 지정할 수 있습니다.
주:
앞으로 수행할 모든 활동 정의와 다음 단계는 잠금 아이콘과 함께 표시되며 사용자에게 읽기 전용 모드가 됩니다. 플레이북 표시 모드는 아래 설명된 대로 구성으로 제어됩니다.
- 다음으로 이동 .
- 플레이북 경험 페이지에서 SIR 플레이북 경험을 선택합니다.
그림 1. 플레이북 경험 플레이북 경험 SIR 플레이북 경험 페이지가 표시됩니다.그림 2. 플레이북 경험 기록 - 구성 기록을 클릭합니다.
- 구성 탭에서 SIR 플레이북 경험 구성을 클릭합니다.
그림 3. 플레이북 구성 - 보류 중인 항목 가시성 필드의 드롭다운 목록으로 이동하여 원하는 옵션을 선택하고 기록을 저장합니다. 다음 옵션 중에 선택합니다.
- 보류 중인 활동 숨기기: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 활동을 숨기려면 이 옵션을 선택합니다.
그림 4. 사용자가 보고한 피싱 예시 - 보류 중인 스테이지 및 활동 표시: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 스테이지와 활동을 표시하려면 이 옵션을 선택합니다.
그림 5. 보류 중인 스테이지 및 활동 표시 - 보류 중인 활동 및 스테이지 숨기기: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 활동 및 스테이지를 숨기려면 이 옵션을 선택합니다.
그림 6. 보류 중인 활동 및 스테이지 숨기기
- 보류 중인 활동 숨기기: 작업 공간의 플레이북 섹션에서 보려는 보류 중인 활동을 숨기려면 이 옵션을 선택합니다.
- 플레이북 섹션에서 필터 옵션을 사용하여 플레이북 카드 상태(활동 정의)를 기준으로 활동을 필터링합니다.
그림 7. 플레이북 카드 상태
플레이북 추가
이 섹션을 사용하여 플레이북을 수동으로 추가합니다.
시작하기 전에
필요한 역할: sn_si.analyst
프로시저
-
플레이북 추가를 클릭합니다.
플레이북 추가 대화 상자가 표시됩니다.
-
Add Anyway(계속 추가)를 클릭합니다.
-
플레이북이 상세 정보 탭 옆에 추가됩니다.
-
플레이북 탭을 클릭합니다.