케이스 종료 대화상자 맞춤설정

다음에서 지원:

이 문서에서는 Google Security Operations (Google SecOps)에서 케이스 닫기 대화상자를 맞춤설정하는 방법을 설명합니다. 기본적으로 대화상자에는 이유, 근본 원인, 의견 필드가 포함됩니다. 관리자는 맞춤 매개변수와 근본 원인을 추가하여 이 대화상자를 확장하여 케이스 문서의 일관성과 품질을 개선할 수 있습니다.

케이스를 해결하고 종료하는 방법을 자세히 알아보세요.

맞춤 입력란 추가

추가 매개변수를 사용하여 케이스 닫기 대화상자를 맞춤설정하려면 다음 단계를 완료하세요.

  1. SOAR 설정 > 케이스 데이터 > 케이스 종료로 이동합니다.
  2. 추가 맞춤 매개변수 추가를 클릭합니다.
  3. 일반 필드를 작성합니다.
    • 이름: 새 매개변수의 이름을 입력합니다.
    • 유형: 유형 메뉴에서 추가할 필드 유형을 선택합니다.
      • 자유 형식 텍스트: 분석가가 해당 케이스에 관한 맞춤 세부정보를 입력할 수 있도록 필드 이름을 입력합니다. 예를 들어 필드 이름을 고객 전화번호로 지정하면 분석가가 관련 연락처 세부정보를 입력할 수 있습니다.
      • 라디오 버튼: 두 옵션 중 하나를 선택합니다. 예를 들어 케이스가 해결되었는지 아니면 에스컬레이션해야 하는지 지정하려면 라디오 버튼 콘텐츠 필드에서 해결됨 또는 에스컬레이션됨을 사용하여 케이스 해결 상태를 나타냅니다.
      • 단일 선택 목록: 분석가가 하나의 옵션을 선택하는 목록입니다. 예를 들어 케이스에서 식별된 위협 유형을 분류하려면 멀웨어, 피싱, 내부자 위협과 같은 옵션을 사용하여 위협 유형을 분류합니다.
      • 다중 선택 목록: 여러 옵션을 선택합니다. 예를 들어 인시던트 작업을 기록하려면 봉쇄 조치 구현됨, 시스템 패치 적용됨, 사용자 교육 제공됨, 알림 업데이트됨 또는 액세스 권한 취소됨과 같은 옵션을 포함합니다.
    • 기본값: 원하는 경우 케이스 종료 대화상자의 기본값을 설정합니다. 옵션이 사전 선택되지 않은 경우 기본값 필드를 비워 둡니다. 설정한 기본값을 삭제하려면 재설정을 클릭합니다.
    • 설명: 케이스 종료 대화상자에서 매개변수 옆에 있는 정보 위에 마우스 포인터를 가져갈 때 툴팁으로 표시되는 설명을 입력합니다.

새 근본 원인 추가

근본 원인 메뉴에 새 근본 원인을 추가하려면 다음 단계를 따르세요.

  1. SOAR 설정 > 케이스 데이터 > 케이스 종료로 이동합니다.
  2. 추가근본 원인 추가를 클릭합니다. 케이스 종료 근본 원인 추가 대화상자가 표시됩니다.
  3. 이유 목록에서 이유를 선택하고 근본 원인 필드에 관련 정보를 입력합니다.
  4. 추가를 클릭하여 근본 원인을 저장합니다.

케이스 처리 및 규칙 조정

처분을 사용하면 조치를 취할 수 없는 알림을 대량으로 생성하는 '노이즈' 규칙을 식별할 수 있습니다. 케이스를 종료할 때 악성 또는 비악성으로 분류할 수 있으며, 이는 참양성 또는 거짓양성에 해당합니다.

다른 종료 유형을 포착하거나 True and False Positive라는 이름을 유지하려면 케이스 종료 대화상자에서 처분이라는 라벨이 지정된 맞춤 필드 (단일 선택 목록)를 만드는 것이 좋습니다. 이 방법을 사용하면 근본 원인 필드를 계속 사용하여 케이스의 기술적 원인을 설명할 수 있습니다.

  • 참양성: 완화가 필요한 합법적인 보안 위협입니다.

  • 양성: 승인된 활동 (예: 승인된 침투 테스트)을 올바르게 감지한 경우입니다. 이러한 값은 조정 또는 제외 목록의 기본 후보입니다.

  • 거짓양성: 논리 오류 또는 '노이즈' 소프트웨어 동작으로 인해 잘못 감지된 것입니다.

  • 미결정: 결론을 내릴 수 있는 데이터가 충분하지 않습니다.

분석가는 SOC 대시보드에서 이러한 처분을 사용하여 규칙 ID별 거짓양성률을 시각화할 수 있으므로 엔지니어가 즉각적인 로직 개선이 필요한 규칙의 우선순위를 지정할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.