케이스 개요

다음에서 지원:

Google Security Operations는 다양한 소스의 알림을 수집합니다. 각 알림에는 파싱되고 분석되는 기본 보안 이벤트와 주요 지표 (예: 소스, 대상, 아티팩트)가 포함됩니다. 이 분석 중에 소스 및 대상 IP, 파일 해시, 사용자 계정과 같은 주요 지표가 추출되어 항목으로 표시됩니다. 엔티티는 플랫폼의 영구 객체입니다. 분석가가 시간 경과에 따라 그리고 케이스 전반에서 엔티티 동작을 추적할 수 있도록 보강 데이터, 분석가 의견, 이전 컨텍스트를 수집합니다. 또한 항목은 시각적 캔버스에 표시되어 위협 환경의 관계를 설명하는 데 도움이 됩니다.

케이스 생성 및 그룹화

케이스 페이지는 분석가가 수신되는 알림을 조사하고 인시던트 워크플로를 관리할 수 있는 곳입니다. 공유 항목 및 구성 가능한 규칙에 따라 추가 알림을 기존 케이스로 자동 그룹화할 수도 있습니다. 분석가는 다음 작업도 할 수 있습니다.

  • 공유 엔티티 및 구성 가능한 규칙에 따라 추가 알림을 기존 케이스로 자동 그룹화합니다.
  • 테스트 및 교육 목적으로 케이스를 수동으로 만들거나 시뮬레이션합니다.

케이스 큐 헤더 및 뷰

다양한 커넥터의 모든 활성 케이스가 케이스 대기열에 표시됩니다. 각 케이스 항목에는 다음과 같은 주요 메타데이터가 표시됩니다.

  • 케이스 이름 및 고유 ID
  • 케이스 타임스탬프
  • 연결된 알림 수
  • 할당된 분석가 (아바타 포함)
  • 케이스 우선순위 및 단계 (선택사항, 보기에 따라 다름)

분석가는 다음 보기 간에 전환할 수 있습니다.

  • 기본 보기: 필수 정보가 포함된 케이스 카드를 표시합니다.
  • 간단한 뷰: 시각적 공간을 줄여 더 빠르게 스캔할 수 있습니다.
  • 목록 보기: 일괄 작업 또는 필터링을 위해 모든 케이스를 표 형식으로 표시합니다.

케이스 상단 표시줄

케이스 상단 바에는 다음과 같이 케이스 수준 컨텍스트와 사용 가능한 작업이 표시됩니다.

자세한 내용은 케이스 페이지에 있는 내용을 참고하세요.

케이스 탭

각 케이스에는 분석가가 케이스 데이터를 검토, 조사하고 이에 따라 조치를 취하는 데 도움이 되는 여러 탭이 포함되어 있습니다. 이 탭은 상위 수준 요약부터 상세 로그 및 알림 데이터까지 주요 정보를 탐색 가능한 일관된 형식으로 정리합니다.

케이스 개요 탭

케이스 개요 탭에는 관리자가 구성한 케이스별 위젯이 표시됩니다. 자세한 내용은 케이스 개요 탭 살펴보기를 참고하세요.

케이스 월 탭

케이스 월 탭에는 생성부터 종료까지 모든 케이스 관련 이벤트와 작업의 시간순 로그가 표시됩니다. 이 탭을 열면 작업, 사용자 댓글, 고정된 채팅 메시지, 수동 및 시스템 작업, 첨부 파일 (파일당 최대 50MB)과 같은 케이스 관련 정보를 볼 수 있습니다. 각 콘텐츠 유형은 케이스 월의 상단에 있는 아이콘으로 표시됩니다.

이 탭에서 할 수 있는 작업은 다음과 같습니다.

  • 더보기를 클릭하여 표준 UI 결과와 해당 JSON 데이터를 모두 표시합니다.
  • 활동 세부정보를 보려면 활동 아이콘을 하나 이상 클릭합니다.
  • 아이콘 옆에 있는 다음을 사용하여 특정 알림을 선택합니다.
  • 케이스의 모든 알림에 대한 이벤트를 보려면 모든 알림을 선택합니다.
    • 아이콘 설명
    작업 세부정보 아이콘 작업 이름, 타임스탬프, 알림 이름, 결과, 상태 (완료됨 또는 오류 발생)를 포함하여 알림에 취해진 작업을 표로 표시합니다.
    자세히 보기를 클릭하여 결과, 매개변수, 영향을 받는 항목을 펼칩니다. 간략히 보기를 클릭하여 보기를 접습니다.
    케이스 상태 변경 아이콘 제목, 단계, 우선순위, 할당, 종결 업데이트 등 시스템 및 사용자가 생성한 모든 케이스 상태 변경사항을 표시합니다.
    작업 세부정보 아이콘 작업 관련 활동을 표시합니다. 작업이 완료되면 작업 완료를 클릭합니다. 상태가 타임스탬프 및 댓글과 함께 완료됨으로 업데이트됩니다.
    댓글 아이콘 수동으로 또는 케이스 댓글 작업에 의해 추가된 댓글을 표시합니다.
    고정된 채팅 아이콘 인스턴트 메시지 대화상자에서 고정된 메시지를 표시합니다.
    즐겨찾기 항목 아이콘 노란색 별표 아이콘을 클릭하여 케이스 월에 즐겨찾기로 표시된 항목을 표시합니다.
    정렬 아이콘 이벤트 로그를 타임스탬프별로 최신에서 오래된 순 또는 오래된 순에서 최신 순으로 정렬합니다.
    통계 아이콘 케이스 및 연결된 항목에 관한 일반적인 통계와 경고를 표시합니다.

    자세한 내용은 케이스 월 탭에 표시되는 내용을 참고하세요.

  • 알림 개요 탭: 연결된 이벤트 및 메타데이터를 포함하여 케이스에 연결된 모든 알림을 나열합니다. 이 탭에는 케이스와 관련된 중요한 정보와 이벤트가 표시됩니다.
  • 케이스 대기열은 1분마다 자동으로 새로고침되며, 모든 활성 케이스를 나열하고 필요에 따라 케이스를 수동으로 새로고침, 정렬, 필터링, 추가 또는 종료할 수 있습니다.

플레이북 자동화

플레이북은 내부 및 외부 알림 소스에서 정보를 수집하는 사전 정의된 작업 집합입니다. 그런 다음 이러한 알림을 처리하거나 방화벽 포트를 차단하거나 Active Directory 사용자를 사용 중지하는 등 원격 시스템에서 작업을 실행하는 방법을 결정합니다. Google SecOps는 알림 수집 시 플레이북 트리거를 기반으로 이러한 작업을 자동으로 또는 반자동으로 실행합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.