케이스 및 알림의 태그 관리

다음에서 지원:

이 문서에서는 Google Security Operations 케이스에서 태그를 관리하는 방법을 설명합니다.

태그를 사용하면 케이스를 분류하고 정리하여 더 쉽게 필터링하고 분석할 수 있습니다. 사전 정의된 규칙에 따라 자동으로 할당하거나 케이스 및 알림 뷰에서 수동으로 추가할 수 있습니다.

개별 케이스에서 태그를 삭제할 수는 있지만, 관리자가 케이스 데이터> 태그 설정의 표에서 태그를 삭제하지 않는 한 태그 자체는 시스템의 자동 완성 목록에 계속 표시됩니다.

스테이징 환경에서 프로덕션 환경으로 이전하거나 백업 목적으로 태그를 가져올 수도 있습니다. 자세한 내용은 태그 가져오기를 참고하세요.

케이스 및 알림의 태그 관리

태그는 케이스를 추적하고 분류하는 데 도움이 됩니다. 태그로 검색하여 케이스를 빠르게 식별할 수 있습니다.

다음 위치에서 태그를 관리할 수 있습니다.

  • 케이스 또는 알림: 특정 케이스 또는 개별 알림에서 태그를 수동으로 추가 및 삭제합니다.
  • 기본 메뉴: 설정 > 케이스 데이터 > 태그를 클릭합니다. 자세한 내용은 자동 태그 추가 규칙 만들기를 참고하세요.
  • 플레이북: 태그 트리거를 사용하여 태그 이름에 대한 플레이북을 트리거합니다. 플레이북 블록에 케이스 태그를 추가할 수도 있습니다. 플레이북 블록을 선택하고 단계 선택 열기를 클릭한 다음 트리거 탭에서 태그 이름을 선택합니다.

케이스에 태그 추가

 케이스에 태그를 추가하려면 다음 단계를 따르세요.

  1. 케이스 페이지로 이동하여 태그할 케이스를 선택합니다.
  2. 판매 태그 관리를 클릭합니다.
  3. 태그 관리 대화상자에서 태그 이름을 입력하고 Enter 키를 누르거나 목록에서 태그를 선택하고 추가를 클릭합니다.

알림에 태그 추가

알림에 태그를 추가하려면 다음 단계를 따르세요.

  1. 케이스 페이지로 이동하여 케이스를 선택합니다.
  2. 태그할 알림을 선택합니다.
  3. more_vert 알림 옵션을 클릭한 다음 태그 관리를 선택합니다.
  4. 태그 관리 대화상자에서 태그 이름을 입력하고 Enter 키를 누르거나 목록에서 태그를 선택하고 추가를 클릭합니다.

케이스 변경 시 알림 태그 동작

케이스 관리 작업 중에 수동으로 할당된 알림 수준 태그는 특정 알림에 연결된 상태로 유지됩니다.

  • 알림 이동: 알림을 다른 케이스로 이동하면 해당 알림에 수동으로 할당된 태그도 함께 이동합니다.
  • 케이스 병합: 케이스가 병합되면 통합된 케이스 내의 개별 알림은 수동으로 할당된 알림 수준 태그를 유지합니다.

태그 설정 구성

태그 가져오기

태그를 가져오려면 다음 단계를 따르세요.

  1. SOAR 설정 > 케이스 데이터 > 태그로 이동합니다.
  2. vertical_align_bottom 템플릿 다운로드를 클릭합니다. CSV 파일에는 필수 태그 가져오기 구조가 표시됩니다.
  3. 태그 정보를 입력합니다.
  4. 로그인 가져오기를 클릭합니다. 가져온 태그가 플랫폼에 표시됩니다.

자동 완성에서 태그 삭제

태그가 자동 완성 추천에 표시되지 않도록 하려면 케이스 데이터 설정의 태그 표에서 태그를 삭제해야 합니다.

  1. SOAR 설정 > 케이스 데이터 > 태그로 이동합니다.
  2. 표에서 태그를 찾아 삭제 삭제를 클릭합니다.

자동 태그 규칙 만들기

특정 조건에 따라 수신 알림에 태그를 자동으로 할당하는 규칙을 만들려면 다음 단계를 따르세요.

  1. SOAR 설정 > 케이스 데이터 > 태그로 이동합니다.
  2. 추가 태그 추가를 클릭합니다.
  3. 태그 이름 필드에 태그 이름을 입력합니다.
  4. 항목, 제품, 규칙 생성기, 공급업체에서 일치 소스를 선택합니다.
  5. 메뉴에서 값을 일치시키는 방법을 정의하는 한정자를 선택합니다.
    • contains
    • exact
    • 다음으로 시작
    • 다음으로 끝남
  6. 특정 항목 또는 제품 소스를 선택합니다. 해당하는 경우 적절한 속성을 입력합니다. 또는 제품, 규칙 생성기, 공급업체를 선택합니다.
  7. 태그의 우선순위를 선택합니다.
    참고: Google SecOps는 우선순위를 다른 알림, 항목, 이벤트와 병합하므로 여기의 우선순위는 절대적인 것이 아닙니다.
  8. 선택사항: 필요한 경우 케이스 이름일 수 있음을 선택합니다. 선택하면 조건을 충족하는 경우 태그가 케이스 제목으로 할당됩니다.
  9. 저장을 클릭합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.