케이스에 대한 조치 수행
이 문서에서는 상태 또는 우선순위 업데이트, 연결된 알림 관리, 보고서 생성, 케이스 처리를 간소화하기 위한 개별 또는 일괄 작업 실행 등 케이스에 대해 실행할 수 있는 다양한 작업을 설명합니다.
케이스를 중요 케이스로 표시
케이스를 강조 표시하려면 중요한 케이스로 표시하면 됩니다. 동일한 메뉴에서 중요 태그를 삭제할 수도 있습니다.
케이스를 중요로 표시하려면 다음 단계를 따르세요.
- format_list_bulleted 케이스 작업을 클릭하고 태그할 케이스를 선택한 다음 중요로 표시를 선택합니다. 케이스와 함께 노란색 arrow_drop_up 이 표시됩니다.
케이스를 'Incident'(이슈)로 표시
할당된 케이스가 긴급하여 즉각적인 조치가 필요한 경우 인시던트로 표시합니다. 이렇게 하면 다음이 자동으로 실행됩니다.
- 케이스 우선순위를 Critical로 설정합니다.
- 케이스 단계를 Incident로 변경합니다.
- 케이스를 SOC 관리자에게 할당합니다.
- 모든 분석가에게 알림을 전송합니다.
케이스를 사고로 표시하려면 다음 단계를 따르세요.
- 케이스 페이지에서 관련 케이스로 이동합니다.
- format_list_bulleted 케이스 작업을 클릭하고 인시던트를 선택합니다.
- 확인 대화상자에서 예를 클릭합니다. 페이지가 새로고침되고 케이스 목록에 새로운 인시던트가 인시던트 아이콘 및 빨간색 심각도 사이드바와 함께 표시됩니다. 케이스가 SOC 관리자 역할이 있는 사용자에게 자동으로 할당됩니다.
케이스 단계 변경
케이스가 할당된 경우 팀의 워크플로에 따라 단계를 업데이트할 수 있습니다.
케이스 단계를 변경하려면 다음 단계를 따르세요.
- 대기열에서 케이스를 선택합니다.
- format_list_bulleted 케이스 작업을 클릭하고 단계를 선택합니다.
-
다음 단계 중 하나를 선택합니다.
- 선별: 케이스가 생성되는 초기 단계입니다. 전역 window는 기본 설정이며,
- 평가: 평가를 위해 케이스가 다음 단계로 에스컬레이션됩니다.
- 조사: 케이스에 알림 및 항목에 대한 활성 조사가 할당됩니다.
- 개선: SOC 감지 규칙을 개선하거나 후속 검토를 위해 케이스가 신고됩니다.
- 조사: 조직의 외부 액세스 또는 위협 행위에 대한 심층 조사가 케이스에 할당됩니다.
- 인시던트: 심각한 이벤트의 최종 케이스 단계입니다. 인시던트를 선택한 후에는 변경할 수 없습니다.
- 저장을 클릭합니다.
케이스 우선순위 변경
케이스 우선순위를 변경하려면 다음 단계를 따르세요.
- 대기열에서 케이스를 선택합니다.
- format_list_bulleted 케이스 작업을 클릭하고 우선순위를 선택합니다.
-
다음 수준 중 하나를 선택합니다. 각 수준에는 해당 케이스 색상 표시기가 있습니다.
- 유용한 정보를 전달함 (회색)
- 낮음 (파란색)
- 중간 (노란색)
- 높음 (주황색)
- 심각 (빨간색)
- 확인을 클릭합니다. 케이스 우선순위가 변경됩니다.
- 선택사항: 색상 견본을 클릭하여 케이스 표시줄 색상을 변경합니다.
케이스 보고서 다운로드
케이스 보고서를 DOC, XLSX 또는 CSV 형식으로 다운로드할 수 있습니다. 보고서에는 다음 세부정보가 포함됩니다.
- 케이스 세부정보
- 알림, 항목, 통계
- 사용자 및 시스템 활동
- 플레이북 작업 및 케이스 활동
- 케이스 월에 포함된 모든 항목
보고서를 다운로드하려면 다음 단계를 따르세요.
- 대기열에서 케이스를 선택합니다.
- format_list_bulleted 케이스 작업을 클릭하고 보고서를 선택합니다.
- 보고서 유형 선택 대화상자에서 파일 유형을 선택한 다음 선택을 클릭합니다.
- 다운로드한 파일을 열어 보고서를 확인합니다.
케이스 내에서 알림 관리
케이스 내에서 특정 알림을 관리하려면 다음 단계를 따르세요.
- 알림 옵션 메뉴 케이스 페이지 > 알림 탭에서 more_vert 알림 옵션을 클릭합니다.
- 사용 가능한 옵션 중 하나를 선택합니다.
- 알림 탐색: 알림 결과 페이지에 대한 자세한 내용은 알림 조사를 클릭하세요.
- 알림을 테스트 케이스로 수집: 알림을 테스트 케이스로 수집을 클릭하여 시스템에 새 테스트 케이스를 추가합니다. 시스템에서 식별을 위해 테스트 사례로 표시합니다. 대시보드 및 보고서에서 제외된 알림이 수집되며 다른 알림과 그룹화되지 않습니다.
- 우선순위 변경: 케이스의 우선순위가 아닌 알림의 우선순위를 변경하는 것이 좋습니다. 알림 우선순위를 변경해도 케이스의 우선순위에는 영향을 미치지 않습니다. 자세한 내용은 케이스 우선순위 대신 알림 우선순위 변경을 참고하세요.
- 알림 이동: 알림이 여러 개 있는 케이스가 할당된 경우 알림을 새 케이스로 이동하거나 알림을 기존 케이스로 이동할 수 있습니다. 알림을 기존 케이스로 이동을 선택한 경우 메뉴에서 대상 케이스를 선택하고 이동을 클릭합니다.
- 알림 감지 규칙 관리: Google Security Operations 사용자에게만 제공됩니다.
- 규칙이 사전 정의된 Google SecOps 규칙인 경우 시스템에서 규칙 감지 페이지로 리디렉션합니다. 자세한 내용은 규칙 감지 뷰에서 데이터 필터링을 참고하세요.
- 규칙이 고객 규칙인 경우 시스템에서 규칙 편집기 페이지로 리디렉션합니다. 자세한 내용은 규칙 편집기를 사용하여 규칙 관리를 참고하세요.
- 알림 닫기: 케이스 내의 알림을 닫습니다. 이유, 근본 원인 또는 유용성 필드에서 값을 선택합니다.
- 유용성 필드는 Google SecOps 사용자에게만 표시되며 규칙 분석가가 고객 입력에서 알림 규칙에 관한 더 정확한 의견을 얻을 수 있도록 지원합니다.
- 케이스에서 닫힌 알림은 사용할 수 없는 것으로 표시되고 Closed 태그가 표시됩니다. 케이스에 다른 알림이 있고 나에게 할당된 경우에만 알림을 닫을 수 있습니다.
- Add Entity(엔티티 추가): 기존 또는 새 엔티티를 알림에 수동으로 추가합니다.
케이스에서 직접 조치 실행
수동 작업 및 플레이북 작업은 Google Security Operations Marketplace에서 해당 통합을 설치한 후에 사용할 수 있습니다.
케이스에서 수동 작업을 실행하려면 다음 단계를 따르세요.
- 선택한 케이스에서
직접 조치를 클릭합니다. - 수동 작업 대화상자에서 필요한 작업을 선택합니다. 예를 들어 VirusTotalV3 > URL 보강을 선택합니다. 필수 정보를 입력합니다.
- 작업을 적용할 알림 및 항목을 선택합니다.
- 실행을 클릭하여 케이스 월에 작업 세부정보를 표시합니다.
Google SecOps에서 케이스 시뮬레이션
시스템에서 생성된 기본 알림으로 채워진 케이스를 시뮬레이션할 수 있습니다. 시뮬레이션된 케이스는 스테이징 환경이나 데모에 유용합니다.
`.CASE` 접미사가 있는 파일을 사용하여 맞춤 케이스를 만들거나 JSON 형식으로 기존 케이스를 가져올 수도 있습니다.
케이스를 시뮬레이션하려면 다음 단계를 따르세요.
-
케이스 대기열 헤더에서
케이스 추가를 클릭한 다음 케이스 시뮬레이션을 선택합니다.
- 케이스 시뮬레이션 대화상자에서 목록의 케이스를 선택합니다.
- 만들기를 클릭합니다.
새 케이스 만들기
새 시뮬레이션 케이스를 만들려면 다음 단계를 따르세요.
- 케이스 시뮬레이션 대화상자에서 케이스 추가 또는 가져오기를 클릭한 다음 새 케이스 추가를 클릭합니다.
- 새 케이스 추가 대화상자에서 소스/SIEM 이름, 규칙 이름 (규칙 생성기), 알림 제품, 알림 이름, 이벤트 이름을 입력합니다.
- 선택적으로 다음을 제공할 수도 있습니다.
- 추가 알림 필드
- 추가 이벤트 필드
- 저장을 클릭합니다. 케이스가 케이스 시뮬레이션 목록에 표시됩니다.
- 새로 생성된 케이스를 선택하고 만들기를 클릭합니다.
- 타겟 환경을 선택하고 시뮬레이션을 클릭합니다. 새 케이스가 대기열에 표시됩니다.
케이스를 JSON 파일로 가져오기
케이스를 JSON 파일로 가져오려면 다음 단계를 따르세요.
- 케이스 시뮬레이션 대화상자에서 케이스 추가 또는 가져오기를 클릭한 다음 케이스 가져오기를 클릭합니다.
- 필요한 케이스를 선택하고 열기를 클릭합니다. 케이스는 JSON 형식으로 가져옵니다.
여러 케이스에 일괄 작업 수행
검색 페이지에서 여러 케이스에 일괄 작업을 수행할 수 있습니다.
사용 가능한 일괄 작업은 다음과 같습니다.
- CSV로 내보내기: 오프라인 검토 또는 보고를 위해 선택한 케이스와 해당 메타데이터 목록을 CSV 형식으로 다운로드합니다.
- 케이스 닫기: 케이스 세부정보 페이지, 케이스 대기열 (나란히 보기 및 목록 보기), 검색 페이지 등 다양한 인터페이스 옵션을 사용하여 케이스를 닫을 수 있습니다. 문제가 해결되면 케이스를 종료할 수 있습니다.
- 케이스 다시 열기: 이전에 종료된 케이스를 다시 열어 조사를 재개하거나 후속 조치를 취합니다.
- 우선순위 변경: 긴급성 또는 심각성을 반영하도록 선택한 케이스의 우선순위 수준 (낮음, 중간, 높음 또는 심각)을 업데이트합니다.
- 케이스 할당: 추가 조사를 위해 특정 사용자 또는 그룹에 케이스를 할당합니다.
- 태그 추가: 선택한 케이스에 하나 이상의 태그를 적용하여 필터링, 분류 또는 자동화 규칙을 지원합니다.
- 케이스 병합: 중복을 줄이고 조사를 중앙 집중화하기 위해 여러 관련 케이스를 하나의 케이스로 결합합니다.
- 단계 변경: 선택한 케이스의 진행 상황 또는 상태를 반영하도록 단계를 업데이트합니다.
일괄 작업을 수행하려면 다음 단계를 따르세요.
- 조사로 이동하여 SOAR 검색을 클릭합니다.
- 관련 케이스의 기간을 선택합니다.
- 필수 필터를 사용하여 케이스를 선택합니다.
- 체크박스를 선택하여 관련 필터를 적용하고 > 적용을 클릭합니다.
- 결과 목록에서 수정할 케이스의 체크박스를 선택합니다.
- 검색 결과 메뉴에서 작업을 선택합니다.
빠른 작업
빠른 작업 위젯을 사용하면 케이스 및 알림에서 직접 실행할 수 있는 재사용 가능한 작업을 정의할 수 있습니다. 이 위젯은 기본 케이스 뷰, 기본 알림 뷰, 플레이북의 맞춤 알림 뷰에 추가할 수 있습니다.
빠른 작업이 구성된 후 통합이 삭제되면 해당 빠른 작업 버튼이 숨겨지고 구성 뷰에서 위젯에 누락된 통합을 나타내는 플래그가 지정됩니다.
설정 안내는 다음을 참고하세요.
사용 사례: 악성 파일 조사를 위한 빠른 작업 구성
이 사용 사례에서는 케이스 내에서 잠재적으로 악성인 파일을 조사하는 데 도움이 되는 빠른 작업을 만드는 방법을 보여줍니다.
빠른 작업 위젯 추가
- SOAR 설정 > 케이스 데이터 > 뷰로 이동합니다.
- 기본 케이스 뷰를 선택합니다.
- 일반 탭을 클릭합니다.
- 빠른 작업 위젯을 기본 케이스 뷰로 드래그합니다.
위젯 구성
- 설정 구성을 클릭합니다.
- 빠른 작업 측면 패널에서 위젯 제목에
File Investigation을 입력합니다. - 위젯 설명에
Quickly scan file hashes.를 입력합니다. - 선택사항: 위젯 너비를 선택합니다.
- 고급 설정을 클릭합니다.
- 조건 섹션에서 위젯을 표시할 기준을 정의합니다. 케이스에
malicious-file태그가 지정된 경우에만 위젯을 표시하려면Case.Tags에malicious-file가 포함됨 조건을 사용하세요.
해시 스캔 버튼 추가
- 텍스트에서 위젯 내에 직접 안내나 컨텍스트를 제공할 수 있습니다. 이 사용 사례에서는 다음 텍스트를 추가합니다.
Use the 'Scan Hash' button to check suspicious files. - 버튼에서 + 새 버튼 추가를 클릭하여 새 빠른 작업을 만듭니다. 최대 6개의 버튼을 추가할 수 있으며 각 버튼은 서로 다른 빠른 작업에 해당합니다.
- 표시되는 버튼 추가 대화상자에서 빠른 작업(해시 스캔)을 구성합니다.
- 이름: Scan Hash
- 버튼 색상: 색상을 선택합니다.
- 작업: 작업 목록의 VirusTotal 섹션에서 해시 스캔을 선택합니다.
- 선택사항: VirusTotal에 사용할 관련 인스턴스를 선택합니다.
- 선택사항: 매개변수에서 해시 매개변수를 정의합니다.
해시:[Case.FileHash]
- 버튼 추가 대화상자에서 닫기를 클릭합니다.
- 빠른 작업 측면 패널에서 저장을 클릭합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.