알림 및 IOC 보기

알림 및 IOC 페이지에는 현재 기업에 영향을 주는 모든 침해 지표(IOC)가 표시됩니다. 이 페이지에서는 알림과 IOC를 필터링하고 볼 수 있는 다양한 도구를 제공합니다.

  • 알림은 보안 인프라, 보안 담당자 또는 Chronicle 규칙으로 지정할 수 있습니다.

  • IOC는 Chronicle에서 자동으로 지정됩니다. Chronicle은 항상 자체 인프라와 수많은 다른 보안 데이터 소스 모두의 데이터를 포함합니다. 의심스러운 보안 표시기가 보안 데이터와 자동으로 연결됩니다. 일치 항목이 발견되면(예: 기업 내에서 의심스러운 도메인이 발견됨) Chronicle에서 이벤트에 IOC 라벨을 지정하고 IOC 일치 항목 탭에 표시합니다.

탐색 메뉴에서 감지 > 알림 및 IOC를 클릭합니다.

알림 및 IOC

알림 보기

알림 탭에는 기업에 있는 모든 현재 알림 목록이 표시됩니다. 목록에서 알림 이름을 클릭하여 알림 뷰로 피벗합니다. 알림 뷰에는 알림과 해당 상태에 대한 추가 정보가 표시됩니다.

각 알림의 심각도, 우선순위, 위험 점수, 결과를 한눈에 볼 수 있습니다. 색상으로 구분된 아이콘과 기호는 주의가 필요한 알림을 빠르게 식별하는 데 도움이 됩니다.

경고 목록 새로고침

표시된 알림 목록을 새로고침하는 빈도를 선택하려면 오른쪽 상단의 새로고침 시간 드롭다운 메뉴로 이동합니다. 보드가 5분, 15분, 1시간마다 자동으로 새로고침되도록 선택할 수 있습니다. 원형 화살표 아이콘을 클릭하여 최신 결과를 즉시 표시할 수도 있습니다.

새로고침 시간 오른쪽에 작은 캘린더 아이콘이 포함된 표시라고 표시된 검색창이 있습니다. 여기에서 표시되는 데이터의 기간을 조정할 수 있습니다.

캘린더 아이콘을 클릭하여 캘린더를 표시합니다. 왼쪽에서 사전 설정된 기간(지난 5분에서 지난 달까지) 중 하나를 선택하여 기간을 조정합니다. 달력에서 시작일 및 종료일을 선택하여 커스텀 기간을 지정할 수도 있습니다.

필터 사용

필터를 사용하려면 표의 왼쪽 상단에 있는 파란색 깔때기 모양 필터 아이콘을 클릭합니다.

알림 목록 필터 라벨이 지정된 대화상자가 나타납니다.

왼쪽 열에서 다음 카테고리 중에서 필터링할 카테고리를 선택합니다.

  • 작성자
  • 케이스
  • 우선순위
  • 평판
  • 규칙
  • 규칙 ID
  • 심각도
  • 상태
  • 결과

가운데 열에서 필터 유형을 선택합니다.

  • 다음 항목만 표시: 필터와 일치하는 항목을 표시합니다.
  • 필터링: 필터와 일치하지 않는 항목을 표시합니다.

오른쪽 열에서 필터링할 요소를 선택합니다. 또한 논리 연산자를 선택해야 합니다.

  • OR: 결합된 조건 중 하나와 일치해야 합니다(논리합).
  • AND: 모든 결합된 조건이 일치해야 합니다(논리곱).

예를 들어 심각도가 매우 높음으로 라벨이 지정된 알림을 찾고 있는 경우 왼쪽 열의 심각도와 오른쪽 열의 심각을 클릭하고 다음 항목만 표시를 선택합니다.

필터를 추가하려면 + 필터 추가를 클릭합니다.

필터를 추가하면 테이블 위에 칩으로 표시됩니다.

동일한 카테고리의 두 필터를 사용하려면 동일한 칩에 표시됩니다. 심각도 라벨에서 높음 또는 심각으로 라벨이 지정된 알림을 찾으려면 다음 단계를 완료합니다.

  1. 첫 번째 필터를 선택합니다.
  2. 두 번째 필터를 엽니다.
  3. 두 번째 필터를 클릭하면 두 가지 새로운 옵션인 다음 항목만 표시필터링이 표시됩니다. 다음 항목만 표시를 클릭합니다.

필터 지우기

필터 하나를 삭제하려면 삭제할 필터 옆에 있는 휴지통 아이콘을 클릭합니다.

페이지에서 기존 필터를 모두 지우려면 모든 칩의 옆에 있는 파란색 모두 지우기 버튼을 클릭합니다.

IOC 일치 항목 보기

IOC 도메인 일치는 보안 인프라가 의심스러운 것으로 확인되어 최근 기업 내에서 확인된 도메인을 나열합니다.

기업의 IOC를 보려면 IOC 일치 탭을 클릭합니다. 오른쪽 상단 모서리에 있는 지난 3일을 클릭하여 조사 날짜를 조정하여 기간과 이벤트 시간 대화상자 창을 열 수 있습니다.

IOC 매칭은 이벤트 타임스탬프가 위협 인텔리전스 피드에 제공된 활성 기간 간격 내에 있는 경우에만 수행됩니다. 활성 기간은 IOC가 유효한 시간 간격입니다. 위협 인텔리전스 피드에 활성 기간 간격이 없으면 피드 데이터에서 도메인이 식별될 때마다 IOC 일치 항목이 반환됩니다.

Applied Threat Intelligence를 활성화하면 IOC 일치 탭에 추가 정보가 표시됩니다. 자세한 내용은 Applied Threat Intelligence를 참조하세요.

IOC 일치 항목 탭

다음을 포함하여 이름 또는 페이지에 나열된 다른 열 카테고리를 기준으로 도메인을 정렬할 수 있습니다.

  • 카테고리
  • 소스
  • 애셋
  • 신뢰도
  • 심각도
  • IOC 수집 시간
  • 최초 발생 일자
  • 최근 발생 일자

왼쪽에 있는 절차적 필터링 메뉴를 사용하여 표시된 IOC를 필터링할 수도 있습니다.

Chronicle Security Operations 고객

Chronicle Security Operations 고객의 경우 Chronicle SOAR 알림이 여기에 표시되며 케이스 ID를 포함합니다. 케이스 ID를 클릭하여 케이스 페이지를 엽니다. 케이스 페이지에서 알림과 케이스에 대한 정보를 얻을 수 있습니다. 여기에 응답할 수도 있습니다. 자세한 내용은 케이스 개요를 참조하세요.