보안 엔드포인트에서 자동화된 작업을 트리거할 조건 식별

업데이트:2023년 2월 1일
문서 ID:220184

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 자동화된 작업을 트리거하기 위해 충족해야 하는 조건에 대해 설명합니다.

    배경 정보

    자동화된 작업은 보안 침해 발생 시 트리거됩니다(보안침해가 없는 시스템이 보안침해가 발생한 시스템이 됨을 의미). 이미 손상된 시스템이 새 탐지를 트리거하는 경우, 이 탐지는 보안 침해에 추가되지만, 이는 새 보안 침해가 아니므로 자동화된 작업을 트리거하지 않습니다.

    이에 대한 한 가지 예외는 심각도입니다. 자동화된 작업은 심각도인 기준에 따라 트리거되지만, 보안 침해는 그 자체로는 심각도가 없습니다(개별 탐지만 수행). Automated Action(자동 작업)이 심각도 수준이 high(높음)로 구성되어 있고 중간 수준으로 탐지가 트리거되는 경우, 작업이 트리거되지 않습니다. 이후 이벤트가 높음(high) 보안 침해에 추가되면 이 새 탐지가 이미 있는 보안 침해에 있는 경우 작업이 트리거됩니다.

    보안이 침해된 기계란 무엇입니까?

    보안이 침해된 시스템은 능동적 보안 침해가 연결된 엔드포인트입니다. 보안이 침해된 시스템은 한 번에 하나의 보안침해만 활성화할 수 있습니다.

    적용 가능성 

    Windows, Mac

    자동화된 작업 사용 가능

    1. 보안 침해 발생 시 보안 침해 스냅샷 생성: 보안 침해가 발생하면 컴퓨터의 보안 침해 스냅샷을 생성합니다. 보안 침해 이벤트는 기본적으로 커넥터에서 보내진 이벤트로, 악의적인 상황이 발생할 수 있음을 알립니다.

      이 자동화된 작업을 트리거할 조건: 선택한 심각도 이상인 이벤트는 자동화된 작업을 트리거합니다.

      Automated Actions Available

      Conditions to Trigger Automated Action

      다음은 보안이 침해된 시스템의 예입니다.

      Example of a Compromised Machine

      Audit Log(감사 로그) 탭에서 자동화된 작업의 로그입니다.

      Log of the Automated Action

    2. 보안 침해 시 컴퓨터 격리: 보안 침해가 발생하면 컴퓨터를 분리합니다.

      이 자동화된 작업을 트리거할 조건: 선택한 심각도 이상인 이벤트는 자동화된 작업을 트리거합니다. Rate Limit(속도 제한)은 오탐(false positive) 탐지로부터 보호합니다. 속도 제한 기능은 24시간 롤링 창에서 총 격리 수를 확인합니다. 고립의 수가 한계보다 크면 더 이상의 격리가 트리거되지 않는다. 보안 침해 이벤트 수가 24시간 롤링 창의 제한보다 적거나 자동으로 격리된 컴퓨터에서 격리를 중지하면 컴퓨터가 다시 격리됩니다.

      Isolate a Computer upon Compromise - Take Forensic Snapshot

      Conditions to Trigger an Automated Action When a Compromise Occurs

      다음은 보안이 침해된 시스템의 예입니다.

      Example of a Compromised Machine

      다음은 자동화된 작업의 로그입니다(Audit Log(감사 로그) 탭).

      Log of the Automated Action From Audit Log Tab



    3. 탐지 시 Secure Malware Analytics에 제출: 탐지가 발생하면 파일 분석을 위해 Secure Malware Analytics에 파일을 제출합니다.

      이 자동화된 작업을 트리거할 조건: 선택한 심각도 이상인 이벤트는 자동화된 작업을 트리거합니다.

      Submit to Secure Malware upon Detection

      Conditions to Trigger Automated Action

      감염된 시스템의 예:

      Example of Compromised Machine with Malware Detected

      이 경우 파일이 이전에 Secure Malware 분석에 제출되었으므로 파일 분석이 이미 수행되었습니다. 예를 들면 다음과 같습니다.

      File Already Done as Malware Previously Submitted

      note-icon

      참고: 이 자동화된 작업은 보안침해와 관련이 없으며 탐지별로 실행됩니다.

    4. Move Computer to group on Compromise(보안 침해 시 컴퓨터를 그룹으로 이동): 작업이 트리거되면 컴퓨터를 현재 그룹에서 다른 그룹으로 이동합니다. 이렇게 하면 보안이 침해된 컴퓨터를 보다 공격적인 검사 및 엔진 설정이 있는 그룹으로 이동하여 보안 침해를 해결할 수 있습니다.

    이 자동화된 작업을 트리거할 조건: 선택한 심각도 이상인 이벤트는 자동화된 작업을 트리거합니다.

    Move Computer to Group upon Compromise

    Trigger the Automated Action

    원래 그룹의 컴퓨터입니다.

    Computer in the Original Group

    다음은 보안 침해 이벤트입니다.

    Events of the Compromise

    다음은 자동화된 작업의 로그입니다(Audit Log(감사 로그) 탭).

    Log of the Automated Action (from Audit Log Tab)

    컴퓨터가 Automated Action(자동 작업) 설정의 지정된 그룹으로 이동되었습니다.

    Computer Moved to Specified Group in the Automated Action Setting

    작업 로그

    다음은 Automated Actions(자동화된 작업) 탭의 Automated Action Logs(자동화된 작업 로그)의 전체 목록입니다.

    Automated Action Logs

    관련 정보

    보안 엔드포인트 사용 설명서

    개정 이력

    개정 게시 날짜 의견
    1.0
    01-Feb-2023
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • Isaac Cardenas
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품