티켓

관제 대상 시스템에 보안 위협 이벤트가 의심되는 경우 티켓을 생성하도록 설정할 수 있습니다. 티켓은 실시간 탐지나 배치 탐지를 설정할 때 티켓 할당자/인수자를 설정해두면, 해당 이벤트가 발생할 때 자동으로 티켓이 생성됩니다.

티켓이 생성된 경우 담당자가 바로 할당되어 있을 수 있고, 관리자가 직접 담당자를 할당할 수 있습니다. 담당자는 티켓 내용과 근거 자료를 토대로 대응 작업을 진행한 후, 대응 내역을 작성한 다음 결재 요청을 합니다. 담당자는 티켓 내용과 대응 내역을 확인한 다음 결재를 승인 혹은 반려할 수 있습니다. 반려 시 담당자는 추가 작업 후 다시 결재 요청을 보내야 합니다.

이 과정을 이미지로 표현하면 다음과 같습니다.

티켓의 상태는 아래와 같이 구분됩니다:

신규

티켓이 생성된 후 아무에게도 할당되지 않은 상태입니다.

할당

티켓 담당자가 할당되었습니다.

처리중

티켓 담당자가 업무를 진행하는 중입니다.

결재중

티켓 담당자가 업무를 완료했고 결재 요청을 했습니다.

승인

결재자가 티켓 결재를 승인했습니다.

반려

결재자가 티켓 결재를 반려했습니다. 담당자는 추가 작업을 진행해야 합니다.

완료

티켓이 완료되었습니다.

티켓 처리 프로세스에는 담당자의 티켓 처리가 결재자에 의해 승인 되는 경우만 완료할 수 있다고 나와있지만, 실제로는 티켓 상태가 신규, 할당, 처리중 등 어느 상태에 있더라도 완료 상태로 변환할 수 있습니다. 중복 티켓이 발생했거나 다른 경로로 이미 처리된 티켓 등 로그프레소 소나 티켓 처리 과정을 거치지 않아도 될 티켓은 바로 완료 처리 할 수 있습니다. 반대로 완료된 티켓이라도 필요한 경우 업무 재작업 상태 전환으로 다시 작업을 수행하게 할 수 있습니다. 이 경우 완료 상태에서 다시 신규, 할당 상태로 돌아갑니다.