자동화된 맬웨어 플레이북 플로우 실행

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 6분

    • 이 플로우를 사용하여 플레이북의 작업을 자동화하여 조직에 대한 맬웨어 공격을 분석하고 해결할 수 있습니다.

    시작하기 전에

    • 필요한 역할: sn_si.admin, flow_designer, action_designer
    • 올바른 자격 증명으로 다음 통합을 설치하고 구성합니다.
      • 보안 운영용 Palo Alto Networks WildFire
      • 사이팅 검색(Splunk)
      • 요청 차단
      • 위협 조회
      • 옵저버블 보강

      보안 인시던트 - 자동화된 맬웨어 플레이북 템플릿을 활성화 하기 전에 이러한 통합이 제대로 작동하는지 확인합니다.

    • Security Operations Palo Alto Networks Wildfire 앱: 자동화된 맬웨어 플레이북 플로우에 접근하려면 에서 보안 운영 스포크 및 Security Operations Palo Alto Networks - WildFire 앱을 ServiceNow Store설치해야 합니다. Security Operations Palo Alto Networks Wildfire 앱이 설치되어 있지 않으면 아래와 같이 "작업 번호 15.4.1의 워크플로우를 찾을 수 없습니다"라는 오류가 표시됩니다.

      Palo Alto Networks Wildfire 앱 오류 메시지

      이 앱을 설치하지 않으려면 자동화된 맬웨어 플레이북 플로우에서 15.2, 15.3, 15.4 단계를 삭제합니다.

    • 다음 조건이 충족되었는지 확인합니다.
      • 보안 인시던트가 적절한 승인 그룹에 속한 보안 분석가에게 할당되었습니다.
      • 인시던트를 처리하는 보안 분석가는 유효한 이메일 주소를 가지고 있어야 합니다.
      • 필요한 구성 항목과 옵저버블이 보안 인시던트에 추가되었습니다.
    • 21단계(승인 요청)의 경우 그룹을 보안 인시던트 할당에서 기본 그룹으로 변경합니다.
    • 플로우의 21단계는 승인 요청이 관리자에게 전송되는 필수 작업 승인 단계입니다. 요청을 승인하려면 관리자가 작업 승인 페이지로 이동하여 상태 필드를 승인됨으로 설정해야 합니다. 작업이 승인되지 않으면 Flow Designer가 더 이상 진행할 수 없고 프로세스가 종료됩니다.

    이 태스크 정보

    네트워크에서 악성 코드 활동이 탐지되면 보안 인시던트가 생성되고 자동화된 맬웨어 플레이북 플로우가 시작됩니다. 자동화된 맬웨어 플레이북 플로우에 정의된 작업을 사용하여 위협을 분류, 분석, 억제 및 근절할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 플로우 디자이너 > 디자이너 보안 운영 스포크에서 사용할 수 있는 플로우를 보려면
    2. 보안 인시던트 - 자동화된 맬웨어 플레이북 템플릿 VI 링크를 클릭합니다.
    3. 플로우 페이지에서 더 보기 아이콘 더 보기 아이콘을클릭하고 플로우의 사본을 만든 다음 사용할 수 있도록 엽니다.
      이제 트리거 조건 또는 작업을 수정하거나 작업을 추가 및 제거하는 등 플로우를 변경할 수 있습니다.자동화된 맬웨어 플레이북 템플릿

      이는 트리거와 플로우와 함께 실행되는 단계를 보여줍니다. 오른쪽 패널에는 데이터 플로우가 표시됩니다. 아이콘을 클릭하여 단계를 확장하고 상세 정보를 봅니다.

    4. 트리거 아이콘을 클릭합니다.
      첫 번째 단계에서는 플로우에 대한 트리거를 정의하거나 설정합니다. 조건이 충족될 때 수행할 트리거 및 작업에 대한 조건을 지정합니다.자동화된 맬웨어 플레이북 플로우: 트리거

      플로우에 정의된 조건(범주는 악성 코드 활동)이 인시던트 기록에서 충족되면 자동화된 피싱 플로우의 작업이 순차적으로 실행되기 시작합니다. 트리거를 수정하고, 주석을 추가하고, 조건을 추가 또는 삭제하는 등의 작업을 수행할 수 있습니다.

    5. 플로우의 첫 번째 단계는 보안 인시던트 기록 업데이트입니다.
      자동화된 맬웨어 플레이북 플로우: 1단계

      링크를 클릭하고 주석 아이콘 클릭 일부 악성 코드 활동이 있었고 자동화된 맬웨어 응답 플레이북 플로우가 실행되기 시작했음을 나타내는 메모를 보안 분석가에게 추가하는 주석 아이콘 입니다.

    6. 플로우의 2단계를 진행하고 작업 생성 링크를 클릭합니다.

      이 단계에서는 필요한 모든 옵저버블이 캡처되었는지 여부와 조사를 시작할 수 있는지 확인하기 위해 자동 응답 작업이 생성됩니다.

      자동화된 맬웨어 플레이북 플로우: 2단계

    7. 결과 유형이 아니요이면 조사를 시작할 수 있는 옵저버블과 CI가 없음을 나타냅니다.
      플레이북을 더 이상 진행할 수 없음을 나타내도록 보안 인시던트 기록을 업데이트합니다.
    8. 결과 유형이 인 경우 인시던트 심각도 설정 하위 플로우가 보안 인시던트에 올바른 심각도를 자동으로 할당합니다.
    9. 다음 단계에서는 보안 인시던트 기록이 업데이트됩니다.
    10. 다음 단계에서는 인시던트 또는 선택한 범주에 관련된 모든 옵저버블을 수집하여 후속 플레이북 단계에서 추가 자동화 작업을 수행합니다.
    11. 다음 단계에서는 자동 응답 작업이 생성됩니다.
      이 작업은 모든 옵저버블의 평판을 가져오고 구성된 통합으로 보강을 수행하는 프로세스의 시작을 캡처합니다.
    12. 8단계에서는 두 개의 하위 플로우가 호출됩니다.
      • 옵저버블에 대한 위협 조회 실행: 이 하위 플로우는 위협 조회 구현을 사용하여 모든 옵저버블의 평판을 얻는 데 사용됩니다.
      • 옵저버블 보강: 이 하위 플로우는 구성된 구현으로 옵저버블을 보강하는 데 사용됩니다.

      자동화된 맬웨어 플레이북 플로우: 8단계

      이 작업의 아이콘을 확인합니다. 병렬 운영 아이콘 병렬 운영 아이콘 은 두 작업이 동시에 수행됨을 나타내며 하위 플로우 아이콘 하위 플로우 아이콘 은 아래와 같이 수행 중인 작업이 하위 플로우임을 나타냅니다.

      자동화된 맬웨어 플레이북 플로우: 8.1.1단계

      옵저버블 필드에 숫자 5가 표시됩니다. 이는 위협 조회가 5단계에서 검색된 옵저버블에 대해 실행됨을 나타냅니다. 이 하위 플로우는 차례로 기존 워크플로우 및 작업을 호출합니다.

    13. 다음 단계에서는 기록 조회 실행 작업이 실행됩니다.
      이 작업은 상위 워크플로우가 다음 중 하나일 수 있는 워크플로우 컨텍스트 기록을 조회하는 데 사용됩니다.
      • 위협 조회 추상 워크플로우 컨텍스트
      • 옵저버블 보강 추상 워크플로우 컨텍스트
    14. 다음 단계에서는 기록 8개마다 평판 및 보강 결과를 검토합니다.
    15. 다음 단계를 계속 검토합니다.
      1. 보안 인시던트 기록 업데이트: 평판 조회 및 보강 활동이 완료되었음을 나타내기 위해 보안 인시던트 기록을 업데이트합니다.
      2. 작업에서 옵저버블 가져오기: 보안 인시던트와 연결된 모든 악성 옵저버블을 검색합니다.
      3. 작업 생성: 자동화된 환자 분류 실행이 성공했는지 확인하고 확인합니다.
    16. 악성으로 플래그가 지정된 옵저버블이 있는 경우:
      1. 보안 인시던트 기록 업데이트: 위협이 탐지되었음을 나타내는 작업 메모를 게시합니다.
      2. 옵저버블에서 입력 쿼리 생성: 10개 이상의 옵저버블이 악성으로 플래그가 지정되면 옵저버블에 대한 사이팅 검색 하위 플로우(Splunk 또는 Carbon Black)가 실행됩니다.
    17. 옵저버블에 악성으로 플래그가 지정되지 않은 경우, 플로우는 다음 단계로 계속 진행됩니다.
      1. 보안 인시던트 기록 업데이트: 위협이 탐지되지 않았음을 나타내는 작업 메모를 게시합니다.
      2. 작업에서 옵저버블 가져오기: 인시던트에서 모든 SHA256 해시 ID를 식별합니다.
      3. 옵저버블 기록 조회: 이 기준을 충족하는 기록을 조회합니다.
    18. 다음 단계를 계속 검토합니다.
      1. 각 악성 옵저버블에 대해 보안 운영 Palo Alto Networks - Wildfire 데이터 보강 가져오기 워크플로우가 실행됩니다.
      2. 조사 결과가 만족스러운지 검토합니다.
        의심되는 맬웨어가 랜섬웨어 공격인지 확인하기 위해 응답 작업이 생성됩니다. 그렇다면 랜섬웨어 플레이북 하위 플로우가 실행됩니다.
      3. 다음 단계에서는 분석 요약과 격리 절차를 시작하기 위한 승인 요청이 포함된 이메일이 전송됩니다.
      4. 요청된 승인의 상세 정보를 캡처하기 위해 작업이 생성됩니다.
      5. 다음 단계는 보안 인시던트 기록을 업데이트하는 것입니다.
        보안 분석가에게 승인 요청이 이루어졌음을 알리는 작업 메모를 게시합니다.
      6. SOC 관리자에게 맬웨어 공격을 포함하는 승인을 요청합니다.
        21단계
        주:
        플로우에서 승인 요청이 생성되면 작업 메모가 다음 메시지로 업데이트됩니다.
        포함을 진행하는 <작업 id>에 대한 승인 요청이 이루어졌습니다. 이 작업을 승인하려면 SOC 관리자는 다음 단계를 수동으로 수행합니다.
        • 작업 승인 페이지로 이동합니다.
        • 승인 목록이 표시됩니다. 승인할 <작업 id>를 클릭합니다.
        • 상태를 승인 으로 변경하고 업데이트된 <작업 id>를 저장합니다.
      7. 다음 단계에서는 승인 상태를 추적하기 위해 보안 인시던트 기록이 업데이트됩니다.
      8. 다음으로 격리 절차를 시작하기 위한 작업이 생성됩니다.
      9. 악의적인 옵저버블에 대한 차단 요청 생성 하위 플로우 실행이 실행되고 감염된 장치와 그 자산을 다시 빌드하라는 요청이 포함된 인시던트 기록이 생성됩니다.
      10. 다음으로, 사이팅 검색을 실행하여 환경이 안전한지 확인하는 작업이 생성됩니다.
        목격을 찾을 수 없을 때까지 목격 검색이 반복됩니다.
      11. 다음으로 보안 인시던트 기록을 검토할 준비가 되었음을 나타내는 작업이 생성됩니다.
      12. 마지막으로 기록이 업데이트되어 검토 단계로 이동합니다.

    다음에 수행할 작업

    테스트를 클릭하여 플로우가 게시되기 전에 플로우에서 작업을 시뮬레이션할 수 있습니다. 플로우를 테스트한 후 활성화를 클릭하여 플로우를 실행할 수 있도록 활성화합니다.

    실행 클릭하여 플로우의 실행 상세 정보를 봅니다.

    자동화된 맬웨어 플레이북 플로우: 실행