Playbook으로 보안 위협 해결
Playbook을 사용하여 특정 유형의 보안 위협을 단계별로 해결합니다. 예를 들어 플레이북을 사용하여 악성 코드 활동으로 인한 피싱 공격 및 위협을 해결할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.admin 또는 admin
이 태스크 정보
각 작업을 진행하면서 향후 유사한 공격을 분석하는 데 도움이 되는 작업 메모를 입력합니다. 위협이 식별되면 Playbook의 정보를 사용하여 위협을 격리하고, 유사한 영향을 받은 자산을 격리하고, 맬웨어를 제거할 수도 있습니다.
기본 시스템에는 각 Playbook 작업에 대한 지식 문서가 포함되어 있습니다. 그러나 지식 문서를 직접 작성 하여 Playbook 작업에 연결할 수 있습니다.
프로시저
-
다음으로 이동 레이블이 표시됩니다.
보안 인시던트 화면에는 사용자에게 할당된 보안 인시던트가 표시됩니다.
-
화면 오른쪽 가장자리의 Playbook 창이 닫혀 있으면 Playbook 아이콘(
)을 클릭하여 엽니다.
보안 인시던트에 할당된 Playbook이 없는 경우 아래와 같이 선택한 Playbook 선택 목록에서 Playbook을 선택할 수 있습니다.보안 인시던트에 다른 Playbook을 할당할 수도 있습니다. 선택한 Playbook 선택 목록에 Playbook을 포함하거나 보안 인시던트에 대한 Playbook을 변경하려면 자세한 내용을 참조하십시오 분석가 선택을 위한 Playbook 사용 .보안 위협 유형별 Playbook이 열립니다. 유사한 작업의 범주로 나뉩니다. 예를 들어 분석 그룹의 작업을 사용하여 위협의 유효성과 범위를 확인할 수 있습니다. 포함 그룹에는 특정 사용자 또는 자산에 대한 위협을 격리하기 위한 작업이 포함됩니다. Eradicate 그룹의 작업은 맬웨어를 제거하거나 호스트를 이미지로 다시 설치하는 프로세스를 안내합니다.
Playbook을 사용하여 사용자가 신고한 피싱 공격 해결
피싱 Playbook은 회사 직원 중 한 명이 보고한 피싱 공격을 분석하고 해결하는 데 필요한 작업을 안내합니다.
사용자가 보고한 피싱 공격에서 보안 인시던트가 생성되는 방식
보안 인시던트 응답을 설정하는 동안 시스템 관리자는 피싱 공격의 징후가 포함된 이메일을 식별할 수 있는 일련의 이메일 일치 규칙을 생성합니다. 직원이 피싱 공격의 일반적인 징후(보안 정책에 정의된 대로)가 포함된 의심스러운 이메일을 받으면 . 조직에서 정의한 피싱 이메일 주소에 대한 EML 첨부 파일입니다.
- 짧은 설명에는 사용자가 보고한 피싱이 포함되며 그 뒤에 보낸 이메일의 실제 제목이 표시됩니다.
- Tthe. EML 파일은 보안 인시던트에 첨부됩니다.
- 만약에 . EML에는 관찰 가능 개체가 포함되어 있으며 구문 분석되고 보강 및 위협 조회가 자동으로 수행됩니다.
)을 클릭하여 Playbook을 열기만 하면 됩니다.피싱 Playbook에는 피싱 위협을 분석, 억제 및 근절하는 데 도움이 되는 작업이 포함되어 있습니다. 작업은 상태(예: 분석, 포함 등)로 구성됩니다. 상태에 대한 모든 작업이 완료되면 Playbook이 다음 상태로 안내합니다.
보안 인시던트 상세 정보 분석
- 인시던트의 유효성을 결정합니다.
- 잠재적 위협의 영향을 연구합니다.
- 인시던트에 대한 효과적인 대응 조정
- 지식 문서를 숙지하십시오.
- 이메일 첨부 파일을 열고 일반적인 피싱 요소의 징후가 있는지 검사합니다.
- 위협 조회 결과를 검토합니다.
보안 인시던트 포함
보안 인시던트가 포함 상태인 경우 전자 메일의 세부 정보를 검토하는 작업이 제공됩니다. 위협이 조직에 침입할 수 없도록 하려면 IDS(Intrusion Defense System) 및 IPS(Intrusion Prevention System) 서명 및 규칙의 형태로 네트워크 방어를 업데이트하십시오.
- 영향을 받는 장치를 격리하는 등 위협 영향을 제한하는 조치를 취합니다.
- 이메일에 첨부된 옵저버블을 검토합니다.
- 이메일 콘텐츠가 다음을 포함하여 알려진 위협과 관련이 있는지 확인합니다.
- URL
- 이메일 발신자
- 피싱 URL
- 보낸 사람의 SMTP 서버 IP 주소
맬웨어 근절
업데이트된 서명 및 규칙을 바이러스 백신 솔루션에 배포한 후 근절 상태의 작업을 사용하여 맬웨어가 있는지 확인하고 그에 따라 처리합니다.
- 영향을 받는 장치의 엔드포인트에서 맬웨어가 있는지 검사합니다.
- 발견된 맬웨어를 제거합니다.
- 최후의 수단으로 호스트 장치를 지우고 이미지로 다시 설치합니다.
보안 인시던트 검토
분석 작업을 수행할 때 피싱 공격이 거짓 경보로 확인되면 보안 인시던트가 검토 상태로 이동하고 전자 메일 첨부 파일을 열어도 안전하다는 것을 사용자에게 알려야 합니다.
보안 인시던트 종결
Playbook의 모든 작업이 완료되면 보안 인시던트가 종결 상태로 이동됩니다. 인시던트를 종결하려면 종결 코멘트를 입력해야 합니다.
보안 인시던트 취소
보안 인시던트가 검토 상태이고 전자 메일이 위협이 아님을 사용자에게 성공적으로 알린 경우 취소됨 상태가 활성화되고 보안 인시던트를 취소할 수 있습니다.
지식 문서를 Playbook 작업과 연결
Playbook을 보안 인시던트 응답 사용하여 보안 위협을 분석할 때 조직에서 정의한 경우 각 작업에 대한 지식 문서를 볼 수 있습니다. 지식 문서가 없는 경우 문서를 생성하여 Playbook 작업과 연결할 수 있습니다.
시작하기 전에
필요한 역할: sn_sir.knowledge_admin 및 sn_si.admin 또는 admin
프로시저
Playbook에 사용자 지정 작업 추가
기본 시스템에는 보안 분석가 작업 공간 각 위협 범주에 대한 일련의 작업이 포함되어 있습니다. 시스템 또는 고객의 고유한 요구를 충족하는 사용자 지정 작업을 생성할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.basic 또는 security_admin
프로시저
-
Playbook이 열리면 Add Task(작업 추가)를 클릭합니다.
Add Custom Task(사용자 지정 작업 추가) 화면이 열립니다.