엔드포인트 탐지 플레이북 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 이 플레이북을 사용하여 호스트 또는 엔드포인트에서 트리거된 맬웨어 경보를 조사합니다. 다음 단계에서는 엔드포인트 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우를 연습합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(보안 운영 스포크)를 설치했는지 확인합니다.

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 작업 1에서 SIR의 위협 조회 결과를 분석하고 VirusTotal, WildFire, ThreatCrowd 등에서 정보를 수집하여 파일 또는 해시가 악성인지 확인해야 합니다.
    2. 작업 2에서는 파일 또는 해시가 악성인지 여부를 확인해야 합니다.
    3. 작업 3에서 파일 또는 해시가 악성인 경우 다음 작업을 수행합니다.
      1. 작업 4에서는 위협으로 탐지되는 애플리케이션 또는 프로세스를 식별하고 탐지 추론에 대한 정보를 수집하여 수신 허용 목록으로 계속 진행해야 합니다.
        그림 1. 엔드포인트 탐지 플레이북
        파일이 악성인지 여부를 확인하기 위한 대응 작업입니다.
      2. 작업 5에서는 응용 프로그램이 신뢰할 수 있는 출처(예: Microsoft, Adobe 또는 기타 잘 알려진 소프트웨어 공급업체)에서 제공되었는지 확인해야 합니다.
      3. 작업 6에서 애플리케이션이 신뢰할 수 있는 소스의 경우 CrowdStrike Falcon 경보에 대한 조치를 취해야 합니다.
        그림 2. CrowdStrike Falcon 경보
        CrowdStrike Falcon 경보에 대한 조치를 취하기 위한 응답 작업입니다.
      4. 작업 7에서 다음 작업을 수행합니다.
        1. 다음으로 이동 CrowdStrike 팔콘 > 탐지 탭.
        2. CrowdStrike Falcon 경보를 클릭합니다.
        3. Execution Details(실행 세부 정보) 탭의 Hash Prevention Action(해시 방지 작업)에서 Edit Hash action(해시 작업 편집)을 클릭합니다.
        4. 필요한 단계를 수행합니다.
          주:
          특정 호스트만 유효한 비즈니스 정당성이 있는 애플리케이션을 사용하도록 허용될 수 있으므로 차단 안 함 옵션을 신중하게 선택하십시오. 그러나 다른 호스트에 대해 추가 경보를 설정해야 할 수 있습니다.
      5. 작업 8에서 응용 프로그램이 신뢰할 수 있는 원본이 아닌 경우 디바이스에서 로컬로 파일 또는 응용 프로그램을 포기할지 여부를 선택해야 합니다.
        작업 10에서 장치에서 로컬로 파일 또는 응용 프로그램을 포기하려면 다음 작업을 수행합니다.
        1. 작업 11에서 격리된 파일 탭으로 이동하고 장치 이름을 검색하여 끝점을 필터링합니다.
        2. 로컬에서 포기해야 하는 파일을 선택하고 Release(릴리스)를 클릭합니다.
          주:
          • 파일은 이 특정 엔드포인트에서 계속 실행됩니다. 그러나 탐지 및 격리는 다른 모든 호스트에서 계속 발생합니다.
          • 여러 호스트에서 격리 파일을 대량으로 해제하려면 적절한 파일 이름과 상태를 선택합니다. Select( 선택)를 클릭하고 Release(릴리스)를 선택합니다.

        작업 12에서 디바이스에서 로컬로 파일 또는 애플리케이션을 포기하지 않으려는 경우 승인된 애플리케이션의 설치를 요청하기 위해 사용자를 IT 지원으로 리디렉션할 수 있습니다.

    4. 작업 14에서 파일 또는 해시가 악의적이지 않은 경우 다음 작업을 수행합니다.
      1. 작업 15에서는 사용자의 역할(중요한 정보를 처리하는 부서 또는 직위), 애플리케이션 유형(랜섬웨어, 루트킷 등) 및 애플리케이션의 영향(영향을 받은 사용자 수)에 따라 파일/해시가 높은 위험인지 낮은 위험인지 확인해야 합니다.
      2. 작업 16에서 파일이 고위험 파일인 경우 다음 작업을 수행합니다.
        1. 조치 17에서 위협 인텔리전스 팀과 함께 결과를 검토합니다.
        2. 작업 18에서 파일에 대해 맬웨어 바이트 검사를 실행합니다.
        3. 작업 19에서 포렌식 분석을 시작합니다.
        4. 작업 20에서는 포렌식 분석 결과에 따라 호스트 격리를 수행하고 악성 파일/해시를 제거합니다.
        5. 작업 21에서 사용자 자격 증명이 손상되었거나 위협을 쉽게 제거할 수 없는 경우 IT 티켓을 제기하여 사용자 자격 증명을 다시 설정하거나 필요에 따라 머신을 이미지로 다시 설치합니다.
        6. 작업 22에서 호스트 격리 해제를 수행합니다.
        그림 3. 고위험 파일
        고위험 파일인지 확인하기 위한 대응 작업입니다.
      3. 작업 23에서 파일이 고위험 파일이 아닌 경우 다음 작업을 수행합니다.
        1. 다음으로 이동 CrowdStrike 팔콘 > 구성 탭.
        2. 구성 탭에서 방지 해시 > > 업로드 해시 > 해시 추가.
        3. 필요한 OS를 선택하고 항상 차단을 선택합니다.
    5. 작업 24에서는 사용자가 작업을 종결하기 전에 사후 인시던트 검토를 완료할 수 있는 응답 작업이 생성됩니다.