자동화된 맬웨어 플레이북 플로우 실행

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기6분

    • 이 플로우를 사용하여 Playbook의 작업을 자동화하여 조직에 대한 맬웨어 공격을 분석하고 해결합니다.

    시작하기 전에

    • 필요한 역할: sn_si.admin, flow_designer, action_designer
    • 올바른 자격 증명을 사용하여 다음 통합을 설치하고 구성합니다.
      • Security Operations를 위한 Palo Alto Networks WildFire
      • 사이팅 검색(Splunk)
      • 요청 차단
      • 위협 조회
      • 옵저버블 보강

      보안 인시던트 - 자동화된 맬웨어 플레이북 템플릿을 활성화 하기 전에 이러한 통합이 제대로 작동하는지 확인합니다.

    • Security Operations Palo Alto Networks Wildfire 앱: 자동화된 맬웨어 플레이북 플로우에 액세스하려면 에서 ServiceNow StoreSecurity Operations Spoke 및 Security Operations Palo Alto Networks - WildFire 앱을 설치해야 합니다. Security Operations Palo Alto Networks Wildfire App이 설치되어 있지 않으면 아래와 같이 "작업 번호 15.4.1의 워크플로우를 찾을 수 없습니다"라는 오류가 표시됩니다.

      Palo Alto Networks Wildfire 앱 오류 메시지

      이 앱을 설치하지 않으려면 자동화된 맬웨어 플레이북 플로우에서 15.2, 15.3 및 15.4 단계를 삭제합니다.

    • 다음 조건이 충족되었는지 확인합니다.
      • 보안 인시던트가 적절한 승인 그룹에 속한 보안 분석가에게 할당되었습니다.
      • 인시던트를 처리하는 보안 분석가에게는 유효한 이메일 주소가 있어야 합니다.
      • 필요한 구성 항목과 옵저버블이 보안 인시던트에 추가되었습니다.
    • 21단계(승인 요청)에서는 그룹을 보안 인시던트 할당에서 기본 그룹으로 변경합니다.
    • 플로우의 21단계는 승인 요청이 관리자에게 전송되는 필수 작업 승인 단계입니다. 요청을 승인하려면 관리자가 작업 승인 페이지로 이동하여 상태 필드를 승인됨으로 설정해야 합니다. 작업이 승인되지 않으면 Flow Designer가 더 이상 진행할 수 없으며 프로세스가 종료됩니다.

    이 태스크 정보

    네트워크에서 악성 코드 활동이 탐지되면 보안 인시던트가 생성되고 자동화된 멀웨어 플레이북 플로우가 시작됩니다. 자동화된 맬웨어 플레이북 플로우에 정의된 작업을 사용하여 위협을 분류, 분석, 억제 및 근절할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 플로우 디자이너 > 디자이너 보안 운영 스포크에서 사용할 수 있는 플로우를 보려면
    2. 보안 인시던트 - 자동화된 맬웨어 플레이북 템플릿 VI 링크를 클릭합니다.
    3. 플로우 페이지에서 더 보기 아이콘 더 보기 아이콘을 클릭하고 플로우의 사본을 만들고 사용할 수 있도록 엽니다.
      이제 트리거 조건 또는 작업을 수정하거나 작업을 추가 및 제거하는 등 플로우를 변경할 수 있습니다.자동화된 맬웨어 플레이북 템플릿

      이는 트리거와 플로우로 실행될 단계를 보여줍니다. 오른쪽 패널은 데이터 흐름을 보여줍니다. 아이콘을 클릭하여 단계를 확장하고 세부 정보를 봅니다.

    4. 트리거 아이콘을 클릭합니다.
      첫 번째 단계에서는 플로우에 대한 트리거를 정의하거나 설정합니다. 조건이 충족될 때 수행할 트리거 및 작업의 조건을 지정합니다.자동화된 맬웨어 플레이북 플로우: 트리거

      플로우에 정의된 조건(범주는 악성 코드 활동)이 인시던트 기록에서 충족되면 자동화된 피싱 플로우의 작업이 순차적으로 실행되기 시작합니다. 트리거를 수정하고, 주석을 추가하고, 조건을 추가 또는 삭제하는 등의 작업을 수행할 수 있습니다.

    5. 플로우의 첫 번째 단계는 보안 인시던트 기록 업데이트입니다.
      자동화된 맬웨어 플레이북 플로우: 1단계

      링크를 클릭하고 주석 아이콘 주석 아이콘을 클릭하여 보안 분석가에게 악성 코드 활동이 있었고 자동화된 맬웨어 대응 Playbook 플로우가 실행되기 시작했음을 나타내는 메모를 추가합니다.

    6. 플로우의 2단계를 계속 진행하고 작업 생성 링크를 클릭합니다.

      이 단계에서는 필요한 모든 옵저버블이 캡처되었는지, 조사를 시작할 수 있는지 확인하기 위해 자동 응답 작업이 생성됩니다.

      자동화된 맬웨어 플레이북 플로우: 2단계

    7. 결과 유형이 아니요이면 조사를 시작하는 데 사용할 수 있는 옵저버블과 CI가 없음을 나타냅니다.
      Playbook을 더 이상 진행할 수 없음을 나타내도록 보안 인시던트 기록을 업데이트합니다.
    8. 결과 유형이 인 경우 인시던트 심각도 설정 하위 플로우가 보안 인시던트에 올바른 심각도를 자동으로 할당합니다.
    9. 다음 단계에서는 보안 인시던트 기록이 업데이트됩니다.
    10. 다음 단계에서는 인시던트 또는 선택한 범주와 관련된 모든 옵저버블을 수집하여 후속 플레이북 단계에서 추가 자동화 작업을 수행합니다.
    11. 다음 단계에서는 자동 응답 작업이 생성됩니다.
      이 작업은 모든 옵저버블의 평판을 얻고 구성된 통합으로 보강을 수행하는 프로세스의 시작을 캡처합니다.
    12. 8단계에서는 두 개의 하위 플로우가 호출됩니다.
      • 옵저버블에 대한 위협 조회 실행: 이 하위 플로우는 위협 조회 구현을 사용하여 모든 옵저버블의 평판을 가져오는 데 사용됩니다.
      • 옵저버블 보강: 이 하위 플로우는 구성된 구현으로 옵저버블을 보강하는 데 사용됩니다.

      자동화된 맬웨어 플레이북 플로우: 8단계

      이 작업의 아이콘을 확인하십시오. 병렬 작업 아이콘 병렬 작업 아이콘 은 두 작업이 동시에 수행됨을 나타내고 하위 플로우 아이콘은 수행 중인 작업이 아래와 같이 하위 플로우임을 나타냅니다.

      자동화된 맬웨어 플레이북 플로우: 8.1.1단계

      옵저버블 필드에 숫자 5가 표시됩니다. 이는 위협 조회가 5단계에서 검색된 옵저버블에서 실행됨을 나타냅니다. 이 하위 플로우는 기존 워크플로우와 작업을 호출합니다.

    13. 다음 단계에서는 기록 조회 실행 작업이 실행됩니다.
      이 작업은 상위 워크플로우가 다음 중 하나일 수 있는 워크플로우 컨텍스트 기록을 조회하는 데 사용됩니다.
      • 위협 조회 추상 워크플로우 컨텍스트
      • 옵저버블 보강 추상 워크플로우 컨텍스트
    14. 다음 단계에서는 기록 8개마다 평판 및 보강 결과를 검토합니다.
    15. 다음 단계를 계속 검토합니다.
      1. 보안 인시던트 기록 업데이트: 평판 조회 및 보강 활동이 완료되었음을 나타내도록 보안 인시던트 기록을 업데이트합니다.
      2. 작업에서 옵저버블 가져오기: 보안 인시던트와 관련된 모든 악성 옵저버블을 검색합니다.
      3. 작업 생성: 자동화된 분류 실행이 성공했는지 확인하고 확인합니다.
    16. 악성으로 플래그가 지정된 옵저버블이 있는 경우:
      1. 보안 인시던트 기록 업데이트: 위협이 탐지되었음을 나타내는 작업 메모를 게시합니다.
      2. 옵저버블에서 입력 쿼리 작성: 10개 이상의 옵저버블에 악성으로 플래그가 지정된 경우 옵저버블에 대한 사이팅 검색 하위 플로우(Splunk 또는 Carbon Black)가 실행됩니다.
    17. 옵저버블에 악성으로 플래그가 지정되지 않은 경우 플로우는 다음 단계로 계속됩니다.
      1. 보안 인시던트 기록 업데이트: 위협이 탐지되지 않았음을 나타내는 작업 메모를 게시합니다.
      2. 작업에서 옵저버블 가져오기: 인시던트에서 모든 SHA256 해시 ID를 식별합니다.
      3. 옵저버블 기록 조회: 이 기준을 충족하는 기록을 조회합니다.
    18. 다음 단계를 계속 검토합니다.
      1. 각 악성 옵저버블에 대해 Security Operations Palo Alto Networks - Get Wildfire Data Enrichment 워크플로우가 실행됩니다.
      2. 조사 결과를 검토하여 만족스러운지 확인합니다.
        의심되는 맬웨어가 랜섬웨어 공격인지 확인하기 위한 응답 작업이 생성됩니다. 그렇다면 랜섬웨어 플레이북 하위 플로우가 실행됩니다.
      3. 다음 단계에서는 분석 요약이 포함된 이메일을 전송하고 격리 절차를 시작하기 위한 승인을 요청합니다.
      4. 요청된 승인의 상세 정보를 캡처하기 위한 작업이 생성됩니다.
      5. 다음 단계는 보안 인시던트 기록을 업데이트하는 것입니다.
        보안 분석가에게 승인 요청이 완료되었음을 알리는 작업 메모를 게시합니다.
      6. SOC 관리자의 맬웨어 공격을 포함하기 위한 승인을 요청합니다.
        단계 21
        주:
        플로우에서 승인 요청이 생성되면 작업 메모가 다음 메시지로 업데이트됩니다.
        제약 진행<작업 ID)>에 대한 승인 요청이 이루어졌습니다. 이 작업을 승인하려면 SOC 관리자로서 다음 단계를 수동으로 수행합니다.
        • 작업 승인 페이지로 이동합니다.
        • 승인 목록이 표시됩니다. 승인할 <작업 ID>를 클릭합니다.
        • 상태를 승인 으로 변경하고 업데이트된 <작업 ID>를 저장합니다.
      7. 다음 단계에서는 승인 상태를 추적하기 위해 보안 인시던트 기록이 업데이트됩니다.
      8. 다음으로 격리 절차를 시작하는 작업이 생성됩니다.
      9. 악의적인 옵저버블에 대한 블록 요청 생성 실행 하위 플로우가 실행되고, 감염된 장치와 해당 자산을 다시 빌드하라는 요청이 포함된 인시던트 기록이 생성됩니다.
      10. 다음으로 사이팅 검색을 실행하여 환경이 안전한지 확인하는 작업이 생성됩니다.
        목격 검색은 목격을 찾을 수 없을 때까지 반복됩니다.
      11. 다음으로 보안 인시던트 기록을 검토할 준비가 되었음을 나타내는 작업이 생성됩니다.
      12. 마지막으로 기록이 업데이트되고 검토 단계로 이동됩니다.

    다음에 수행할 작업

    테스트를 클릭하여 플로우의 작업을 게시하기 전에 시뮬레이션할 수 있습니다. 플로우를 테스트한 후 활성화 를 클릭하여 플로우를 활성화하면 실행됩니다.

    실행을 클릭하여 플로우의 실행 세부 정보를 봅니다.

    자동화된 맬웨어 플레이북 플로우: 실행