엔드포인트 탐지 플레이북 사용

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 이 Playbook을 사용하여 호스트 또는 엔드포인트에서 트리거된 맬웨어 경보를 조사합니다. 다음 단계에서는 엔드포인트 감지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 둘러보기를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    Security Operations 스포크(sn_sec_spoke)를 설치했는지 확인하십시오.

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 SIR에서 위협 조회 결과를 분석하고 VirusTotal, WildFire, ThreatCrowd 등에서 정보를 수집하여 파일 또는 해시가 악성인지 확인해야 합니다.
    2. Action 2에서는 파일 또는 해시가 악성인지 여부를 확인해야 합니다.
    3. 작업 3에서 파일 또는 해시가 악의적인 경우 다음 작업을 수행합니다.
      1. 작업 4에서는 애플리케이션 또는 검색 중인 프로세스를 위협으로 식별하고 검색 이유에 대한 정보를 수집하여 허용 목록에 추가로 적용해야 합니다.
        그림 1. 엔드포인트 탐지 Playbook
        파일이 악성이 아닌지 확인하기 위한 응답 작업입니다.
      2. 작업 5에서는 애플리케이션이 신뢰할 수 있는 소스(예: Microsoft, Adobe 또는 기타 잘 알려진 소프트웨어 벤더)에서 온 것인지 확인해야 합니다.
      3. 작업 6에서 애플리케이션이 신뢰할 수 있는 출처에서 제공된 경우 CrowdStrike Falcon 경보에 대해 조치를 취해야 합니다.
        그림 2. CrowdStrike Falcon 경보
        CrowdStrike Falcon 경보에 대한 조치를 취하기 위한 응답 작업입니다.
      4. 작업 7에서 다음 작업을 수행합니다.
        1. 다음으로 이동 크라우드스트라이크 팔콘 > 탐지 탭.
        2. CrowdStrike Falcon 경보를 클릭합니다.
        3. Execution Details(실행 세부 정보) 탭의 Hash Prevention Action(해시 방지 작업)에서 Edit Hash action(해시 편집 작업)을 클릭합니다.
        4. 필요한 단계를 수행합니다.
          주:
          특정 호스트만 유효한 비즈니스 정당성이 있는 응용 프로그램을 사용할 수 있으므로 차단 안 함 옵션을 신중하게 선택합니다. 그러나 다른 호스트에 대해 추가 경보를 설정해야 할 수 있습니다.
      5. 작업 8에서 응용 프로그램이 신뢰할 수 있는 원본이 아닌 경우 장치에서 로컬로 파일 또는 응용 프로그램을 포기할지 여부를 선택해야 합니다.
        작업 10에서 로컬로 장치에서 파일 또는 애플리케이션을 포기하려면 다음 작업을 수행하십시오.
        1. 작업 11에서 격리된 파일 탭으로 이동하고 장치 이름을 검색하여 끝점을 필터링합니다.
        2. 로컬에서 면제해야 하는 파일을 선택하고 릴리스를 클릭합니다.
          주:
          • 파일은 이 특정 엔드포인트에서 계속 실행됩니다. 그러나 탐지 및 격리는 다른 모든 호스트에서 계속 발생합니다.
          • 여러 호스트에서 격리 파일을 대량으로 릴리스하려면 적절한 파일 이름과 상태를 선택합니다. Select( 선택)를 클릭하고 Release(릴리스)를 선택합니다.

        작업 12에서 디바이스에서 로컬로 파일 또는 애플리케이션을 포기하지 않으려면 사용자를 IT 지원으로 리디렉션하여 승인된 애플리케이션의 설치를 요청할 수 있습니다.

    4. 작업 14에서 파일 또는 해시가 악성이 아닌 경우 다음 작업을 수행합니다.
      1. 작업 15에서는 사용자의 역할(중요한 정보를 처리하는 부서 또는 직위), 애플리케이션 유형(랜섬웨어, 루트킷 등) 및 애플리케이션의 영향(영향을 받은 사용자 수)에 따라 파일/해시가 위험도가 높은지 낮은 위험인지 확인해야 합니다.
      2. 작업 16에서 파일이 고위험 파일인 경우 다음 작업을 수행하십시오.
        1. 작업 17에서 위협 인텔리전스 팀과 함께 결과를 검토합니다.
        2. 동작 18에서 파일에 대해 맬웨어 바이트 스캔을 실행합니다.
        3. 조치 19에서 포렌식 분석을 시작합니다.
        4. 작업 20에서는 포렌식 분석 결과에 따라 호스트 격리를 수행하고 악성 파일/해시를 제거합니다.
        5. Action 21에서 사용자 자격 증명이 손상되거나 위협을 쉽게 제거할 수 없는 경우 IT 티켓을 제기하여 사용자 자격 증명을 재설정하거나 필요에 따라 컴퓨터를 이미지로 다시 설치합니다.
        6. 작업 22에서 호스트 격리 해제를 수행합니다.
        그림 3. 고위험 파일
        고위험 파일인지 확인하기 위한 응답 작업입니다.
      3. 작업 23에서 파일이 고위험 파일이 아닌 경우 다음 작업을 수행합니다.
        1. 다음으로 이동 크라우드스트라이크 팔콘 > 구성 탭.
        2. 구성 탭에서 예방 해시 > > 해시 업로드 > 해시 추가.
        3. 필요한 OS를 선택하고 항상 차단을 선택합니다.
    5. 작업 24에서는 사용자가 작업을 닫기 전에 사후 인시던트 검토를 완료할 수 있도록 응답 작업이 생성됩니다.