반복 탐지 플레이북 사용

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • 이 Playbook을 사용하여 인시던트 응답이 과거에 정확히 일치하거나 유사한 피싱 보고서에 제공되었고 새 보고서에서도 유사하게 자동으로 작동하는지 조사할 수 있습니다. 다음 단계에서는 반복 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 둘러보기를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 플레이북은 일 구성을 사용하여 보안 인시던트의 상대 날짜를 검색합니다.
    2. 작업 2에서 플레이북은 메시지 ID를 기반으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 찾습니다.
      그림 1. 반복 탐지 플레이북
      메시지 ID를 기준으로 작업 옵저버블 기록을 조회합니다.
    3. 작업 3에서 플레이북은 메시지 ID와 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
    4. 작업 4에서는 지금까지 수행된 조사를 기반으로 플레이북이 메시지 ID를 기반으로 일치하는 인시던트를 찾았는지 여부를 확인합니다.
      작업 5에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지에 대한 자동화를 기반으로 일치하는 항목이 발견되었음을 작업 메모에 자동으로 업데이트합니다. 작업 6에서 플로우가 종료됩니다.
    5. 일치하는 인시던트를 찾을 수 없는 경우, 작업 7에서 플레이북은 제목을 기준으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 찾습니다.
    6. 작업 8에서 플레이북은 제목과 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
    7. 작업 9에서 플레이북은 일치하는 인시던트가 있는지 여부를 확인합니다.
      작업 10에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지에 대한 자동화를 기반으로 일치하는 항목이 발견되었음을 작업 노트에 자동으로 업데이트합니다. 작업 11에서 흐름이 종료됩니다.
      그림 2. 일치하는 인시던트
      일치하는 인시던트가 발견되면 작업 메모가 업데이트됩니다.
    8. 작업 12에서 플레이북은 주소를 기준으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 찾습니다.
    9. 작업 13에서 플레이북은 주소와 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
    10. 작업 14에서 Playbook은 주소를 기반으로 일치하는 인시던트를 찾았는지 여부를 확인합니다.
      작업 15에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지에 대한 자동화를 기반으로 일치하는 항목이 발견되었음을 작업 메모에 자동으로 업데이트합니다. 작업 16에서 흐름이 종료됩니다.