자동화된 피싱 응답 플레이북 플로우 실행

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 5분

플로우 디자이너를 사용하면 플레이북에서 작업을 정의하고 자동화하여 조직에 대한 피싱 공격을 분석하고 해결할 수 있습니다.

시작하기 전에

필요한 역할: sn_si.admin, flow_designer, action_designer
올바른 자격 증명을 사용하여 다음 통합을 설치하고 구성합니다.
- 블록 요청(보안 운영 Palo Alto Networks NGFW 통합)
- 관찰 대상 보강
- 사이팅 검색
- 위협 조회
- Microsoft Office Exchange

이 태스크 정보

직원이 피싱 공격의 일반적인 징후가 포함된 의심스러운 이메일을 수신하면(보안 정책에서 정의한대로) 해당 이메일을 . 조직에서 정의한 피싱 이메일 주소에 대한 EML 첨부 파일입니다. 자동화된 피싱 플레이북 플로우에 정의된 작업을 사용하여 피싱 위협을 분류, 분석, 억제 및 근절할 수 있습니다. 이러한 작업은 여러 인시던트 상태(예: 분석, 포함 등)의 일부로 호출될 수 있습니다. 피싱 보안 인시던트가 생성되면 자동화된 피싱 플로우가 자동으로 트리거될 수 있습니다. 플로우 디자이너를 사용하면 호출되는 다양한 인시던트 응답 작업의 상세 정보를 볼 수 있습니다.

주:

보안 인시던트 - 자동화된 피싱 응답 템플릿 V1 플레이북 플로우는 읽기 전용입니다. 플로우의 사본을 만들고 필요에 따라 변경할 수 있습니다.

다음 단계에서는 피싱 플레이북 템플릿의 사본을 만드는 방법을 설명하고 플로우의 일부 작업을 안내합니다.

프로시저

다음으로 이동 모두 > 플로우 디자이너 > 디자이너 을 클릭하여 스포크에서 사용할 수 있는 플로우를 보안 운영 봅니다.
보안 인시던트 - 자동화된 피싱 응답 템플릿 VI 링크를 클릭합니다.
플로우 페이지에서 더 보기 아이콘 을 클릭하고 플로우의 사본을 만들고 사용할 수 있도록 엽니다.
트리거 조건을 수정하고, 작업을 추가 또는 제거하고, 플로우에 기타 변경 사항을 적용할 수 있습니다.
이 이미지는 트리거 조건과 플로우가 실행되는 단계를 보여줍니다. 오른쪽 패널에는 데이터 흐름이 표시됩니다. 아이콘을 클릭하여 단계를 확장하고 상세 정보를 봅니다.
트리거 아이콘을 클릭합니다.
첫 번째 단계에서는 플로우에 대한 트리거를 정의하거나 설정합니다. 트리거의 조건과 플로우가 트리거를 실행하는 빈도를 지정합니다.
플로우에 정의된 조건(범주는 피싱, 소스는 이메일)이 인시던트 기록에서 충족되면 자동화된 피싱 플로우의 작업이 순차적으로 실행되기 시작합니다. 트리거를 수정하고, 주석을 추가하고, 조건을 추가 또는 삭제하는 등의 작업을 수행할 수 있습니다.
보안 인시던트 기록 업데이트 링크를 클릭합니다.

보안 인시던트 기록 업데이트는 플로우의 첫 번째 단계입니다. 주석 아이콘 클릭하여 피싱 인시던트가 발생했으며 자동화된 피싱 플레이북 플로우가 실행되기 시작했음을 나타내는 메모를 보안 분석가에게 추가합니다.
플로우의 2단계를 계속 진행하고 응답 작업 생성 링크를 클릭합니다.

이 단계에서 플로우는 자동화된 응답 작업을 생성하여 인시던트 제출자 또는 영향을 받는 사용자에게 수신을 확인합니다.

상위 작업 [보안 인시던트] 필드는 이 단계와 연결된 상위 기록을 참조합니다. 데이터 정제 선택기 아이콘, 사용하여 참조 기록을 선택하거나 오른쪽 패널에서 관련 참조 항목을 끌어서 참조 기록을 선택할 수 있습니다. 잠금 아이콘 을 확인합니다. 잠금 아이콘은 단계에 사용자 개입이 필요하지 않음을 나타냅니다.
3단계에서 플로우는 영향을 받는 사용자(일반적으로 인시던트를 제출한 사용자)에 대한 추가 상세 정보를 수집하여 알림을 성공적으로 보낼 수 있도록 합니다.
영향을 받는 사용자의 상태가 활성이고 사용자가 알림을 받을 수 있는지 확인하는 조건을 지정할 수 있습니다.
3단계의 조건부 확인합니다. 지정된 조건이 충족되는 경우에만 플로우가 다음 단계(3.1)를 실행합니다.

3단계에서 정의된 조건이 성공적으로 충족되면 이메일이 전송됩니다.
4단계에서는 이메일을 보낸 후 응답 작업이 종결됨으로 표시됩니다.
5단계에서는 인시던트에 관련된 모든 옵저버블(예: 이메일 제목, 피싱 이메일이 전송된 이메일 주소, 피싱 URL) 또는 선택한 범주(해시, 파일 또는 도메인)에 속하는 옵저버블을 수집하여 후속 플레이북 단계에서 추가 자동화 작업을 수행합니다.

작업의 상세 뷰를 보려면 작업 디자이너 아이콘 클릭합니다.

작업 디자이너 페이지를 보려면 플로우에서 단계를 확장하고 작업 디자이너 아이콘을 클릭합니다.
6단계에서는 자동 응답 작업이 생성됩니다.
이 작업은 모든 옵저버블의 평판을 얻고 구성된 통합으로 보강을 수행하는 프로세스의 시작을 캡처합니다.
7단계에서는 두 개의 하위 플로우가 호출됩니다.
- 옵저버블에 대한 위협 조회 실행: 이 하위 플로우는 위협 조회 구현을 사용하여 모든 옵저버블의 평판을 가져오는 데 사용됩니다.
- 옵저버블 보강: 이 하위 플로우는 구성된 구현으로 옵저버블을 보강하는 데 사용됩니다.
이 작업의 아이콘을 확인하십시오. 병렬 은 두 작업이 동시에 수행됨을 나타내고 하위 수행 중인 작업이 아래와 같이 하위 플로우임을 나타냅니다.

옵저버블 필드에 숫자 5가 표시됩니다. 이는 위협 조회가 5단계에서 검색된 옵저버블에서 실행됨을 나타냅니다. 그런 다음 이 하위 플로우는 하위 플로우 디자이너에 표시된 대로 기존 워크플로우와 작업을 호출합니다.
8단계에서는 하위 플로우가 완료된 후 응답 작업이 종결됨으로 표시됩니다.
9단계에서는 옵저버블 환자 분류 하위 플로우에서 위협 확인이 호출됩니다.
이 하위 플로우는 인시던트에 위협 표시기가 있는지 확인하는 데 사용됩니다. 위협이 확인되면 'IOC 탐지됨' 플래그가 인시던트에 추가됩니다.
위협이 확인되면 10단계에서 보안 인시던트를 업데이트하고 위협 억제 작업이 시작됨을 나타내는 메모를 추가합니다.
11단계는 피싱 이메일의 영향을 평가하는 데 사용되는 작업의 시작 및 완료를 캡처하는 자동화된 응답 작업입니다.
12단계에서는 피싱 이메일 영향 평가 하위 플로우가 호출됩니다.
이 하위 플로우는 지원되는 구현을 사용하여 피싱 이메일을 받은 사용자를 검색하는 데 사용됩니다.
13단계에서는 작업이 종결됨으로 표시되어 피싱 이메일 영향 평가 하위 플로우가 실행되었음을 나타냅니다.
14단계는 악성으로 표시된 모든 옵저버블을 검색하는 데 사용됩니다.
15단계는 옵저버블 사이팅 검색 작업의 시작 및 완료를 캡처하는 자동화된 응답 작업입니다.
16단계에서는 옵저버블에 대한 사이팅 검색 실행 하위 플로우가 호출됩니다.
이 하위 플로우는 구성된 구현을 사용하여 사이팅 검색을 수행합니다.
17단계에서는 옵저버블에 대한 사이팅 검색 실행 하위 플로우가 완료되었음을 나타내기 위해 작업이 종결됨으로 표시됩니다.
악의적인 옵저버블을 식별한 후 18단계에서 보안 인시던트 기록을 업데이트하여 방지 작업이 이제 시작됨을 나타냅니다.
19단계는 차단 요청 작업의 시작 및 완료를 캡처하는 자동화된 응답 작업입니다.
20단계에서는 블록 요청 생성 하위 플로우가 호출됩니다.
이 하위 플로우는 악의적인 옵저버블을 차단하는 데 사용됩니다.
21단계에서는 작업이 종결됨으로 표시되어 블록 요청 하위 플로우 생성이 완료되었음을 나타냅니다.
22단계에서는 피싱 이메일 근절 하위 플로우가 호출됩니다.
이 하위 플로우는 사용자 사서함에서 피싱 이메일을 삭제하는 데 사용됩니다.
피싱 이메일이 삭제된 후 23단계에서 보안 인시던트 기록을 업데이트하여 인시던트 상태를 검토해야 함을 나타냅니다.
마지막 단계에서 플로우는 자동화된 응답 작업을 생성합니다.
이 작업은 보안 분석가에게 향후 검토를 위해 모든 인시던트 응답 작업을 저장하라는 미리 알림을 보내는 데 사용됩니다.