플레이북으로 보안 위협 해결

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 7분

    • Playbook을 사용하여 특정 유형의 보안 위협을 단계별로 해결합니다. 예를 들어 Playbook을 사용하여 악성 코드 활동으로 인한 피싱 공격 및 위협을 해결할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin 또는 admin

    이 태스크 정보

    각 작업 그룹(분석, 포함 등)은 위협을 해결하기 위한 일련의 질문과 기타 활동으로 안내합니다.
    그림 1. 플레이북
    플레이북 예시

    각 작업을 수행할 때 나중에 유사한 공격을 분석하는 데 도움이 되는 작업 메모를 입력합니다. 위협이 식별되면 Playbook의 정보를 사용하여 위협을 격리하고, 영향을 유사하게 받는 자산을 격리하고, 맬웨어를 제거할 수도 있습니다.

    각 작업에 포함된 지식 문서는 필요한 단계를 수행하는 데 도움이 되는 팁과 기타 정보를 제공합니다.
    그림 2. 지식 문서
    피싱 작업을 지원하는 지식 문서

    기본 시스템에는 각 플레이북 작업에 대한 지식 문서가 포함되어 있습니다. 그러나 자체 지식 문서를 작성 하여 플레이북 작업에 연결할 수 있습니다.

    주:
    플레이북을 사용하여 특정 위협을 분석하고 해결하는 방법의 예는 다음 문서를 플레이북으로 사용자가 보고한 피싱 공격 해결참조하십시오.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 인시던트(신규 UI).
      보안 인시던트 화면에는 할당된 보안 인시던트가 표시됩니다.
      보안 인시던트
    2. 나에게 할당됨 선택 목록을 클릭하여 모든 열린 인시던트 또는 모든 미할당 인시던트와 같은 다른 필터를 선택할 수 있습니다.
      또는 빠른 필터 중 하나를 클릭하여 중요 인시던트와 같은 특정 유형의 보안 인시던트를 볼 수 있습니다.
    3. 분석할 보안 인시던트를 클릭합니다.

      위험 점수가 높은 보안 인시던트의 우선순위를 정하는 것이 좋습니다.

    4. 화면 오른쪽 가장자리에 있는 플레이북 창이 닫히면 플레이북 아이콘(플레이 북)을 눌러 엽니다.
      보안 인시던트에 플레이북이 할당되지 않은 경우 아래와 같이 선택한 플레이북 선택 목록에서 플레이북을 선택할 수 있습니다.

      Playbook 선택
      보안 인시던트에 다른 플레이북을 할당할 수도 있습니다. 선택한 플레이북 선택 목록에 플레이북을 포함하거나 보안 인시던트에 대한 플레이북을 변경하려면 에서 분석가 선택을 위해 플레이북 사용 확인할 수 있습니다.

      보안 위협 유형에 맞는 플레이북이 열립니다. 이는 유사한 작업의 범주로 구분됩니다. 예를 들어 분석 그룹의 작업을 사용하여 위협의 유효성과 범위를 결정합니다. 포함 그룹에는 특정 사용자 또는 자산에 대한 위협을 격리하기 위한 작업이 포함됩니다. 근절 그룹의 작업은 맬웨어를 제거하거나 호스트를 이미지로 다시 설치하는 프로세스를 안내합니다.

    5. 첫 번째 그룹(분석)을 클릭한 다음 플레이북에서 첫 번째 작업을 클릭합니다.
    6. 작업의 프롬프트를 따릅니다.
      • 일부 작업은 "이메일이 캠페인의 일부입니까?"와 같은 질문을 합니다. 질문에 대답하는 데 필요한 분석을 수행하고 또는 아니요를 선택합니다.
      • 지식 문서를 정의하고 플레이북 작업과 연결한 경우 작업을 시작할 때 문서가 나타납니다.
      • 일부 작업은 과도기적입니다. 단순히 보안 인시던트에 옵저버블을 추가하는 등의 작업을 수행하도록 지시할 뿐입니다. 작업을 완료한 후 완료로 표시를 클릭합니다.
      작업을 완료하면 선택한 항목에 따라 후속 작업이 표시됩니다. 회색으로 표시된 그룹(예: 복구, 검토 등)은 선택에 따라 활성화될 수 있습니다.
    7. 위협을 해결하고 보안 인시던트를 종결하기 위한 모든 작업을 완료할 때까지 제시된 각 작업을 계속 수행합니다.

    플레이북으로 사용자가 보고한 피싱 공격 해결

    피싱 플레이북은 회사 직원 중 한 명이 보고한 피싱 공격을 분석하고 해결하는 데 필요한 작업을 안내합니다.

    사용자가 보고한 피싱 공격에서 보안 인시던트를 생성하는 방법

    보안 인시던트 응답을 설정하는 동안 시스템 관리자는 피싱 공격의 징후가 포함된 이메일을 식별할 수 있는 일련의 이메일 일치 규칙을 만듭니다. 직원이 피싱 공격의 일반적인 징후가 포함된 의심스러운 이메일을 수신하면(보안 정책에서 정의한대로) 해당 이메일을 . 조직에서 정의한 피싱 이메일 주소에 대한 EML 첨부 파일입니다.

    피싱 이메일 주소로 이메일이 수신되면 . EML 첨부 파일이 구문 분석되고 해당 정보가 이메일 일치 규칙과 비교됩니다. 일치하는 항목이 발견되면 다음 정보를 포함하는 보안 인시던트가 생성됩니다.
    • 짧은 설명에는 사용자가 보고한 피싱과 발신 이메일의 실제 제목이 포함됩니다.
    • 이 . EML 파일이 보안 인시던트에 첨부되어 있습니다.
    • 만약 . EML에는 모든 옵저버블이 포함되어 있으며 구문 분석되고 보강 및 위협 조회가 자동으로 수행됩니다.
    그림 3. 사용자가 보고한 피싱
    사용자가 보고한 피싱 보안 인시던트
    피싱 범주 보안 인시던트가 열리면 피싱 플레이북을 자동으로 사용할 수 있습니다. 플레이북 아이콘( Playbook)을 클릭하여 플레이북을 열기만 하면 됩니다.
    그림 4. 피싱 플레이북
    피싱 플레이북 창

    피싱 플레이북에는 피싱 위협을 분석, 억제 및 근절하는 데 도움이 되는 작업이 포함되어 있습니다. 작업은 상태(예: 분석, 포함 등)로 구성됩니다. 상태에 대한 모든 작업이 완료되면 플레이북이 다음 상태로 안내합니다.

    보안 인시던트 상세 정보 분석

    보안 인시던트가 분석 상태인 경우 다음을 포함하여 인시던트에 대한 기본 조사를 수행하는 작업이 제공됩니다.
    • 인시던트의 유효성을 확인하는 중입니다.
    • 잠재적 위협의 영향을 연구합니다.
    • 인시던트에 대한 효과적인 대응을 조정합니다.
    작업을 진행하면서 다음을 수행합니다.
    • 지식 문서를 숙지합니다.
    • 이메일 첨부 파일을 열고 일반적인 피싱 요소의 징후가 있는지 검사합니다.
    • 위협 조회 결과를 검토합니다.

    보안 인시던트 포함

    보안 인시던트가 포함 상태인 경우 이메일의 상세 정보를 검토하는 작업이 제공됩니다. 위협이 조직에 침투할 수 없도록 하려면 침입 방어 시스템(IDS) 및 침입 방지 시스템(IPS) 서명 및 규칙의 형태로 네트워크 방어를 업데이트합니다.

    작업을 진행하면서 다음을 수행합니다.
    • 영향을 받는 장치를 격리하는 등 위협 영향을 제한하기 위한 조치를 취합니다.
    • 이메일에 첨부된 옵저버블을 검토합니다.
    • 다음을 포함하여 알려진 위협과 이메일 컨텐츠가 연관되어 있는지 확인합니다.
      • URL
      • 이메일 발신자
      • 피싱 URL
      • 보낸 사람 SMTP 서버의 IP 주소

    맬웨어 근절

    업데이트된 서명 및 규칙을 바이러스 백신 솔루션에 배포한 후 Eradicate 상태의 작업을 사용하여 맬웨어가 있는지 확인하고 그에 따라 처리합니다.

    작업을 진행하면서 다음을 수행합니다.
    • 영향을 받는 장치의 엔드포인트에서 맬웨어가 있는지 검사합니다.
    • 발견된 맬웨어를 제거합니다.
    • 최후의 수단으로 호스트 장치를 지우고 이미지로 다시 설치합니다.

    보안 인시던트 검토

    분석 작업을 수행할 때 피싱 공격이 허위 경보인 것으로 확인되면 보안 인시던트가 검토 상태로 이동하므로 이메일 첨부 파일을 열어도 안전하다는 것을 사용자에게 알려야 합니다.

    보안 인시던트 종결

    Playbook의 모든 작업이 완료되면 보안 인시던트가 종결 상태로 전환됩니다. 인시던트를 종결하려면 종결 코멘트를 입력해야 합니다.

    보안 인시던트 취소

    보안 인시던트가 검토 상태이고 사용자에게 이메일이 위협이 아니라는 것을 성공적으로 알린 경우 취소 됨 상태가 활성화되고 보안 인시던트를 취소할 수 있습니다.

    주:
    복구 작업은 피싱 플레이북에서 사용되지 않습니다.

    지식 문서를 플레이북 작업과 연결

    플레이북을 보안 인시던트 응답 사용하여 보안 위협을 분석할 때 조직에서 정의한 각 작업에 대한 지식 문서를 볼 수 있습니다. 지식 문서가 없는 경우 문서를 생성하고 플레이북 작업에 연결할 수 있습니다.

    시작하기 전에

    보안 인시던트 응답플레이북을 사용할 때 각 작업과 연결된 텍스트를 기록해 둡니다. 예를 들어 피싱 범주의 첫 번째 작업은 Was Alert Employee-Submitted?(경보가 직원에 의해 제출되었습니까?)입니다. 이것은 작업에 대한 간단한 설명이며, 지식 문서를 작업과 연결하려면 이 텍스트(플레이북에 표시된 것과 일치)가 필요합니다.

    필요한 역할: sn_sir.knowledge_admin, sn_si.admin 또는 admin

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 카탈로그 및 지식베이스 > 지식.
    2. 특정 플레이북 작업에 대한 지식 문서를 생성하고 게시합니다.
    3. 다음으로 이동 보안 인시던트 > 수동 Runbook > 새 Runbook 생성.
    4. 다음 정보를 입력하여 Runbook을 생성합니다.
      필드 설명
      지식 문서 플레이북 작업과 연결할 게시된 지식 문서를 선택합니다.
      테이블 작업 [sn_si_task]을 선택합니다 보안 인시던트 응답 .
      조건 조건 작성기를 다음과 같이 설정합니다.
      • 선택:간단한 설명을 선택합니다.
      • 연산자:을(를) 선택합니다.
      • 입력 값: Playbook에 표시된 대로 작업에 대한 간단한 설명을 정확하게 입력합니다.
    5. 제출을 클릭합니다.
      다음에 플레이북을 실행하고 이 작업을 선택하면 연결된 지식 문서가 표시됩니다.

    플레이북에 사용자 지정 작업 추가

    기본 시스템에는 보안 분석가 작업 공간 각 위협 범주에 대한 일련의 작업이 포함되어 있습니다. 시스템 또는 고객의 고유한 요구를 충족하는 사용자 지정 작업을 생성할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.basic 또는 security_admin

    프로시저

    1. 플레이북이 열리면 작업 추가를 클릭합니다.
      작업 추가 버튼을 클릭합니다.
      사용자 지정 작업 추가 화면이 열립니다.
      사용자 지정 플레이북 작업 추가
    2. 필요에 따라, 필드를 채웁니다.
      필드 설명
      번호 [읽기 전용] 자동으로 생성된 보안 인시던트 작업 번호입니다.
      상위 관련 보안 인시던트의 수입니다.
      구성 항목 보안 문제의 영향을 받는 구성 항목입니다(있는 경우).
      영향을 받는 사용자 보안 문제의 영향을 받는 사용자입니다(있는 경우).
      우선순위 이 작업을 수행해야 하는 시기를 결정하는 데 사용되는 우선순위를 선택합니다.
      보안 인시던트 상태 보안 응답 작업의 현재 상태입니다. 필요한 경우 미래 상태를 선택할 수 있습니다.
      결과 유형 sn_si.basic 역할이 있는 경우 결과 유형으로 예/아니요 를 선택합니다.

      security_admin 역할이 있는 경우 여러 사용자 지정 출력 값을 사용하여 사용자 지정 결과 형식을 만들 수 있습니다. 예를 들어 위협 범주에 따라 종속 값으로 작업을 정의할 수 있습니다. 자세한 내용은 선택 목록을 참조하십시오.
      할당 그룹 할당된 작업자가 선택될 할당 그룹입니다.
      담당자 작업을 수행하도록 할당된 개인입니다.
      간단한 설명 보안 인시던트 플레이북 작업에 대한 설명입니다.
      설명 선택한 작업에 대한 설명을 입력합니다.
    3. 입력을 마쳤으면 작업 추가를 클릭합니다.
      작업은 현재 작업 다음에 플레이북에 삽입됩니다.