사용자 보고 피싱에 대한 최종 평가 결과 생성
이제 보안 인시던트 대응 팀은 예측 인텔리전스 및 위협 보강 통합의 결과를 기반으로 사용자가 보고한 피싱 기록에 대한 최종 판정을 내릴 수 있습니다.
이 최종 판정 생성은 결정 테이블 구성을 통해 활성화되고 플로우 내에서 활용됩니다.
필수 조건
나열된 필수 구성요소 및 플러그인 모든 플러그인이 설치되었는지 확인합니다.
다음으로 이동 .
결정 입력 탭에는 최종 판정에 도달하기 위해 평가된 다양한 조건이 표시됩니다.
기본 시스템에서 사용할 수 있는 조건은 다음과 같습니다.
- 의심스러운 것으로 예측: 예측 인텔리전스가 피싱 이메일을 의심스러운 것으로 분류한 경우.
- 하나 이상의 옵저버블은 악성입니다. 보안 인시던트에 관련된 옵저버블(예: URL, 도메인, IP, 해시)이 위협 인텔리전스 소스에 의해 악성 으로 분류된 경우입니다.
- 옵저버블 보강이 의심스럽다: 옵저버블에 대한 보강(예: 피싱 도메인 등록의 최신성, 피싱 도메인 등록의 국가)이 의심스러운 것으로 간주되는 경우.
- 발신자 도메인이 스푸핑된 경우: 피싱 클라이언트의 이메일 도메인이 신뢰할 수 있는 도메인을 스푸핑한 것으로 의심되는 경우.
- 보낸 사람 이름이 스푸핑됨: 피싱 사용자의 이메일 주소가 조직의 신뢰할 수 있는 직원을 스푸핑하는 것으로 의심되는 경우.
결정 탭에는 지정된 보안 인시던트에 대해 도달할 수 있는 최종 판정 옵션이 표시됩니다.
기본 시스템에서 다음 결정을 사용할 수 있습니다.
- 확인된 피싱: 조건으로 인해 확인된 피싱 이메일이라는 최종 평결이 나온 경우입니다.
- 피시 가능성: 조건으로 인해 잠재적인 피싱 시도로 최종 판정이 내려진 경우입니다.
- 양성 가능성: 조건이 양성 제출로 최종 평결로 이어졌을 때.
각 최종 판정 옵션에 대해 평가된 조건을 볼 수 있습니다. 조건을 보려면 레이블 링크를 클릭합니다.
기본 시스템과 함께 제공되는 결정 테이블을 사용자 지정하거나 고유한 결정 테이블을 생성할 수 있습니다. 이 결정 테이블은 보안 인시던트 응답 플레이북에서 활용할 수 있습니다. 피싱 보안 인시던트에 대한 최종 평가 결과 생성 하위 플로우는 기본 시스템에서 사용할 수 있습니다. 이 하위 플로우는 피싱 보안 인시던트에 대한 최종 평가 결과를 자동으로 생성하고 해당 결정에 따라 보안 태그를 적용합니다. 이 하위 플로우를 자동화된 피싱 플레이북의 일부로 포함할 수 있습니다.
이 하위 플로우에 대한 입력은 다음과 같습니다.
- incident_id: 피싱 보안 인시던트의 시스템 ID입니다.
- c_level_names: 피싱 공격에서 스푸핑되었을 가능성이 있는 쉼표로 구분된 이름 목록(예: 조직의 임원 이름)입니다.
- trusted_domains: 신뢰할 수 있는 전자 메일 도메인의 쉼표로 구분된 목록입니다.
- enrichment_keywords: 보강 결과에서 옵저버블의 악성도를 나타내는 쉼표로 구분된 키워드 목록입니다.
- sender_email(선택 사항): 피싱 이메일 발신자의 이메일 주소입니다.
이 플로우의 출력은 피싱으로 확인됨, 피싱일 가능성이 높음 또는 양성일 가능성이 있음일 수 있습니다.