이메일 도메인 스푸핑 탐지 플레이북 사용

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • 이 플레이북을 사용하여 신뢰할 수 있는 도메인 이름을 가진 피셔의 보낸 사람 이메일 도메인이 옵저버블 리포지토리에 있는 유사성 일치를 찾습니다. 다음 단계에서는 이메일 도메인 스푸핑 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    Security Operations 스포크(sn_sec_spoke)를 설치했는지 확인하십시오.

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 플레이북이 피싱 이메일에서 이메일 도메인을 추출합니다.
    2. 작업 2에서 Playbook은 보안 태그 "도메인 스푸핑 후보"로 태그가 지정된 모든 도메인/이메일 주소 유형 옵저버블을 검색합니다.
    3. 작업 3에서 플레이북은 Levenshtein 알고리즘을 사용하여 Get Tagged 도메인과 이메일 도메인 간의 유사성을 계산합니다.
      그림 1. 이메일 도메인 스푸핑 탐지 Playbook
      Levenshtein 알고리즘을 사용하여 두 도메인 간의 유사성을 계산합니다.
    4. 작업 4에서 플레이북은 다음 조건에 따라 시스템 속성 기록을 찾습니다.
      • 이름은 sn_sec_spoke.domain_spoof_threshold,(또는)
      • 이름은 a부터 z까지이며, 기록이 여러 개 발견되면 첫 번째 기록만 반환합니다.
    5. 작업 5에서는 지금까지 수행된 조사를 기반으로 플레이북이 두 도메인의 유사성이 임계치를 초과하는지 여부를 확인합니다.
      두 도메인의 유사성이 임계치를 초과하지 않으면 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다. 두 도메인의 유사성이 임계치를 초과하면 작업 6과 7이 실행됩니다.
      그림 2. 유사성이 임계치를 초과함
      두 도메인의 유사성이 임계치를 초과하는지 확인하기 위한 대응 작업입니다.
    6. 작업 6에서 플레이북은 보안 인시던트에 이메일 도메인 스푸핑 보안 태그를 추가합니다.
    7. 작업 7에서 플레이북은 스크립트 옵션을 사용하여 컨텍스트에 작업 메모 링크를 추가합니다.
    8. 작업 8에서 플로우가 종료됩니다.