이 플레이북을 사용하여 Office 365에서 검색된 악성 파일을 조사합니다. 다음 단계에서는 Office 365 악성 파일 검색 플레이북에서 사용할 수 있는 작업, 작업 및 하위 흐름에 대한 연습을 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
프로시저
-
플레이북이 트리거되고 실행이 시작되면 작업 1에서 Office 365 콘솔에서 악성 파일을 추출해야 합니다.
-
작업 2에서는 파일 또는 해시가 위협 인텔리전스 플랫폼에서 옵저버블로 추가되었는지 여부를 분석해야 합니다.
-
작업 3에서는 파일 이름과 경로를 조사하여 알려진 파일/애플리케이션인지 또는 악성이 아닌지 확인해야 합니다.
그림 1. Office 365 악성 파일 탐지 플레이북
-
작업 4에서는 결과 분석을 위해 파일을 Sandbox에 제출해야 합니다.
-
Action 5에서는 지금까지 수행된 조사를 기반으로 파일 또는 해시가 악성인지 여부를 확인해야 합니다.
파일 또는 해시가 악성이 아닌 경우 작업 5에서 수동 응답 작업이 생성되고 흐름이 종료됩니다.
-
작업 6에서 파일 또는 해시가 악성인 경우 작업 7과 8이 실행됩니다.
-
작업 7에서는 최종 사용자에게 연락하여 디바이스에 악성 파일이 있는 이유에 대한 유효한 비즈니스 정당성을 확인해야 합니다.
파일 또는 해시가 악의적인 경우 Playbook의 기존 이메일 템플릿을 사용하여 최종 사용자에게 이메일을 보내 설명을 요청할 수 있습니다.
-
작업 8에서는 최종 사용자가 유효한 비즈니스 정당성을 제공했는지 여부를 확인해야 합니다.
최종 사용자가 유효한 비즈니스 정당성을 제공한 경우 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
-
작업 9에서 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 작업 10, 11 및 12가 실행됩니다.
그림 2. 악성 파일에 대한 비즈니스 정당성
-
Action 10에서는 유효한 비즈니스 정당성이 없었으므로 악성 파일 또는 해시를 위협 인텔리전스 팀에 전달하여 검토할 수 있습니다.
-
작업 11에서는 Malware bytes 스캐너 스크립트를 실행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
Action 12에서는 포렌식 분석을 수행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
작업 13에서는 사용자가 작업을 닫기 전에 사후 인시던트 검토를 완료할 수 있도록 응답 작업이 생성됩니다.