보안 인시던트 응답 Playbook 작업

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 이 섹션에서는 Flow Designer 작업 라이브러리에서 제공하는 작업에 대해 설명합니다.

    작업 이름 설명 예시 시나리오
    보안 인시던트에 보안 태그 추가 이 작업을 사용하면 Flow Designer 논리를 사용하여 보안 태그를 자동으로 추가할 수 있습니다. 플로우가 IOC를 탐지하면 이 작업을 사용하여 IOC 탐지됨 태그를 자동으로 추가할 수 있습니다.

    흐름:
    • 입력: 보안 인시던트, 보안 태그
    • 출력: 해당 없음
    보안 인시던트에 옵저버블 추가 이 작업을 사용하여 선택한 보안 인시던트에 옵저버블을 추가합니다.
    • 기본적으로 옵저버블 목록은 쉼표(,) 구분 기호로 구분되지만 수정할 수 있습니다. 다른 단일 특수 문자를 구분 기호로 지정할 수 있습니다. 옵저버블을 추가하는 동안 유형(URL, IP 주소, 해시)이 자동으로 설정됩니다.
    • 옵저버블이 보안 인시던트에 추가되면 유형(URL, IP 주소, 해시)이 자동으로 설정됩니다.
    • 옵저버블이 추가될 때 옵저버블 허용 목록 옵저버블 필터링 옵션은 허용 목록 옵저버블을 식별하고 보안 인시던트의 옵저버블 관련 목록에 추가하지 않습니다. 이러한 옵저버블이 제거되었음을 나타내기 위해 자동화된 시스템 활동(응답)이 추가됩니다.
    • 입력:
      • 보안 인시던트
      • 옵저버블
      • 구분 기호
      • 허용 목록 옵저버블 및 사후 활동 메모 필터링
    • 출력: 해당 없음
    여러 보안 인시던트 V1에서 영향을 받는 사용자(관련 목록) 가져오기 지정된 보안 인시던트의 영향을 받는 사용자 관련 목록에 나열된 영향을 받는 모든 사용자를 검색합니다. 여러 하위 보안 인시던트가 있는 상위 보안 인시던트가 있을 수 있습니다. 이 작업을 사용하여 영향을 받는 사용자를 모든 하위 보안 인시던트에서 해당하는 상위 보안 인시던트로 롤업합니다. 영향을 받는 고유 사용자만 롤업되고 모든 중복 항목이 제거됩니다.
    • 입력: 보안 인시던트
    • 출력:
      • 영향을 받는 사용자
      • 개수
    여러 보안 인시던트에서 영향을 받는 사용자 가져오기 지정된 보안 인시던트에 대해 영향을 받는 기본 사용자를 검색합니다. 영향을 받는 사용자 관련 목록에서 영향을 받는 사용자는 포함되지 않습니다.
    • 피싱 보안 인시던트를 조사하는 동안 피싱 인시던트를 보고한 기본 영향 사용자에게 이메일을 보내 피싱 이메일의 악성 링크를 클릭한 사용자가 있는지 확인합니다.
    • 기본 영향을 받는 사용자 수를 기준으로 상위 보안 인시던트 심각도 또는 위험 점수를 업데이트합니다.
    • 입력: 보안 인시던트
    • 출력:
      • 영향을 받는 사용자
      • 개수
    보안 인시던트에서 영향을 받는 사용자(관련 목록) 가져오기 지정된 보안 인시던트의 영향받는 사용자 관련 목록에 나열된 영향받는 사용자를 모두 검색합니다.
    • 입력: 보안 인시던트
    • 출력:
      • 영향을 받는 사용자
      • 개수
    영향을 받는 사용자를 보안 인시던트에 추가 영향을 받는 모든 사용자를 보안 인시던트에 추가합니다. 하위 보안 인시던트가 여러 개 있는 상위 보안 인시던트가 있다고 가정해 보겠습니다. 이 작업을 사용하여 영향을 받는 사용자를 모든 하위 보안 인시던트에서 해당하는 상위 보안 인시던트로 롤업할 수 있습니다. 영향을 받는 고유 사용자만 롤업되고 모든 중복 항목이 제거됩니다.
    • 입력:
      • 보안 인시던트
      • 사용자
    • 출력: 해당 없음
    영향을 받는 사용자의 구성 항목 가져오기 영향을 받는 모든 사용자의 구성 항목(CI)을 조회합니다. 피싱 또는 맬웨어 시나리오에서 이 작업을 사용하여 영향을 받는 CI(구성 항목) 관련 목록을 업데이트하고 CI를 조사할 수 있습니다. 그런 다음 식별된 CI 수에 따라 보안 인시던트의 심각도 또는 위험 점수를 업데이트할 수 있습니다.
    • 입력: 사용자
    • 출력:
      • 구성 항목
      • 개수
    보안 인시던트에 대한 모든 하위 보안 인시던트 가져오기 특정 상위 보안 인시던트와 관련된 모든 하위 보안 인시던트를 검색합니다. 예제 시나리오: 이 작업을 사용하여 다음을 수행합니다.
    • 해당하는 상위 보안 인시던트 상태가 업데이트되면 하위 보안 인시던트의 상태를 업데이트합니다.
    • 하위 보안 인시던트 수에 따라 보안 인시던트의 심각도 또는 위험 점수를 자동으로 업데이트합니다.
    • 입력:
      • 보안 인시던트
      • 인시던트 상태
    • 출력:
      • 하위 보안 인시던트
      • 개수
    옵저버블에 대한 구성 항목 가져오기(IP 주소 유형) IP 주소 유형의 옵저버블에 대한 모든 CI(구성 항목)를 검색합니다. IP 주소 옵저버블을 구성 항목과 연결할 수 있습니다. 예를 들면 서버의 IP 주소입니다. 이 작업을 사용하면 서버에 대한 정보를 검색할 수 있습니다.
    • 입력: 옵저버블 IP 주소
    • 출력:
      • 구성 항목
      • 개수
    옵저버블 악성인지 여부 옵저버블 세트에 하나 이상의 악의적인 옵저버블이 있는지 확인합니다. 위협 조회가 완료되고 악의적인 옵저버블의 존재를 확인한 후에는 보안 인시던트의 심각도 또는 위험 점수를 높일 수 있습니다.
    • 입력: 보안 인시던트
    • 출력: 악성(true/false)
    사용자 상호 작용을 확인하기 위해 이메일 보내기 사용자 응답에 대한 응답으로 이메일을 보냅니다. 사용자가 애플리케이션에 여러 번 로그인을 시도했지만 실패하면 로그인 실패 시나리오가 발생합니다. 이 경우 사용자가 로그인을 시도했는지 여부를 확인하기 위해 사용자에게 이메일이 전송됩니다. 사용자 응답(예 또는 아니요)에 따라 다른 작업을 수행할 수 있습니다.

    플로우: 실패한 로그인 수동 Playbook
    허용 목록 옵저버블 필터링 이 작업을 사용하여 지정된 옵저버블 세트에서 옵저버블 목록을 허용합니다. 옵저버블 세트에서 무시할 수 있는 특정 옵저버블을 식별할 수 있습니다. 이러한 옵저버블은 보안 인시던트를 해결하는 동안 고려되지 않습니다.
    • 입력: 보안 인시던트
    • 출력:
      • 허용 목록 옵저버블
      • 개수
    영향을 받는 사용자의 암호 재설정 이 작업을 사용하여 영향을 받는 사용자의 암호를 재설정합니다. 사용자 계정이 해킹되었거나 사용자가 암호 재설정을 요청하는 경우 암호 재설정을 위해 사용자에게 이메일이 전송됩니다.

    플로우: 실패한 로그인 수동 Playbook.
    영향을 받는 사용자에 대한 사용자 그룹 가져오기 영향받은 사용자의 사용자 그룹 상세 정보를 조회합니다. 조직에서 두 명 이상의 사용자가 피싱 이메일을 보고하는 경우 해당 사용자가 속한 그룹을 확인하고 영향을 받은 사용자가 더 있는지 확인할 수 있습니다
    • 입력: user
    • 출력:
      • 사용자 그룹
      • 개수