스푸핑된 이메일(동일한 표시 이름 사용) Playbook 사용

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 다음 단계에서는 스푸핑된 이메일(동일한 표시 이름 사용) Playbook에서 사용할 수 있는 작업, 작업, 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(Security Operations Spoke)를 설치했는지 확인합니다.

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 1단계에서 Proofpoint에 지속적인 스푸핑 이메일이 있는지 확인해야 합니다.
    2. 2단계에서 Proofpoint에 지속적인 이메일이 있는 경우 내부 스푸핑 이메일인지 확인합니다.
    3. 3단계에서 내부 스푸핑된 이메일인 경우 다음 단계를 수행합니다.
      1. 5단계에서는 Virus Total, Anomali Threat stream Sandbox, urlquery.net, PhishTank(예: PhiskTank 및 Anomali 확인)와 같은 소스를 사용하여 URL 분석을 수행해야 합니다.
      2. 6단계에서는 Linux VM(예: Ubuntu)의 URL을 조사해야 합니다.
        그림 1. 스푸핑된 이메일(동일한 표시 이름 사용) Playbook
        Linux VM에서 URL을 조사하는 응답 작업입니다.
      3. 7단계에서는 WHOIS에서 도메인이 생성된 시기를 조회해야 합니다.
        의심스럽고 피싱 공격 가능성이 높은 최근에 등록된 도메인(지난 주 이내)을 찾습니다.
      4. 8단계에서는 지금까지 수행된 조사를 기반으로 이 이메일에 악성 첨부 파일이나 링크가 포함되어 있는지 확인해야 합니다.
        이 이메일에 악의적인 첨부 파일이나 링크가 포함되어 있지 않으면 흐름이 종료됩니다.
        그림 2. 스푸핑된 이메일에 악성 첨부 파일 또는 링크가 포함되어 있습니다.
        스푸핑된 이메일에 악의적인 첨부 파일 또는 링크가 포함되어 있는지 확인하기 위한 응답 작업입니다.
      5. 9단계에서 이메일에 악성 첨부 파일 또는 링크가 포함된 경우 다음 단계를 수행합니다.
        1. 10단계에서는 영향을 받는 사용자에게 연락하여 자격 증명이 손상되었는지 확인해야 합니다. 제공된 이메일 템플릿을 사용하여 영향을 받은 사용자에게 연락할 수 있습니다.
        2. 11단계에서는 이메일 응답에 따라 자격 증명이 손상되었는지 확인해야 합니다. 자격 증명이 손상되지 않은 경우 흐름이 종료됩니다.
          1. 12단계에서 자격 증명이 손상된 경우 13단계에서 추가 사용자가 영향을 받는지 확인해야 합니다. 영향을 받는 추가 사용자가 없으면 플로우가 종료됩니다.
          2. 14단계에서 추가 사용자가 영향을 받는 경우 다음 단계를 수행합니다.
            1. 15단계에서는 Microsoft Exchange Online을 사용하여 이메일을 검색하고 삭제해야 합니다.
            2. 16 단계에서는 Office 365 및 Proofpoint에서 보낸 사람과 악성 파일 또는 첨부 파일을 차단해야합니다.
    4. 17단계에서 내부 스푸핑 이메일이 아닌 경우 영향을 받는 사용자의 시스템이 영향을 받는지 확인해야 합니다.
    5. 18단계에서 사용자의 시스템이 영향을 받는 경우 19단계에서 IT 티켓을 제기하여 영향을 받는 시스템을 이미지로 다시 설치합니다.
      그림 3. 영향을 받는 사용자의 시스템이 영향을 받는지 확인
      영향을 받는 사용자의 시스템이 영향을 받는지 확인하기 위한 응답 작업입니다.
    6. 20단계에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료하기 위한 응답 작업이 생성됩니다.