다음 단계에서는 Office 365 악성 파일 검색 플레이북에서 사용할 수 있는 작업, 작업 및 하위 흐름에 대한 연습을 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
sn_sec_spoke(Security Operations Spoke)를 설치했는지 확인합니다.
프로시저
-
플레이북이 트리거되고 실행이 시작되면 1단계에서 Office 365 콘솔에서 악성 파일을 추출해야 합니다.
-
2단계에서는 파일 또는 해시가 Threat Intel Platform에서 옵저버블로 추가되었는지 여부를 분석해야 합니다.
-
3단계에서는 파일 이름과 경로를 조사하여 알려진 파일/애플리케이션인지 또는 악의적이지 않은 파일/애플리케이션인지 확인해야 합니다.
그림 1. Office 365 악성 파일 탐지 Playbook
-
4단계에서는 결과를 분석하기 위해 파일을 Sandbox에 제출해야 합니다.
-
5단계에서는 지금까지 수행한 조사를 기반으로 파일 또는 해시가 악성인지 여부를 확인해야 합니다.
파일 또는 해시가 악성이 아닌 경우 5단계에서 수동 응답 작업이 만들어지고 흐름이 종료됩니다.
-
6단계에서 파일 또는 해시가 악성인 경우 7단계와 8단계가 실행됩니다.
-
7단계에서는 디바이스에 악성 파일이 있는 이유에 대한 유효한 비즈니스 정당성을 위해 최종 사용자에게 연락해야 합니다.
파일 또는 해시가 악성인 경우 Playbook의 기존 이메일 템플릿을 사용하여 최종 사용자에게 설명을 요청하는 이메일을 보낼 수 있습니다.
-
8단계에서는 최종 사용자가 유효한 비즈니스 정당성을 제공했는지 여부를 확인해야 합니다.
최종 사용자가 유효한 비즈니스 근거를 제공하면 5단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
-
9단계에서 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 10, 11, 12단계가 실행됩니다.
그림 2. 악성 파일에 대한 비즈니스 정당성
-
10단계에서는 유효한 비즈니스 근거가 없었으므로 검토를 위해 악성 파일 또는 해시를 위협 인텔리전스 팀에 전달할 수 있습니다.
-
11단계에서 Malware bytes scanner 스크립트를 실행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
12단계에서는 포렌식 분석을 수행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
13단계에서는 사용자가 작업을 종결하기 전에 사후 인시던트 검토를 완료하기 위한 응답 작업이 생성됩니다.