이메일 도메인 스푸핑 탐지 플레이북 사용

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 다음 단계에서는 이메일 도메인 스푸핑 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(Security Operations Spoke)를 설치했는지 확인합니다.

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 1단계에서 Playbook이 피싱 이메일에서 이메일 도메인을 추출합니다.
    2. 2단계에서 Playbook은 보안 태그 '도메인 스푸핑 후보'로 태그가 지정된 모든 도메인/이메일 주소 유형 옵저버블을 검색합니다.
    3. 3단계에서 Playbook은 Levenshtein 알고리즘을 사용하여 태그 지정 도메인과 이메일 도메인 간의 유사성을 계산합니다.
      그림 1. 이메일 도메인 스푸핑 탐지 Playbook
      Levenshtein 알고리즘을 사용하여 두 도메인 간의 유사성을 계산합니다
    4. 4단계에서 Playbook은 다음 조건에 따라 시스템 속성 기록을 조회합니다.
      • 이름은 sn_sec_spoke.domain_spoof_threshold, (OR)입니다.
      • 이름은 a에서 z까지이며, 여러 레코드가 발견되면 첫 번째 레코드만 반환합니다.
    5. 5단계에서는 지금까지 수행된 조사에 따라 두 도메인의 유사성이 임계치를 초과하는지 여부를 확인합니다.
      두 도메인의 유사성이 임계치를 초과하지 않으면 5단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다. 두 도메인의 유사성이 임계값을 초과하면 6단계와 7단계가 실행됩니다.
      그림 2. 유사성이 임계치를 초과함
      두 도메인의 유사성이 임계치를 초과하는지 확인하기 위한 응답 작업입니다.
    6. 6단계에서 Playbook은 보안 인시던트에 이메일 도메인 스푸핑 보안 태그를 추가합니다.
    7. 7단계에서 Playbook은 스크립트 옵션을 사용하여 컨텍스트에 작업 메모 링크를 추가합니다.
    8. 8단계에서는 플로우가 종료됩니다.