사용자가 보고한 피싱 이메일에서 보안 인시던트 생성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기20분

    • 이 기능을 사용하여 사용자가 보고한 피싱 이메일에서 보안 인시던트를 생성합니다.

    향상된 사용자 보고 피싱 기능에는 집계 기능, 이메일 헤더 추출 및 구성이 포함됩니다.

    • 사용자는 다음과 같은 여러 가지 방법으로 피싱 이메일을 신고할 수 있습니다.
      • 이메일을 첨부 파일로 전달할 수 있습니다.
      • Wombat 플러그인이 Microsoft Outlook 클라이언트로 구성된 경우 사용자는 다음을 수행할 수 있습니다.
        • 피싱 신고 단추를 클릭합니다.
        • 피싱 보고 옵션을 사용하여 모바일 장치에서 피싱 이메일을 전달합니다.

        피싱 이메일 신고
      • 사용자는 피싱 이메일(.eml 형식)을 업로드할 수 있습니다.
        피싱 이메일을 첨부 파일로 보고
    • 사용자가 보고한 피싱에는 조직의 사용자가 보고한 중복 피싱 이메일을 식별하는 집계 비즈니스 논리 가 포함됩니다. 사용자는 이 기능을 사용하여 다음을 수행할 수 있습니다.
      • 중복 또는 유사한 사용자가 보고한 피싱 인시던트(회사에서 시작한 피싱 캠페인)를 집계합니다.
      • 중복 사용자가 보고한 피싱 인시던트를 분류하지 않고 인시던트 통합에 수반되는 수동 노력을 줄입니다.
      • 보안 분석가가 단일 사용자가 보고한 피싱 인시던트에 대해 작업할 수 있도록 합니다.
    • 사용자가 보고한 피싱 인시던트 내에 피싱 이메일 헤더를 제공합니다.
      • 보안 분석가는 인시던트 내에서 주요 이메일 헤더 정보를 검사할 수 있습니다.
      • 다른 소스에서 헤더 정보를 수집하는 수동 작업이 더 이상 필요하지 않습니다.
    • 제출된 원본 피싱 이메일은 새 테이블에 피싱 이메일 기록 으로 저장됩니다.
    • 보안 분석가는 피싱 이메일 콘텐츠, 헤더, 출처와 같은 원본 피싱 이메일의 세부 정보를 볼 수 있습니다.
    • 보안 관리자는 다음과 같은 특정 개선 사항을 구성하고 적용할 수 있습니다.
      • 이메일 본문에서 이메일 헤더를 추출하는 구성입니다(피싱 제출 보고 ).
      • 선택한 헤더를 캡처하는 필터입니다.
      • 중복 피싱 이메일 기록이 식별될 때 상위-하위 인시던트 연결을 처리하는 구성입니다.
      • Flow Designer 구성을 통해 요구사항에 따라 집계 비즈니스 논리를 수정합니다.

    사용자가 보고한 피싱에 대한 수집 규칙 설정

    sn_si.admin 역할을 가진 사용자는 이메일 일치 규칙을 정의하여 특정 기준에 따라 사용자가 보고한 피싱 이메일을 필터링할 수 있습니다. 예를 들어 직접 또는 피싱 보고 단추를 통해 security@acme.com 보낸 모든 전자 메일이 사용자가 보고한 피싱 전자 메일로 분류되는 규칙을 정의할 수 있습니다. 자세한 내용은 사용자가 보고한 피싱에 대한 수집 규칙 설정 문서를 참조하십시오.

    사용자가 보고한 피싱 속성 정의

    사용자가 보고한 피싱 이메일에서 캡처해야 하는 헤더 정보를 정의합니다. 자세한 내용은 사용자 보고 피싱 속성 정의 문서를 참조하십시오.

    사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록

    사용자가 보고한 피싱 이메일은 정의된 이메일 일치 규칙에 따라 보안 인시던트로 변환됩니다. 자세한 내용은 사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록 문서를 참조하십시오.

    피싱 이메일을 보안 인시던트로 변환

    피싱 이메일을 보안 인시던트로 변환 플로우는 피싱 이메일 기록을 보안 인시던트로 변환합니다. 자세한 내용은 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 문서를 참조하십시오.

    피싱 이메일 기록에서 생성된 보안 인시던트 기록

    관련 목록, 작업 메모 및 기타 중요 정보를 포함한 보안 인시던트 레코드 상세 정보를 봅니다. 자세한 내용은 피싱 이메일 기록에서 생성된 보안 인시던트 기록 문서를 참조하십시오.

    필수 구성요소 및 플러그인

    이 릴리스에서 사용할 수 있는 사용자가 보고한 피싱 기능은 London 릴리스에서 사용할 수 있는 기존 사용자가 보고한 피싱 기능의 향상된 버전입니다. 자세한 내용은 런던 설명서에서 사용자가 보고한 피싱 공격의 유효성을 검사하는 규칙 만들기 항목을 참조하십시오.

    중요한 설치 지침

    이 개선 사항은 기존 사용자가 보고한 피싱 디자인을 대체합니다. 새 디자인에는 다음과 같은 업데이트가 포함되어 있습니다.
    • 기존 사용자가 보고한 피싱 이메일 인바운드 동작(유형 = 전달 및 유형 = 신규)이 비활성화되었습니다.
    • 이제 새로운 피싱 이메일 인바운드 생성 작업을 사용할 수 있습니다.
    • 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 새 설계에 대한 보안 인시던트 생성 및 집계 비즈니스 논리를 포함하는 새 플로우입니다. 새 설계를 적용하려면 이 플로우를 활성화해야 합니다.
    • 기존 사용자가 보고한 피싱 규칙은 업그레이드 중에 유지되었습니다.
    주:
    사용자가 보고한 피싱 제출에 사용자 지정 이메일 인바운드 작업 및 사용자 지정 워크플로를 사용하는 경우 기능이 충돌하거나 겹치는지 이전 디자인과 새 디자인을 모두 검토해야 합니다.
    사용자가 보고한 피싱 개선 상세 정보: 다음은 개선 사항에 대한 상세 정보입니다.
    주:
    • 보안 인시던트 응답 9.0 릴리스 이전에 사용할 수 있었던 사용자가 보고한 피싱 인바운드 동작이 이제 비활성화되었습니다. 보안 인시던트는 비활성화된 인바운드 동작을 통해 더 이상 생성되지 않습니다.
    • 새 설계를 적용하려면 Security Operations 스포크 애플리케이션을 설치해야 합니다. 여기에는 기본적으로 비활성 상태로 사용할 수 있는 플로우가 포함됩니다 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 . 이 플로우를 활성화하여 피싱 이메일 기록에서 보안 인시던트를 생성합니다.
    다음 이미지는 이전 디자인과 새 디자인 간의 차이점을 보여 줍니다.
    사용자가 보고한 피싱: 차이점
    향상된 사용자가 보고한 피싱 기능을 사용하려면 다음 플러그인과 구성요소가 필요합니다.
    • sn_sec_cmn(보안 지원 공통): 포함 사항:
      • 인바운드 작업
      • 새 EmailUserReportedPhishing 스크립트
      • 수집 규칙 테이블
    • 보안 인시던트 대응(sn_si): 포함 사항:
      • 보안 인시던트 테이블(sn_si_incident)
      • 보안 피싱 이메일 테이블(sn_si_phishing_email)
      • 보안 피싱 이메일 헤더 테이블(sn_si_phishing_email_header)
      • EML 업로드 기록 생성자
    • Security Operations 스포크

      이메일을 집계하고 피싱 이메일을 보안 인시던트로 변환하는 플로우 및 하위 플로우입니다.

    다음 그림에서는 일치하는 URP 규칙 및 대상 보안 인시던트 기록(sn_si_incident)에 대한 참조가 있는 새로운 피싱 이메일 테이블을 보여줍니다.


    URP 데이터 모델

    사용자가 보고한 피싱에 대한 수집 규칙 설정

    sn_si.admin 역할을 가진 사용자는 이메일 일치 규칙을 정의하여 특정 기준에 따라 사용자가 보고한 피싱 이메일을 필터링할 수 있습니다. 예를 들어 직접 또는 피싱 보고 단추를 통해 security@acme.com 보낸 모든 전자 메일이 사용자가 보고한 피싱 전자 메일로 분류되는 규칙을 정의할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 다음으로 이동 모두 > Security Operations > 이메일 처리 > 사용자가 보고한 피싱 속성레이블이 표시됩니다.
    2. 새로 만들기를 클릭하여 새 이메일 일치 규칙을 만듭니다.
    3. 이름을 입력하고 규칙에 대해 하나 이상의 조건을 정의합니다.
    4. Submit(제출)을 클릭하여 규칙을 저장합니다.
      다음은 몇 가지 샘플 규칙입니다.
      • ToRule: 이메일 ID로 직접 전송되거나 전달된 이메일을 필터링 security@example.com . ToRule 정의
      • 사용자 ID 규칙: 특정 이메일 ID에서 보낸 이메일을 필터링합니다. 사용자 ID 규칙 정의

    사용자 보고 피싱 속성 정의

    사용자가 보고한 피싱 이메일에서 캡처해야 하는 헤더 정보를 정의합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    이러한 옵션을 사용하여 다음과 같은 사용자가 보고한 피싱 설정을 구성할 수 있습니다.
    • 이메일 본문에서 이메일 헤더를 추출하는 구성입니다. (피싱 제출을 보고합니다.)
    • 헤더를 선택하도록 필터링합니다.
    • 상위-하위 연결을 활성화하거나 비활성화합니다.

    프로시저

    1. 다음으로 이동 모두 > Security Operations > 이메일 처리 > 사용자가 보고한 피싱 속성레이블이 표시됩니다.
      사용자가 보고한 피싱 속성
    2. 이메일 본문에서 이메일 헤더를 추출하기 위한 구성을 지정합니다.
      • 이메일 헤더의 시작을 식별하는 문자열을 입력합니다.
      • 이메일 헤더의 끝을 식별하는 문자열을 입력합니다.
        주:
        이러한 설정은 피싱 이메일의 이메일 본문의 일부로 캡처된 헤더에만 적용하십시오. 예를 들어 Wombat 플러그인이 Microsoft Outlook 클라이언트로 구성된 경우 사용자가 피싱 보고 버튼을 클릭하면 여기에 정의된 구성에 따라 이메일 헤더가 캡처됩니다. 피싱 이메일이 첨부 파일로 전달되면 헤더 정보가 캡처되지 않습니다.
    3. 보안 인시던트를 조사하는 데 필요 없는 헤더를 제거하는 필터를 지정합니다.

      사용자가 보고한 피싱 이메일에서 캡처해야 하는 이메일 헤더의 목록을 쉼표로 구분하여 입력합니다. 여기에 값을 지정하지 않으면 모든 헤더 정보가 캡처됩니다.

    4. 상위-하위 연결을 활성화하거나 비활성화합니다.
      기본적으로 옵션은 사용하도록 설정되어 있습니다. 사용자가 보고한 피싱 이메일이 집계될 때 하위 보안 인시던트를 생성해야 함을 나타내려면 예를 선택합니다. 아니요를 선택하면 하위 보안 인시던트가 만들어지지 않지만 사용자가 보고한 피싱 이메일이 보안 인시던트와 연결되고 보안 인시던트 레코드가 업데이트됩니다. 하위 보안 인시던트가 생성되는 방법에 대한 자세한 내용은 을 참조하십시오 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 .
    5. 피싱 이메일 컨텐츠를 HTML 형식으로 표시하는 옵션을 활성화하거나 비활성화합니다.
      기본적으로 옵션은 사용하도록 설정되어 있습니다. 예를 선택하여 피싱 이메일 컨텐츠를 HTML 형식으로 표시합니다. 아니요를 선택하면 HTML 형식의 이메일 콘텐츠가 피싱 기록 내에 표시되지 않습니다.

    사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록

    사용자가 보고한 피싱 이메일은 정의된 이메일 일치 규칙에 따라 보안 인시던트로 변환됩니다.

    새 피싱 이메일이 보고되면 다음 작업이 수행됩니다.

    이메일 세부 정보를 보려면 다음으로 이동합니다. 보안 인시던트 > 모든 피싱 이메일 표시레이블이 표시됩니다. 피싱 이메일 기록 목록이 표시됩니다. 생성됨 열에서 날짜 링크를 클릭하여 이메일 기록을 봅니다.


    ToRule을 사용하는 피싱 이메일
    표 1. 보안 인시던트 피싱 이메일 상세 정보
    필드 이름 설명
    번호 사용자가 보고한 피싱 이메일에 할당된 번호입니다.
    제목 이메일의 제목입니다. 제목 규칙은 시뮬레이션된 피싱 캠페인 또는 테스트에 유용합니다. 이 경우 조직은 피싱 및 유사한 이메일 공격에 대한 대응을 테스트하기 위해 직원에게 사기성 이메일을 보냅니다.

    시뮬레이션된 피싱 이메일 테스트에서 Wombat 플러그인이 있는 Microsoft Outlook 이메일 클라이언트를 사용하는 경우 사용자는 피싱 보고 단추를 클릭하여 피싱 이메일을 보고할 수 있습니다. 이메일 제목에 모의 피싱 이 추가된 이메일이 보안 운영 팀에 전송됩니다. 이는 이메일을 시뮬레이션된 피싱 이메일로 식별하는 데 사용됩니다.
    보낸 사람 이 피싱 이메일의 발신 이메일 주소입니다. 이 정보는 피싱 이메일이 로 전달되는 경우에 사용할 수 있습니다. EML 파일 첨부 또는 원본 헤더가 이메일에 포함된 경우.

    사용자가 피싱 이메일을 직접 전달한 경우 보낸 사람 주소를 사용하지 못할 수 있습니다.
    보고자 이 피싱 이메일을 보고한 사용자의 이메일 ID입니다. 정보 아이콘을 클릭하여 추가 상세 정보를 봅니다.
    메시지 ID 메시지에 할당된 ID입니다.
    일치하는 URP 규칙 이 이메일에 적용될 사용자가 보고한 피싱 규칙입니다. 정보 아이콘을 클릭하여 추가 상세 정보를 봅니다.
    URP 수집 규칙

    보시다시피 이 예에서 조건 필드는 ToRule이 이 전자 메일에 적용되고 보안 인시던트가 생성되었음을 보여 줍니다. 이메일 일치 규칙 정의에 대한 자세한 내용은 을 참조하십시오 사용자가 보고한 피싱에 대한 수집 규칙 설정 .
    상태 sn_si_phishing_email 테이블에 새 피싱 이메일 기록이 생성되면 상태 필드가 신규로 설정됩니다. 이 이메일 기록이 보안 인시던트로 변환되면( 참조 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환) 상태 필드가 처리됨으로 업데이트됩니다.
    헤더 원본 이 필드는 이메일 헤더가 시작된 방법 또는 사용자가 피싱 이메일을 보고한 방법을 나타냅니다.
    • 이메일 헤더: 사용자가 피싱 이메일을 보안 운영 팀에 전달했습니다.
    • 이메일 텍스트 본문:
      • 사용자가 피싱 보고 옵션을 클릭했습니다(Wombat 플러그인이 이메일 클라이언트로 구성된 경우).
      • 정의된 사용자 신고 피싱 규칙에 따라 피싱 이메일이 보안 운영 팀에 전달됩니다.
    • EML 첨부 파일 헤더:
      • 첨부 파일: 사용자가 이메일을 첨부 파일(. EML 파일).
      • 서비스 카탈로그 제출: 사용자가 이메일을 . EML 파일을 바탕 화면에 저장 한 다음 지정된 위치에 업로드했습니다. 그러면 이메일에서 보안 인시던트가 생성됩니다.
    • EML 첨부 파일 본문:
      • 사용자가 피싱 보고 옵션을 클릭했습니다(Wombat 플러그인이 이메일 클라이언트로 구성된 경우).
      • 정의된 사용자 신고 피싱 규칙에 따라 피싱 이메일은 보안 운영 팀에 첨부 파일로 전달됩니다.
    보안 인시던트 사용자가 보고한 피싱 이메일이 처음 보고될 때 이 필드는 비어 있습니다. 플로우가 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 실행되면 이 이메일은 보안 인시던트 기록으로 변환되고 이 기록의 번호가 여기에 표시됩니다.
    원시 헤더 이 필드에는 페이지에 정의된 사용자 보고 피싱 속성 정의 대로 이메일에서 추출된 전체 헤더 정보가 표시됩니다. 헤더는 키 값 쌍으로 구문 분석되어 피싱 이메일 헤더 목록에 표시됩니다.
    피싱 이메일 헤더
    본문 사용자가 신고한 피싱 이메일의 본문입니다.

    사용자가 보고한 피싱 이메일을 보안 인시던트로 변환

    피싱 이메일을 보안 인시던트로 변환 플로우는 피싱 이메일 기록을 보안 인시던트로 변환하거나 변환하는 새로운 플로우입니다.

    시작하기 전에

    주:
    사용자가 보고한 피싱 기능을 사용하려면 플로우의 사본을 만들고 활성화 해야 합니다. 사용자가 보고한 피싱 제출을 처리하기 위해 사용자 지정 인바운드 작업 및 사용자 지정 플로우를 생성한 경우에는 여기에 제안된 플로우 수정이 필요하지 않습니다.
    • 필요한 역할: sn_si.admin
    • Flow Designer 스포크가 설치되어 있어야 합니다.

    이 태스크 정보

    이 플로우는 상태가 신규 로 설정된 피싱 이메일 기록을 보고한 사용자가 작성되면 자동으로 시작됩니다. 이 플로우에는 다음 작업을 수행하는 논리가 포함됩니다.
    • 보안 인시던트를 집계합니다.
    • 관련 메모로 보안 인시던트를 업데이트합니다.
    • 헤더 데이터를 추가합니다.
    • 필요에 따라 하위 인시던트를 생성합니다.

    프로시저

    • 다음으로 이동 플로우 디자이너 > 디자이너 을 클릭하여 Security Operations 스포크에서 사용할 수 있는 플로우를 봅니다.
      Security Operations 플로우
    • 플로우를 보려면 피싱 이메일을 보안 인시던트로 변환 링크를 클릭합니다.
    • 이 플로우는 기본 시스템과 함께 제공되며 읽기 전용 모드이므로 사용할 수 없습니다.
      더 보기 아이콘 더 보기 아이콘을 클릭하고 플로우의 사본을 만든 다음 사용할 수 있도록 엽니다. 이제 트리거 조건 또는 작업을 수정하거나 작업을 추가 및 제거하는 등 플로우를 변경할 수 있습니다. 필요한 변경을 수행한 후에는 플로우를 실행할 수 있도록 활성화( 참조 플로우 활성화 보안 인시던트 응답)해야 합니다.피싱 이메일을 보안 인시던트 플로우로 변환

      이 그림은 플로우와 함께 트리거와 함께 실행된 단계를 보여줍니다. 오른쪽 패널에는 데이터 흐름이 표시됩니다. 아이콘을 클릭하여 단계를 확장하고 상세 정보를 봅니다.

    • 트리거 아이콘을 클릭합니다.
      첫 번째 단계에서는 플로우에 대한 트리거를 정의하거나 설정합니다. 조건이 충족될 때 수행할 트리거 및 작업에 대한 조건을 지정합니다. 이 플로우는 기록이 sn_si_phishing_email 테이블에 업로드될 때 시작됩니다.변환 플로우: 트리거
    • 1단계에서 플로우는 집계된 이메일 제출에 대한 하위 인시던트를 생성하시겠습니까? 플래그가 페이지에서 활성화 또는 비활성화되어 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 있는지 확인합니다.
      변환 플로우: 작업 1
    • 2단계에서는 가장 오래된 상위 보안 인시던트가 식별됩니다.
      2단계의 아이콘을 확인합니다. 이는 피싱 이메일 집계 하위 플로우가 이 단계의 일부로 실행됨을 나타냅니다.변환 플로우: 작업 2

      작업의 상세 뷰를 보려면 작업 디자이너 아이콘을 클릭하십시오. 이 하위 플로우는 피싱 이메일을 확인하고 지정된 기준에 따라 기존 보안 인시던트와 일치시킵니다.

      변환 플로우: 피싱 이메일 집계 하위 플로우
      이 두 작업은 이 하위 플로우가 실행될 때 수행됩니다. 추가 세부 정보를 보려면 첫 번째 작업의 링크를 클릭하십시오.
      변환 플로우: 하위 플로우: 작업
      이 작업은 다음과 같은 조건에 따라 새로 받는 이메일의 기준과 일치하는 이메일을 확인합니다.이러한 조건이 충족되면 최대 결과 필드에서 기준과 일치하는 기록 수를 볼 수 있습니다. 목록에서 가장 오래된 기록 또는 첫 번째 기록이 보안 인시던트를 집계할 상위 기록으로 지정됩니다.
    • 3단계는 집계된 이메일 제출에 대한 하위 인시던트를 생성하시겠습니까? 플래그가 페이지에서 아니요사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 로 설정된 경우에만 적용할 수 있습니다.
      이 경우 피싱 이메일이 보안 인시던트 레코드와 연결되고 흐름이 종료됩니다.
      변환 플로우: 작업 3
    • 집계된 이메일 전송에 대한 하위 인시던트를 생성하시겠습니까?로 설정된 경우 흐름은 계속 실행되며 사용자가 보고한 피싱 메일을 기반으로 새 보안 인시던트가 생성됩니다.
      변환 플로우: 작업 4
    • 5단계에서는 피싱 이메일을 받은 사용자(피싱 이메일의 받는 사람 및 참조 목록에 있는 직원)가 보안 인시던트 기록의 영향을 받는 사용자 관련 목록에 추가됩니다.
      양식 변환: 작업 4
    • 6단계에서는 허용 목록 옵저버블이 보안 인시던트의 옵저버블 목록에서 필터링됩니다.
      이러한 허용 목록에 있는 옵저버블은 보안 인시던트에 추가되지 않습니다.
      변환 플로우: 필터 허용 목록 obebservable
    • 7단계에서는 사용자가 보고한 피싱 이메일에서 알 수 없는 옵저버블이 식별되어 옵저버블 관련 목록에 추가됩니다.
      변환 플로우: 옵저버블 추가
    • 8단계에서는 이메일의 제목과 보낸 사람 주소를 조합한 이메일 검색 쿼리가 생성됩니다.
      이 정보는 조직에서 피싱을 당한 직원을 식별하는 데 유용합니다.
      변환 플로우: 이메일 검색 쿼리 만들기
    • 9단계에서는 사용자가 보고한 피싱 이메일이 보안 인시던트와 연결되고 보안 인시던트 레코드(4단계에서 생성됨)가 업데이트됩니다.
      변환 플로우: 보안 인시던트 기록 업데이트
    • 10단계에서는 상위 보안 인시던트가 식별되고 미해결 보안 인시던트 레코드인지 확인합니다.
      변환 플로우: 보안 인시던트 기록 조회
    • 상위 보안이 활성 상태이면 하위 및 상위 보안 인시던트 기록에 메모가 추가되어 서로 연결된 방식을 나타냅니다.
    • 12단계에서 영향을 받는 사용자를 찾을 수 없는 경우(플로우의 5단계) 작업 메모가 추가되고 보안 인시던트 기록이 업데이트됩니다.
      변환 플로우: 일치하지 않는 사용자에 대한 작업 메모 추가
    • 13단계에서는 허용 목록에 있는 옵저버블 목록과 함께 작업 메모가 추가됩니다.
      변환 플로우: 허용 목록에 있는 옵저버블 목록 추가

    다음에 수행할 작업

    테스트를 클릭하면 플로우가 게시되기 전에 플로우의 작업을 시뮬레이션할 수 있습니다. 플로우를 테스트한 후 활성화 를 클릭하여 플로우를 실행할 수 있도록 활성화합니다.

    실행을 클릭하여 플로우의 실행 상세 정보를 봅니다.


    변환 플로우: 실행 상세 정보

    플로우가 실행되면 피싱 이메일 기록이 보안 인시던트로 변환됩니다. 피싱 이메일 기록에서 생성된 보안 인시던트 기록 문서를 참조하십시오.

    피싱 이메일 기록에서 생성된 보안 인시던트 기록

    sn_si_phishing_email 테이블에 저장된 피싱 이메일 기록은 보안 인시던트 기록으로 변환됩니다.

    피싱 이메일 기록과 관련된 보안 인시던트를 보려면 보안 인시던트 > 피싱 이메일 > 모든 피싱 이메일 표시레이블이 표시됩니다.


    피싱 이메일 테이블

    피싱 이메일 기록과 관련된 보안 인시던트 열의 링크를 클릭합니다. 보안 인시던트 상세 정보가 표시됩니다.


    피싱 이메일 기록과 관련된 보안 인시던트

    관련 목록

    보안 인시던트의 관련 링크 섹션까지 아래로 스크롤하고 모든 관련 목록 표시를 클릭합니다. 하위 보안 인시던트, 영향을 받는 사용자, 관련 피싱 이메일과 같은 상세 정보를 봅니다.

    하위 보안 인시던트

    하위 보안 인시던트 탭을 클릭합니다. 적용된 집계 논리에 따라 상위 보안 인시던트와 연결된 하위 보안 인시던트 목록을 볼 수 있습니다. 하위 기록이 추가될 때마다 자동화된 시스템 활동이 (작업 메모 섹션에서) 상위 기록에 추가됩니다. 이렇게 하면 보안 분석가에게 집계된 하위 레코드에 대한 알림이 전송됩니다.
    주:
    사용자가 보고한 피싱 속성 페이지에서 집계된 이메일 제출에 대한 하위 인시던트 생성 플래그가 로 설정된 경우에만 여기에서 하위 보안 인시던트를 볼 수 있습니다. 자세한 내용은 사용자 보고 피싱 속성 정의 문서를 참조하십시오.

    하위 보안 인시던트

    연결된 피싱 이메일

    연결된 피싱 메일 탭을 클릭합니다. 상위 피싱 이메일 기록과 연결된 피싱 이메일 기록(중복 기록) 목록이 표시됩니다.
    연결된 피싱 이메일 기록

    연결된 피싱 이메일 헤더

    연결된 피싱 메일 탭을 클릭합니다. 보안 인시던트의 일부로 캡처된 피싱 이메일 헤더 세부 정보가 표시됩니다. 상위 보안 인시던트에 집계된 모든 하위 기록 및 피싱 이메일 기록의 롤업된 헤더를 볼 수 있습니다.
    연결된 피싱 이메일 헤더

    허용 목록 옵저버블

    플로우가 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 실행되는 동안 보안 인시던트의 상태를 모니터링할 수 있습니다. 특정 옵저버블이 허용 목록 옵저버블로 표시되면 옵저버블 관련 목록에 추가되지 않습니다. 옵저버블을 허용 목록에 표시하면 중요한 상세 정보만 표시됩니다. 예를 들어 www.google.com 허용 목록으로 태그가 지정된 URL 중 하나인 경우 다음 시스템 메시지가 표시됩니다. 허용 목록 옵저버블은 중요한 옵저버블만 모니터링되도록 합니다.

    일치하지 않는 사용자 캡처

    피싱 이메일의 받는 사람 및 참조 목록에 있는 일부 이메일 ID는 조직의 사용자에 속하지 않을 수 있습니다. 이러한 이메일 ID는 일치하지 않는 사용자로 분류되며 영향을 받는 사용자 관련 목록에 포함되지 않습니다. 일치하지 않는 사용자임을 나타내는 작업 메모가 표시됩니다.
    일치하지 않는 사용자

    보안 분석가 작업 공간에서 사용자가 보고한 피싱

    보안 분석가 작업 공간에서 피싱 이메일 기록과 관련된 보안 인시던트를 볼 수 있습니다.

    다음으로 이동 보안 인시던트 > 새 UI레이블이 표시됩니다. 작업 공간이 별도의 브라우저 탭에서 열립니다. 피싱 이메일 기록과 관련된 보안 인시던트를 클릭하여 보안 인시던트를 봅니다.
    URP 보안 인시던트: 새 UI
    쌍안경 아이콘을 클릭합니다. 원본 피싱 이메일이 표시됩니다.
    URP 보안 인시던트: 새 UI - 피싱 이메일
    탐색 탭에서 인시던트 > 하위 보안 인시던트레이블이 표시됩니다.
    URP 보안 인시던트: 새 UI - 하위 보안 인시던트
    먼저 인시던트 > 연결된 피싱 헤더 > 레이블이 표시됩니다. 상위 보안 인시던트에 집계된 모든 하위 기록 및 피싱 이메일 기록의 롤업된 헤더를 볼 수 있습니다.
    URP: 새로운 UI - 이메일 헤더
    보안 인시던트와 관련된 피싱 이메일 기록을 보려면 피싱 이메일 링크를 클릭합니다.
    URP: 새 UI: 피싱 이메일 기록
    인시던트 타임라인 탭을 클릭합니다.
    URP: 새로운 UI: 작업 메모
    다음을 강조 표시하는 시스템 업데이트를 볼 수 있습니다.
    • 중복 하위 기록이 식별되었습니다.
    • 허용 목록 옵저버블입니다.
    • 피싱 이메일을 받았지만 영향을 받는 사용자 목록에 속하지 않는 일치하지 않는 사용자입니다.

    자주 묻는 질문

    이 섹션에서는 향상된 사용자 신고 피싱 기능에 대한 몇 가지 질문과 대답을 다룹니다.

    1. 새 Security Incident Response 스포크를 설치했지만 사용자가 보고한 피싱 인시던트를 볼 수 없습니다.

      기본적으로 사용자가 보고한 피싱 기능은 비활성화되어 있습니다.

      이 기능을 사용하려면 읽기 전용 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 플로우의 사본을 만들고 사용하기 전에 활성화해야 합니다.

    2. 피싱 이메일을 수집하여 보안 인시던트로 변환하는 동안 피싱 이메일의 악성 링크 및 첨부 파일을 처리하기 위해 사용되는 예방 조치는 무엇입니까?

      바이러스 백신 스캐너는 ServiceNow 이러한 악성 첨부 파일 및 링크를 검사합니다. 그러나 보안 분석가가 인시던트를 정확하게 조사할 수 있도록 애플리케이션은 보안 인시던트 응답 피싱 이메일의 일부인 모든 아티팩트를 캡처합니다. 그러나 사용자가 보고한 피싱 기능은 보안 분석가가 실수로 이러한 링크를 클릭하지 않도록 피싱 이메일의 악성 링크를 음소거합니다. 악성 첨부 파일과 관련하여 보안 분석가는 다운로드에 주의해야 합니다.

    3. 보안 인시던트 보강을 위해 피싱 이메일의 일부인 악성 파일을 모두 캡처합니까?

      예, 피싱 이메일에서 모든 파일을 캡처합니다. 이러한 상세 정보를 파일 해시 형식으로 보안 인시던트 옵저버블의 일부로 사용할 수 있습니다.

    4. 조사를 위해 피싱 이메일에서 샌드박스 인스턴스로 악성 파일과 링크를 전송합니까?

      현재 악성 파일 및 링크를 조사하기 위해 즉시 사용 가능한 샌드박스 통합은 지원하지 않습니다.

    5. 수신되는 중복 피싱 이메일 기록이 상위 보안 인시던트와 연결되는 기간을 정의하는 기간 또는 트리거가 있습니까?

      중복 피싱 이메일 기록은 활성 상위 보안 인시던트에만 집계됩니다. 상위 인시던트가 종결되거나 취소되면 들어오는 새로운 중복 피싱 이메일이 새 보안 인시던트로 생성됩니다. 그러나 이 시나리오에서는 새 보안 인시던트 내에서 유사한 보안 인시던트 관련 목록에서 종결되거나 취소된 상위 보안 인시던트를 볼 수 있습니다.

      주:
      이 동작은 Flow Designer를 사용하여 구성할 수 있습니다.
    6. 사용자 보고 피싱 기능은 Microsoft Outlook Wombat 플러그인만 사용하여 이메일 헤더 세부 정보를 캡처하도록 지원합니까?

      사용자 보고 기능은 이메일 헤더를 구문 분석하도록 구축되었으며 RFC822 표준을 준수합니다. 따라서 Wombat 플러그인과 유사하게 RFC822 표준을 기반으로 이메일 헤더를 캡처하는 다른 모든 Microsoft Outlook 플러그인이 지원됩니다.