사용자가 보고한 피싱 및 맬웨어 공격에 대한 사이팅 검색

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 9분

    • 이메일 또는 옵저버블에 대한 사이팅 검색을 수행하여 네트워크에서 피싱 공격 또는 악성 IP 또는 URL을 사용한 통신과 같은 특정 유형의 공격이 발생하는 빈도를 확인합니다. 각 발생은 사이팅으로 간주됩니다. 옵저버블에 대한 사이팅 검색은 로그 저장소 또는 SIEM(보안 정보 및 이벤트 관리)에 대해 구성해야 합니다.

    사이팅 검색 기능을 사용하여 피싱된 사용자를 찾고 네트워크의 로그 저장소 내에서 피싱 및 맬웨어 옵저버블을 추적하는 방법을 알아보려면 이 3분짜리 비디오를 시청하십시오.

    사용자가 보고한 피싱 공격을 설명할 때 사용하는 용어는 무엇입니까?
    • 피싱 사용자: 피싱 이메일을 수신한 사용자입니다.
    • 피해자 사용자: 일반적으로 피싱 이메일의 링크를 클릭하여 피싱 URL과 상호작용한 사용자입니다. 이 작업은 잠재적으로 자격 증명을 공격자에게 노출합니다.
    피싱 인시던트 분석을 시작할 때 이메일 사이팅 검색 수행 또는 옵저버블 사이팅 검색 수행을 수행 하여 동일한 피싱 공격의 영향을 받는 조직 내 다른 사용자를 식별할 수 있습니다. 로그 저장소를 검색하여 피싱 및 피해자 사용자를 식별합니다. 영향을 받는 사용자 목록을 확인한 후에는 에서 사용할 수 있는 보안 인시던트 응답도구를 사용하여 하위 보안 인시던트를 생성하여 포괄적인 인시던트 응답 절차를 수행합니다.
    주:
    다음 접근 방식을 사용하여 사이팅 검색을 수행할 수도 있습니다.
    • 다음으로 이동 보안 인시던트 > 모든 인시던트 표시 을 클릭하고 보안 인시던트를 클릭합니다.
    • 관련 링크 아래에 있는 IoC 표시 를 클릭합니다. 옵저버블 목록이 표시됩니다.
    • 목록에서 옵저버블을 선택하고 작업 목록에서 다음 옵션 중 하나를 선택합니다.
      • 웹 트래픽 사이팅 검색 실행
      • 이메일 트래픽 사이팅 검색 실행
    • 시간 범위를 지정하고 검색 을 클릭하여 사이팅 검색을 수행합니다.

    저장된 사이팅 검색 구성

    사이팅 검색을 구성하고 SIEM 또는 옵저버블 인스턴스의 기타 로그 저장소에 대한 저장된 구성을 생성하여 사용자 환경에 악의적인 옵저버블이 있는지 확인합니다.
    주:
    저장된 검색 및 Inplace 쿼리는 Splunk 통합에서만 지원됩니다.

    사용자가 보고한 피싱 공격에 대한 이메일 사이팅 검색을 수행합니다.

    이메일 제목, 보낸 사람 이름 또는 메시지 ID와 같은 옵저버블을 기반으로 피싱 이메일을 받은 사용자를 검색합니다. 그런 다음 조직에서 이러한 피싱 이메일을 억제하고 근절할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    Splunk 이메일 트래픽 로그를 검색하여 의심스러운 이메일의 수신자 목록을 수집합니다. 이메일 보낸 사람, 이메일 메시지 ID 또는 보안 인시던트와 관련된 이메일 제목을 기준으로 사용하여 검색을 수행할 수 있습니다.
    주:
    • 이메일 기반 옵저버블에 대한 사이팅 검색의 이러한 구현은 Splunk Enterprise 로그 저장소에서만 테스트되었습니다.
    • 사이팅 검색 쿼리가 정확한 결과를 반환하려면 Splunk 로그 이벤트가 CIM(공통 정보 모델)을 준수해야 합니다.

    프로시저

    1. 팀에 할당된 보안 인시던트를 보려면 다음으로 이동하십시오. 보안 인시던트 > 인시던트(신규 UI).
    2. 보안 인시던트 목록에서 모든 미결 인시던트, 사용자에게 할당된 모든 인시던트 또는 모든 인시던트와 같은 필터 중 하나를 선택합니다.

      중요 인시던트 또는 피싱 이메일과 같은 특정 유형의 보안 인시던트를 보려면 빠른 필터 중 하나를 클릭합니다.

      보안 인시던트
    3. 분석할 보안 인시던트를 클릭합니다.

      개요 탭은 옵저버블, 영향을 받는 사용자 및 유사한 보안 인시던트 목록을 포함한 보안 인시던트에 대한 개요를 제공합니다.

      개요 탭
    4. 탐색 탭을 클릭합니다.
    5. 시던트 데이터에서 조사 > 이메일 및 옵저버블 검색.
      이메일 검색
    6. 검색 기준 섹션을 확장합니다.
    7. 실행할 검색 유형으로 이메일 검색 을 선택하고 나머지 검색 기준을 지정합니다.
      표 1. 검색 기준 양식
      필드 설명
      통합 통합 유형입니다. 목록에서 로그 저장소를 선택합니다.
      주:
      이 기능은 Splunk 로그 저장소에서만 지원됩니다.
      시작 날짜 보낸 사람의 전체 이메일 주소입니다(예: jane.doe@example.com).
      메시지 ID 로그 저장소의 이메일 메시지 ID입니다.
      제목 피싱 이메일의 제목입니다.
      검색 기간 검색할 기간(예: 지난 24시간)입니다.
    8. 작업 선택 목록에서 검색을 선택한 다음 실행을 클릭합니다.

      입력한 기준을 사용하여 Splunk 로그 저장소가 검색되고 피싱 공격의 표적이 된 사용자가 이메일 검색 결과 탭에 표시됩니다. 피싱 이메일의 총 수와 이메일 날짜, 수신자, 메시지 ID 등 각 이메일의 상세 정보가 표시됩니다.

    9. 피싱 이메일을 수신한 사용자 목록을 보려면 검색 날짜 열에서 > 기호를 클릭합니다.
      이메일 검색 결과
    10. 이메일을 받은 사용자 목록을 보려면 다음으로 이동하십시오. 사용자 > 영향을 받는 사용자.

      피싱된 사용자 열은 이메일 받는 사람을 식별합니다.

      주:
      영향을 받는 사용자 페이지에는 ServiceNow 인스턴스에 있는 사용자 기록만 표시됩니다.
    11. 피싱 공격의 표적이 되는 사용자를 자세히 조사하려면 다음 단계를 따르십시오.
      1. 사용자 이름 옆에 있는 확인란을 선택합니다.
      2. 목록에서 하위 보안 인시던트 생성을 선택하고 실행을 클릭합니다.
      하위 보안 인시던트가 생성되었음을 보여주는 메시지가 표시됩니다. 상위 인시던트와 연결된 하위 보안 인시던트를 보려면 탐색 탭을 클릭하고 인시던트 > 하위 보안 인시던트.

    결과

    피싱된 사용자 목록이 표시됩니다.

    사용자가 보고한 피싱 및 맬웨어 공격에 대한 옵저버블 사이팅 검색을 수행합니다.

    옵저버블에 대한 사이팅 검색을 수행하여 특정 기간 내에 악의적이거나 의심스러운 웹 사이트를 방문한 사용자 수를 확인합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    보안 인시던트와 관련된 URL, 대상 호스트 또는 대상 IP 주소와 같은 옵저버블에서 네트워크 트래픽 검색을 수행할 수 있습니다.
    주:
    • 옵저버블에 대한 사이팅 검색의 이러한 구현은 Splunk Enterprise 로그 저장소에서만 테스트되었습니다.
    • 사이팅 검색 쿼리가 정확한 결과를 반환하려면 Splunk 로그 이벤트가 CIM(공통 정보 모델)을 준수해야 합니다.

    프로시저

    1. 팀에 할당된 보안 인시던트를 보려면 다음으로 이동하십시오. 보안 인시던트 > 인시던트(신규 UI).
    2. 보안 인시던트 목록에서 다른 필터(예: 나에게 할당된 모든 인시던트, 모든 미결 인시던트 또는 모든 인시던트)를 선택합니다.

      중요 인시던트 또는 피싱 이메일과 같은 특정 유형의 보안 인시던트를 보려면 빠른 필터 중 하나를 클릭합니다.

      보안 인시던트
    3. 분석할 보안 인시던트를 클릭합니다.

      옵저버블, 영향을 받는 사용자 및 유사한 보안 인시던트 목록을 포함한 보안 인시던트의 개요를 볼 수 있습니다.

      개요 탭

      옵저버블 섹션에서 옵저버블 열에 이메일 주소, 제목 및 URL이 표시됩니다. 또한 찾은 결과 열에는 피싱 이메일이 제출되어 알려진 악성 URL로 확인될 때 URL이 자동으로 검사되었음을 보여줍니다. 인시던트 수 열에는 동일한 옵저버블을 공유하는 다른 인시던트가 표시됩니다. 이러한 아티팩트는 조직의 사용자 수가 영향을 받았는지 확인하는 것을 포함하여 이 피싱 공격에 대한 방지 절차로 이동할 준비가 되었음을 나타냅니다.

      옵저버블

    4. 다음으로 이동 탐색 > 조사 > 이메일 및 옵저버블 검색.
    5. 검색 기준 섹션을 확장하고 옵저버블 검색을 클릭합니다.
      옵저버블 검색
    6. 검색 중인 옵저버블과 검색 기간(예: 지난 24시간)을 입력합니다.
    7. 작업 선택 목록에서 검색을 선택합니다.
      입력한 기준을 사용하여 Splunk 로그 저장소가 검색되고 악의적인 공격의 대상이 된 주요 사용자가 옵저버블 검색 결과 탭에 표시됩니다.옵저버블 검색 결과
    8. 이메일을 받은 사용자를 보려면 다음으로 이동하십시오. 사용자 > 영향을 받는 사용자.

      피싱된 사용자 열은 피싱 이메일의 수신자를 식별하고 사용자 상호작용 열은 피싱 URL을 클릭하거나 의심스러운 이메일 주소와 상호작용한 사용자를 식별합니다. 사용자 상호작용 열은 사용자가 악성 링크 또는 IP를 클릭했는지 여부에 따라 true 또는 false로 설정됩니다.

      주:
      영향을 받는 사용자 페이지에는 ServiceNow 인스턴스에 있는 사용자 기록만 표시됩니다.
    9. 피싱 이메일을 클릭하고 자격 증명을 손상했을 가능성이 있는 사용자를 자세히 조사하려면 다음을 수행합니다.
      1. 피싱된 사용자 및 사용자 상호 작용 열에서 true로 표시되는 사용자 이름 옆의 확인란을 선택합니다.
      2. 하위 보안 인시던트 생성 을 클릭한 다음 실행을 클릭합니다.
        하위 보안 인시던트가 생성되었음을 보여주는 메시지가 표시됩니다. 상위 인시던트와 연결된 하위 보안 인시던트를 보려면 탐색 탭을 클릭하고 인시던트 > 하위 보안 인시던트.

    결과

    피싱된 사용자 목록이 표시됩니다.

    사이팅 검색 구성 기록 생성

    여러 사이팅 검색 구성 기록을 생성하여 여러 로그 저장소를 쿼리하거나 검색 매개변수를 변경하는 동안 사용합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    • Splunk 인스턴스에 CIM 추가 기능이 설치되어 있어야 합니다.
    • 저장된 검색 및 Inplace 쿼리는 Splunk 통합에서만 지원됩니다.

    이 태스크 정보

    사이팅 검색 구성 기록을 생성하여 Splunk 엔터프라이즈 로그 저장소에 저장된 검색을 호출할 수도 있습니다.
    주:
    검색 구성 쿼리는 Splunk CIM(공통 정보 모델)을 준수하기 위해 Splunk 로그 데이터를 사용합니다.
    저장된 검색 구성을 사용하여 다음을 수행할 수 있습니다.
    • 여러 이벤트 기록을 결합하는 사용자 지정 검색을 생성합니다.
    • 설계 효율적이고 효과적인 검색입니다.
    • Splunk 저장된 검색에서 매개변수형 입력을 사용합니다.

    기본 시스템에는 샘플 구성이 포함되어 있습니다.

    저장된 검색 및 Inplace 구성 쿼리는 예제 쿼리이며 사용자 환경에 적합한 매개변수로 대체할 수 있습니다. 필요에 따라 저장된 검색 구성을 추가로 생성합니다. 저장된 검색 구성을 정의할 때 검색 쿼리의 이름과 매개변수는 Splunk 인스턴스에 정의된 저장된 구성과 일치해야 합니다. 이름과 매개변수가 같지 않으면 사이팅 검색을 수행할 때 정확한 결과가 표시되지 않을 수 있습니다.
    주:
    Splunk 인스턴스에서 검색, 보고서 및 경보 페이지로 이동하여 저장된 검색 쿼리를 찾습니다. 권한 링크를 선택하여 권한 페이지로 이동합니다. 모든 앱 라디오 버튼을 선택하고 모두에 대해 읽기 권한 옵션을 활성화합니다. 이렇게 하면 저장된 검색 쿼리의 공유 열 값이 비공개에서 앱으로 변경됩니다. 이 설정을 하지 않으면 저장된 검색 쿼리가 결과를 반환하지 않을 수 있습니다.

    저장된 검색 구성이 Splunk 인스턴스에 정의된 구성과 일치하는지 확인하려면 다음을 수행합니다.

    1. 다음으로 이동 설정 > 검색, 보고서 및 경보.
    2. 앱 컨텍스트를모두로 변경합니다.

      검색 보고서 목록이 표시됩니다.

    3. 저장된 검색 쿼리가 목록에 있는지 확인합니다.
    예를 들어, 사이팅 검색 구성 양식에는 이메일 주소와 이메일 보낸 사람이 검색 매개변수로 포함되어 있습니다.
    그림 1. 사이팅 검색 구성 양식
    저장된 구성

    Splunk 인스턴스에서 동일한 이름, 기본 저장된 검색 - 이메일, 이메일 주소 및 이메일 제목에 대해 동일한 검색 매개변수로 저장된 검색을 정의합니다. 이름과 검색 매개변수가 같지 않으면 사이팅 검색에서 정확한 결과를 생성하지 않습니다.

    프로시저

    1. 다음으로 이동 보안 운영 > 통합 > 사이팅 검색 구성 을 클릭하고 새 기록을 생성합니다(필드 설명은 표 참조).
      표 2. 사이팅 검색 구성 양식
      필드 설명
      이름 구성의 이름입니다.
      저장된 검색 여부 이 옵션을 선택하면 저장된 검색 구성이 생성됩니다.
      관찰 검색 소스 사이팅 검색의 소스입니다. Splunk 로그 스토어를 소스로 선택합니다.
      활성 저장된 검색 상태에 대한 옵션입니다. 활성 검색 구성만 사이팅 검색을 수행하는 데 사용할 수 있습니다.
      옵저버블 유형 옵저버블 유형은 IP, 해시 값, URL, 도메인 이름 등 모든 옵저버블 유형일 수 있습니다.
      검색당 최대 옵저버블 검색에서 반환할 옵저버블의 최대 수입니다.
      검색 기본 검색 문자열은 $(observable)이지만 Splunk 로그 저장소에서 지원하는 매개변수를 지정하여 고유한 검색 쿼리를 정의할 수 있습니다.
    2. 제출을 선택합니다.

    결과

    사이팅 검색 구성 기록을 생성했습니다.

    다음에 수행할 작업

    검색 쿼리를 정의한 후 사이팅 검색 테스트 쿼리 생성을 선택하고 옵저버블 값 목록을 지정하여 이 저장된 검색 구성을 기반으로 테스트 쿼리를 생성합니다.