사용자가 보고한 피싱 이메일에서 보안 인시던트 생성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 20분

    • 이 기능을 사용하여 사용자가 보고한 피싱 이메일에서 보안 인시던트를 생성합니다.

    향상된 사용자 보고 피싱 기능에는 집계 기능, 이메일 헤더 추출 및 구성이 포함됩니다.

    • 피싱 이메일은 다음과 같은 여러 가지 방법으로 보고할 수 있습니다.
      • 이메일을 첨부 파일로 전달할 수 있습니다.
      • PhishAlarm 플러그인(이전의 Wombat) 이 Microsoft Outlook 클라이언트로 구성된 경우 다음을 수행할 수 있습니다.
        • 피싱 보고 버튼을 선택합니다.
        • 피싱 보고 옵션을 사용하여 모바일 장치에서 피싱 이메일을 전달합니다.

        피싱 이메일 보고
      • 피싱 이메일(.eml 형식)을 업로드할 수 있습니다.
        피싱 이메일을 첨부 파일로 보고
    • 사용자 보고 피싱에는 조직 내 사용자가 보고한 중복 피싱 이메일을 식별하는 집계 비즈니스 논리 가 포함됩니다. 사용자는 이 기능을 사용하여 다음을 수행할 수 있습니다.
      • 중복 또는 유사한 사용자가 보고한 피싱 인시던트(회사에서 시작한 피싱 캠페인)를 집계합니다.
      • 중복 사용자가 보고한 피싱 인시던트를 분류하지 않도록 하고 인시던트 통합에 수반되는 수작업을 줄입니다.
      • 보안 분석가가 단일 사용자가 보고한 피싱 인시던트에 대해 작업할 수 있도록 합니다.
    • 사용자가 보고한 피싱 인시던트 내에서 피싱 이메일 헤더를 제공합니다.
      • 보안 분석가는 인시던트 내에서 주요 이메일 헤더 정보를 검색할 수 있습니다.
      • 더 이상 다른 소스에서 헤더 정보를 수집하기 위한 수동 작업이 필요하지 않습니다.
    • 제출된 원본 피싱 이메일은 새 테이블에 피싱 이메일 기록 으로 저장됩니다.
    • 보안 분석가는 피싱 이메일 콘텐츠, 헤더, 원본과 같은 원본 피싱 이메일의 상세 정보를 볼 수 있습니다.
    • 보안 관리자는 다음과 같은 특정 개선 사항을 구성하고 적용할 수 있습니다.
      • 이메일 본문에서 이메일 헤더를 추출하는 구성입니다(보고서 피싱 제출).
      • 선택한 헤더를 캡처하는 필터입니다.
      • 중복 피싱 이메일 기록이 식별될 때 상위-하위 인시던트 연결을 처리하기 위한 구성입니다.
      • 요구 사항에 따라 집계 비즈니스 논리를 수정하는 플로우 디자이너 구성입니다.

    사용자가 보고한 피싱에 대한 수집 규칙 설정

    sn_si.admin 역할의 사용자는 이메일 일치 규칙을 정의하여 특정 기준에 따라 사용자가 보고한 피싱 이메일을 필터링할 수 있습니다. 예를 들어 직접 또는 피싱 보고 단추를 통해 전송된 모든 이메일을 security@acme.com 사용자가 보고한 피싱 이메일로 분류하는 규칙을 정의할 수 있습니다. 자세한 내용은 사용자가 보고한 피싱에 대한 수집 규칙 설정 문서를 참조하십시오.

    사용자가 보고한 피싱 속성 정의

    사용자가 보고한 피싱 이메일에서 캡처해야 하는 헤더 정보를 정의합니다. 자세한 내용은 사용자 보고 피싱 속성 정의 문서를 참조하십시오.

    사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록

    사용자가 보고한 피싱 이메일은 정의된 이메일 일치 규칙에 따라 보안 인시던트로 변환됩니다. 자세한 내용은 사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록 문서를 참조하십시오.

    피싱 이메일을 보안 인시던트로 변환

    피싱 이메일을 보안 인시던트로 변환 플로우는 피싱 이메일 기록을 보안 인시던트로 변환하거나 변환합니다. 자세한 내용은 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 문서를 참조하십시오.

    피싱 이메일 기록에서 생성된 보안 인시던트 기록

    관련 목록, 작업 메모 및 기타 중요한 정보를 포함한 보안 인시던트 기록 상세 정보를 봅니다. 자세한 내용은 피싱 이메일 기록에서 생성된 보안 인시던트 기록 문서를 참조하십시오.

    필수 구성요소 및 플러그인

    사용 가능한 사용자 보고 피싱 기능은 기존 사용자 보고 피싱 기능의 고급 버전입니다. 사용자가 보고한 피싱 공격을 확인하는 규칙 만들기를 참조하세요.

    중요 설치 설명서

    이 개선 사항은 기존 사용자 보고 피싱 설계를 대체합니다. 새로운 디자인에는 다음 업데이트가 포함됩니다.
    • 기존 사용자가 보고한 피싱 이메일 인바운드 작업(유형 = 전달 및 유형 = 신규)이 비활성화되었습니다.
    • 이제 새로운 피싱 이메일 생성 인바운드 작업을 사용할 수 있습니다.
    • 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 은 새 설계에 대한 보안 인시던트 생성 및 집계 비즈니스 논리를 포함하는 새 플로우입니다. 새 디자인을 적용하려면 이 플로우를 활성화해야 합니다.
    • 기존 사용자 보고 피싱 규칙은 업그레이드 중에 유지되었습니다.
    주:
    사용자가 보고한 피싱 제출에 사용자 지정 이메일 인바운드 작업과 사용자 지정 워크플로우를 사용하는 경우 이전 설계와 새 설계 모두에 상충하거나 겹치는 기능이 있는지 검토해야 합니다.
    사용자가 보고한 피싱 개선 사항 세부 정보: 다음은 개선 사항에 대한 세부 정보입니다.
    주:
    • 보안 인시던트 응답 9.0 릴리스 이전에 사용할 수 있는 사용자 보고 피싱 인바운드 작업은 이제 비활성화됩니다. 보안 인시던트는 더 이상 비활성화된 인바운드 작업을 통해 생성되지 않습니다.
    • 새 디자인을 적용하려면 보안 운영 스포크 애플리케이션을 설치해야 합니다. 여기에는 기본적으로 비활성 상태에서 사용할 수 있는 플로우가 포함됩니다 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 . 이 플로우를 활성화하여 피싱 이메일 기록에서 보안 인시던트를 생성합니다.
    향상된 사용자 보고 피싱 기능을 사용하려면 다음 플러그인과 구성요소가 필요합니다.
    • 보안 지원 공통(sn_sec_cmn): 다음을 포함합니다.
      • 인바운드 동작
      • 새 EmailUserReportedPhishing 스크립트
      • 수집 규칙 테이블
    • Security Incident Response(sn_si): 포함됩니다.
      • 보안 인시던트 테이블(sn_si_incident)
      • 보안 피싱 이메일 테이블(sn_si_phishing_email)
      • 보안 피싱 이메일 헤더 테이블(sn_si_phishing_email_header)
      • EML 업로드 기록 생성자
    • Security Operations 스포크

      이메일을 집계하고 피싱 이메일을 보안 인시던트로 변환하는 플로우 및 하위 플로우입니다.

    다음 그림은 일치하는 URP 규칙 및 대상 보안 인시던트 기록(sn_si_incident)에 대한 참조가 있는 새 피싱 이메일 테이블을 보여줍니다.


    URP 데이터 모델

    사용자가 보고한 피싱에 대한 수집 규칙 설정

    sn_si.admin 역할의 사용자는 이메일 일치 규칙을 정의하여 특정 기준에 따라 사용자가 보고한 피싱 이메일을 필터링할 수 있습니다. 예를 들어 직접 또는 피싱 보고 단추를 통해 전송된 모든 이메일을 security@acme.com 사용자가 보고한 피싱 이메일로 분류하는 규칙을 정의할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 다음으로 이동 모두 > 보안 운영 > 이메일 처리 > 수집 규칙 - 사용자가 보고한 피싱.
    2. 새로 만들기를 선택하여 새 이메일 일치 규칙을 만듭니다.
    3. 이름을 입력하고 규칙에 대해 하나 이상의 조건을 정의합니다.
      규칙 유형을 구성하고 해당 값을 선택할 수 있습니다.
      • 허용: 조건이 수신 이메일과 일치하면 보안 인시던트가 생성됩니다.
      • 거부: 조건이 수신 이메일과 일치하면 보안 인시던트가 만들어지지 않습니다.
      주:
      수신 이메일은 순서 값과 상관없이 먼저 거부 규칙에 대해 평가됩니다.
    4. 제출을 선택하여 규칙을 저장합니다.
      다음은 몇 가지 샘플 규칙입니다.
      • 종료 규칙: 직접 전송되었거나 security@example.com 이메일 ID로 전달된 이메일을 필터링합니다. ToRule 정의
      • 사용자 ID 규칙: 특정 이메일 ID에서 보낸 이메일을 필터링합니다. 사용자 ID 규칙 정의

    사용자 보고 피싱 속성 정의

    사용자가 보고한 피싱 이메일에서 캡처해야 하는 헤더 정보를 정의합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    이 옵션을 사용하여 다음 사용자가 보고한 피싱 설정을 구성합니다.
    • 이메일 본문에서 이메일 헤더를 추출하는 구성입니다. (피싱 제출을 보고합니다.)
    • 헤더를 선택하려면 필터링합니다.
    • 상위-하위 연결 사용 또는 사용 안 함.

    프로시저

    1. 다음으로 이동 모두 > 보안 운영 > 이메일 처리 > 사용자가 보고한 피싱 속성.
      사용자가 보고한 피싱 속성
    2. 이메일 본문에서 이메일 헤더를 추출하기 위한 구성을 지정합니다.
      • 이메일 헤더의 시작을 식별하는 문자열을 입력합니다.
      • 이메일 헤더의 끝을 식별하는 문자열을 입력합니다.
        주:
        이 설정은 피싱 이메일의 이메일 본문 일부로 캡처된 헤더에만 적용하십시오. 예를 들어 PhishAlarm 플러그인(이전의 Wombat)이 Microsoft Outlook 클라이언트로 구성된 경우 사용자가 피싱 보고 버튼을 선택하면 여기에 정의된 구성에 따라 이메일 헤더가 캡처됩니다. 피싱 이메일이 첨부 파일로 전달되면 헤더 정보가 캡처되지 않습니다.
    3. 필터를 지정하여 보안 인시던트를 조사하는 데 필요하지 않은 헤더를 제거합니다.

      사용자가 보고한 피싱 이메일에서 캡처해야 하는 이메일 헤더의 목록을 쉼표로 구분하여 입력합니다. 여기에 값을 지정하지 않으면 모든 헤더 정보가 캡처됩니다.

    4. 상위-하위 연결 사용 또는 사용 안 함.
      기본적으로 옵션은 활성화되어 있습니다. 사용자가 보고한 피싱 이메일이 집계될 때 하위 보안 인시던트를 만들어야 함을 나타내려면 예를 선택합니다. 아니요를 선택하면 하위 보안 인시던트가 생성되지 않지만 사용자가 보고한 피싱 이메일이 보안 인시던트와 연결되어 보안 인시던트 기록이 업데이트됩니다. 하위 보안 인시던트가 생성되는 방법에 대한 자세한 내용은 문서를 참조하십시오 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 .
    5. 피싱 이메일 콘텐츠를 HTML 형식으로 표시하는 옵션을 활성화하거나 비활성화합니다.
      기본적으로 옵션은 활성화되어 있습니다. 예를 선택하여 피 싱 이메일 콘텐츠를 HTML 형식으로 표시합니다. 아니요를 선택하면 HTML 형식의 이메일 콘텐츠가 피싱 기록 내에 표시되지 않습니다.

    사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록

    사용자가 보고한 피싱 이메일은 정의된 이메일 일치 규칙에 따라 보안 인시던트로 변환됩니다.

    새 피싱 이메일이 보고되면 다음 작업이 수행됩니다.
    • sys_email 테이블에 이메일 기록이 생성됩니다.
    • 피싱 이메일 인바운드 생성 작업은 이메일 기록에서 실행되며 이메일 일치 규칙( 참조사용자가 보고한 피싱에 대한 수집 규칙 설정)을 사용하여 피싱 이메일인지 확인합니다.
      주:
      이메일은 먼저 규칙 유형거부로 설정된 모든 이메일 일치 규칙으로 확인됩니다. 이메일이 거부 규칙의 조건과 일치하면 sn_si_phishing_email_deny_audit 테이블에 감사 기록이 생성됩니다. 이러한 이메일에는 보안 인시던트가 생성되지 않습니다.
    • 이메일이 피싱 이메일로 식별되고규칙 유형허용으로 설정된 이메일 일치 규칙과 일치하면 sn_si_phishing_email 테이블에 피싱 이메일 기록이 생성됩니다.
    • 마지막으로 플로우를 적용하여 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 피싱 이메일 기록을 보안 인시던트로 전환합니다.

    이메일 상세 정보를 보려면 다음으로 이동하십시오. 보안 인시던트 > 모든 피싱 이메일 표시. 피싱 이메일 기록 목록이 표시됩니다. 이메일 기록을 보려면 생성됨 열에서 날짜 링크를 선택합니다.


    받는 사람 규칙이 있는 피싱 이메일
    표 1. 보안 인시던트 피싱 이메일 상세 정보
    필드 이름 설명
    번호 사용자가 신고한 피싱 이메일에 할당된 번호입니다.
    제목 이메일 제목. 제목 규칙은 시뮬레이션된 피싱 캠페인이나 테스트에 유용합니다. 이 경우 조직은 피싱 및 유사한 이메일 공격에 대한 대응을 테스트하기 위해 직원에게 사기성 이메일을 보냅니다.

    시뮬레이션된 피싱 이메일 테스트에서 PhishAlarm 플러그인(이전의 Wombat)이 포함된 Microsoft Outlook 이메일 클라이언트를 사용하는 경우 사용자는 피싱 보고 버튼을 선택하여 피싱 이메일을 보고할 수 있습니다. 이메일은 이메일 제목에 시뮬레이션된 피싱이 추가된 보안 운영 팀으로 전송됩니다. 이는 이메일을 시뮬레이션된 피싱 이메일로 식별하는 데 사용됩니다.
    시작 날짜 이 피싱 이메일이 시작된 이메일 주소입니다. 이 정보는 피싱 이메일이 . EML 파일 첨부 또는 원본 헤더가 이메일에 포함되어 있는지 여부.

    사용자가 피싱 이메일을 직접 전달한 경우 보낸 사람 주소를 사용하지 못할 수 있습니다.
    보고자 이 피싱 이메일을 신고한 사용자의 이메일 ID입니다. 추가 상세 정보를 보려면 정보 아이콘을 선택합니다.
    메시지 ID 메시지에 할당된 ID입니다.
    일치하는 URP 규칙 이 이메일에 적용될 사용자 보고 피싱 규칙입니다. 추가 상세 정보를 보려면 정보 아이콘을 선택합니다 .
    URP 수집 규칙

    이 예에서 볼 수 있듯이 조건 필드는 ToRule이 이 이메일에 적용되고 보안 인시던트가 생성됨을 보여줍니다. 이메일 일치 규칙 정의에 대한 자세한 내용은 문서를 참조하십시오 사용자가 보고한 피싱에 대한 수집 규칙 설정 .
    상태 sn_si_phishing_email 테이블에 새 피싱 이메일 기록이 생성되면 상태 필드가 신규로 설정됩니다. 이 이메일 기록이 보안 인시던트로 변환되면( 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환참조) 상태 필드가 처리됨으로 업데이트됩니다.
    헤더 원본 이 필드는 이메일 헤더가 어떻게 시작되었는지, 또는 사용자가 피싱 이메일을 보고한 방법을 나타냅니다.
    • 이메일 헤더: 사용자가 피싱 이메일을 보안 운영 팀에 전달했습니다.
    • 이메일 텍스트 본문:
      • 사용자가 피싱 보고 옵션을 선택했습니다(PhishAlarm 플러그인(이전의 Wombat)이 이메일 클라이언트로 구성된 경우).
      • 정의된 사용자 보고 피싱 규칙에 따라 피싱 이메일이 보안 운영 팀으로 전달됩니다.
    • EML 첨부 파일 헤더:
      • 첨부 파일: 사용자가 이메일을 첨부 파일(. EML 파일).
      • 서비스 카탈로그 제출: 사용자가 이메일을 . EML 파일을 바탕 화면에 추가한 다음 지정된 위치에 업로드합니다. 그러면 이메일에서 보안 인시던트가 생성됩니다.
    • EML 첨부 파일 본문:
      • 사용자가 피싱 보고 옵션을 선택했습니다(PhishAlarm 플러그인(이전의 Wombat)이 이메일 클라이언트로 구성된 경우).
      • 정의된 사용자 보고 피싱 규칙에 따라 피싱 이메일은 보안 운영 팀에 첨부 파일로 전달됩니다.
    보안 인시던트 사용자가 보고한 피싱 이메일이 처음 보고되면 이 필드는 비어 있습니다. 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 플로우가 실행되면 이 이메일은 보안 인시던트 기록으로 변환되고 이 기록의 번호가 여기에 표시됩니다.
    주:
    보안 인시던트는 규칙 유형허용으로 설정된 이메일 일치 규칙과 일치하는 이메일에 대해서만 생성됩니다.
    원시 헤더 이 필드에는 페이지에 정의된 대로 이메일에서 추출된 전체 헤더 정보가 표시됩니다.사용자 보고 피싱 속성 정의 헤더는 키 값 쌍으로 구문 분석되어 피싱 이메일 헤더 목록에 표시됩니다.
    피싱 이메일 헤더
    본문 사용자가 신고한 피싱 이메일의 출처입니다.

    사용자가 보고한 피싱 이메일을 보안 인시던트로 변환

    피싱 이메일을 보안 인시던트로 변환 플로우는 피싱 이메일 기록을 보안 인시던트로 변환하거나 변환합니다.

    시작하기 전에

    주:
    사용자 보고 피싱 기능을 사용하려면 플로우의 사본을 만들어 활성화 해야 합니다. 사용자가 보고한 피싱 제출을 처리하기 위해 사용자 지정 인바운드 작업 및 사용자 지정 플로우를 생성한 경우에는 여기에 제안된 플로우 수정이 필요하지 않습니다.
    • 필요한 역할: sn_si.admin
    • 플로우 디자이너 스포크가 설치되어 있어야 합니다.

    이 태스크 정보

    이 플로우는 사용자가 상태가 신규 로 설정된 피싱 이메일 기록이 생성되면 자동으로 시작됩니다. 이 플로우에는 다음을 수행하는 논리가 포함되어 있습니다.
    • 보안 인시던트를 집계합니다.
    • 관련 메모로 보안 인시던트를 업데이트합니다.
    • 헤더 데이터를 추가합니다.
    • 필요에 따라 하위 인시던트를 생성합니다.

    프로시저

    • 다음으로 이동 플로우 디자이너 > 디자이너 보안 운영 스포크에서 사용할 수 있는 플로우를 보려면
      보안 운영 플로우
    • 플로우를 보려면 피싱 이메일을 보안 인시던트로 변환 링크를 선택합니다.
    • 이 플로우는 기본 시스템과 함께 제공되며 읽기 전용 모드이므로 사용할 수 없습니다 .
      보기 아이콘 을선택하고 플로우의 사본을 만든 다음 사용할 수 있도록 엽니다. 이제 트리거 조건 또는 작업을 수정하거나 작업을 추가 및 제거하는 등 플로우를 변경할 수 있습니다. 필요한 변경 사항을 적용한 후에는 플로우를 실행할 수 있도록 플로우를 활성화 (참조 플로우 활성화 보안 인시던트 응답)해야 합니다.피싱 이메일을 보안 인시던트로 변환 플로우

      이 그림은 트리거와 흐름과 함께 실행되는 단계를 보여줍니다. 오른쪽 패널에는 데이터 플로우가 표시됩니다. 아이콘을 선택하여 단계를 확장하고 상세 정보를 봅니다.

    • 트리거 아이콘을 선택합니다.
      첫 번째 단계에서는 플로우에 대한 트리거를 정의하거나 설정합니다. 조건이 충족될 때 수행할 트리거 및 작업에 대한 조건을 지정합니다. 이 플로우는 기록이 sn_si_phishing_email 테이블에 업로드될 때 시작됩니다.변환 플로우: 트리거
    • 1단계에서, 플로우는 집계된 이메일 전송에 대한 하위 인시던트를 생성하시겠습니까? 플래그가사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 페이지에서 사용 또는 사용 안 함으로 설정되어 있는지 확인합니다.
      변환 플로우: 작업 1
    • 2단계에서는 가장 오래된 상위 보안 인시던트가 식별됩니다.
      2단계의 아이콘을 확인합니다. 이는 피싱 이메일 집계 하위 플로우가 이 단계의 일부로 실행됨을 나타냅니다.변환 플로우: 작업 2

      작업의 상세 뷰를 보려면 작업 디자이너 아이콘을 선택합니다 . 이 하위 플로우는 피싱 이메일을 확인하고 지정된 기준에 따라 기존 보안 인시던트와 일치시킵니다.

      변환 플로우: 피싱 이메일 집계 하위 플로우
      이 두 작업은 이 하위 플로우가 실행될 때 수행됩니다. 추가 상세 정보를 보려면 첫 번째 작업의 링크를 선택합니다 .
      변환 플로우: 하위 플로우: 작업
      이 작업은 다음과 같은 조건에 따라 새 수신 이메일의 기준과 일치하는 이메일을 확인합니다.이러한 조건이 충족되면 최대 결과 필드에서 기준과 일치하는 기록 수를 볼 수 있습니다. 목록에서 가장 오래된 기록이나 첫 번째 기록이 보안 인시던트가 집계되는 상위 기록으로 지정됩니다.
    • 3단계는 페이지에서 집계된 이메일 전송에 대한 하위 인시던트를 생성하시겠습니까? 플래그가 아니요사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 로 설정된 경우에만 적용할 수 있습니다.
      이 경우 피싱 이메일이 보안 인시던트 기록과 연결되고 플로우가 종료됩니다.
      변환 플로우: 작업 3
    • 계된 이메일 전송에 대한 하위 인시던트를 생성하려면 어떻게 해야 합니까? 이(가) 로 설정되고, 플로우는 계속 실행되며 사용자가 보고한 피싱 메일을 기반으로 새 보안 인시던트가 생성됩니다.
      변환 플로우: 작업 4
    • 5단계에서는 피싱 이메일을 수신한 사용자(피싱 이메일의 받는 사람 및 참조 목록에 있는 직원)가 보안 인시던트 기록의 영향을 받는 사용자 관련 목록에 추가됩니다.
      변형 양식: 작업 4
    • 6단계에서는 허용 목록의 옵저버블이 보안 인시던트의 옵저버블 목록에서 필터링됩니다.
      이러한 허용 목록에 있는 옵저버블은 보안 인시던트에 추가되지 않습니다 .
      변환 플로우: 허용 목록 옵저버블 필터링
    • 7단계에서는 사용자가 신고한 피싱 이메일에서 알 수 없는 옵저버블이 식별되어 옵저버블 관련 목록에 추가됩니다.
      변환 플로우: 옵저버블 추가
    • 8단계에서는 이메일의 제목과 보낸 사람 주소의 조합인 이메일 검색 쿼리가 생성됩니다.
      이 정보는 조직에서 피싱을 당한 직원을 식별하는 데 유용합니다.
      변환 플로우: 이메일 검색 쿼리 작성
    • 9단계에서는 사용자가 보고한 피싱 이메일이 보안 인시던트와 연관되어 있고 보안 인시던트 기록(4단계에서 생성됨)이 업데이트됩니다.
      변환 플로우: 보안 인시던트 기록 업데이트
    • 10단계에서는 상위 보안 인시던트가 식별되고 미해결 보안 인시던트 기록인지 확인합니다.
      변환 플로우: 보안 인시던트 기록 조회
    • 상위 보안이 활성 상태이면 하위 및 상위 보안 인시던트 기록에 메모가 추가되어 서로 어떻게 연결되어 있는지 나타냅니다.
    • 12단계에서 영향을 받는 사용자를 찾을 수 없는 경우(플로우의 5단계에서) 작업 메모가 추가되고 보안 인시던트 기록이 업데이트됩니다.
      변환 플로우: 일치하지 않는 사용자에 대한 작업 메모 추가
    • 13단계에서는 허용 목록 옵저버블 목록과 함께 작업 메모가 추가됩니다.
      변환 플로우: 허용 목록 옵저버블 목록 추가

    다음에 수행할 작업

    테스트를 선택하여 플로우가 게시되기 전에 플로우에서 작업을 시뮬레이션할 수 있습니다. 플로우 를 테스트한 후 활성화를 선택하여 플로우를 실행할 수 있도록 활성화합니다.

    플로우의 실행 상세 정보를 보려면 실행을 선택합니다.


    변환 플로우: 실행 상세 정보

    플로우가 실행되면 피싱 이메일 기록이 보안 인시던트로 전환됩니다. 피싱 이메일 기록에서 생성된 보안 인시던트 기록 문서를 참조하십시오.

    피싱 이메일 기록에서 생성된 보안 인시던트 기록

    sn_si_phishing_email 테이블에 저장된 피싱 이메일 기록은 보안 인시던트 기록으로 변환됩니다.

    피싱 이메일 기록과 관련된 보안 인시던트를 보려면 다음을 클릭하십시오. 보안 인시던트 > 피싱 이메일 > 모든 피싱 이메일 표시.


    피싱 이메일 테이블

    피싱 이메일 기록과 연결된 보안 인시던트 열에서 링크를 클릭합니다. 보안 인시던트 상세 정보가 표시됩니다.


    피싱 이메일 기록과 관련된 보안 인시던트

    관련 목록

    보안 인시던트의 관련 링크 섹션까지 아래로 스크롤하고 관련 목록 모두 표시를 클릭합니다. 하위 보안 인시던트, 영향을 받는 사용자, 관련 피싱 이메일과 같은 상세 정보를 봅니다.

    하위 보안 인시던트

    하위 보안 인시던트 탭을 클릭합니다. 적용된 집계 논리를 기반으로 상위 보안 인시던트와 연결된 하위 보안 인시던트 목록을 볼 수 있습니다. 하위 기록이 추가될 때마다 자동화된 시스템 활동이 상위 기록에 추가됩니다(작업 메모 섹션에서). 그러면 보안 분석가에게 집계된 하위 기록에 대한 알림이 전달됩니다.
    주:
    사용자가 보고한 피싱 속성 페이지에서 집 계된 이메일 제출에 대한 하위 인시던트 생성 플래그가 로 설정된 경우에만 여기에서 하위 보안 인시던트를 볼 수 있습니다. 자세한 내용은 다음을 사용자 보고 피싱 속성 정의 참조하십시오.

    연결된 피싱 이메일

    연결된 피싱 이메일 탭을 클릭합니다. 상위 피싱 이메일 기록과 연결된 피싱 이메일 기록(중복 기록) 목록이 표시됩니다.
    연결된 피싱 이메일 기록

    연결된 피싱 이메일 헤더

    연결된 피싱 이메일 탭을 클릭합니다. 보안 인시던트의 일부로 캡처된 피싱 이메일 헤더 상세 정보를 볼 수 있습니다. 상위 보안 인시던트로 집계된 모든 하위 기록과 피싱 이메일 기록의 롤업된 헤더를 볼 수 있습니다.
    연결된 피싱 이메일 헤더

    허용 목록 옵저버블

    플로우가 실행되는 동안 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 보안 인시던트의 상태를 모니터링할 수 있습니다. 특정 옵저버블이 허용 목록 옵저버블 로 표시되면 옵저버블 관련 목록에 추가되지 않습니다 . 옵저버블을 허용 목록에 표시하면 중요한 세부 정보만 표시되도록 할 수 있습니다. 예를 들어 www.google.com 가 허용 목록으로 태그가 지정된 URL 중 하나인 경우 다음 시스템 메시지가 표시됩니다. 허용 목록 옵저버블은 중요한 옵저버블만 모니터링되도록 합니다 .

    일치하지 않는 사용자 캡처

    피싱 이메일의 받는 사람 및 참조 목록에 있는 일부 이메일 ID는 조직 내 사용자에게 속하지 않을 수 있습니다. 이러한 이메일 ID는 일치하지 않는 사용자로 분류되며 영향을 받는 사용자 관련 목록에 포함되지 않습니다. 일치하지 않는 사용자임을 나타내는 작업 메모가 표시됩니다.
    일치하지 않는 사용자

    보안 분석가 작업 공간에서 사용자가 보고한 피싱

    보안 분석가 작업 공간에서 피싱 이메일 기록과 관련된 보안 인시던트를 볼 수 있습니다.

    다음으로 이동 보안 인시던트 > 새 UI. 작업 공간이 별도의 브라우저 탭에서 열립니다. 피싱 이메일 기록과 연결된 보안 인시던트를 선택하여 보안 인시던트를 봅니다.

    쌍안경 아이콘을 선택합니다. 원본 피싱 이메일이 표시됩니다.

    탐색 탭에서 인시던트 > 하위 보안 인시던트.

    선택 인시던트 > 연결된 피싱 헤더 > . 상위 보안 인시던트로 집계된 모든 하위 기록과 피싱 이메일 기록의 롤업된 헤더를 볼 수 있습니다.

    피싱 이메일 링크를 선택하여 보안 인시던트와 관련된 피싱 이메일 기록을 봅니다.

    인시던트 타임라인 탭을 선택합니다.

    강조 표시된 시스템 업데이트를 볼 수 있습니다.
    • 중복 하위 기록이 식별되었습니다.
    • 허용 목록 옵저버블입니다.
    • 피싱 이메일을 받았지만 영향을 받는 사용자 목록에 속하지 않는 일치하지 않는 사용자입니다.

    자주 묻는 질문

    이 섹션에서는 향상된 사용자 보고 피싱 기능에 대해 자주 묻는 질문을 다룹니다.

    1. 새 보안 인시던트 응답 스포크를 설치했지만 사용자가 보고한 피싱 인시던트를 볼 수 없습니다.

      기본적으로 사용자 보고 피싱 기능은 비활성화되어 있습니다.

      이 기능을 사용하려면 읽기 전용 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 플로우의 사본을 만들어 활성화한 후 사용해야 합니다.

    2. 피싱 이메일을 수집하여 보안 인시던트로 전환하는 동안 피싱 이메일의 악성 링크와 첨부 파일을 처리하기 위해 어떤 예방 조치가 사용됩니까?

      바이러스 백신 스캐너는 ServiceNow 이러한 악성 첨부 파일 및 링크를 검사합니다. 그러나 보안 분석가가 인시던트를 정확하게 조사할 수 있도록 애플리케이션은 보안 인시던트 응답 피싱 이메일의 일부인 모든 아티팩트를 캡처합니다. 그러나 사용자 보고 피싱 기능은 보안 분석가가 실수로 이러한 링크를 클릭하지 않도록 피싱 이메일의 악성 링크를 음소거합니다. 악성 첨부 파일과 관련하여 보안 분석가는 다운로드에 주의해야 합니다.

    3. 보안 인시던트 보강을 위해 피싱 이메일의 일부인 모든 악성 파일을 캡처합니까?

      예, 피싱 이메일에서 모든 파일을 캡처합니다. 이러한 상세 정보는 파일 해시 형태로 보안 인시던트 옵저버블의 일부로 사용할 수 있습니다.

    4. 조사를 위해 피싱 이메일에서 샌드박스 인스턴스로 악성 파일과 링크를 전송합니까?

      현재는 악성 파일 및 링크를 조사하기 위한 바로 사용 가능 샌드박스 통합을 지원하지 않습니다.

    5. 수신되는 중복 피싱 이메일 기록이 상위 보안 인시던트와 연결되는 기간을 정의하는 기간 또는 트리거가 있습니까?

      중복 피싱 이메일 기록은 활성 상위 보안 인시던트에만 집계됩니다. 상위 인시던트가 종결되거나 취소된 경우 수신되는 새 중복 피싱 이메일은 새 보안 인시던트로 생성됩니다. 그러나 이 시나리오에서는 새 보안 인시던트 내에서 유사한 보안 인시던 트 관련 목록에서 종결되거나 취소된 상위 보안 인시던트를 볼 수 있습니다.

      주:
      이 동작은 플로우 디자이너를 사용하여 구성할 수 있습니다.
    6. 사용자 보고 피싱 기능은 이메일 헤더 세부 정보를 캡처하기 위해 Microsoft Outlook PhishAlarm 플러그인(이전의 Wombat)만 사용할 수 있도록 지원합니까?

      사용자 보고 기능은 이메일 헤더를 구문 분석하고 RFC822 표준을 준수하도록 구축되었습니다. 따라서 PhishAlarm 플러그인(이전의 Wombat)과 마찬가지로 RFC822 표준을 기반으로 이메일 헤더를 캡처하는 다른 모든 Microsoft Outlook 플러그인이 지원됩니다.