이 플레이북을 사용하여 Office 365에서 검색된 악성 파일을 조사합니다. 다음 단계에서는 Office 365 악성 파일 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
프로시저
-
Playbook이 트리거되고 실행을 시작하면 작업 1에서 Office 365 콘솔에서 악성 파일을 추출해야 합니다.
-
작업 2에서는 파일 또는 해시가 위협 인텔리전스 플랫폼에서 옵저버블로 추가되었는지 여부를 분석해야 합니다.
-
작업 3에서는 파일 이름과 경로를 조사하여 알려진 파일/애플리케이션인지 아니면 악의가 아닌 파일/애플리케이션인지 확인해야 합니다.
-
작업 4에서는 결과를 분석하기 위해 파일을 Sandbox에 제출해야 합니다.
-
작업 5에서는 지금까지 수행한 조사를 기반으로 파일 또는 해시가 악성인지 여부를 확인해야 합니다.
파일 또는 해시가 악성이 아닌 경우 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
-
작업 6에서 파일 또는 해시가 악성인 경우 작업 7과 8이 실행됩니다.
-
작업 7에서는 최종 사용자에게 연락하여 장치에 악성 파일이 있는 이유에 대한 유효한 비즈니스 정당성을 확인해야 합니다.
파일 또는 해시가 악성인 경우 플레이북의 기존 이메일 템플릿을 사용하여 최종 사용자에게 설명을 요청하는 이메일을 보낼 수 있습니다.
-
작업 8에서는 최종 사용자가 유효한 비즈니스 정당성을 제공했는지 여부를 확인해야 합니다.
최종 사용자가 유효한 비즈니스 정당성을 제공하면 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
-
작업 9에서 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 작업 10, 11, 12가 실행됩니다.
-
작업 10에서는 유효한 비즈니스 정당성이 없었기 때문에 검토를 위해 악성 파일 또는 해시를 위협 인텔리전스 팀에 전달할 수 있습니다.
-
작업 11에서는 맬웨어 바이트 스캐너 스크립트를 실행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
작업 12에서는 포렌식 분석을 수행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
작업 13에서는 사용자가 작업을 종결하기 전에 사후 인시던트 검토를 완료할 수 있도록 응답 작업이 생성됩니다.