이 플레이북을 사용하여 과거에 정확하거나 유사한 피싱 보고서에서 인시던트 응답이 제공되었는지를 조사하고 새 보고서에서도 유사하게 자동으로 작동합니다. 다음 단계에서는 반복 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
프로시저
-
Playbook이 트리거되고 실행을 시작하면 작업 1에서 Playbook은 일 구성을 사용하여 보안 인시던트의 상대 날짜를 검색합니다.
-
작업 2에서 플레이북은 메시지 ID를 기준으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 조회합니다.
-
작업 3에서 플레이북은 메시지 ID와 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
-
작업 4에서 Playbook은 지금까지 수행한 조사를 기반으로 메시지 ID를 기반으로 일치하는 인시던트를 찾을 수 있는지 여부를 확인합니다.
작업 5에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지 자동화를 기반으로 일치하는 항목이 발견되었다는 작업 메모를 자동으로 업데이트합니다. 작업 6에서는 플로우가 종료됩니다.
-
일치하는 인시던트를 찾을 수 없는 경우 작업 7에서 Playbook은 제목을 기준으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 조회합니다.
-
작업 8에서 Playbook은 제목과 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
-
작업 9에서 플레이북은 일치하는 인시던트가 있는지 여부를 확인합니다.
작업 10에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지 자동화를 기반으로 일치하는 인시던트가 발견되었다는 작업 메모를 자동으로 업데이트합니다. 작업 11에서는 플로우가 종료됩니다.
-
작업 12에서 플레이북은 주소를 기준으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 조회합니다.
-
작업 13에서 플레이북은 주소와 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
-
작업 14에서 플레이북은 주소를 기반으로 일치하는 인시던트를 찾을 수 있는지 확인합니다.
작업 15에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지를 위한 자동화를 기반으로 일치하는 항목이 발견되었다는 작업 메모를 자동으로 업데이트합니다. 작업 16에서는 플로우가 종료됩니다.