이 플레이북을 사용하여 Office 365에서 검색된 악성 파일을 조사합니다. 다음 단계에서는 Office 365 악성 파일 검색 플레이북에서 사용할 수 있는 작업, 작업 및 하위 흐름에 대한 연습을 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
프로시저
-
플레이북이 트리거되고 실행이 시작되면 작업 1에서 Office 365 콘솔에서 악성 파일을 추출해야 합니다.
-
작업 2에서는 파일 또는 해시가 위협 인텔 플랫폼에서 옵저버블로 추가되었는지 여부를 분석해야 합니다.
-
작업 3에서는 파일 이름과 경로를 조사하여 알려진 파일/응용 프로그램인지 또는 악의적이지 않은 파일/응용 프로그램인지 확인해야 합니다.
그림 1. Office 365 악성 파일 탐지 플레이북
-
작업 4에서는 결과를 분석하기 위해 파일을 샌드박스에 제출해야 합니다.
-
조치 5에서는 지금까지 수행된 조사를 기반으로 파일 또는 해시가 악성인지 여부를 확인해야 합니다.
파일 또는 해시가 악의적이지 않은 경우 작업 5에서 수동 응답 작업이 만들어지고 흐름이 종료됩니다.
-
작업 6에서 파일 또는 해시가 악성인 경우 작업 7과 8이 실행됩니다.
-
작업 7에서는 디바이스에 악성 파일이 있는 이유에 대한 유효한 비즈니스 정당성을 위해 최종 사용자에게 연락해야 합니다.
파일 또는 해시가 악성인 경우 플레이북의 기존 이메일 템플릿을 사용하여 최종 사용자에게 설명을 요청하는 이메일을 보낼 수 있습니다.
-
작업 8에서는 최종 사용자가 유효한 비즈니스 정당성을 제공했는지 여부를 확인해야 합니다.
최종 사용자가 올바른 비즈니스 정당성을 제공하면 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
-
작업 9에서 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 작업 10, 11 및 12가 실행됩니다.
그림 2. 악성 파일에 대한 비즈니스 정당화
-
작업 10에서는 유효한 비즈니스 정당성이 없었으므로 검토를 위해 악성 파일 또는 해시를 위협 인텔리전스 팀에 전달할 수 있습니다.
-
작업 11에서는 맬웨어 바이트 스캐너 스크립트를 실행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
작업 12에서는 포렌식 분석을 수행하여 파일 또는 해시가 악성인지 확인해야 합니다.
-
작업 13에서는 사용자가 작업을 종결하기 전에 사후 인시던트 검토를 완료할 수 있는 응답 작업이 생성됩니다.