사용자가 보고한 피싱 및 맬웨어 공격에 대한 사이팅 검색

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 9분

    • 이메일 또는 옵저버블에 대한 사이팅 검색을 수행하여 네트워크에서 피싱 공격 또는 악성 IP 또는 URL과의 통신과 같은 특정 유형의 공격이 발생하는 빈도를 확인합니다. 각 발생은 목격으로 간주됩니다. 옵저버블에 대한 사이팅 검색은 로그 저장소 또는 SIEM(보안 정보 및 이벤트 관리)에 대해 구성해야 합니다.

    이 3분짜리 비디오를 시청하여 사이팅 검색 기능을 사용하여 피싱된 사용자를 찾고 네트워크의 로그 저장소 내에서 피싱 및 맬웨어 옵저버블을 추적하는 방법을 알아보십시오.

    다음 용어는 사용자가 보고한 피싱 공격을 설명하는 데 사용됩니다.
    • 피싱 사용자: 피싱 이메일을 받은 사용자입니다.
    • 피해자 사용자: 일반적으로 피싱 이메일의 링크를 클릭하여 피싱 URL과 상호작용한 사용자입니다. 이 작업을 수행하면 자격 증명이 공격자에게 노출될 수 있습니다.
    피싱 인시던트 분석을 시작할 때 이메일 사이팅 검색을 수행 하거나 옵저버블 사이팅 검색을 수행 하여 동일한 피싱 공격의 영향을 받는 조직의 다른 사용자를 식별할 수 있습니다. 로그 저장소를 검색하여 피싱된 사용자와 피해를 입은 사용자를 식별합니다. 영향을 받는 사용자 목록을 식별한 후 에서 사용할 수 있는 보안 인시던트 응답도구를 사용하여 포괄적인 인시던트 응답 절차를 수행할 하위 보안 인시던트를 생성합니다.
    주:
    다음 방법을 사용하여 사이팅 검색을 수행할 수도 있습니다.
    • 다음으로 이동 보안 인시던트 > 모든 인시던트 표시 을 클릭하고 보안 인시던트를 클릭합니다.
    • 관련 링크에서 IoC 표시 를 클릭합니다. 옵저버블 목록이 표시됩니다.
    • 목록에서 옵저버블을 선택하고 작업 목록에서 다음 옵션 중 하나를 선택합니다.
      • 웹 트래픽 사이팅 검색 실행
      • 이메일 트래픽 사이팅 검색 실행
    • 시간 프레임을 지정하고 검색을 클릭하여 사이팅 검색을 수행합니다.

    저장된 사이팅 검색 구성

    사이팅 검색을 구성하고 SIEM 또는 옵저버블 인스턴스의 기타 로그 저장소에 대한 저장된 구성을 생성하여 환경에 악의적인 옵저버블이 있는지 확인합니다.
    주:
    저장된 검색 및 현재 위치 쿼리는 Splunk 통합에 대해서만 지원됩니다.

    사용자가 보고한 피싱 공격에 대해 이메일 사이팅 검색을 수행합니다.

    이메일 제목, 보낸 사람 이름 또는 메시지 ID와 같은 옵저버블을 기반으로 피싱 이메일을 받은 사용자를 검색합니다. 그런 다음 조직에서 이러한 피싱 이메일을 억제하고 근절할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    Splunk 이메일 트래픽 로그를 검색하여 의심스러운 이메일의 수신자 목록을 수집합니다. 이메일 보낸 사람, 이메일 메시지 ID 또는 보안 인시던트에 연결된 이메일 제목을 기준으로 검색을 수행할 수 있습니다.
    주:
    • 이메일 기반 옵저버블에 대한 사이팅 검색의 구현은 Splunk Enterprise 로그 저장소에서만 테스트되었습니다.
    • Splunk 로그 이벤트는 사이팅 검색 쿼리에 대해 CIM(공통 정보 모델)을 준수해야 정확한 결과를 반환할 수 있습니다.

    프로시저

    1. 팀에 할당된 보안 인시던트를 보려면 다음으로 이동합니다. 보안 인시던트 > 인시던트(새 UI).
    2. 보안 인시던트 목록에서 모든 열린 인시던트, 사용자에게 할당된 모든 인시던트 또는 모든 인시던트와 같은 필터 중 하나를 선택합니다.

      중요한 인시던트 또는 피싱 이메일과 같은 특정 유형의 보안 인시던트를 보려면 빠른 필터 중 하나를 클릭합니다.

      보안 인시던트
    3. 분석할 보안 인시던트를 클릭합니다.

      개요 탭은 옵저버블, 영향을 받는 사용자 및 유사한 보안 인시던트 목록을 포함하여 보안 인시던트에 대한 개요를 제공합니다.

      개요 탭
    4. 탐색 탭을 클릭합니다.
    5. 인시던트 데이터에서 조사 > 이메일 및 옵저버블 검색.
      이메일 검색
    6. 검색 기준 섹션을 확장합니다.
    7. 실행할 검색 유형으로 이메일 검색을 선택하고 나머지 검색 조건을 지정합니다.
      표 1. 검색 기준 양식
      필드 설명
      통합 통합 유형. 목록에서 로그 저장소 를 선택합니다.
      주:
      이 기능은 Splunk 로그 저장소에서만 지원됩니다.
      시작 보낸 사람의 전체 이메일 주소(예: jane.doe@example.com)입니다.
      메시지 ID 로그 저장소의 이메일 메시지 ID입니다.
      제목 피싱 이메일의 제목입니다.
      검색 기간 검색할 기간(예: 지난 24시간)입니다.
    8. Select Action(작업 선택) 목록에서 Search(검색)를 선택하고 Run(실행)을 클릭합니다.

      Splunk 로그 저장소는 입력한 조건을 사용하여 검색되며 피싱 공격의 대상이 된 사용자가 이메일 검색 결과 탭에 표시됩니다. 총 피싱 이메일 수와 이메일 수신 날짜, 수신자, 메시지 ID 등 각 이메일의 상세 정보가 표시됩니다.

    9. 피싱 이메일을 받은 사용자 목록을 보려면 검색 날짜 열에서 > 기호를 클릭합니다.
      이메일 검색 결과
    10. 이메일을 받은 사용자 목록을 보려면 다음으로 이동합니다. 사용자 > 영향을 받는 사용자.

      피싱된 사용자 열은 이메일 받는 사람을 식별합니다.

      주:
      영향을 받는 사용자 페이지에는 ServiceNow 인스턴스에 있는 사용자 기록만 표시됩니다.
    11. 피싱 공격의 대상인 사용자를 자세히 조사하려면 다음 단계를 수행합니다.
      1. 사용자 이름 옆에 있는 확인란을 선택합니다.
      2. 목록에서 하위 보안 인시던트 생성을 선택하고 실행을 클릭합니다.
      하위 보안 인시던트가 생성되었음을 알리는 메시지가 표시됩니다. 상위 인시던트와 관련된 하위 보안 인시던트를 보려면 탐색 탭을 클릭하고 인시던트 > 하위 보안 인시던트.

    결과

    피싱된 사용자 목록이 표시됩니다.

    사용자가 보고한 피싱 및 맬웨어 공격에 대해 옵저버블 사이팅 검색을 수행합니다.

    옵저버블에 대한 사이팅 검색을 수행하여 특정 기간 내에 악의적이거나 의심스러운 웹 사이트를 방문한 사용자 수를 확인합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    보안 인시던트와 관련된 URL, 대상 호스트 또는 대상 IP 주소와 같은 옵저버블에서 네트워크 트래픽 검색을 수행할 수 있습니다.
    주:
    • 옵저버블에 대한 사이팅 검색의 구현은 Splunk Enterprise 로그 저장소에서만 테스트되었습니다.
    • Splunk 로그 이벤트는 사이팅 검색 쿼리에 대해 CIM(공통 정보 모델)을 준수해야 정확한 결과를 반환할 수 있습니다.

    프로시저

    1. 팀에 할당된 보안 인시던트를 보려면 다음으로 이동합니다. 보안 인시던트 > 인시던트(새 UI).
    2. 보안 인시던트 목록에서 나에게 할당된 모든 인시던트, 모든 미해결 인시던트 또는 모든 인시던트와 같은 다른 필터를 선택합니다.

      중요한 인시던트 또는 피싱 이메일과 같은 특정 유형의 보안 인시던트를 보려면 빠른 필터 중 하나를 클릭합니다.

      보안 인시던트
    3. 분석할 보안 인시던트를 클릭합니다.

      옵저버블, 영향을 받는 사용자 및 유사한 보안 인시던트 목록을 포함하여 보안 인시던트의 개요를 볼 수 있습니다.

      개요 탭

      옵저버블 섹션에서 옵저버블 열에 이메일 주소, 제목 및 URL이 표시됩니다. 또한 발견 사항 열에는 피싱 이메일이 제출되고 알려진 악성 URL로 확인되었을 때 URL이 자동으로 검사되었음을 보여줍니다. 인시던트 수 열에는 동일한 옵저버블을 공유하는 다른 인시던트가 표시됩니다. 이러한 아티팩트는 조직에서 영향을 받은 사용자 수를 확인하는 것을 포함하여 이 피싱 공격에 대한 포함 절차로 이동할 준비가 되었음을 나타냅니다.

      옵저버블

    4. 다음으로 이동 탐색 > 조사 > 이메일 및 옵저버블 검색.
    5. Search Criteria(검색 기준) 섹션을 확장하고 Observable Search(옵저버블 검색)를 클릭합니다.
      옵저버블 검색
    6. 검색 중인 옵저버블과 검색할 기간(예: 지난 24시간)을 입력합니다.
    7. 작업 선택 목록에서 검색을 선택합니다.
      Splunk 로그 저장소는 입력한 조건을 사용하여 검색되고 악의적인 공격의 대상이 되는 주요 사용자가 옵저버블 검색 결과 탭에 표시됩니다.옵저버블 검색 결과
    8. 이메일을 받은 사용자를 보려면 다음으로 이동합니다. 사용자 > 영향을 받는 사용자.

      피싱된 사용자 열은 피싱 이메일의 수신자를 식별하고, 사용자 상호작용 열은 피싱 URL을 클릭했거나 의심스러운 이메일 주소와 상호작용한 사용자를 식별합니다. 사용자 상호 작용 열은 사용자가 악성 링크 또는 IP를 클릭했는지 여부에 따라 true 또는 false로 설정됩니다.

      주:
      영향을 받는 사용자 페이지에는 ServiceNow 인스턴스에 있는 사용자 기록만 표시됩니다.
    9. 피싱 이메일을 클릭하여 자격 증명을 손상시켰을 가능성이 있는 사용자를 자세히 조사하려면 다음을 수행합니다.
      1. 피싱된 사용자 및 사용자 상호 작용 열 모두에서 true로 표시되는 사용자 이름 옆에 있는 확인란을 선택합니다.
      2. Create Child Security Incident(하위 보안 인시던트 생성)를 클릭한 다음 Run(실행)을 클릭합니다.
        하위 보안 인시던트가 생성되었음을 알리는 메시지가 표시됩니다. 상위 인시던트와 관련된 하위 보안 인시던트를 보려면 탐색 탭을 클릭하고 인시던트 > 하위 보안 인시던트.

    결과

    피싱된 사용자 목록이 표시됩니다.

    사이팅 검색 구성 기록 생성

    여러 사이팅 검색 구성 기록을 생성하고 여러 로그 저장소를 쿼리하거나 검색 매개변수를 변경하면서 사용합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    • Splunk 인스턴스에 CIM 추가 기능을 설치해야 합니다.
    • 저장된 검색 및 현재 위치 쿼리는 Splunk 통합에 대해서만 지원됩니다.

    이 태스크 정보

    사이팅 검색 구성 레코드를 생성하여 Splunk 엔터프라이즈 로그 저장소에 저장된 검색을 호출할 수도 있습니다.
    주:
    검색 구성 쿼리는 Splunk CIM(공통 정보 모델)을 준수하기 위해 Splunk 로그 데이터를 사용합니다.
    저장된 검색 구성을 사용하여 다음을 수행할 수 있습니다.
    • 여러 이벤트 기록을 결합하는 사용자 지정 검색을 생성합니다.
    • 디자인 효율적이고 효과적인 검색.
    • Splunk 저장된 검색에 매개변수형 입력을 사용합니다.

    기본 시스템에는 다음 이미지에 표시된 대로 샘플 컨피그레이션이 포함되어 있습니다.

    그림 1. 저장된 검색 구성
    검색 구성
    저장된 검색 및 Inplace 구성 쿼리는 예제 쿼리이며 사용자 환경에 적합한 매개 변수로 대체할 수 있습니다. 필요에 따라 저장된 검색 구성을 추가로 생성합니다. 저장된 검색 구성을 정의할 때 검색 쿼리의 이름과 매개변수는 Splunk 인스턴스에 정의된 저장된 구성과 일치해야 합니다. 이름과 매개변수가 동일하지 않으면 사이팅 검색을 수행할 때 정확한 결과를 못할 수 있습니다.
    주:
    Splunk 인스턴스에서 검색, 보고서 및 경보 페이지로 이동하여 저장된 검색 쿼리를 찾습니다. 권한(Permissions) 링크를 클릭하여 권한(Permissions) 페이지로 이동합니다. All Apps(모든 앱) 라디오 버튼을 선택하고 Everyone(모두)에 대해 Read Permission(읽기 권한) 옵션을 활성화합니다. 이렇게 하면 저장된 검색 쿼리에 대해 공유 열 값이 비공개에서 앱으로 변경됩니다. 이 옵션을 설정하지 않으면 저장된 검색 쿼리가 결과를 반환하지 않을 수 있습니다.

    저장된 검색 구성이 Splunk 인스턴스에 정의된 구성과 일치하는지 확인하려면 다음을 수행합니다.

    1. 다음으로 이동 설정 > 검색, 보고서 및 경보.
    2. 앱 컨텍스트를모두로 변경합니다.

      검색 보고서 목록이 표시됩니다.

    3. 저장된 검색 쿼리가 목록에 있는지 확인합니다.
    예를 들어, 사이팅 검색 구성 양식에는 이메일 주소와 이메일 발신자가 검색 매개변수로 포함되어 있습니다.
    그림 2. 사이팅 검색 구성 양식
    저장된 구성

    Splunk 인스턴스에서 이메일 주소 및 이메일 제목에 대해 동일한 이름, 기본 저장된 검색 - 이메일, 동일한 검색 매개변수로 저장된 검색을 정의합니다. 이름과 검색 매개변수가 동일하지 않으면 사이팅 검색이 정확한 결과를 생성하지 않습니다.

    프로시저

    1. 다음으로 이동 보안 운영 > 통합 > 사이팅 검색 구성 을 클릭하고 새 기록을 생성합니다(필드 설명은 표 참조).
      표 2. 사이팅 검색 구성 양식
      필드 설명
      이름 구성의 이름입니다.
      저장된 검색 여부 이 옵션을 선택하면 저장된 검색 구성이 생성됩니다.
      관찰 검색 소스 사이팅 검색의 소스입니다. Splunk 로그 저장소를 소스로 선택합니다.
      활성 저장된 검색 상태에 대한 옵션입니다. 활성 검색 구성만 사이팅 검색을 수행하는 데 사용할 수 있습니다.
      옵저버블 유형 옵저버블 유형은 IP, 해시 값, URL, 도메인 이름 등의 모든 옵저버블 유형일 수 있습니다.
      검색당 최대 옵저버블 검색에서 반환될 최대 옵저버블 수입니다.
      검색 기본 검색 문자열은 $(observable)이지만 Splunk 로그 저장소에서 지원하는 매개변수를 지정하여 고유한 검색 쿼리를 정의할 수 있습니다.
    2. 제출을 클릭합니다.

    결과

    사이팅 검색 구성 기록을 생성했습니다.

    다음에 수행할 작업

    검색 쿼리를 정의한 후 사이팅 검색 테스트 쿼리 생성을 클릭하고 옵저버블 값 목록을 지정하여 이 저장된 검색 구성을 기반으로 테스트 쿼리를 생성합니다.