플레이북으로 보안 위협 해결

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 7분

    • 플레이북을 사용하여 특정 유형의 보안 위협을 단계별로 해결합니다. 예를 들어 플레이북을 사용하여 악성 코드 활동으로 인한 피싱 공격 및 위협을 해결할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin 또는 admin

    이 태스크 정보

    각 작업 그룹(분석, 포함 등)은 위협을 해결하기 위한 일련의 질문과 기타 활동을 안내합니다.
    그림 1. 플레이북
    플레이북 예

    각 작업을 진행하면서 향후 유사한 공격을 분석하는 데 도움이 되는 작업 메모를 입력합니다. 위협이 식별되면 플레이북의 정보를 사용하여 위협을 격리하고, 유사하게 영향을 받은 자산을 격리하고, 맬웨어를 제거할 수도 있습니다.

    각 작업에 포함된 지식 문서는 필요한 단계를 수행하는 데 도움이 되는 팁과 기타 정보를 제공합니다.
    그림 2. 지식 문서
    피싱 작업을 지원하는 지식 문서

    기본 시스템에는 각 플레이북 작업에 대한 지식 문서가 포함되어 있습니다. 하지만, 자신만의 지식 문서를 작성 하여 플레이북 작업에 연결할 수는 있습니다.

    주:
    플레이북을 사용하여 특정 위협을 분석하고 해결하는 방법의 예는 를 참조하십시오 사용자가 보고한 피싱 공격을 Playbook으로 해결.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 인시던트(새 UI).
      보안 인시던트 화면에는 사용자에게 할당된 보안 인시던트가 표시됩니다.
      보안 인시던트
    2. 나에게 할당 선택 목록을 클릭하여 모든 미해결 인시던트 또는 모든 미할당 인시던트 같은 다른 필터를 선택할 수 있습니다.
      또는 빠른 필터 중 하나를 클릭하여 중요 인시던트만과 같은 특정 유형의 보안 인시던트를 볼 수 있습니다.
    3. 분석할 보안 인시던트를 클릭합니다.

      위험 점수가 높은 보안 인시던트의 우선순위를 고려합니다.

    4. 화면 오른쪽 에지의 플레이북 창이 닫혀 있으면 플레이북 아이콘( Playbook)을 클릭하여 엽니다.
      보안 인시던트에 할당된 플레이북이 없는 경우 아래와 같이 선택한 플레이북 선택 목록에서 플레이북을 선택할 수 있습니다.

      Playbook 선택
      보안 인시던트에 다른 Playbook을 할당할 수도 있습니다. 선택한 플레이북 선택 목록에 플레이북을 포함하거나 보안 인시던트에 대한 플레이북을 변경하려면 자세한 내용을 참조하십시오 분석가 선택을 위해 Playbook 사용 .

      보안 위협 유형별 플레이북이 열립니다. 유사한 작업의 범주로 나뉩니다. 예를 들어 분석 그룹의 작업을 사용하여 위협의 유효성과 범위를 확인할 수 있습니다. 포함 그룹에는 특정 사용자 또는 자산에 대한 위협을 격리하기 위한 작업이 포함되어 있습니다. 근절 그룹의 작업은 맬웨어를 제거하거나 호스트를 이미지로 다시 설치하는 프로세스를 안내합니다.

    5. 첫 번째 그룹(분석)을 클릭한 다음 플레이북의 첫 번째 작업을 클릭합니다.
    6. 작업의 프롬프트를 따릅니다.
      • 일부 작업에서는 "이메일이 캠페인의 일부입니까?"와 같은 질문을 합니다. 필요한 분석을 수행하여 질문에 답하고 또는 아니요를 선택합니다.
      • 지식 문서를 정의하고 플레이북 작업과 연결한 경우 작업에 대한 업무를 시작할 때 문서가 표시됩니다.
      • 일부 작업은 과도기적입니다. 보안 인시던트에 옵저버블을 추가하는 등의 작업을 수행하도록 지시할 뿐입니다. 작업을 완료한 후 완료됨으로 표시를 클릭합니다.
      작업을 완료하면 선택한 사항에 따라 후속 작업이 표시됩니다. 회색으로 표시된 그룹(예: 복구, 검토 등)은 선택에 따라 활성화될 수 있습니다.
    7. 위협을 해결하고 보안 인시던트를 종결하기 위한 모든 작업을 완료할 때까지 제공된 각 작업에 대한 작업을 계속합니다.

    사용자가 보고한 피싱 공격을 Playbook으로 해결

    피싱 플레이북은 회사 직원 중 한 명이 보고한 피싱 공격을 분석하고 해결하는 데 필요한 작업을 안내합니다.

    사용자가 보고한 피싱 공격에서 보안 인시던트가 생성되는 방법

    보안 인시던트 응답을 설정하는 동안 시스템 관리자는 피싱 공격의 징후가 포함된 이메일을 식별할 수 있는 일련의 이메일 일치 규칙을 만듭니다. 직원이 피싱 공격의 일반적인 징후(보안 정책에 정의된 대로)가 포함된 의심스러운 이메일을 받으면 . 조직에서 정의한 피싱 이메일 주소에 대한 EML 첨부 파일입니다.

    피싱 이메일 주소로 이메일이 수신되면 . EML 첨부 파일이 구문 분석되고 해당 정보가 이메일 일치 규칙과 비교됩니다. 일치하는 항목이 발견되면 다음 정보가 포함된 보안 인시던트가 생성됩니다.
    • 짧은 설명에는 사용자가 보고한 피싱이 포함되며 뒤이어 원래 이메일의 실제 제목이 표시됩니다.
    • 이 . EML 파일이 보안 인시던트에 첨부되어 있습니다.
    • 만약에 . EML에 옵저버블이 포함되어 있고, 구문 분석되며, 보강 및 위협 조회가 자동으로 수행됩니다.
    그림 3. 사용자가 보고한 피싱
    사용자가 보고한 피싱 보안 인시던트
    피싱 범주 보안 인시던트가 열리면 피싱 플레이북을 자동으로 사용할 수 있게 됩니다. 플레이북 아이콘( Playbook)을 클릭하여 플레이북을 열기만 하면 됩니다.
    그림 4. 피싱 플레이북
    피싱 플레이북 창

    피싱 플레이북에는 피싱 위협을 분석, 억제 및 근절하는 데 도움이 되는 작업이 포함되어 있습니다. 작업은 상태(예: 분석, 포함 등)로 구성됩니다. 상태에 대한 모든 작업이 완료되면 플레이북이 다음 상태로 안내합니다.

    보안 인시던트 상세 정보 분석

    보안 인시던트가 분석 상태인 경우 다음을 포함하여 인시던트에 대한 기본적인 조사를 수행하는 작업이 제공됩니다.
    • 인시던트의 유효성을 결정합니다.
    • 잠재적 위협의 영향을 연구합니다.
    • 인시던트에 대한 효과적인 대응 조정
    작업을 진행하면서 다음을 수행합니다.
    • 지식 문서를 숙지합니다.
    • 이메일 첨부 파일을 열고 일반적인 피싱 요소의 징후가 있는지 검사합니다.
    • 위협 조회 결과를 검토합니다.

    보안 인시던트 포함

    보안 인시던트가 포함 상태인 경우 이메일의 세부 정보를 검토하는 작업이 제공됩니다. 위협이 조직에 침입할 수 없도록 하려면 IDS(침입 방어 시스템) 및 IPS(침입 방지 시스템) 서명 및 규칙의 형태로 네트워크 방어를 업데이트하십시오.

    작업을 진행하면서 다음을 수행합니다.
    • 영향을 받는 장치를 격리하는 등 위협 영향을 제한하는 조치를 취합니다.
    • 이메일에 첨부된 옵저버블을 검사합니다.
    • 다음을 포함하여 이메일 콘텐츠가 알려진 위협과 관련이 있는지 확인합니다.
      • URL
      • 이메일 발신자
      • 피싱 URL
      • 보낸 사람 SMTP 서버의 IP 주소

    악성코드 근절

    업데이트된 서명 및 규칙을 바이러스 백신 솔루션에 배포한 후 근절 상태의 작업을 사용하여 맬웨어가 있는지 확인하고 그에 따라 처리합니다.

    작업을 진행하면서 다음을 수행합니다.
    • 영향을 받는 장치의 엔드포인트에서 맬웨어가 있는지 검사합니다.
    • 발견된 맬웨어를 제거합니다.
    • 최후의 수단으로 호스트 장치를 지우고 이미지로 다시 설치합니다.

    보안 인시던트 검토

    분석 작업을 수행할 때 피싱 공격이 거짓 경보인 것으로 확인되면 보안 인시던트가 검토 상태로 이동하고 이메일 첨부 파일을 열어도 안전하다는 것을 사용자에게 알려야 합니다.

    보안 인시던트 종결

    Playbook의 모든 작업이 완료되면 보안 인시던트가 종결 상태로 이동됩니다. 인시던트를 종결하려면 먼저 종결 코멘트를 입력해야 합니다.

    보안 인시던트 취소

    보안 인시던트가 검토 상태이고 사용자에게 이메일이 위협이 아님을 성공적으로 알린 경우 취소됨 상태가 활성화되고 보안 인시던트를 취소할 수 있습니다.

    주:
    복구 작업은 피싱 Playbook에서 사용되지 않습니다.

    지식 문서를 플레이북 작업과 연결

    플레이북을 보안 인시던트 응답 사용하여 보안 위협을 분석할 때, 조직에서 정의한 경우 각 작업에 대한 지식 문서를 볼 수 있습니다. 지식 문서가 없는 경우 문서를 생성하여 플레이북 작업과 연결할 수 있습니다.

    시작하기 전에

    에서 보안 인시던트 응답플레이북을 사용할 때 각 작업과 연결된 텍스트를 기록해 둡니다. 예를 들어 피싱 범주의 첫 번째 작업은 경보 직원 제출이었습니까? 이는 작업에 대한 짧은 설명이며, 지식 문서를 작업과 연결하려면 이 텍스트(플레이북에 표시된 그대로)가 필요합니다.

    필요한 역할: sn_sir.knowledge_admin, sn_si.admin 또는 admin

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 카탈로그 및 지식베이스 > 지식.
    2. 특정 플레이북 작업에 대한 지식 문서를 만들고 게시합니다.
    3. 다음으로 이동 보안 인시던트 > 수동 Runbook > 새 Runbook 생성.
    4. 다음 정보를 입력하여 Runbook을 만듭니다.
      필드 설명
      지식 문서 플레이북 작업과 연결하려는 게시된 지식 문서를 선택합니다.
      테이블 작업 [sn_si_task]을 선택합니다 보안 인시던트 응답 .
      조건 조건 작성기를 다음으로 설정합니다.
      • 선택:간단한 설명을 선택합니다.
      • 연산자:다음과 같음을 선택합니다.
      • 입력 값: 플레이북에 표시되는 대로 작업에 대한 간단한 설명을 정확하게 입력합니다.
    5. 제출을 클릭합니다.
      다음에 플레이북을 실행하고 이 작업을 선택하면 연결된 지식 문서가 표시됩니다.

    플레이북에 사용자 지정 작업 추가

    기본 시스템에는 보안 분석가 작업 공간 각 위협 범주에 대한 일련의 작업이 포함되어 있습니다. 시스템 또는 고객의 고유한 요구를 충족하는 사용자 지정 작업을 생성할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.basic 또는 security_admin

    프로시저

    1. 플레이북이 열리면 작업 추가를 클릭합니다.
      작업 추가 버튼을 클릭합니다.
      사용자 지정 작업 추가 화면이 열립니다.
      사용자 지정 플레이북 작업 추가
    2. 필요에 따라, 필드를 채웁니다.
      필드 설명
      번호 [읽기 전용] 자동으로 생성된 보안 인시던트 작업 번호입니다.
      상위 관련 보안 인시던트의 수입니다.
      구성 항목 보안 문제의 영향을 받는 구성 항목입니다(있는 경우).
      영향을 받는 사용자 보안 문제의 영향을 받는 사용자입니다(있는 경우).
      우선순위 이 작업을 수행해야 하는 시기를 결정하는 데 사용되는 우선순위를 선택합니다.
      보안 인시던트 상태 보안 응답 작업의 현재 상태입니다. 필요한 경우 미래 상태를 선택할 수 있습니다.
      결과 유형 sn_si.basic 역할이 있는 경우 결과 유형으로 예/아니요 를 선택합니다.

      security_admin 역할이 있는 경우 여러 사용자 지정 출력 값으로 사용자 지정 결과 유형을 생성할 수 있습니다. 예를 들어 위협 범주에 따라 종속 값이 있는 작업을 정의할 수 있습니다. 자세한 내용은 선택 목록을 참조하십시오
      담당 그룹 할당된 작업자를 선택할 할당 그룹입니다.
      담당자 작업을 수행하도록 할당된 개인입니다.
      간단한 설명 보안 인시던트 플레이북 작업에 대한 설명입니다.
      설명 선택한 작업에 대한 설명을 입력합니다.
    3. 입력을 완료했으면 Add Task(작업 추가)를 클릭합니다.
      작업이 현재 작업 다음에 플레이북에 삽입됩니다.