사용자가 보고한 피싱에 대한 최종 평가 결과 생성
보안 인시던트 대응 팀은 이제 예측 인텔리전스 및 위협 보강 통합의 결과를 기반으로 사용자가 보고한 피싱 기록에 대한 최종 평가 결과를 내릴 수 있습니다.
이 최종 판정 생성은 결정 테이블 구성을 통해 활성화되고 플로우 내에서 활용됩니다.
필수 조건
에 필수 구성요소 및 플러그인 나열된 모든 플러그인이 설치되었는지 확인합니다.
다음으로 이동 .
결정 입력 탭에는 최종 평가에 도달하기 위해 평가된 다양한 조건이 표시됩니다.
기본 시스템에서 다음과 같은 조건을 사용할 수 있습니다.
- 의심스러운 것으로 예측: 예측 인텔리전스가 피싱 이메일 보고를 의심스러운 것으로 분류한 경우.
- 하나 이상의 옵저버블이 악성입니다. 보안 인시던트(예: URL, 도메인, IP, 해시)와 관련된 옵저버블이 위협 인텔리전스 소스에 의해 악성 으로 분류된 경우.
- 옵저버블 보강이 의심스럽습니다: 옵저버블에 대한 보강(예: 피싱 도메인 등록의 최신성, 피싱 도메인 등록 국가)이 의심스러운 것으로 간주되는 경우.
- 보낸 사람 도메인이 스푸핑되었습니다: 피셔의 이메일 도메인이 신뢰할 수 있는 도메인을 스푸핑한 것으로 의심되는 경우.
- 보낸 사람 이름이 스푸핑된 경우: 피싱범의 이메일 주소가 조직의 신뢰할 수 있는 직원을 스푸핑한 것으로 의심되는 경우.
결정 탭에는 지정된 보안 인시던트에 대해 도달할 수 있는 최종 평가 결과 옵션이 표시됩니다.
기본 시스템에서 다음과 같은 결정을 사용할 수 있습니다.
- 확인된 피싱: 조건으로 인해 최종 판결이 확인된 피싱 이메일인 경우.
- 피싱 가능성: 조건으로 인해 잠재적 피싱 시도로 최종 판결이 내려진 경우.
- 양성 가능성: 조건이 무해한 제출로 최종 평결을 내린 경우.
각 최종 평가 옵션에 대해 평가된 조건을 볼 수 있습니다. 조건을 보려면 레이블 링크를 클릭하십시오.
기본 시스템과 함께 제공되는 결정 테이블을 사용자 지정하거나 고유한 결정 테이블을 생성할 수 있습니다. 이 결정 테이블은 보안 인시던트 응답 플레이북에 활용할 수 있습니다. 피싱 보안 인시던트에 대한 최종 평가 결과 생성 하위 플로우는 기본 시스템에서 사용할 수 있습니다. 이 하위 플로우는 피싱 보안 인시던트에 대한 최종 평가 결과를 자동으로 생성하고 해당 결정에 따라 보안 태그를 적용합니다. 이 하위 플로우를 자동화된 피싱 플레이북의 일부로 포함할 수 있습니다.
이 하위 플로우의 입력은 다음과 같습니다.
- incident_id: 피싱 보안 인시던트의 시스템 ID입니다.
- c_level_names: 피싱 공격으로 스푸핑될 가능성이 있는 이름(예: 조직의 임원 이름)을 쉼표로 구분한 목록입니다.
- trusted_domains: 신뢰할 수 있는 이메일 도메인의 쉼표로 구분된 목록입니다.
- enrichment_keywords: 보강 결과에서 옵저버블의 악성을 나타내는 키워드의 쉼표로 구분된 목록입니다.
- sender_email(선택 사항): 피싱 이메일 보낸 사람의 이메일 주소입니다.
이 플로우의 출력은 확인된 피싱, 피싱 가능성 또는 양성 가능성이 있을 수 있습니다.