스푸핑된 이메일(동일한 표시 이름 사용) 플레이북 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 이 플레이북을 사용하여 스푸핑된 이메일 이름이 조직의 직원에게 전송될 때 트리거되는 스푸핑된 이메일을 조사합니다. 다음 단계에서는 스푸핑된 이메일(동일한 표시 이름 사용) 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. Playbook이 트리거되고 실행을 시작할 때 작업 1에서 Proofpoint에 지속적으로 스푸핑된 이메일이 있는지 확인해야 합니다.
    2. 작업 2에서 Proofpoint에 지속적인 이메일이 있는 경우 내부 스푸핑 이메일인지 확인합니다.
    3. 작업 3에서 스푸핑된 내부 이메일인 경우 다음 작업을 수행하십시오.
      1. 작업 5에서는 Virus Total, Anomali 위협 스트림 샌드박스, urlquery.net, PhishTank와 같은 소스를 사용하여 URL 분석을 수행해야 합니다(예: PhiskTank 및 Anomali 확인).
      2. 작업 6에서는 Linux VM(예: Ubuntu)의 URL을 조사해야 합니다.
        그림 1. 스푸핑된 이메일(동일한 표시 이름 사용) 플레이북
        Linux VM에서 URL을 조사하는 응답 작업입니다.
      3. 작업 7에서는 WHOIS에서 도메인이 생성된 시기를 조회해야 합니다.
        의심스럽고 피싱 공격 가능성이 높은 최근 등록된 도메인(지난 주 이내)을 찾습니다.
      4. 작업 8에서는 지금까지 수행한 조사를 기반으로 이 이메일에 악성 첨부 파일 또는 링크가 포함되어 있는지 확인해야 합니다.
        이 이메일에 악성 첨부 파일이나 링크가 포함되어 있지 않으면 플로우가 종료됩니다.
        그림 2. 스푸핑된 이메일에는 악성 첨부 파일 또는 링크가 포함되어 있습니다.
        스푸핑된 이메일에 악성 첨부 파일이나 링크가 포함되어 있는지 확인하기 위한 응답 작업입니다.
      5. 작업 9에서 이메일에 악성 첨부 파일이나 링크가 포함되어 있으면 다음 작업을 수행합니다.
        1. 작업 10에서는 영향을 받는 사용자에게 연락하여 자격 증명이 손상되었는지 확인해야 합니다. 제공된 이메일 템플릿을 사용하여 영향을 받는 사용자에게 연락할 수 있습니다.
        2. 작업 11에서는 이메일 응답을 기반으로 자격 증명이 손상되었는지 여부를 확인해야 합니다. 자격 증명이 손상되지 않은 경우 플로우가 종료됩니다.
          1. 작업 12에서 자격 증명이 손상된 경우 작업 13에서 추가 사용자가 영향을 받는지 확인해야 합니다. 영향을 받는 추가 사용자가 없으면 플로우가 종료됩니다.
          2. 작업 14에서 추가 사용자가 영향을 받는 경우 다음 작업을 수행합니다.
            1. 작업 15에서는 Microsoft Exchange Online을 사용하여 이메일을 검색하고 삭제해야 합니다.
            2. 작업 16에서는 Office 365 및 Proofpoint에서 보낸 사람과 악성 파일 또는 첨부 파일을 차단해야 합니다.
    4. 작업 17에서 내부 스푸핑 이메일이 아닌 경우 영향을 받는 사용자의 시스템이 영향을 받는지 확인해야 합니다.
    5. 작업 18에서 사용자의 시스템이 영향을 받는 경우 작업 19에서 IT 티켓을 제기하여 영향을 받는 시스템의 이미지를 다시 작성합니다.
      그림 3. 영향을 받는 사용자의 시스템이 영향을 받는지 확인
      영향을 받는 사용자의 시스템이 영향을 받는지 확인하기 위한 응답 작업입니다.
    6. 작업 20에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료할 수 있는 응답 작업이 생성됩니다.