플레이북으로 보안 위협 해결

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 7분

    • 플레이북을 사용하여 특정 유형의 보안 위협을 단계별로 해결합니다. 예를 들어 플레이북을 사용하여 악성 코드 활동으로 인한 피싱 공격 및 위협을 해결할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin 또는 admin

    이 태스크 정보

    각 작업 그룹(분석, 포함 등)은 위협 해결을 위한 일련의 질문과 기타 활동을 안내합니다.
    그림 1. 플레이북
    플레이북 예

    각 작업을 수행할 때 향후 유사한 공격을 분석하는 데 도움이 되도록 작업 메모를 입력합니다. 위협이 식별되면 플레이북의 정보를 사용하여 위협을 격리하고, 유사한 영향을 받는 자산을 격리하고, 맬웨어를 제거할 수도 있습니다.

    각 작업에 포함된 지식 문서는 필요한 단계를 수행하는 데 도움이 되는 팁 및 기타 정보를 제공합니다.
    그림 2. 지식 문서
    피싱 작업을 지원하는 지식 문서

    기본 시스템에는 각 플레이북 작업에 대한 지식 문서가 포함되어 있습니다. 그러나 고유한 지식 문서를 작성 하여 플레이북 작업에 연결할 수는 있습니다.

    주:
    플레이북을 사용하여 특정 위협을 분석하고 해결하는 방법의 예시는 다음 문서를 참조하십시오 플레이북으로 사용자가 보고한 피싱 공격 해결.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 인시던트(신규 UI).
      보안 인시던트 화면에는 사용자에게 할당된 보안 인시던트가 표시됩니다.
      보안 인시던트
    2. 나에게 할당됨 선택 목록을 클릭하여 다른 필터(예: 모든 오픈 인시던트 또는 모든 미할당 인시던트)를 선택할 수 있습니다.
      또는 빠른 필터 중 하나를 클릭하여 중요한 인시던트만 같은 특정 유형의 보안 인시던트를 볼 수 있습니다.
    3. 분석할 보안 인시던트를 클릭합니다.

      위험 점수가 높은 보안 인시던트의 우선순위를 고려하십시오.

    4. 화면의 오른쪽 가장자리에 있는 플레이북 창이 닫혀 있으면 플레이북 아이콘( 플레이북)을 클릭하여 엽니다.
      보안 인시던트에 플레이북이 할당되지 않은 경우 아래와 같이 선택한 플레이북 선택 목록에서 플레이북을 선택할 수 있습니다.

      플레이북 선택
      보안 인시던트에 다른 플레이북을 할당할 수도 있습니다. 선택한 플레이북 선택 목록에 플레이북을 포함하거나 보안 인시던트에 대한 플레이북을 변경하려면 상세 정보를 참조하십시오 분석가 선택을 위한 플레이북 사용 .

      보안 위협 유형에 맞는 플레이북이 열립니다. 유사한 작업의 범주로 나뉩니다. 예를 들어 분석 그룹의 작업을 사용하여 위협의 유효성과 범위를 결정합니다. 포함 그룹에는 특정 사용자 또는 자산에 대한 위협을 격리하는 작업이 포함되어 있습니다. 근 그룹의 작업은 맬웨어를 제거하거나 호스트를 다시 이미지화하는 프로세스를 안내합니다.

    5. 첫 번째 그룹(분석)을 클릭한 다음 플레이북의 첫 번째 작업을 클릭합니다.
    6. 작업의 프롬프트를 따릅니다.
      • 일부 작업은 "이메일이 캠페인의 일부입니까?"와 같은 질문을 합니다. 필요한 분석을 수행하여 질문에 답하고 또는 아니요를 선택합니다.
      • 지식 문서를 정의하고 플레이북 작업과 연결한 경우 작업을 시작할 때 해당 문서가 나타납니다.
      • 일부 작업은 과도기입니다. 보안 인시던트에 옵저버블을 추가하는 등의 작업을 수행하도록 지시할 뿐입니다. 작업을 완료한 후 완료로 표시를 클릭합니다.
      작업을 완료하면 선택한 항목에 따라 후속 작업이 표시됩니다. 회색으로 표시된 그룹(예: 복구, 검토 등)은 선택에 따라 활성화될 수 있습니다.
    7. 위협을 해결하고 보안 인시던트를 종결하기 위한 모든 작업을 완료할 때까지 제시된 각 작업을 계속 수행합니다.

    플레이북으로 사용자가 보고한 피싱 공격 해결

    피싱 플레이북은 회사 직원이 보고한 피싱 공격을 분석하고 해결하는 데 필요한 작업을 안내합니다.

    사용자가 보고한 피싱 공격에서 보안 인시던트가 생성되는 방법

    보안 인시던트 응답을 설정하는 동안 시스템 관리자는 피싱 공격의 징후가 포함된 이메일을 식별할 수 있는 일련의 이메일 일치 규칙 을 만듭니다. 직원이 피싱 공격의 일반적인 징후(보안 정책에 정의된 대로)가 포함된 의심스러운 이메일을 받으면 . 조직에서 정의한 피싱 이메일 주소에 EML 첨부 파일입니다.

    피싱 이메일 주소로 이메일을 수신하면 . EML 첨부 파일이 구문 분석되고 해당 정보가 이메일 일치 규칙과 비교됩니다. 일치하는 항목이 발견되면 다음 정보를 포함하는 보안 인시던트가 작성됩니다.
    • 짧은 설명에는 사용자 보고 피싱과 원래 이메일의 실제 제목이 포함됩니다.
    • 이 . EML 파일이 보안 인시던트에 첨부되어 있습니다.
    • 만약 . EML에는 모든 옵저버블이 포함되어 있으며, 옵저버블은 구문 분석되며, 보강 및 위협 조회가 자동으로 수행됩니다.
    그림 3. 사용자가 보고한 피싱
    사용자가 피싱 보안 인시던트를 보고함
    피싱 범주 보안 인시던트가 열리면 피싱 플레이북을 자동으로 사용할 수 있게 됩니다. 플레이북 아이콘( Playbook)을 클릭하여 플레이북을 열기만 하면 됩니다.
    그림 4. 피싱 플레이북
    피싱 플레이북 창

    피싱 플레이북에는 피싱 위협을 분석, 억제 및 근절하는 데 도움이 되는 작업이 포함되어 있습니다. 작업은 여러 가지 상태(예: 분석, 포함 등)로 구성됩니다. 상태에 대한 모든 작업이 완료되면 플레이북이 다음 상태로 안내합니다.

    보안 인시던트 상세 정보 분석

    보안 인시던트가 분석 상태이면 다음을 포함하여 인시던트의 기본 조사를 수행하는 작업이 주어집니다.
    • 인시던트의 유효성을 판단합니다.
    • 잠재적 위협의 영향을 연구합니다.
    • 인시던트에 대한 효과적인 대응을 조정합니다.
    작업을 수행하는 동안 다음을 수행합니다.
    • 지식 문서를 숙지합니다.
    • 이메일 첨부 파일을 열고 일반적인 피싱 요소의 징후가 있는지 검사합니다.
    • 위협 조회 결과를 검토합니다.

    보안 인시던트 포함

    보안 인시던트가 포함 상태인 경우 이메일의 상세 정보를 검토하는 작업이 주어집니다. 위협이 조직에 침입할 수 없도록 하려면 침입 방어 시스템(IDS) 및 침입 방지 시스템(IPS) 서명 및 규칙의 형태로 네트워크 방어를 업데이트합니다.

    작업을 수행하는 동안 다음을 수행합니다.
    • 영향을 받는 장치 격리와 같은 위협 영향을 제한하는 조치를 취합니다.
    • 이메일에 첨부된 옵저버블을 검사합니다.
    • 이메일 콘텐츠가 다음을 포함하여 알려진 위협과 관련이 있는지 확인합니다.
      • URL
      • 이메일 발신자
      • 피싱 URL
      • 보낸 사람의 SMTP 서버의 IP 주소

    맬웨어 근절

    업데이트된 서명과 규칙을 바이러스 백신 솔루션에 배포한 후 근절 상태의 작업을 사용하여 맬웨어가 있는지 확인하고 그에 따라 처리합니다.

    작업을 수행하는 동안 다음을 수행합니다.
    • 영향을 받는 장치의 엔드포인트에서 맬웨어가 있는지 검사합니다.
    • 발견된 맬웨어를 제거합니다.
    • 최후의 수단으로 호스트 장치를 지우고 이미지로 다시 설치하십시오.

    보안 인시던트 검토

    분석 작업을 수행할 때 피싱 공격이 잘못된 경보라고 판단한 경우 보안 인시던트가 검토 상태로 이동하므로 사용자가 이메일 첨부 파일을 열어도 안전하다는 것을 알 수 있도록 알려야 합니다.

    보안 인시던트 종결

    플레이북의 모든 작업이 완료되면 보안 인시던트가 종결됨 상태로 이동됩니다. 인시던트를 종결하려면 종결 코멘트를 입력해야 합니다.

    보안 인시던트 취소

    보안 인시던트가 검토 상태이고 사용자에게 이메일이 위협이 아니라고 성공적으로 알리면 취소됨 상태가 활성화되고 보안 인시던트를 취소할 수 있습니다.

    주:
    복구 작업은 피싱 플레이북에서 사용되지 않습니다.

    지식 문서를 플레이북 작업과 연결

    플레이북을 보안 인시던트 응답 사용하여 보안 위협을 분석할 때 조직에서 정의한 경우 각 작업에 대한 지식 문서를 볼 수 있습니다. 지식 문서가 없는 경우 이를 생성하여 플레이북 작업과 연결할 수 있습니다.

    시작하기 전에

    에서 플레이북 보안 인시던트 응답을 사용할 때 각 작업과 관련된 텍스트를 기록해 둡니다. 예를 들어, 피싱 범주의 첫 번째 작업은 '경보가 직원에게 제출되었습니까?'입니다. 이는 작업에 대한 간단한 설명이며 지식 문서를 작업과 연결하려면 플레이북에 표시된 것과 똑같은 이 텍스트가 필요합니다.

    필요한 역할: sn_sir.knowledge_admin 및 sn_si.admin 또는 admin

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 카탈로그 및 지식베이스 > 지식.
    2. 특정 플레이북 작업에 대한 지식 문서를 만들고 게시합니다.
    3. 다음으로 이동 보안 인시던트 > 수동 Runbook > 새 Runbook 생성.
    4. 다음 정보를 입력하여 Runbook을 생성합니다.
      필드 설명
      지식 문서 플레이북 작업과 연결할 게시된 지식 문서를 선택합니다.
      테이블 작업 [sn_si_task]을 선택합니다 보안 인시던트 응답 .
      조건 조건 작성기를 다음으로 설정합니다.
      • 옵션:간단한 설명을 선택합니다.
      • 운영자:을(를) 선택합니다.
      • 입력 값: 작업에 대한 짧은 설명을 플레이북에 표시된 대로 정확하게 입력합니다.
    5. 제출을 클릭합니다.
      다음에 플레이북을 실행하고 이 작업을 선택하면 관련 지식 문서가 표시됩니다.

    플레이북에 사용자 지정 작업 추가

    기본 시스템에는 보안 분석가 작업 공간 각 위협 범주에 대한 일련의 작업이 포함되어 있습니다. 시스템 또는 고객의 고유한 요구 사항을 충족하는 사용자 지정 작업을 생성할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.basic 또는 security_admin

    프로시저

    1. 플레이북이 열린 상태에서 작업 추가를 선택합니다.
      사용자 지정 작업 추가 화면이 열립니다.
    2. 필요에 따라 필드를 채웁니다.
      필드 설명
      번호 [읽기 전용] 자동으로 생성된 보안 인시던트 작업 번호입니다.
      상위 관련 보안 인시던트의 수입니다.
      구성 항목 보안 문제의 영향을 받는 구성 항목입니다(있는 경우).
      영향을 받는 사용자 보안 문제의 영향을 받는 사용자입니다(있는 경우).
      우선순위 이 작업을 수행할 시기를 결정하는 데 사용되는 우선순위를 선택합니다.
      보안 인시던트 상태 보안 응답 작업의 현재 상태입니다. 필요한 경우 향후 상태를 선택할 수 있습니다.
      결과 유형 sn_si.basic 역할이 있는 경우 결과 유형으로 예/아니요 를 선택합니다.

      security_admin 역할이 있는 경우 여러 사용자 지정 출력 값으로 사용자 지정 결과 유형을 생성할 수 있습니다. 예를 들어 위협 범주에 따라 종속 값으로 작업을 정의할 수 있습니다. 자세한 내용은 선택 목록을 참조하십시오.
      할당 그룹 할당된 작업자를 선택할 할당 그룹입니다.
      담당자 작업을 수행하도록 할당된 개인입니다.
      간단한 설명 보안 인시던트 플레이북 작업에 대한 설명입니다.
      설명 선택한 작업에 대한 설명을 입력합니다.
    3. 입력을 완료했으면 작업 추가를 선택합니다.
      작업은 현재 작업 다음으로 플레이북에 삽입됩니다.