반복 탐지 Playbook 사용

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 다음 단계에서는 반복 탐지 플레이북에서 사용할 수 있는 동작, 작업, 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer
    sn_sec_spoke(Security Operations Spoke)를 설치했는지 확인합니다. 다음 시스템 속성을 수정할 수 있는 옵션이 있습니다.
    • sn_sec_spoke.similarphish.earlyterminationscore
    • sn_sec_spoke.similarphish.lookbackdays
    • sn_sec_spoke.similarphish.maxcomparisonsize
    • sn_sec_spoke.similarphish.minmatchscore

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 1단계에서 Playbook은 일 구성을 사용하여 보안 인시던트의 상대 날짜를 검색합니다.
    2. 2단계에서 Playbook은 메시지 ID를 기준으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 조회합니다.
      그림 1. 반복 탐지 Playbook
      메시지 ID를 기준으로 작업 옵저버블 기록을 조회합니다.
    3. 3단계에서 플레이북은 메시지 ID와 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
    4. 4단계에서는 지금까지 수행된 조사에 따라 메시지 ID를 기반으로 일치하는 인시던트가 있는지 여부를 확인합니다.
      5단계에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지 자동화를 기반으로 일치가 발견되었다는 작업 메모를 자동으로 업데이트합니다. 6단계에서는 흐름이 종료됩니다.
    5. 일치하는 인시던트를 찾을 수 없는 경우 7단계에서 Playbook은 제목을 기준으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 조회합니다.
    6. 8단계에서 Playbook은 제목과 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
    7. 9단계에서 Playbook은 일치하는 인시던트를 찾을 수 있는지 여부를 확인합니다.
      10단계에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지 자동화를 기반으로 일치하는 인시던트가 발견되었다는 작업 메모를 자동으로 업데이트합니다. 11단계에서 플로우가 종료됩니다.
      그림 2. 일치하는 인시던트
      일치하는 인시던트가 발견되면 작업 메모가 업데이트됩니다.
    8. 12단계에서 Playbook은 주소를 기반으로 인시던트와 일치하는 테이블 sn_ti_m2m_task_observable 에서 작업 옵저버블 기록을 조회합니다.
    9. 13단계에서 플레이북은 주소와 일치하는 인시던트에 대해 Levenshtein 알고리즘을 사용하여 작업 옵저버블과 이메일 본문을 비교합니다.
    10. 14단계에서 Playbook은 주소를 기반으로 일치하는 인시던트를 찾았는지 여부를 확인합니다.
      15단계에서 일치하는 인시던트가 발견되면 Playbook은 반복 탐지 자동화를 기반으로 일치하는 인시던트가 발견되었다는 작업 메모를 자동으로 업데이트합니다. 16단계에서는 플로우가 종료됩니다.