오타 점유 도메인 플레이북 사용

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 다음 단계에서는 오타 무단 점유 도메인 플레이북에서 사용할 수 있는 작업, 작업, 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(Security Operations Spoke)를 설치했는지 확인합니다.

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 1단계에서 옵저버블이 SIR(Security Incident Response)에 추가되었는지 확인해야 합니다.
      옵저버블이 SIR에 추가되지 않은 경우 계속하기 전에 옵저버블을 추가하십시오. 옵저버블을 사용할 수 없는 경우 10단계가 실행되고 보안 인시던트가 종결됩니다.
    2. 2단계에서 옵저버블이 보안 인시던트에 추가되면 다음 단계가 실행됩니다.
    3. 3단계에서는 오타 스쿼트 도메인의 스크린샷을 보안 인시던트에 첨부해야 합니다.
      그림 1. 오타가 있는 무단 점유 도메인 Playbook
      옵저버블이 보안 인시던트에 추가되었는지 확인하기 위한 응답 작업입니다.
    4. 4단계에서는 보안 인시던트에 Whois 정보를 첨부해야 합니다.
    5. 5단계에서는 지금까지 수행된 조사를 기반으로 플레이북에서 오타 스쿼트 도메인의 경우인지 여부를 확인합니다.
      오타 쪼그려 앉은 도메인의 경우가 아닌 경우 5단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
    6. 6단계에서 오타 스쿼트 도메인의 경우인 경우 7단계가 실행됩니다.
    7. 7단계에서는 법무 및 기타 필수 팀에 이메일을 보내 이것이 오타 스쿼트 도메인의 경우임을 알리고 이를 근절하는 데 필요한 조치를 취해야 합니다.
      오타 쪼그려 앉은 도메인의 경우가 아닌 경우 5단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
      그림 2. 오타가 있는 경우 쪼그려 앉은 도메인
      오타가 있는 경우의 응답 작업 스쿼트된 도메인
    8. 9단계에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료하기 위한 응답 작업이 생성됩니다.