이메일 도메인 스푸핑 탐지 플레이북 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 이 Playbook을 사용하여 옵저버블 리포지토리에 있는 신뢰할 수 있는 도메인 이름과 피셔의 발신자 이메일 도메인 간의 유사성 일치를 찾습니다. 다음 단계에서는 이메일 도메인 스푸핑 탐지 플레이북에서 사용할 수 있는 동작, 작업 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(보안 운영 스포크)를 설치했는지 확인합니다.

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 플레이북이 피싱 이메일에서 이메일 도메인을 추출합니다.
    2. 작업 2에서 플레이북은 보안 태그 '도메인 스푸핑 후보'로 태그가 지정된 모든 도메인/이메일 주소 유형 옵저버블을 검색합니다.
    3. 작업 3에서 플레이북은 Levenshtein 알고리즘을 사용하여 태그가 지정된 도메인과 이메일 도메인 간의 유사성을 계산합니다.
      그림 1. 이메일 도메인 스푸핑 탐지 플레이북
      Levenshtein 알고리즘을 사용하여 두 도메인 간의 유사성 계산
    4. 작업 4에서 Playbook은 다음 조건에 따라 시스템 속성 기록을 조회합니다.
      • 이름은 sn_sec_spoke.domain_spoof_threshold, (또는)입니다.
      • 이름은 a에서 z까지이며, 여러 레코드가 발견되면 첫 번째 레코드만 반환합니다.
    5. 작업 5에서 플레이북은 지금까지 수행된 조사를 기반으로 두 도메인의 유사성이 임계치를 초과하는지 여부를 확인합니다.
      두 도메인의 유사성이 임계치를 초과하지 않으면 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다. 두 도메인의 유사성이 임계치를 초과하면 작업 6과 7이 실행됩니다.
      그림 2. 유사성이 임계치를 초과함
      두 도메인의 유사성이 임계치를 초과하는지 확인하기 위한 대응 작업입니다.
    6. 작업 6에서 Playbook은 이메일 도메인 스푸핑 보안 태그를 보안 인시던트에 추가합니다.
    7. 작업 7에서 Playbook은 스크립트 옵션을 사용하여 컨텍스트에 작업 메모 링크를 추가합니다.
    8. 작업 8에서는 플로우가 종료됩니다.