사용자가 보고한 피싱 이메일에서 보안 인시던트 생성
이 기능을 사용하여 사용자가 보고한 피싱 이메일에서 보안 인시던트를 생성합니다.
향상된 사용자 보고 피싱 기능에는 집계 기능, 이메일 헤더 추출 및 구성이 포함됩니다.
- 사용자는 여러 가지 방법으로 피싱 이메일을 보고할 수 있습니다.
- 이메일을 첨부 파일로 전달할 수 있습니다.
- PhishAlarm 플러그인(이전의 Wombat)이 Microsoft Outlook 클라이언트로 구성된 경우 사용자는 다음을 수행할 수 있습니다.
- 피싱 보고 버튼을 클릭합니다.
- 피싱 보고 옵션을 사용하여 모바일 장치에서 피싱 이메일을 전달합니다.
- 사용자는 피싱 이메일(.eml 형식)을 업로드할 수 있습니다.
- 사용자가 보고한 피싱에는 조직의 사용자가 보고한 중복 피싱 이메일을 식별하는 집계 비즈니스 논리 가 포함됩니다. 사용자는 이 기능을 사용하여 다음을 수행할 수 있습니다.
- 중복 또는 유사한 사용자가 보고한 피싱 인시던트를 집계합니다(회사에서 시작한 피싱 캠페인).
- 중복 사용자가 보고한 피싱 인시던트를 분류하지 않고 인시던트 통합과 관련된 수동 작업을 줄입니다.
- 보안 분석가가 단일 사용자가 보고한 피싱 인시던트에 대해 작업할 수 있도록 합니다.
- 사용자가 보고한 피싱 인시던트 내에 피싱 이메일 헤더를 제공합니다.
- 보안 분석가는 인시던트 내에서 주요 이메일 헤더 정보를 검색할 수 있습니다.
- 다른 소스에서 헤더 정보를 수집하기 위한 수동 작업이 더 이상 필요하지 않습니다.
- 제출된 원래 피싱 이메일은 새 테이블에 피싱 이메일 기록 으로 저장됩니다.
- 보안 분석가는 피싱 이메일 콘텐츠, 헤더, 원본과 같은 원래 피싱 이메일의 상세 정보를 볼 수 있습니다.
- 보안 관리자는 다음을 포함하는 특정 개선 사항을 구성하고 적용할 수 있습니다.
- 이메일 본문에서 이메일 헤더를 추출하는 구성입니다(피싱 제출 보고 ).
- 선택한 헤더를 캡처하는 필터입니다.
- 중복 피싱 이메일 기록이 식별될 때 상위-하위 인시던트 연결을 처리하기 위한 구성입니다.
- 요구 사항에 따라 집계 비즈니스 논리를 수정하기 위한 플로우 디자이너 구성입니다.
사용자가 보고한 피싱에 대한 수집 규칙 설정
sn_si.admin 역할을 가진 사용자는 이메일 일치 규칙을 정의하여 특정 기준에 따라 사용자가 보고한 피싱 이메일을 필터링할 수 있습니다. 예를 들어 직접 또는 피싱 보고 버튼을 통해 security@acme.com 전송된 모든 이메일이 사용자가 보고한 피싱 이메일로 분류되는 규칙을 정의할 수 있습니다. 자세한 내용은 사용자가 보고한 피싱에 대한 수집 규칙 설정 문서를 참조하십시오.
사용자가 보고한 피싱 속성 정의
사용자가 보고한 피싱 이메일에서 캡처해야 하는 헤더 정보를 정의합니다. 자세한 내용은 사용자가 보고한 피싱 속성 정의 문서를 참조하십시오.
사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록
사용자가 보고한 피싱 이메일은 정의된 이메일 일치 규칙에 따라 보안 인시던트로 변환됩니다. 자세한 내용은 사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록 문서를 참조하십시오.
피싱 이메일을 보안 인시던트로 변환
피싱 이메일을 보안 인시던트로 변환 플로우는 피싱 이메일 기록을 보안 인시던트로 변환하거나 변환합니다. 자세한 내용은 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 문서를 참조하십시오.
피싱 이메일 기록에서 생성된 보안 인시던트 기록
관련 목록, 작업 메모 및 기타 중요 정보를 포함한 보안 인시던트 기록 상세 정보를 봅니다. 자세한 내용은 피싱 이메일 기록에서 생성된 보안 인시던트 기록 문서를 참조하십시오.
필수 구성요소 및 플러그인
이번 릴리스에서 사용할 수 있는 사용자 보고 피싱 기능은 London 릴리스에서 사용할 수 있는 기존 사용자 보고 피싱 기능의 향상된 버전입니다. 자세한 내용은 런던 문서에서 사용자가 보고한 피싱 공격을 확인하기 위한 규칙 만들기 항목을 참조하십시오.
중요한 설치 지침
- 기존 사용자가 보고한 피싱 이메일 인바운드 작업(유형 = 전달 및 유형 = 신규)이 비활성화되었습니다.
- 이제 새 피싱 이메일 생성 인바운드 작업을 사용할 수 있습니다.
- 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 새 플로우에는 새 설계에 대한 보안 인시던트 생성 및 집계 비즈니스 논리가 포함되어 있습니다. 새 설계를 적용하려면 이 플로우를 활성화해야 합니다.
- 기존 사용자 보고 피싱 규칙은 업그레이드 중에 보존되었습니다.
- 다양한 방법으로 피싱 이메일 보고: 자세한 내용은 을 참조하십시오 사용자가 보고한 피싱 이메일에서 보안 인시던트 생성 . 그러면 피싱 이메일이 sn_si_phishing_email 테이블로 이동됩니다.
- 피싱 이메일 기록 생성: 이메일 일치 규칙이 충족되면( 참조 사용자가 보고한 피싱에 대한 수집 규칙 설정) 피싱 이메일 생성 인바운드 작업이 피싱 이메일 기록을 생성합니다. 구문 분석된 이메일 헤더는 cmsn_si_phishing_email_header 테이블에 저장되고 피싱 이메일과 관련 목록으로 연결됩니다.
- 유사한 피싱 레코드를 단일 보안 인시던트로 집계: 플로우는 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 피싱 이메일 레코드에서 보안 인시던트를 생성하고 유사한 레코드를 단일 인시던트로 집계합니다. 집계 조건은 이 플로우에서 필요에 따라 수정할 수 있습니다.
- Security Incident Response 9.0 릴리스 이전에 사용할 수 있었던 피싱 인바운드 작업을 사용자가 보고한 것은 이제 비활성화됩니다. 비활성화된 인바운드 작업을 통해 보안 인시던트가 더 이상 생성되지 않습니다.
- 새 설계를 적용하려면 Security Operations 스포크 애플리케이션을 설치해야 합니다. 여기에는 기본적으로 비활성 상태에서 사용할 수 있는 플로우가 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 포함됩니다. 이 플로우를 활성화하여 피싱 이메일 기록에서 보안 인시던트를 생성합니다.
- 보안 지원 공통(sn_sec_cmn): 포함 사항:
- 인바운드 동작
- 새 EmailUserReportedPhishing 스크립트
- 수집 규칙 테이블
- Security Incident Response(sn_si): 포함 사항:
- 보안 인시던트 테이블(sn_si_incident)
- 보안 피싱 이메일 테이블(sn_si_phishing_email)
- 보안 피싱 이메일 헤더 테이블(sn_si_phishing_email_header)
- EML 업로드 기록 생성자
- Security Operations 스포크
이메일을 집계하고 피싱 이메일을 보안 인시던트로 변환하는 플로우 및 하위 플로우입니다.
다음 그림은 일치하는 URP 규칙 및 대상 sn_si_incident(보안 인시던트 기록)에 대한 참조가 있는 새 피싱 이메일 테이블을 보여줍니다.
사용자가 보고한 피싱에 대한 수집 규칙 설정
sn_si.admin 역할을 가진 사용자는 이메일 일치 규칙을 정의하여 특정 기준에 따라 사용자가 보고한 피싱 이메일을 필터링할 수 있습니다. 예를 들어 직접 또는 피싱 보고 버튼을 통해 security@acme.com 전송된 모든 이메일이 사용자가 보고한 피싱 이메일로 분류되는 규칙을 정의할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.admin
프로시저
-
제출을 클릭하여 규칙을 저장합니다.
다음은 몇 가지 샘플 규칙입니다.
- ToRule: 직접 전송되었거나 security@example.com 이메일 ID로 전달된 이메일을 필터링합니다.
- 사용자 ID 규칙: 특정 이메일 ID에서 전송된 이메일을 필터링합니다.
- ToRule: 직접 전송되었거나 security@example.com 이메일 ID로 전달된 이메일을 필터링합니다.
사용자가 보고한 피싱 속성 정의
사용자가 보고한 피싱 이메일에서 캡처해야 하는 헤더 정보를 정의합니다.
시작하기 전에
필요한 역할: sn_si.admin
이 태스크 정보
- 이메일 본문에서 이메일 헤더를 추출하는 구성입니다. (피싱 제출을 보고합니다.)
- 필터링하여 헤더를 선택합니다.
- 상위-하위 연결을 사용하거나 사용하지 않도록 설정합니다.
프로시저
-
다음으로 이동 .
사용자가 보고한 피싱 이메일에서 생성된 피싱 이메일 기록
사용자가 보고한 피싱 이메일은 정의된 이메일 일치 규칙에 따라 보안 인시던트로 변환됩니다.
- sys_email 테이블에 이메일 기록이 생성됩니다.
- 피싱 이메일 생성 인바운드 작업이 이메일 기록에서 실행되고 이메일 일치 규칙( 참조사용자가 보고한 피싱에 대한 수집 규칙 설정)을 사용하여 피싱 이메일인지 확인합니다.
- 피싱 이메일로 식별되면
sn_si_phishing_email테이블에 피싱 이메일 기록이 생성됩니다. - 마지막으로 플로우가 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 적용되어 피싱 이메일 기록을 보안 인시던트로 전환합니다.
이메일 상세 정보를 보려면 다음으로 이동하십시오. . 피싱 이메일 기록 목록이 표시됩니다. 생성됨 열에서 날짜 링크를 클릭하여 이메일 기록을 봅니다.
| 필드 이름 | 설명 |
|---|---|
| 번호 | 사용자가 보고한 피싱 이메일에 할당된 번호입니다. |
| 제목 | 이메일의 제목입니다. 제목 규칙은 시뮬레이션된 피싱 캠페인 또는 테스트에 유용합니다. 이 경우 조직은 피싱 및 유사한 이메일 공격에 대한 대응을 테스트하기 위해 사기성 이메일을 직원에게 보냅니다. 시뮬레이션된 피싱 전자 메일 테스트에서 PhishAlarm 플러그 인(이전의 Wombat)이 있는 Microsoft Outlook 전자 메일 클라이언트를 사용하는 경우 사용자는 피싱 보고 단추를 클릭하여 피싱 전자 메일을 보고할 수 있습니다. 이메일의 제목에 시뮬레이션 된 피싱 이 추가된 이메일이 보안 운영 팀으로 전송됩니다. 이는 이메일을 시뮬레이션된 피싱 이메일로 식별하는 데 사용됩니다. |
| 시작 날짜 | 이 피싱 이메일이 시작된 이메일 주소입니다. 이 정보는 피싱 이메일이 (으)로 전달될 경우 사용할 수 있습니다. EML 파일 첨부 파일 또는 원본 헤더가 이메일에 포함된 경우. 사용자가 피싱 이메일을 직접 전달한 경우 보낸 사람 주소를 사용하지 못할 수 있습니다. |
| 보고자 | 이 피싱 이메일을 보고한 사용자의 이메일 ID입니다. 추가 상세 정보를 보려면 정보 아이콘을 클릭합니다. |
| 메시지 ID | 메시지에 할당된 ID입니다. |
| 일치하는 URP 규칙 | 이 이메일에 적용할 사용자 보고 피싱 규칙입니다. 추가 상세 정보를 보려면 정보 아이콘을 클릭합니다. |
보시다시피 이 예에서 조건 필드는 이 이메일에 ToRule이 적용되고 보안 인시던트가 생성되었음을 보여줍니다. 이메일 일치 규칙 정의에 대한 자세한 내용은 을 참조하십시오 사용자가 보고한 피싱에 대한 수집 규칙 설정 . |
|
| 상태 | sn_si_phishing_email 테이블에 새 피싱 이메일 기록이 생성되면 상태 필드가 신규로 설정됩니다. 이 이메일 기록이 보안 인시던트로 변환되면( 참조 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환) 상태 필드가 처리됨으로 업데이트됩니다. |
| 헤더 원본 | 이 필드는 이메일 헤더가 시작된 방법 또는 사용자가 피싱 이메일을 보고한 방법을 나타냅니다.
|
| 보안 인시던트 | 사용자가 보고한 피싱 이메일이 처음 보고되면 이 필드는 비어 있습니다. 플로우가 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 실행되면 이 이메일이 보안 인시던트 기록으로 변환되고 이 기록 번호가 여기에 표시됩니다. |
| 원시 헤더 | 이 필드에는 페이지에 정의된 사용자가 보고한 피싱 속성 정의 대로 이메일에서 추출한 전체 헤더 정보가 표시됩니다. 헤더는 키 값 쌍으로 구문 분석되고 피싱 이메일 헤더 목록에 표시됩니다. |
| 본문 | 사용자가 보고한 피싱 이메일의 본문입니다. |
사용자가 보고한 피싱 이메일을 보안 인시던트로 변환
피싱 이메일을 보안 인시던트로 변환 플로우는 피싱 이메일 기록을 보안 인시던트로 변환하거나 변환하는 새로운 플로우입니다.
시작하기 전에
- 필요한 역할: sn_si.admin
- Flow Designer 스포크가 설치되어 있어야 합니다.
이 태스크 정보
- 보안 인시던트를 집계합니다.
- 관련 메모로 보안 인시던트를 업데이트합니다.
- 헤더 데이터를 추가합니다.
- 필요에 따라 하위 인시던트를 생성합니다.
프로시저
-
다음으로 이동 보안 운영 스포크에서 사용할 수 있는 플로우를 보려면
-
이 플로우는 기본 시스템과 함께 제공되며 읽기 전용 모드이므로 사용할 수 없습니다.
더보기 아이콘
클릭하고 플로우의 사본을 만들어 사용할 수 있도록 엽니다. 이제 트리거 조건 또는 작업을 수정하거나 작업을 추가 및 제거하는 등 플로우를 변경할 수 있습니다. 필요한 변경을 한 후에는 플로우를 활성화( 참조 플로우 활성화 보안 인시던트 응답)하여 실행할 수 있도록 해야 합니다.이 그림은 플로우와 함께 실행되는 트리거 및 단계를 보여줍니다. 오른쪽 패널은 데이터 흐름을 보여줍니다. 아이콘을 클릭하여 단계를 확장하고 세부 정보를 봅니다.
-
트리거 아이콘을 클릭합니다.
첫 번째 단계에서는 플로우에 대한 트리거를 정의하거나 설정합니다. 조건이 충족될 때 수행할 트리거 및 작업의 조건을 지정합니다. 이 플로우는 새 기록이
sn_si_phishing_email테이블에 업로드될 때 시작됩니다. -
1단계에서 플로우는 집계된 이메일 제출에 대한 하위 인시던트 생성 플래그가 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 페이지에서 사용 또는 사용 안 함으로 설정되어 있는지 확인합니다.
-
2단계에서는 가장 오래된 상위 보안 인시던트가 식별됩니다.
2단계에서 아이콘을 확인합니다. 이는 피싱 이메일 집계 하위 플로우가 이 단계의 일부로 실행됨을 나타냅니다.
작업의 상세 뷰를 보려면 작업 디자이너 아이콘을 클릭하십시오. 이 하위 플로우는 피싱 이메일을 확인하고 지정된 기준에 따라 기존 보안 인시던트와 일치시킵니다.
이 두 작업은 이 하위 플로우가 실행될 때 수행됩니다. 추가 세부 정보를 보려면 첫 번째 작업의 링크를 클릭하십시오.이 작업은 다음과 같은 조건에 따라 새 수신 이메일의 기준과 일치하는 이메일을 확인합니다.- 보안 인시던트 상태가 종결되지 않은 경우.
- 제목 또는 보낸 사람 값이 정의된 이메일 일치 규칙 조건과 일치합니다( 참조 사용자가 보고한 피싱에 대한 수집 규칙 설정).
-
3단계는 집계된 이메일 전송에 대한 하위 인시던트를 생성하시겠습니까? 플래그가 페이지에서 아니요 로 설정된 경우에만 적용할 수 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 있습니다.
이 경우 피싱 이메일이 보안 인시던트 기록과 연결되고 플로우가 종료됩니다.
-
집계된 이메일 제출에 대한 하위 인시던트 생성이 예로 설정된 경우 플로우는 계속 실행되고 사용자가 보고한 피싱 이메일을 기반으로 새 보안 인시던트가 생성됩니다.
-
5단계에서 피싱 이메일을 받은 사용자(피싱 이메일의 받는 사람 및 참조 목록에 있는 직원)가 보안 인시던트 기록의 영향을 받는 사용자 관련 목록에 추가됩니다.
-
6단계에서는 허용 목록에 있는 옵저버블이 보안 인시던트의 옵저버블 목록에서 필터링됩니다.
이러한 허용 목록에 있는 옵저버블은 보안 인시던트에 추가되지 않습니다.
-
7단계에서는 사용자가 보고한 피싱 이메일에서 알 수 없는 옵저버블이 식별되어 옵저버블 관련 목록에 추가됩니다.
-
8단계에서는 이메일의 제목과 보낸 사람 주소를 조합한 이메일 검색 쿼리가 생성됩니다.
이 정보는 피싱을 당한 조직의 직원을 식별하는 데 유용합니다.
-
9단계에서 사용자가 보고한 피싱 이메일이 보안 인시던트와 연결되고 보안 인시던트 기록(4단계에서 생성됨)이 업데이트됩니다.
-
10단계에서 상위 보안 인시던트가 식별되고 미해결 보안 인시던트 기록인지 검사합니다.
-
12단계에서 영향을 받는 사용자를 찾을 수 없으면(플로우의 5단계에서) 작업 메모가 추가되고 보안 인시던트 기록이 업데이트됩니다.
-
13단계에서는 허용 목록에 나열된 옵저버블 목록과 함께 작업 메모가 추가됩니다.
다음에 수행할 작업
실행을 클릭하여 플로우의 실행 세부 정보를 봅니다.
플로우가 실행되면 피싱 이메일 기록이 보안 인시던트로 변환됩니다. 피싱 이메일 기록에서 생성된 보안 인시던트 기록 문서를 참조하십시오.
피싱 이메일 기록에서 생성된 보안 인시던트 기록
sn_si_phishing_email 테이블에 저장된 피싱 이메일 기록은 보안 인시던트 기록으로 변환됩니다.
피싱 이메일 기록과 연결된 보안 인시던트를 보려면 클릭하십시오. .
피싱 이메일 기록과 연결된 보안 인시던트 열에서 링크를 클릭합니다. 보안 인시던트 상세 정보가 표시됩니다.
관련 목록
보안 인시던트의 관련 링크 섹션까지 아래로 스크롤하고 관련 목록 모두 표시를 클릭합니다. 하위 보안 인시던트, 영향을 받는 사용자, 관련 피싱 이메일과 같은 상세 정보를 봅니다.
하위 보안 인시던트
관련된 피싱 이메일
관련 피싱 이메일 헤더
허용 목록 옵저버블
플로우가 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 실행되는 동안 보안 인시던트의 상태를 모니터링할 수 있습니다. 특정 옵저버블이 허용 목록 옵저버블로 표시되면 옵저버블 관련 목록에 추가되지 않습니다. 옵저버블을 허용 목록에 표시하여 중요한 상세 정보만 표시되도록 할 수 있습니다. 예를 들어 www.google.com 가 허용 목록으로 태그가 지정된 URL 중 하나이면 다음 시스템 메시지가 표시됩니다. 허용 목록 옵저버블을 사용하면 중요한 옵저버블만 모니터링됩니다.
일치하지 않는 사용자 캡처
보안 분석가 작업 공간에서 사용자가 보고한 피싱
보안 분석가 작업 공간에서 피싱 이메일 기록과 연관된 보안 인시던트를 볼 수 있습니다.
- 중복 하위 기록이 식별되었습니다.
- 허용 목록 옵저버블입니다.
- 피싱 이메일을 받았지만 영향을 받는 사용자 목록에 속하지 않는 일치하지 않는 사용자입니다.
자주 묻는 질문
이 섹션에서는 향상된 사용자 보고 피싱 기능에 대한 몇 가지 질문과 대답을 다룹니다.
- 새 Security Incident Response 스포크를 설치했지만 사용자가 보고한 피싱 인시던트를 볼 수 없습니다.
사용자가 보고한 피싱 기능은 기본적으로 비활성화되어 있습니다.
이 기능을 사용하려면 읽기 전용 사용자가 보고한 피싱 이메일을 보안 인시던트로 변환 플로우의 사본을 만들고 활성화한 후 사용해야 합니다.
- 피싱 이메일을 수집하여 보안 인시던트로 전환하는 동안 피싱 이메일의 악성 링크와 첨부 파일을 처리하기 위해 어떤 예방 조치를 사용합니까?
바이러스 백신 스캐너는 ServiceNow 이러한 악성 첨부 파일 및 링크를 검사합니다. 그러나 보안 분석가가 인시던트를 정확하게 보안 인시던트 응답 조사할 수 있도록 애플리케이션이 피싱 이메일의 일부인 모든 아티팩트를 캡처합니다. 그러나 사용자가 보고한 피싱 기능은 보안 분석가가 실수로 이러한 링크를 클릭하지 않도록 피싱 이메일의 악성 링크를 음소거합니다. 악성 첨부 파일과 관련하여 보안 분석가는 다운로드에 주의해야 합니다.
- 보안 인시던트 보강을 위해 피싱 이메일에 포함된 악성 파일을 모두 캡처합니까?
예, 피싱 이메일에서 모든 파일을 캡처합니다. 이러한 상세 정보는 파일 해시 형식으로 보안 인시던트 옵저버블의 일부로 사용할 수 있음을 볼 수 있습니다.
- 조사를 위해 악성 파일과 피싱 이메일의 링크를 샌드박스 인스턴스로 전송합니까?
현재 악성 파일 및 링크를 조사하기 위한 바로 사용 가능한 샌드박스 통합은 지원하지 않습니다.
- 들어오는 중복 피싱 이메일 기록이 상위 보안 인시던트와 연결되는 기간을 정의하는 기간 또는 트리거가 있습니까?
중복 피싱 이메일 기록은 활성 상위 보안 인시던트로만 집계됩니다. 상위 인시던트가 종결되거나 취소되면 들어오는 새로운 중복 피싱 이메일이 새 보안 인시던트로 생성됩니다. 그러나 이 시나리오에서는 새 보안 인시던트 내의 유사한 보안 인시던트 관련 목록에서 종결되거나 취소된 상위 보안 인시던트를 볼 수 있습니다.
주:이 동작은 플로우 디자이너를 사용하여 구성할 수 있습니다. - 사용자 피싱 신고 기능은 이메일 헤더 세부 정보를 캡처하기 위해 Microsoft Outlook PhishAlarm 플러그인(이전의 Wombat)만 사용할 수 있도록 지원합니까?
사용자 보고 기능은 이메일 헤더를 구문 분석하도록 설계되었으며 RFC822 표준을 준수합니다. 따라서 PhishAlarm 플러그인(이전의 Wombat)과 마찬가지로 RFC822 표준을 기반으로 이메일 헤더를 캡처하는 다른 모든 Microsoft Outlook 플러그인이 지원됩니다.