첫 번째 자동화 만들기

이 문서에서는 맞춤 작업 만들기에서 만든 작업을 사용하여 첫 번째 자동화를 만드는 방법을 설명합니다.

빌드할 플레이북은 기본적인 피싱 사용 사례를 위한 것으로, 다음 단계를 자동화합니다.

• 도메인 세부정보 추출: 플레이북이 알림에서 발견된 URL에서 도메인을 추출합니다.
• 도메인 보강: 그런 다음 추가 정보로 항목을 보강합니다.
• 인사이트 추가: 플레이북에서 도메인의 국가가 포함된 인사이트를 추가합니다.
• 맞춤 목록 확인: 국가가 맞춤 목록에 있는지 확인합니다.
• IF 조건 사용: IF 조건은 국가가 맞춤 목록에 있는지 여부에 따라 케이스에 추가 조사가 필요한지 확인하는 데 사용됩니다.

플레이북 디자이너에서 작업 사용 설정

생성한 맞춤 작업이 통합 개발 환경 (IDE)에서 사용 설정되어 있는지 확인하려면 사용 설정 전환 버튼을 클릭하여 사용 위치로 전환합니다. 사용 설정하면 플레이북 디자이너에서 이러한 작업을 사용할 수 있습니다.

OECD 국가의 맞춤 목록 만들기

도메인의 국가에 추가 조사가 필요한지 확인하려면 경제협력개발기구 (OECD) 국가의 맞춤 목록을 만들어야 합니다. 그런 다음 플레이북에서 이 목록을 사용하여 도메인의 국가를 확인할 수 있습니다.

OECD 국가의 맞춤 목록을 만들려면 다음 단계를 따르세요.

1. 설정 > 환경으로 이동합니다.
2. 맞춤 목록을 클릭합니다.
3. 맞춤 목록 섹션에서 추가 추가를 클릭합니다.
4. 맞춤 목록 추가 대화상자에 엔티티 식별자, 카테고리, 환경을 입력합니다.
5. 추가를 클릭합니다.

자동화 플레이북 만들기

자동화 플레이북을 만들려면 다음 단계를 따르세요.

1. Playbook Designer로 이동하여 add추가를 클릭합니다.
2. 새로 만들기 대화상자에서 플레이북 라디오 버튼을 선택합니다.
3. 플레이북의 폴더와 환경을 선택합니다.
4. 플레이북 전환 버튼 옆에 있는 플레이북 이름을 입력하여 플레이북 맞춤설정을 시작합니다.

사전 제작된 플레이북 가져오기

사전 제작된 플레이북을 가져오려면 다음 단계를 따르세요.

1. Playbook Designer에서 format_list_bulleted 목록 > login 가져오기를 클릭합니다.
   첫 번째 자동화 플레이북 만들기
2. 모든 플레이북은 트리거로 시작합니다. 이 플레이북의 트리거를 설정하려면 트리거 메뉴에서 모두 트리거를 플레이북의 첫 번째 단계로 드래그합니다. 이렇게 하면 Google Security Operations에 수집된 모든 알림에서 플레이북이 활성화됩니다.

플레이북 만들기

'WHOIS XML API' 통합의 작업을 사용하여 플레이북을 만들려면 다음 단계를 따르세요.

1. 작업 탭에서 WHOIS XML API 목록을 클릭합니다. 맞춤 작업은 통합 이름 아래에 표시됩니다. 표시되지 않으면 IDE 모듈에서 사용 설정되고 저장되었는지 확인합니다.
2. 도메인 세부정보 가져오기 작업을 플레이북으로 드래그하여 트리거 바로 뒤에 배치합니다.

작업 맞춤설정

특정 범위에서 실행할 작업을 맞춤설정할 수 있습니다. 이 예에서는 URL인 모든 항목에 대해 작업을 실행합니다. 도메인 이름 필드에는 Entity.Identifier 자리표시자를 사용합니다.

이러한 맞춤설정을 하려면 다음 단계를 따르세요.

1. 자리표시자 삽입: data_array 자리표시자를 클릭하고 검색창에 Entity.Identifier를 검색합니다. 이 작업은 'WHOIS' 사이트에 연결하여 도메인의 세부정보를 추출하고 JSON 형식으로 표시합니다.
2. 범위를 정의합니다. 이 작업은 'WHOIS' 사이트에 연결하여 도메인 세부정보를 추출하고 JSON 형식으로 표시합니다.
3. 사용 가능 여부 확인 작업에 대해 정의한 사용 가능 여부 확인 매개변수는 도메인의 사용 가능 여부를 확인합니다.
4. 도메인 세부정보 가져오기 작업을 추가한 후 엔티티 보강 작업을 플레이북으로 드래그합니다. 모든 URL에서 실행되도록 맞춤설정합니다. 이 작업은 특정 엔티티 범위에서 작동하도록 설계되었으므로 이전 작업과 마찬가지로 도메인 이름 필드를 정의할 필요가 없습니다.

엔티티 통계 작업 추가

Google SecOps 통합의 일부인 엔티티 통계 추가 작업을 추가합니다.

1. 범위를 정의합니다. 엔티티 범위에서 플레이북의 이전 작업과 마찬가지로 모든 URL을 선택합니다.
2. JSON 필드를 추출합니다. 통계 필드에서 Google SecOps 표현식 빌더를 열어 JSON 결과에서 국가 필드를 추출합니다.
3. JSON 출력의 표현식 빌더를 엽니다. 자리표시자 아이콘 (data_array)을 클릭하고 플레이북 목록을 선택한 후 WHOIS XML API_Get Domain Details_1.JsonResult을 선택합니다. 그러면 JSON 출력의 표현식 빌더가 열립니다.

JSON에서 국가 필드 추출

표현식 빌더의 JSON 샘플은 맞춤 작업 만들기를 위해 IDE에 삽입한 것과 동일합니다. `Country` 필드를 추출하려면 다음 단계를 따르세요.

1. JSON에서 Country를 클릭합니다.
2. arrow_right 실행을 클릭하여 자리표시자를 테스트하고 결과 필드에서 결과를 확인합니다.

항목 만들기

맞춤 목록에 있음 작업을 실행하려면 도메인과 관련된 국가에서 새 항목을 만들어야 합니다. 이를 위해 다음 단계를 따르세요.

1. Google SecOps 통합에서 항목 만들기 작업을 플레이북으로 드래그합니다.
2. 모든 URL에서 실행되도록 작업을 구성합니다.
3. 표현식 빌더를 사용하여 Entity Identifies(엔티티 식별) 필드에 country 자리표시자를 삽입합니다. 항목 유형으로 일반 항목을 선택하고 저장을 클릭합니다.
4. 맞춤 목록에 있음 작업을 추가합니다.
1. 작업을 플레이북으로 드래그합니다.
2. 방금 만든 일반 항목에서 실행되도록 구성합니다.
3. 카테고리에 OECD 국가의 맞춤 목록에 대해 구성한 카테고리를 추가합니다.
5. 플레이북에 IF 조건을 추가하여 도메인의 국가에 추가 조사가 필요한지 확인합니다. 첫 번째 분기는 맞춤 목록에 있음 스크립트 결과가 false 결과를 반환하는지 확인하고 Else 분기는 반대 결과로 이동합니다.
• 플레이북에 IF 조건 작업을 추가합니다. 두 개의 브랜치가 표시됩니다.
6. 첫 번째 브랜치를 맞춤설정합니다. 맞춤 목록에 있음 작업이 false 결과를 반환하면 첫 번째 분기가 실행됩니다. 즉, 도메인의 국가가 OECD 국가의 맞춤 목록에 없으며 추가 조사가 필요합니다.
7. 이 분기의 첫 번째 작업으로 Google SecOps 통합에서 케이스 태그 작업을 드래그합니다.

상위 Tier에 케이스 할당

이 케이스를 추가로 조사하기 위해 상위 Tier에 케이스를 할당합니다. 이를 위해 다음 단계를 따르세요.

1. 케이스 할당 작업을 플레이북으로 드래그합니다.
2. 할당된 사용자로 @Tier2를 선택합니다.

우선순위 변경

Google SecOps 우선순위 변경 작업을 사용하여 우선순위를 높음으로 변경하고 > 저장을 클릭합니다.

Else 브랜치 맞춤설정

첫 번째 분기를 완료한 후 Else 분기를 맞춤설정할 수 있습니다. 이 브랜치는 도메인의 국가가 OECD 국가인 경우를 처리하며, 이 경우 추가 조사가 필요하지 않다고 결정했습니다. Else 분기를 구성하려면 다음 단계를 따르세요.

1. 첫 번째 브랜치에서와 같이 OECD 국가 라벨을 사용하여 케이스 태그를 추가합니다.
2. 이 브랜치에 케이스 종료 작업을 추가합니다. 케이스를 종료하는 것은 민감한 작업이므로 수동으로 실행되도록 구성해야 합니다. 작업의 설정 섹션에서 수동 모드를 선택합니다.
3. 케이스 종료 작업의 매개변수 섹션에서 이유, 근본 원인, 의견을 추가합니다.
4. 저장을 클릭하여 추가된 매개변수로 플레이북을 저장합니다.

플레이북 실행 보기

맞춤 자동화가 작동하는 것을 확인하려면 다음 단계를 따르세요.

1. 케이스에서 추가 추가 > 케이스 시뮬레이션을 클릭합니다.
2. 피싱 이메일 케이스를 선택하고 > 만들기를 클릭합니다.
3. 환경을 선택하고 > 시뮬레이션을 클릭하여 플레이북 실행을 시뮬레이션합니다.
4. 알림에서 실행되는 플레이북을 확인하고 플레이북의 각 작업 결과를 확인합니다.