이 페이지는 Cloud Translation API를 통해 번역되었습니다.

이메일로 받은 URL 스캔

다음에서 지원:

Google secops SOAR

이 문서에서는 인바운드 이메일에서 URL을 추출하고 스캔하여 피싱 또는 악성 링크를 감지하는 보안 자동화 워크플로를 빌드하는 방법을 설명합니다. 이 프로세스를 통해 위험한 링크가 위험을 초래하기 전에 무력화되므로 플레이북에서 URL 차단 또는 이메일 격리와 같은 즉각적인 조치를 취할 수 있습니다.

시작하기 전에

환경에 다음 통합이 설치되고 구성되어 있어야 합니다.

이메일 통합: Microsoft Graph Mail 또는 Gmail (이메일/알림에서 데이터를 읽고 추출).
평판 통합: VirusTotal 또는 유사한 URL 분석 도구

이메일로 수신된 URL을 검사하려면 이메일 상자를 모니터링하는 커넥터 (이메일 또는 Exchange 통합 사용)를 구성해야 합니다.

플레이북에서 스캔 로직 빌드

다음 단계에 따라 플레이북에서 스캔 로직을 빌드하세요.

이메일 통합의 작업 (예: Gmail_Enrich Email)을 사용하여 전체 이메일 본문 또는 이벤트 데이터를 가져옵니다. 표현식 작성기를 사용하여 이메일을 파싱하고 스캔할 특정 URL을 추출합니다. 자세한 내용은 표현식 빌더 사용하기를 참고하세요.
이메일이 Google Security Operations SOAR에 수신되기 시작하면 매핑 기능으로 콘텐츠를 파싱하거나 엔티티 생성 플레이북 작업으로 콘텐츠를 추출할 수 있습니다 (플레이북이 수신 이메일에 첨부된 경우).
선택한 작업 (예: VirusTotal_Scan URL)을 추가하고 자리표시자를 사용하여 이전 단계에서 추출한 URL을 입력합니다.
스캔 작업 바로 뒤에 조건 흐름을 추가합니다. 자세한 내용은 플레이북에서 흐름 사용하기를 참고하세요.
평판 검사에서 JSON 결과를 평가하도록 조건의 분기를 구성합니다.

브랜치 1 (악성): Scan Result이 악성으로 보고된 경우 (예: 점수가 5보다 크거나 특정 엔진에서 위협을 발견함)
분기 2 (클린/알 수 없음): Scan Result이 클린이거나 조건에서 악성 지표를 찾지 못한 경우

모든 URL이 추출되면 수동 작업 및 플레이북에서 사용할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.