플레이북의 기본 사용 사례 살펴보기

다음에서 지원:

이 문서에서는 플레이북 내에서 자동화할 수 있는 몇 가지 기본 사용 사례를 설명합니다.

플레이북 내에서 이메일 보내기

플레이북에 양방향 이메일 서신을 통합할 수 있습니다. 기본 제공 이메일 작업을 사용하면 Google SecOps 플랫폼에서 아웃바운드 이메일을 보내고 사용자 응답을 케이스에 직접 자동으로 추적, 수집, 기록하여 모든 커뮤니케이션과 사용자 입력이 추가 플레이북 처리를 위해 기록되도록 할 수 있습니다.

시작하기 전에

시작하기 전에 이메일 기능을 사용 설정해야 하며, 이를 위해서는 다음 통합 중 하나를 설치해야 합니다.

이메일 보내기

이메일을 보내고 Google SecOps에 응답을 기록하려면 다음 단계를 따르세요.

  1. 메일 보내기 작업을 선택하여 이메일을 보냅니다.
  2. 사용자로부터 메일 대기 작업을 추가하여 주기적으로 메일함에서 응답을 쿼리합니다. 이 작업은 고유 ID를 사용하여 이메일을 식별합니다.

응답이 수신되면 플랫폼으로 가져옵니다.

응답은 케이스 월에서 확인할 수 있으며 플레이북의 다른 작업에 대한 입력으로 사용할 수 있습니다.

VirusTotal에서 여러 URL 스캔

VirusTotal Scan URL(VirusTotal 스캔 URL) 작업은 선택한 범위 항목을 반복하고 URL 유형의 각 항목에 대해 VirusTotal에 요청을 시작합니다. 완료되면 작업에서 VirusTotal 보고서로 URL 엔티티를 보강하고 케이스 월에 결과를 게시합니다. is_risky 값이 노출되므로 위험도가 높은 URL의 플레이북에 추가 조건을 추가할 수 있습니다. 해시 스캔 작업을 사용하여 VirusTotal로 파일 해시를 스캔하고, 엔티티를 의심스러운 것으로 표시하고, 통계를 표시하는 방법에 관한 자세한 내용은 VirusTotal의 해시 스캔 작업을 참고하세요.

이메일로 받은 URL 스캔

인바운드 이메일에서 URL을 추출하고 검사하여 피싱 또는 악성 링크를 감지하는 보안 자동화 워크플로를 빌드할 수 있습니다. 이 프로세스를 통해 위험한 링크가 위험을 초래하기 전에 무력화되므로 플레이북에서 URL 차단 또는 이메일 격리와 같은 즉각적인 조치를 취할 수 있습니다.

시작하기 전에

환경에 다음 통합이 설치되고 구성되어 있어야 합니다.

  • 이메일 통합: Microsoft Graph Mail 또는 Gmail (이메일/알림에서 데이터를 읽고 추출).
  • 평판 통합: VirusTotal 또는 유사한 URL 분석 도구

이메일로 수신된 URL을 검사하려면 이메일 상자를 모니터링하는 커넥터 (이메일 또는 Exchange 통합 사용)를 구성해야 합니다.

플레이북에서 스캔 로직 빌드

다음 단계에 따라 플레이북에서 스캔 로직을 빌드합니다.

  1. 이메일 통합의 작업 (예: Gmail_Enrich Email)을 사용하여 전체 이메일 본문 또는 이벤트 데이터를 가져옵니다. 표현식 작성기를 사용하여 이메일을 파싱하고 스캔할 특정 URL을 추출합니다. 자세한 내용은 표현식 빌더 사용하기를 참고하세요.
    이메일이 Google Security Operations SOAR에 수신되기 시작하면 매핑 기능으로 콘텐츠를 파싱하거나 엔티티 생성 플레이북 작업으로 콘텐츠를 추출할 수 있습니다 (플레이북이 수신 이메일에 첨부된 경우).
  2. 선택한 작업 (예: VirusTotal_Scan URL)을 추가하고 자리표시자를 사용하여 이전 단계에서 추출한 URL을 입력합니다.
  3. 스캔 작업 바로 뒤에 조건 흐름을 추가합니다. 자세한 내용은 플레이북에서 흐름 사용하기를 참고하세요.
  4. 평판 검사에서 JSON 결과를 평가하도록 조건의 분기를 구성합니다.
    • 브랜치 1 (악성): Scan Result이 악성으로 보고된 경우 (예: 점수가 5보다 크거나 특정 엔진에서 위협을 발견함)
    • 분기 2 (클린/알 수 없음): Scan Result이 클린이거나 조건에서 악성 지표를 찾지 못한 경우

모든 URL이 추출되면 수동 작업 및 플레이북에서 사용할 수 있습니다.

전화번호로 메시지 보내기

전화번호로 메시지를 보내려면 Twilio 통합이 설치되어 있어야 하며 Twilio 계정이 활성 상태여야 합니다.

콘텐츠 허브에서 구성되면 Twilio 작업을 통해 SMS 메시지를 전송하고 SMS 응답에 따라 플레이북을 포크할 수도 있습니다.

케이스 데이터 요소를 이메일에 넣기

자리표시자는 플레이북 작업에서 특정 케이스 데이터, 항목 속성 또는 알림 세부정보를 텍스트 필드(예: 이메일 메시지)에 삽입하는 데 사용되는 동적 표현식입니다. 런타임에 자리표시자는 Google Security Operations 플랫폼에서 추출한 실제 데이터로 대체됩니다.

자리표시자 구조

자리표시자는 항상 대괄호 [ ]로 시작하고 끝나며, 여기에는 특정 데이터 경로가 포함됩니다 (예: [Alert.Name]는 알림의 이름을 참조함).

다음 자리표시자는 자동 작업에 대해 렌더링되지 않습니다.

  • General.CurrentUserEmail
  • General.CurrentUserID
  • General.CurrentUserFullName
  • General.CurrentUserRole

자리표시자 사용

자리표시자를 사용하려면 다음 단계를 따르세요.

  1. 텍스트 필드 (예: 이메일 보내기 작업의 메시지 필드) 옆에 있는 data_array 자리표시자를 클릭합니다.
  2. 자리표시자를 삽입할 원하는 콘텐츠 경로를 선택합니다 (예: [Alert.Name]).

여러 자리표시자를 정적 텍스트와 결합하여 서식 있는 맞춤 콘텐츠를 만들 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.