AbuseIPDB

플레이북 설정

아래와 같이 명령어셋에서 AbuseIPDB를 선택하고 명령에서 IP 평판 조회를 선택한 태스크를 추가합니다. 입력 매개변수의 IP 주소는 플레이북 시작 태스크를 통해 전달되는 출발지 IP를 지정합니다.

플레이북 동작 예

예를 들어 아래와 같이 웹 로그에서 위협이 탐지되어 티켓이 발생할 수 있습니다.

플레이북 시작 조건에 위협 탐지 시나리오를 포함해두었다면, 티켓 발생 시점에 자동으로 아래와 같이 AbuseIPDB IP 평판 조회를 포함하여 플레이북 태스크가 실행됩니다.

AbuseIPDB 평판 조회 점수가 90점 이상이면 자동으로 정탐으로 판정하고 티켓을 종료하는 실행 내역을 티켓 조회 화면에서 통합하여 확인할 수 있습니다. 플레이북 워크플로우가 어떻게 실행되었는지 아래와 같이 시각적으로 확인할 수도 있습니다.

필요에 따라 방화벽에서 자동으로 공격자 IP 차단을 수행하도록 플레이북에 후속 단계를 설정할 수 있습니다.