피싱 사이트 접속
Menlo Security Isolation Platform이 사용자의 피싱 사이트 접속을 탐지하면 이벤트가 발생합니다.
개요
- 중요도: 상
- 유형: 실시간 탐지
- 로그 스키마: Menlo Security Web Access
- 대상 수집모델
- Menlo Security Web Access
쿼리
공격명 분류가 Phishing 인 웹 접근 로그에 대해 탐지합니다.
메시지
- 피싱 사이트 접속: 사용자 $user, 도메인 $domain
출력 필드 순서
- _log_time, risk, risk_tally, user, req_type, site_category, domain, src_ip, dst_ip, dst_addrs, egress_ip, category, signature, action, reason, status, method, url, top_url, app, is_iframe, has_password, is_inconsistent_domain, num_subfiles, file_size, content_type, browser_version, user_agent_type, user_agent, referer
위협 분석
- 사용자의 크리덴셜, 개인 정보, 금융 정보 등 중요한 정보가 유출될 수 있습니다.
오탐 유형
- Menlo Security 격리 플랫폼이 정상 사이트를 피싱 사이트로 잘못 분류할 수도 있습니다.
대응 방안
- 피싱 내용을 확인하고 위험성이 높으면 사용자에게 피싱 사이트 접속을 경고합니다.
- Phishing 탐지 시 Isolate 대응하고 있는 경우, Block 으로 정책을 변경하는 방안을 검토합니다.
- Menlo Security 어드민 콘솔 로그인 후 Policy > Web > Threats 메뉴로 이동하여 Phishing에 대한 정책을 Block으로 변경할 수 있습니다.
MITRE ATT&CK
- 전술
- Initial Access
- 기법
- 이름: Phishing
- ID: T1566
- 참조 URL: https://attack.mitre.org/techniques/T1566/