Menlo Security

다운로드 12
업데이트 2024. 8. 4.

피싱 사이트 접속

Menlo Security Isolation Platform이 사용자의 피싱 사이트 접속을 탐지하면 이벤트가 발생합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Menlo Security Web Access
  • 대상 수집모델
    • Menlo Security Web Access

쿼리

공격명 분류가 Phishing 인 웹 접근 로그에 대해 탐지합니다.

| search category == "Phishing"

메시지

  • 피싱 사이트 접속: 사용자 $user, 도메인 $domain

출력 필드 순서

  • _log_time, risk, risk_tally, user, req_type, site_category, domain, src_ip, dst_ip, dst_addrs, egress_ip, category, signature, action, reason, status, method, url, top_url, app, is_iframe, has_password, is_inconsistent_domain, num_subfiles, file_size, content_type, browser_version, user_agent_type, user_agent, referer

위협 분석

  • 사용자의 크리덴셜, 개인 정보, 금융 정보 등 중요한 정보가 유출될 수 있습니다.

오탐 유형

  • Menlo Security 격리 플랫폼이 정상 사이트를 피싱 사이트로 잘못 분류할 수도 있습니다.

대응 방안

  • 피싱 내용을 확인하고 위험성이 높으면 사용자에게 피싱 사이트 접속을 경고합니다.
  • Phishing 탐지 시 Isolate 대응하고 있는 경우, Block 으로 정책을 변경하는 방안을 검토합니다.
    • Menlo Security 어드민 콘솔 로그인 후 Policy > Web > Threats 메뉴로 이동하여 Phishing에 대한 정책을 Block으로 변경할 수 있습니다.

MITRE ATT&CK