Utiliser le playbook de détection d’usurpation de domaine de messagerie

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour trouver une correspondance de similarité entre le domaine de messagerie de l’expéditeur de l’hameçonneur et un nom de domaine approuvé existe dans le référentiel des observables. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook de détection d’usurpation de domaine de messagerie.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, le playbook extrait le domaine d’e-mail de l’e-mail d’hameçonnage.
    2. Dans l’action 2, le playbook récupère tous les observables de type domaine/adresse e-mail marqués par la balise de sécurité « Candidat d’usurpation de domaine ».
    3. Dans l’action 3, le playbook calcule la similarité entre le domaine Get Tagged et le domaine Email à l’aide de l’algorithme de Levenshtein.
      Figure 1. Playbook de détection d’usurpation de domaine d’e-mail
      Calculez la similarité entre les deux domaines à l’aide de l’algorithme de Levenshtein
    4. Dans l’action 4, le playbook recherche l’enregistrement Propriété système en fonction des conditions suivantes :
      • Le nom est sn_sec_spoke.domain_spoof_threshold, (OR)
      • Le nom va de a à z, et si plusieurs enregistrements sont trouvés, renvoyez uniquement le premier enregistrement.
    5. Dans l’action 5, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie si la similarité des deux domaines dépasse le seuil ou non.
      Si la similarité des deux domaines ne dépasse pas le seuil, une tâche de réponse manuelle est créée dans l’action 5 et le flux se termine. Si la similarité des deux domaines dépasse le seuil, les actions 6 et 7 sont exécutées.
      Figure 2. La similarité dépasse le seuil
      Tâches de réponse pour vérifier si la similarité des deux domaines dépasse le seuil.
    6. Dans l’action 6, le playbook ajoute la balise de sécurité Usurpation de domaine de messagerie à l’incident de sécurité.
    7. Dans l’action 7, le playbook ajoute un lien de note de travail au contexte à l’aide de l’option de script.
    8. Dans l’action 8, le flux se termine.