Génération d’un verdict final pour le hameçonnage signalé par les utilisateurs
Les équipes de Security Incident Response peuvent désormais générer le verdict final pour un enregistrement d’hameçonnage signalé par un utilisateur, en fonction des résultats des intégrations de Predictive Intelligence et d’enrichissement des menaces.
Cette génération de verdict final est activée par la construction d’une table de décision et exploitée dans un flux.
Prérequis
Assurez-vous que tous les modules d’extension répertoriés dans Composants et modules d’extension requis ont été installés.
Accédez à la .
L’onglet Entrées de décision affiche les différentes conditions qui ont été évaluées pour arriver au verdict final.
Les conditions suivantes sont disponibles avec le système de base :
- Prédit comme suspect : lorsque Predictive Intelligence a classé l’e-mail d’hameçonnage signalé par l’utilisateur comme suspect.
- Au moins un observable est malveillant : lorsqu’un observable impliqué dans l’incident de sécurité (par exemple, URL, domaine, adresse IP, hachage) a été classé comme malveillant par des sources de renseignements sur les menaces.
- L’enrichissement des observables est suspect : lorsque l’enrichissement des observables (par exemple, récence de l’enregistrement du domaine hameçonnage, pays de l’enregistrement du domaine hameçonnage) est considéré comme suspect.
- Le domaine de l’expéditeur est falsifié : lorsque le domaine de messagerie de l’hameçonneur est soupçonné d’usurper un domaine de confiance.
- Le nom de l’expéditeur est falsifié : lorsque l’adresse e-mail de l’hameçonneur est suspectée d’usurper un employé de confiance d’une organisation.
L’onglet Décisions affiche les options de verdict final qui peuvent être obtenues pour un incident de sécurité donné.
- Hameçonnage confirmé : lorsque les conditions ont conduit au verdict final comme étant un e-mail d’hameçonnage confirmé.
- Hameçonnage probable : lorsque les conditions ont conduit au verdict final en tant que tentative d’hameçonnage potentielle.
- Probablement bénin : Lorsque les conditions ont conduit au verdict final en tant que soumission bénigne.
Vous pouvez voir les conditions qui ont été évaluées pour chacune des options de verdict final. Cliquez sur le lien Étiquette pour voir les conditions.
Vous pouvez personnaliser la table de décision fournie avec le système de base ou créer votre propre table de décision. Cette table de décision peut être exploitée dans les playbooks Security Incident Response. Le flux secondaire Générer un verdict final pour les incidents de sécurité de hameçonnage est disponible avec le système de base. Ce flux secondaire génère automatiquement le verdict final pour un incident de sécurité de hameçonnage et applique une balise de sécurité en fonction de cette décision. Vous pouvez inclure ce flux secondaire dans le cadre du playbook Hameçonnage automatisé .
- incident_id : ID système de l’incident de sécurité de hameçonnage.
- c_level_names : liste de noms séparés par des virgules (par exemple, les noms des dirigeants de l’organisation) probablement falsifiés dans l’attaque d’hameçonnage.
- trusted_domains : liste séparée par des virgules de domaines de messagerie approuvés.
- enrichment_keywords : liste de mots clés séparés par des virgules qui indiquent le caractère malveillant de l’observable à partir des résultats d’enrichissement.
- sender_email (facultatif) : l’adresse e-mail de l’expéditeur de l’e-mail d’hameçonnage.
La sortie de ce flux peut être Hameçonnage confirmé, Hameçonnage probable ou Probablement bénin.