이 플레이북을 사용하여 피셔의 보낸 사람 이메일 도메인과 신뢰할 수 있는 도메인 이름이 옵저버블 리포지토리에 있는 것 간의 유사성 일치를 찾습니다. 다음 단계에서는 이메일 도메인 스푸핑 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
스포크(sn_sec_spoke)를 설치 보안 운영 했는지 확인하십시오.
프로시저
-
Playbook이 트리거되고 실행을 시작하면 작업 1에서 Playbook이 피싱 이메일에서 이메일 도메인을 추출합니다.
-
작업 2에서 플레이북은 보안 태그 '도메인 스푸핑 후보'로 태그가 지정된 모든 도메인/이메일 주소 유형 옵저버블을 검색합니다.
-
작업 3에서 Playbook은 Levenshtein 알고리즘을 사용하여 태그 지정 도메인과 이메일 도메인 간의 유사성을 계산합니다.
-
작업 4에서 플레이북은 다음 조건에 따라 시스템 속성 기록을 조회합니다.
- 이름은 sn_sec_spoke.domain_spoof_threshold, (OR)
- 이름은 a부터 z까지이며, 여러 기록이 발견되면 첫 번째 기록만 반환합니다.
-
작업 5에서 Playbook은 지금까지 수행한 조사를 기반으로 두 도메인의 유사성이 임계치를 초과하는지 여부를 확인합니다.
두 도메인의 유사성이 임계치를 초과하지 않으면 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다. 두 도메인의 유사성이 임계치를 초과하면 작업 6과 7이 실행됩니다.
-
작업 6에서 플레이북은 보안 인시던트에 이메일 도메인 스푸핑 보안 태그를 추가합니다.
-
작업 7에서는 플레이북이 스크립트 옵션을 사용하여 컨텍스트에 작업 메모 링크를 추가합니다.
-
작업 8에서는 플로우가 종료됩니다.