Generierung des endgültigen Urteils für von Anwender gemeldetes Phishing
Security Incident Response-Teams können jetzt das endgültige Urteil für einen von einem Benutzer gemeldeten Phishing-Datensatz basierend auf den Ergebnissen von Predictive Intelligence- und Bedrohungsanreicherungsintegrationen steuern.
Die Generierung dieses endgültigen Urteils wird durch ein Entscheidungstabellenkonstrukt aktiviert und in einem Flow genutzt.
Voraussetzungen
Stellen Sie sicher, dass alle in Erforderliche Komponenten und Plugins aufgeführten Plugins installiert wurden.
Navigieren zu .
Die Registerkarte Entscheidungseingaben zeigt die verschiedenen Bedingungen, die ausgewertet wurden, um zu dem endgültigen Urteil zu gelangen.
Die folgenden Bedingungen sind mit dem Basissystem verfügbar:
- Als verdächtig vorhergesagt: Wenn Predictive Intelligence die Phishing-E-Mail des Benutzers als verdächtiggemeldet hat.
- Mindestens ein erkennbares Element ist böswillig: Wenn ein an dem Security Incident beteiligtes erkennbares Element (z. B. URL, Domäne, IP, Hash) von Threat Intelligence-Quellen als böswillig klassifiziert wurde.
- Ergänzung erkennbarer Elemente ist verdächtig: Wenn die Ergänzung erkennbarer Elemente (z. B. Aktualität der Phishing-Domänenregistrierung, Land der Phishing-Domänenregistrierung) als verdächtig eingestuft wird.
- Absenderdomäne ist gefälscht: Wenn der Verdacht besteht, dass die E-Mail-Domäne des Phishers eine vertrauenswürdige Domäne gefälscht hat.
- Absendername ist gefälscht: Wenn die E-Mail-Adresse des Phishers im Verdacht steht, einen vertrauenswürdigen Mitarbeiter einer Organisation gefälscht zu haben.
Die Registerkarte Entscheidungen zeigt die endgültigen Urteilsoptionen, die für einen bestimmten Security Incident getroffen werden können.
- Bestätigtes Phishing: Wenn die Bedingungen zum endgültigen Urteil als bestätigte Phishing-E-Mail geführt haben.
- Wahrscheinlich Phishing: Wenn die Bedingungen zum endgültigen Urteil als potenziellen Phishing-Versuch geführt haben.
- Wahrscheinlich gutartig: Wenn die Bedingungen zum endgültigen Urteil als gutartige Übermittlung geführt haben.
Sie können die Bedingungen anzeigen, die für jede der endgültigen Urteilsoptionen ausgewertet wurden. Klicken Sie auf den Link Bezeichnung, um die Bedingungen anzuzeigen.
Sie können die mit dem Basissystem bereitgestellte Entscheidungstabelle anpassen oder eine eigene Entscheidungstabelle erstellen. Diese Entscheidungstabelle kann in Security Incident Response-Playbooks genutzt werden. Der Subflow „Endgültiges Urteil für Phishing-Security Incidents generieren“ ist mit dem Basissystem verfügbar. Dieser Subflow generiert automatisch das endgültige Urteil für einen Phishing-Security Incident und wendet ein Sicherheits-Tag basierend auf dieser Entscheidung an. Sie können diesen Subflow als Teil des Automated Phishing -Playbooks einbeziehen.
- incident_id: Die Sys-ID des Phishing-Security Incident
- c_level_names: Kommagetrennte Liste von Namen (z. B. Namen von Führungskräften in der Organisation), die beim Phishing-Angriff wahrscheinlich gefälscht wurden.
- Trusted_domains: Kommagetrennte Liste der vertrauenswürdigen E-Mail-Domänen.
- capability_keywords: Kommagetrennte Liste von Stichwörtern, die die Bösartigkeit des erkennbaren Elements aus den Anreicherungsergebnissen angeben.
- sender_email (optional): Die E-Mail-Adresse des Absenders der Phishing-E-Mail.
Die Ausgabe dieses Flows kann „ Confirmed Phish“, „ Wahrscheinlich Phish“ oder „ Wahrscheinlich gutartig“ sein.