Playbook für die Erkennung von E-Mail-Domänen-Spoofing
Dieses Playbook hilft bei der frühzeitigen Selektierung von von Benutzern gemeldeten Phishing-Übermittlungen, indem der Analyst auf die Möglichkeit einer Doppelgänger-Domäne in der E-Mail-Adresse des Phishing-Angriffs aufmerksam gemacht wird.
Das Playbook zur Erkennung von E-Mail-Domänen-Spoofing sucht nach einer Ähnlichkeitsübereinstimmung zwischen der Absender-E-Mail-Domäne des Phishers und einem vertrauenswürdigen Domänennamen, der im Repository für erkennbare Elemente vorhanden ist. Wenn das Playbook eine gefälschte Absender-E-Mail-Domänenübereinstimmung identifiziert hat, werden die Analysten mit einem Tag benachrichtigt.
Der Workflow wird basierend auf einem vorhandenen Playbook erstellt, das einen konsistenten und effizienten Ansatz für die Untersuchung von Incidents bietet. Jeder Entscheidungspunkt im Playbook wurde in eine ergebnisabhängige Aufgabe konvertiert, und der Flow ändert die Richtung basierend auf dem Ergebnis dieser Aufgaben.
Erste Schritte mit dem Playbook zur Erkennung von E-Mail-Domänen-Spoofing
- Melden Sie sich als Benutzer mit den Rollen sn_si.user und flow_designer an.
- Navigieren zu und wählen Sie das Playbook „E-Mail-Domänen-Spoofing-Erkennung “ aus.
- (Optional) Sie können eine Kopie des Playbook-Flows zur Erkennung von E-Mail-Domänen-Spoofing erstellen und die erforderlichen Änderungen vornehmen. Um eine Kopie des Playbook-Flows zu erstellen, klicken Sie auf das Menüsymbol
und wählen Sie Flow kopierenaus. Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen daran vornehmen möchten.Abbildung : 1. Playbook „E-Mail-Domänen-Spoofing-Erkennung“. - Aktivieren Sie die Playbooks.
- Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
- Aktivieren Sie die kopierten Flows, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
- „Von “ ist nicht leer.
- Security Incident ist nicht leer.