Verwenden Sie das Playbook „E-Mail-Domänen-Spoofing-Erkennung“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die folgenden Schritte zeigen Ihnen die Aktionen, Aufgaben und Subflows, die im Playbook „E-Mail-Domänen-Spoofing-Erkennung“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, extrahiert das Playbook in Schritt 1 die E-Mail-Domäne aus der Phishing-E-Mail.
    2. In Schritt 2 ruft das Playbook alle erkennbaren Elemente des Domänen-/E-Mail-Adresstyps ab, die mit dem Sicherheits-Tag „Domänen-Spoofing-Kandidat“ gekennzeichnet sind.
    3. In Schritt 3 berechnet das Playbook die Ähnlichkeit zwischen der Domäne „Get Tagged“ und der E-Mail-Domäne mithilfe des Levenshtein-Algorithmus.
      Abbildung : 1. Playbook „E-Mail-Domänen-Spoofing-Erkennung“.
      Berechnen Sie die Ähnlichkeit zwischen den beiden Domänen mit dem Levenshtein-Algorithmus
    4. In Schritt 4 sucht das Playbook basierend auf den folgenden Bedingungen nach dem Systemeigenschaften-Datensatz:
      • Name ist sn_sec_spoke.domain_spoof_threshold, (OR)
      • Der Name reicht von a bis z. Wenn mehrere Datensätze gefunden werden, wird nur der erste Datensatz zurückgegeben.
    5. In Schritt 5 überprüft das Playbook basierend auf der bisher durchgeführten Untersuchung, ob die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet oder nicht.
      Wenn die Ähnlichkeit der beiden Domänen den Schwellenwert nicht überschreitet, wird in Schritt 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet. Wenn die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet, werden die Schritte 6 und 7 ausgeführt.
      Abbildung : 2. Ähnlichkeit überschreitet den Schwellenwert
      Antwortaufgaben, um zu überprüfen, ob die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet.
    6. In Schritt 6 fügt das Playbook dem Security Incident das Sicherheits-Tag „Email Domain Spoofing“ hinzu.
    7. In Schritt 7 fügt das Playbook dem Kontext mithilfe der Skriptoption einen Arbeitsnotizlink hinzu.
    8. In Schritt 8 endet der Flow.