Verwenden Sie das Playbook „Gefälschte E-Mails (mit demselben Anzeigenamen)“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Gefälschte E-Mails (mit demselben Anzeigenamen)“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, müssen Sie in Schritt 1 überprüfen, ob in Proofpoint kontinuierlich gefälschte E-Mails vorhanden sind.
    2. Wenn in Schritt 2 fortlaufende E-Mails in Proofpoint vorhanden sind, überprüfen Sie, ob es sich um eine interne gefälschte E-Mail handelt oder nicht.
    3. Wenn es sich um eine interne gefälschte E-Mail handelt, führen Sie in Schritt 3 die folgenden Schritte aus:
      1. In Schritt 5 müssen Sie eine URL-Analyse mit beliebigen Quellen wie Virus Total, Anomali Threat Stream Sandbox, urlquery.net, PhishTank durchführen (prüfen Sie beispielsweise PhiskTank und Anomali).
      2. In Schritt 6 müssen Sie die URL auf einer Linux-VM (z. B. Ubuntu) untersuchen.
        Abbildung : 1. Playbook für gefälschte E-Mails (mit demselben Anzeigenamen).
        Antwortaufgabe zum Untersuchen der URL auf einer Linux-VM.
      3. In Schritt 7 müssen Sie nachschlagen, wann die Domäne in WHOIS erstellt wurde.
        Suchen Sie nach kürzlich registrierten Domänen (innerhalb der letzten Woche), die verdächtig sind und eine hohe Wahrscheinlichkeit von Phishing-Angriffen aufweisen.
      4. In Schritt 8 müssen Sie basierend auf der bisher durchgeführten Untersuchung überprüfen, ob diese E-Mail einen schädlichen Anhang oder Link enthält.
        Wenn diese E-Mail keinen schädlichen Anhang oder Link enthält, wird der Flow beendet.
        Abbildung : 2. Die gefälschte E-Mail enthält schädliche Anhänge oder Links
        Antwortaufgaben, um zu überprüfen, ob die gefälschte E-Mail schädliche Anhänge oder Links enthält.
      5. Wenn die E-Mail in Schritt 9 schädliche Anhänge oder Links enthält, führen Sie die folgenden Schritte aus.
        1. In Schritt 10 müssen Sie den betroffenen Benutzer kontaktieren, um zu überprüfen, ob die Anmeldeinformationen gefährdet sind. Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den betroffenen Benutzer zu kontaktieren.
        2. In Schritt 11 müssen Sie überprüfen, ob die Anmeldeinformationen basierend auf der E-Mail-Antwort gefährdet sind. Wenn die Anmeldeinformationen nicht gefährdet waren, wird der Flow beendet.
          1. Wenn in Schritt 12 die Anmeldeinformationen gefährdet sind, müssen Sie in Schritt 13 überprüfen, ob weitere Benutzer betroffen sind. Wenn keine weiteren Benutzer betroffen sind, wird der Flow beendet.
          2. Wenn in Schritt 14 weitere Benutzer betroffen sind, führen Sie die folgenden Schritte aus:
            1. In Schritt 15 müssen Sie E-Mails mit Microsoft Exchange Online suchen und löschen.
            2. In Schritt 16 müssen Sie den Absender und die schädlichen Dateien oder Anhänge in Office 365 und Proofpoint blockieren.
    4. Wenn es sich in Schritt 17 nicht um eine interne gefälschte E-Mail handelt, müssen Sie überprüfen, ob das System des betroffenen Benutzers betroffen ist.
    5. Wenn in Schritt 18 das System des Benutzers betroffen ist, lösen Sie in Schritt 19 ein IT-Ticket aus, um ein neues Image des betroffenen Systems durchzuführen.
      Abbildung : 3. Überprüfen Sie, ob das System des betroffenen Benutzers betroffen ist
      Antwortaufgabe, um zu überprüfen, ob das System des betroffenen Benutzers betroffen ist.
    6. In Schritt 20 wird eine Antwortaufgabe erstellt, damit Sie die Überprüfung nach dem Incident abschließen, bevor die Aufgabe geschlossen wird.