Generierung des endgültigen Urteils für vom Anwender gemeldetes Phishing
Security Incident Response-Teams können jetzt das endgültige Urteil für einen von einem Benutzer gemeldeten Phishing-Datensatz basierend auf den Ergebnissen von Predictive Intelligence- und Bedrohungsanreicherungsintegrationen treffen.
Diese Generierung des endgültigen Urteils wird durch ein Entscheidungstabellenkonstrukt aktiviert und in einem Flow genutzt.
Voraussetzungen
Stellen Sie sicher, dass alle in Erforderliche Komponenten und Plugins aufgeführten Plugins installiert wurden.
Navigieren zu an.
Auf der Registerkarte „Entscheidungseingaben“ werden die verschiedenen Bedingungen angezeigt, die ausgewertet wurden, um zum endgültigen Urteil zu gelangen.
Die folgenden Bedingungen sind mit dem Basissystem verfügbar:
- Als verdächtig vorhergesagt: Wenn Predictive Intelligence die vom Benutzer gemeldete Phishing-E-Mail als verdächtigklassifiziert hat.
- Mindestens ein erkennbares Element ist schädlich: Wenn ein an dem Security Incident beteiligtes erkennbares Element (z. B. URL, Domäne, IP, Hash) von Threat Intelligence-Quellen als schädlich eingestuft wurde.
- Ergänzung erkennbarer Elemente ist verdächtig: Wenn die Ergänzung erkennbarer Elemente (z. B. Aktualität der Phishing-Domänenregistrierung, Land der Phishing-Domänenregistrierung) als verdächtig eingestuft wird.
- Absenderdomäne ist gefälscht: Wenn der Verdacht besteht, dass die E-Mail-Domäne des Phishing-Fälschers eine vertrauenswürdige Domäne manipuliert.
- Absendername ist gefälscht: Wenn der Verdacht besteht, dass die E-Mail-Adresse des Phishing-Fälschers eines vertrauenswürdigen Mitarbeiters einer Organisation gefälscht wurde.
Die Registerkarte „ Entscheidungen “ zeigt die endgültigen Urteilsoptionen, die für einen bestimmten Security Incident getroffen werden können.
- Bestätigtes Phishing: Wenn die Bedingungen dazu geführt haben, dass es sich bei dem endgültigen Urteil um eine bestätigte Phishing-E-Mail handelt.
- Wahrscheinlicher Phishing: Wenn die Bedingungen zu dem endgültigen Urteil als potenzieller Phishing-Versuch geführt haben.
- Wahrscheinlich gutartig: Wenn die Bedingungen zu dem endgültigen Urteil als gutartige Übermittlung geführt haben.
Sie können die Bedingungen sehen, die für jede der endgültigen Urteilsoptionen ausgewertet wurden. Klicken Sie auf den Link Bezeichnung, um die Bedingungen anzuzeigen.
Sie können die mit dem Basissystem bereitgestellte Entscheidungstabelle anpassen oder eine eigene Entscheidungstabelle erstellen. Diese Entscheidungstabelle kann in Playbooks für Security Incident Response genutzt werden. Der Subflow „Endgültiges Urteil für Phishing-Security-Incidents generieren“ ist mit dem Basissystem verfügbar. Dieser Subflow generiert automatisch das endgültige Urteil für einen Phishing-Security Incident und wendet basierend auf dieser Entscheidung ein Sicherheits-Tag an. Sie können diesen Subflow als Teil des Playbooks für automatisiertes Phishing aufnehmen.
- incident_id: Die Sys-ID des Phishing-Security Incidents.
- c_level_names: Kommagetrennte Liste von Namen (z. B. Namen von Führungskräften in der Organisation), die bei dem Phishing-Angriff wahrscheinlich gefälscht wurden.
- Trusted_domains: Kommagetrennte Liste der vertrauenswürdigen E-Mail-Domänen.
- richment_keywords: Kommagetrennte Liste von Stichwörtern, die die Bösartigkeit des erkennbaren Elements aus den Ergänzungsergebnissen angeben.
- sender_email (optional): Die E-Mail-Adresse des Absenders der Phishing-E-Mail.
Die Ausgabe dieses Flows kann „ Bestätigte Phishing“, „ Wahrscheinliche Phishing“ oder „ Wahrscheinlich gutartig“ sein.