Dieses Playbook hilft bei der Frühphasen-Selektierung von vom Anwender gemeldeten Phishing-Übermittlungen, indem es den Analysten auf die Möglichkeit einer Look-alike-Domäne in der E-Mail-Adresse des Phishing-Anwenders hinweist.

Das Playbook zur Erkennung von E-Mail-Domänen-Spoofing sucht nach einer Ähnlichkeitsübereinstimmung zwischen der Absender-E-Mail-Domäne des Phishers und einem vertrauenswürdigen Domänennamen, der im Repository für erkennbare Elemente vorhanden ist. Wenn das Playbook eine Übereinstimmung einer gefälschten Absender-E-Mail-Domäne identifiziert hat, werden die Analysten mit einem Tag benachrichtigt.

Der Workflow wird basierend auf einem vorhandenen Playbook erstellt, das einen konsistenten und effizienten Ansatz für die Untersuchung von Incidents bietet. Jeder Entscheidungspunkt im Playbook wurde in eine ergebnisorientierte Aufgabe konvertiert, und der Flow ändert die Richtung basierend auf dem Ergebnis dieser Aufgaben.