Erstellen Sie Security Incidents aus vom Anwender gemeldeten Phishing-E-Mails

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 19 Minuten Lesedauer

    • Verwenden Sie diese Funktion, um Security Incidents aus von Anwendern gemeldeten Phishing-E-Mails zu erstellen.

    Die erweiterte Funktionalität für vom Benutzer gemeldetes Phishing umfasst Zusammenfassungsfunktionen, E-Mail-Headerextraktion und Konfiguration.

    • Benutzer können Phishing-E-Mails auf verschiedene Arten melden:
      • E-Mails können als Anhänge weitergeleitet werden.
      • Wenn das Plugin PhishAlarm (früher bekannt als Wombat) mit dem Microsoft Outlook-Client konfiguriert wurde, können Benutzer:
        • Klicken Sie auf die Schaltfläche Phishing melden.
        • Phishing-E-Mails von einem Mobilgerät mit der Option Phishing melden weiterleiten.

        Melden Sie Phishing-E-Mails
      • Benutzer können eine Phishing-E-Mail (im EML-Format) hochladen.
        Melden Sie Phishing-E-Mails als Anhänge
    • Von Benutzern gemeldetes Phishing enthält eine Geschäftslogik für die Zusammenfassung, die doppelte Phishing-E-Mails identifiziert, die von Benutzern in einer Organisation gemeldet wurden. Benutzer können diese Funktion für Folgendes verwenden:
      • Aggregieren Sie doppelte oder ähnliche von Anwendern gemeldete Phishing-Incidents (vom Unternehmen initiierte Phishing-Kampagnen).
      • Vermeiden Sie die Selektierung von doppelten, von Anwendern gemeldeten Phishing-Incidents, und reduzieren Sie den manuellen Aufwand für die Konsolidierung von Incidents.
      • Ermöglichen Sie Sicherheitsanalysten, an einem einzelnen, von einem Benutzer gemeldeten Phishing-Incident zu arbeiten.
    • Stellt Phishing-E-Mail-Header innerhalb des vom Anwender gemeldeten Phishing-Incidents bereit.
      • Sicherheitsanalysten können nach wichtigen E-Mail-Headerinformationen im Incident suchen.
      • Der manuelle Aufwand zum Sammeln von Headerinformationen aus anderen Quellen ist nicht mehr erforderlich.
    • Die ursprünglich übermittelte Phishing-E-Mail wird als Phishing-E-Mail-Datensatz in einer neuen Tabelle gespeichert.
    • Sicherheitsanalysten können Details der ursprünglichen Phishing-E-Mail anzeigen, z. B. Phishing-E-Mail-Inhalt, Header, Herkunft.
    • Sicherheitsadministratoren können bestimmte Erweiterungen konfigurieren und vornehmen, unter anderem:
      • Konfigurationen zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text (Phishing-Übermittlungen von Meldungen melden).
      • Filter zum Erfassen ausgewählter Header.
      • Konfigurationen für die Verarbeitung der Zuordnung von über- und untergeordneten Incidents, wenn doppelte Phishing-E-Mail-Datensätze identifiziert werden.
      • Flow Designer-Konfigurationen zum Ändern der Geschäftslogik der Zusammenfassung basierend auf den Anforderungen.

    Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein

    Als Benutzer mit der Rolle sn_si.admin können Sie E-Mail-Abgleichregeln definieren, um von Benutzern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, nach der alle E-Mails, die entweder direkt oder über die Schaltfläche Phishing melden an security@acme.com gesendet werden, als vom Anwender gemeldete Phishing-E-Mails kategorisiert werden. Weitere Informationen finden Sie unter Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein.

    Definieren Sie Eigenschaften für vom Benutzer gemeldetes Phishing

    Definieren Sie die Headerinformationen, die aus vom Anwender gemeldeten Phishing-E-Mails erfasst werden müssen. Weitere Informationen finden Sie unter Definieren Sie Eigenschaften für vom Benutzer gemeldetes Phishing

    Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden

    Von Benutzern gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Übereinstimmungsregeln in Security Incidents konvertiert. Weitere Informationen finden Sie unter Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden.

    Transformieren Sie eine Phishing-E-Mail in einen Security Incident

    Der Flow Phishing-E-Mail in Security Incident umwandeln konvertiert Phishing-E-Mail-Datensätze in Security Incidents. Weitere Informationen finden Sie unter Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um.

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Zeigen Sie die Details des Security Incident-Datensatzes an, einschließlich zugehöriger Listen, Arbeitsnotizen und anderer wichtiger Informationen. Weitere Informationen finden Sie unter Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden.

    Erforderliche Komponenten und Plugins

    Die Funktion „Von Anwendern gemeldetes Phishing“ in diesem Release ist eine erweiterte Version der bestehenden Funktionalität von „Von Anwendern gemeldetes Phishing“, die im London-Release verfügbar war. Weitere Informationen finden Sie im Thema Regeln zur Validierung von von Anwendern gemeldeten Phishing-Angriffen erstellen in der London-Dokumentation.

    Wichtige Installationsanweisungen

    Diese Erweiterung ersetzt das vorhandene Design „Von Anwender gemeldetes Phishing“. Das neue Design enthält die folgenden Updates:
    • Die vorhandenen eingehenden Aktionen für eingehende Phishing-E-Mails, die von Anwendern gemeldet wurden („Typ“ = „Weiterleiten“ und „Typ“ = „Neu“) wurden deaktiviert.
    • Eine neue Aktion für eingehende Phishing-E-Mail erstellen ist jetzt verfügbar.
    • Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um ist ein neuer Flow, der die Geschäftslogik für die Erstellung und Zusammenfassung von Security Incidents für das neue Design enthält. Sie müssen diesen Flow aktivieren, damit das neue Design wirksam wird.
    • Die vorhandenen Regeln für von Benutzern gemeldetes Phishing wurden während des Upgrades beibehalten.
    Hinweis:
    Wenn Sie anwenderdefinierte Aktionen für eingehende E-Mails und anwenderdefinierte Workflows für von Anwendern gemeldete Phishing-Übermittlungen verwenden, müssen Sie sowohl das alte als auch das neue Design auf widersprüchliche oder überlappende Funktionen überprüfen.
    Erweiterungsdetails für vomAnwender gemeldetes Phishing: Im Folgenden finden Sie die Details der Erweiterung:
    Hinweis:
    • Die vor Release Security Incident Response 9.0 verfügbaren Aktionen für eingehende Phishing-Meldungen, die von Anwendern gemeldet wurden, sind jetzt deaktiviert. Security Incidents werden nicht mehr über die deaktivierten eingehenden Aktionen erstellt.
    • Die Security Operations-Spoke-Anwendung muss installiert sein, damit das neue Design wirksam wird. Dies schließt den Flow Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um ein, der standardmäßig in einem inaktiven Status verfügbar ist. Aktivieren Sie diesen Flow, um Security Incidents aus den Phishing-E-Mail-Datensätzen zu erstellen.
    Die folgende Abbildung zeigt die Unterschiede zwischen dem alten und dem neuen Design: Von
    Anwender gemeldetes Phishing: Unterschiede
    Zur Verwendung der erweiterten Funktion für von Benutzern gemeldetes Phishing sind die folgenden Plugins und Komponenten erforderlich:
    • Security Support Common (sn_sec_cmn): Beinhaltet:
      • Eingehende Aktion
      • Neues Skript vom Typ „EmailUserReportedPhishing“.
      • Tabelle „Erfassungsregeln“.
    • Security Incident Response (sn_si): Umfasst:
      • Tabelle „Security Incident“ (sn_si_incident)
      • Tabelle „Sicherheits-Phishing-E-Mails“ (sn_si_phishing_email)
      • Tabelle mit Sicherheits-Phishing-E-Mail-Headern (sn_si_phishing_email_header)
      • Datensatzersteller des EML-Uploads
    • Security Operations Spoke

      Flows und Subflows zum Aggregieren von E-Mails und zum Transformieren von Phishing-E-Mails in Security Incidents.

    Die folgende Abbildung zeigt die neue Phishing-E-Mail-Tabelle mit Verweisen auf die übereinstimmende URP-Regel und den Zieldatensatz für Security Incidents (sn_si_incident).


    URP-Datenmodell

    Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein

    Als Benutzer mit der Rolle sn_si.admin können Sie E-Mail-Abgleichregeln definieren, um von Benutzern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, nach der alle E-Mails, die entweder direkt oder über die Schaltfläche Phishing melden an security@acme.com gesendet werden, als vom Anwender gemeldete Phishing-E-Mails kategorisiert werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Erfassungsregeln – von Anwender gemeldetes Phishingan.
    2. Klicken Sie auf Neu, um eine neue E-Mail-Abgleichregel zu erstellen.
    3. Geben Sie einen Namen ein, und definieren Sie eine oder mehrere Bedingungen für die Regel.
    4. Klicken Sie auf Absenden, um die Regel zu speichern.
      Im Folgenden finden Sie einige Beispiele für Regeln:
      • ToRule: Filtert E-Mails, die direkt gesendet oder an die E-Mail-ID security@example.com weitergeleitet wurden. Definieren Sie ToRule
      • Anwender-ID-Regel: Filtert E-Mails, die von einer bestimmten E-Mail-ID gesendet wurden. Definieren Sie die Regel für Anwender-ID

    Definieren Sie Eigenschaften für vom Benutzer gemeldetes Phishing

    Definieren Sie die Headerinformationen, die aus vom Anwender gemeldeten Phishing-E-Mails erfasst werden müssen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie diese Optionen, um die folgenden Einstellungen für von Benutzern gemeldetes Phishing zu konfigurieren.
    • Konfiguration zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text. (Phishing-Übermittlungen melden.)
    • Filtern Sie, um Header auszuwählen.
    • Aktivieren oder deaktivieren Sie die Zuordnung zwischen über- und untergeordneten Elementen.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Eigenschaften des vom Anwender gemeldeten Phishingan.
      Eigenschaften des vom Anwender gemeldeten Phishing
    2. Geben Sie die Konfiguration zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text an:
      • Geben Sie eine Zeichenfolge ein, die den Anfang des E-Mail-Headers identifiziert.
      • Geben Sie eine Zeichenfolge ein, die das Ende des E-Mail-Headers identifiziert.
        Hinweis:
        Wenden Sie diese Einstellungen nur auf Header an, die als Teil des E-Mail-Textes der Phishing-E-Mail erfasst wurden. Wenn beispielsweise das Plugin „ PhishAlarm“ (früher als Wombat bezeichnet) mit dem Microsoft Outlook-Client konfiguriert wurde und der Benutzer auf die Schaltfläche „Phishing melden“ klickt, werden die E-Mail-Header gemäß der hier definierten Konfiguration erfasst. Die Headerinformationen werden nicht erfasst, wenn die Phishing-E-Mail als Anhang weitergeleitet wird.
    3. Geben Sie Filter an, um Header zu entfernen, die für die Untersuchung des Security Incident nicht erforderlich sind.

      Geben Sie eine durch Kommas getrennte Liste von E-Mail-Headern ein, die aus der vom Anwender gemeldeten Phishing-E-Mail erfasst werden müssen. Wenn Sie hier keinen Wert angeben, werden alle Headerinformationen erfasst.

    4. Aktivieren oder deaktivieren Sie die Zuordnung zwischen über- und untergeordneten Elementen.
      Standardmäßig ist die Option Ja aktiviert. Wählen Sie „ Ja “ aus, um anzugeben, dass untergeordnete Security Incidents erstellt werden müssen, wenn von Anwendern gemeldete Phishing-E-Mails zusammengefasst werden. Wenn Sie Neinauswählen, werden keine untergeordneten Security Incidents erstellt, aber die vom Anwender gemeldeten Phishing-E-Mails werden dem Security Incident zugeordnet, und der Security Incident-Datensatz wird aktualisiert. Weitere Informationen zur Erstellung von untergeordneten Security Incidents finden Sie unter Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um.
    5. Aktivieren oder deaktivieren Sie die Option zum Anzeigen des Phishing-E-Mail-Inhalts im HTML-Format.
      Standardmäßig ist die Option Ja aktiviert. Wählen Sie „ Ja “, um den Phishing-E-Mail-Inhalt im HTML-Format anzuzeigen. Wenn Sie Neinauswählen, ist der E-Mail-Inhalt im HTML-Format in einem Phishing-Datensatz nicht sichtbar.

    Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden

    Von Benutzern gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Übereinstimmungsregeln in Security Incidents umgewandelt.

    Wenn eine neue Phishing-E-Mail gemeldet wird, werden die folgenden Aktionen ausgeführt:

    Um die E-Mail-Details anzuzeigen, navigieren Sie zu Security Incident > Alle Phishing-E-Mails anzeigenan. Eine Liste der Phishing-E-Mail-Datensätze wird angezeigt. Klicken Sie auf den Datumslink in der Spalte Erstellt, um den E-Mail-Datensatz anzuzeigen.


    Phishing-E-Mail mit ToRule
    Tabelle : 1. Security Incident – Details zu Phishing-E-Mail
    Feldname Beschreibung
    Nummer Die Nummer, die der vom Anwender gemeldeten Phishing-E-Mail zugewiesen ist.
    Betreff Betreff der E-Mail Die Betreffregel ist in simulierten Phishing-Kampagnen oder -Tests nützlich. In diesem Fall senden Organisationen betrügerische E-Mails an ihre eigenen Mitarbeiter, um ihre Reaktion auf Phishing und ähnliche E-Mail-Angriffe zu testen.

    Wenn bei simulierten Phishing-E-Mail-Tests der Microsoft Outlook-E-Mail-Client mit dem PhishAlarm- Plugin (früher als Wombat bezeichnet) verwendet wird, kann der Benutzer auf die Schaltfläche Phishing melden klicken, um die Phishing-E-Mail zu melden. Die E-Mail wird an das Security Operations-Team gesendet, wobei Simuliertes Phishing an den Betreff der E-Mail angehängt wird. Dies wird verwendet, um die E-Mail als simulierte Phishing-E-Mail zu identifizieren.
    Von Die E-Mail-Adresse, von der diese Phishing-E-Mail stammt. Diese Informationen sind verfügbar, wenn die Phishing-E-Mail als EML-Dateianhang weitergeleitet wird oder wenn die ursprünglichen Header in die E-Mail eingebettet sind.

    Wenn der Benutzer die Phishing-E-Mail direkt weitergeleitet hat, ist die Absenderadresse möglicherweise nicht verfügbar.
    Gemeldet von Die E-Mail-ID des Anwenders, der diese Phishing-E-Mail gemeldet hat. Klicken Sie auf das Informationssymbol, um zusätzliche Details anzuzeigen.
    Nachrichten-ID Die der Nachricht zugewiesene ID.
    Übereinstimmende URP-Regel Die Regel für vom Anwender gemeldetes Phishing, die auf diese E-Mail angewendet werden soll. Klicken Sie auf das Informationssymbol, um zusätzliche Details anzuzeigen.
    URP-Erfassungsregel

    Wie Sie in diesem Beispiel sehen können, zeigt das Feld Bedingung an, dass die ToRule auf diese E-Mail angewendet und ein Security Incident erstellt wird. Weitere Informationen zum Definieren von E-Mail-Übereinstimmungsregeln finden Sie unter Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein.
    Status Wenn in der Tabelle sn_si_phishing_email ein neuer Phishing-E-Mail-Datensatz erstellt wird, wird das Feld Status auf Neufestgelegt. Wenn dieser E-Mail-Datensatz in einen Security Incident konvertiert wird (siehe Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um), wird das Feld „Status“ auf „ Verarbeitet“ aktualisiert.
    Headerursprung Dieses Feld gibt an, wie die E-Mail-Header stammen oder wie der Anwender die Phishing-E-Mail gemeldet hat:
    • E-Mail-Header: Der Anwender hat die Phishing-E-Mail an das Security Operations-Team weitergeleitet.
    • E-Mail-Text:
      • Der Anwender hat auf die Option „ Phishing melden“ geklickt (wenn das PhishAlarm-Plugin (früher als Wombat bezeichnet) mit dem E-Mail-Client konfiguriert wurde).
      • Basierend auf der definierten Regel für vom Anwender gemeldetes Phishing wird die Phishing-E-Mail an das Security Operations-Team weitergeleitet.
    • EML-Anlagen-Header:
      • Anhang: Der Anwender hat die E-Mail als Anhang (EML-Datei) weitergeleitet.
      • Servicekatalog-Übermittlung: Der Benutzer hat die E-Mail als EML-Datei auf den Desktop heruntergeladen und dann an einem angegebenen Speicherort hochgeladen. Aus der E-Mail wird dann der Security Incident erstellt.
    • EML-Anlagentext:
      • Der Anwender hat auf die Option „ Phishing melden“ geklickt (wenn das PhishAlarm-Plugin (früher als Wombat bezeichnet) mit dem E-Mail-Client konfiguriert wurde).
      • Basierend auf der definierten Regel für vom Anwender gemeldetes Phishing wird die Phishing-E-Mail als Anhang an das Security Operations-Team weitergeleitet.
    Security Incident Dieses Feld ist leer, wenn die vom Anwender gemeldete Phishing-E-Mail zum ersten Mal gemeldet wird. Wenn der Flow Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um ausgeführt wurde, wird diese E-Mail in einen Security Incident-Datensatz konvertiert, und die Nummer dieses Datensatzes wird hier angezeigt.
    Roh-Header Dieses Feld zeigt die vollständigen Headerinformationen, die aus der E-Mail extrahiert wurden, wie auf der Seite Definieren Sie Eigenschaften für vom Benutzer gemeldetes Phishing definiert. Die Header werden in Schlüssel-Wert-Paare analysiert und in der Liste Phishing-E-Mail-Header angezeigt.
    Phishing-E-Mail-Header
    Textkörper Dies ist der Textkörper der vom Anwender gemeldeten Phishing-E-Mail.

    Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um

    Der Flow Phishing-E-Mail in Security Incident umwandeln ist ein neuer Flow, der Phishing-E-Mail-Datensätze in Security Incidents konvertiert oder transformiert.

    Vorbereitungen

    Hinweis:
    Um die Funktion „Vom Benutzer gemeldetes Phishing“ zu aktivieren, müssen Sie eine Kopie des Flows erstellen und ihn aktivieren. Wenn Sie anwenderdefinierte eingehende Aktionen und anwenderdefinierte Flows erstellt haben, um von Anwendern gemeldete Phishing-Übermittlungen zu verarbeiten, sind die hier vorgeschlagenen Flow-Änderungen nicht erforderlich.
    • Erforderliche Rolle: sn_si.admin
    • Flow Designer-Spoke muss installiert sein.

    Warum und wann dieser Vorgang ausgeführt wird

    Dieser Flow wird automatisch gestartet, wenn ein Datensatz einer von einem Anwender gemeldeten Phishing-E-Mail erstellt wird, dessen Status auf Neu festgelegt ist. Dieser Flow enthält die Logik zum:
    • Security Incidents aggregieren.
    • Aktualisieren Sie Security Incidents mit relevanten Hinweisen.
    • Fügen Sie Headerdaten hinzu.
    • Erstellen Sie nach Bedarf untergeordnete Incidents.

    Prozedur

    • Navigieren zu Flow Designer > Designer um die mit der Security Operations-Spoke verfügbaren Flows anzuzeigen.
      Flows für Security Operations
    • Klicken Sie auf den Link Phishing-E-Mail in Security Incidents umwandeln, um den Flow anzuzeigen.
    • Dieser Flow wird mit dem Basissystem bereitgestellt, befindet sich im schreibgeschützten Modus und kann nicht verwendet werden.
      Klicken Sie auf das Mehr-Symbol Mehr-Symbol, erstellen Sie eine Kopie des Flows, und öffnen Sie ihn zur Verwendung. Sie können jetzt Änderungen an Ihrem Flow vornehmen, z. B. Auslöserbedingungen oder Aktionen ändern oder Aktionen hinzufügen und entfernen. Nachdem Sie die erforderlichen Änderungen vorgenommen haben, müssen Sie den Flow aktivieren ( Siehe Aktivieren Sie einen Security Incident Response -Flow), damit er ausgeführt werden kann.Phishing-E-Mail in Security Incidents umwandeln

      Diese Abbildung zeigt den Auslöser und die mit dem Flow ausgeführten Schritte. Der rechte Bereich zeigt den Datenfluss. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.

    • Klicken Sie auf das Symbol Auslöser.
      Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser und die Aufgabe an, die ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Dieser Flow wird initiiert, wenn ein neuer Datensatz in die Tabelle „sn_si_phishing_email“ hochgeladen wird.Transformations-Flow: Auslöser
    • In Schritt 1 überprüft der Flow, ob die Option Untergeordnete Incidents für zusammengefasste E-Mail-Übermittlungen erstellen? Die Kennzeichnung „“ wird auf der Seite Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um aktiviert oder deaktiviert.
      Transformations-Flow: Aktion 1
    • In Schritt 2 wird der älteste übergeordnete Security Incident identifiziert.
      Beachten Sie das Symbol in Schritt 2. Dies weist darauf hin, dass der Subflow der Phishing-E-Mail-Zusammenfassung als Teil dieses Schritts ausgeführt wird.Transformations-Flow: Aktion 2

      Klicken Sie auf das Aktionsdesigner-Symbol, um eine detaillierte Ansicht der Aktion anzuzeigen. Dieser Subflow prüft die Phishing-E-Mail und ordnet sie basierend auf den angegebenen Kriterien einem vorhandenen Security Incident zu.

      Transformations-Flow: Subflow der Zusammenfassung von Phishing-E-Mails
      Diese beiden Aktionen werden ausgeführt, wenn dieser Subflow ausgeführt wird. Klicken Sie auf den Link der ersten Aktion, um zusätzliche Details anzuzeigen.
      Transformations-Flow: Subflow: Aktion
      Diese Aktion überprüft die E-Mails, die den Kriterien für die neue eingehende E-Mail entsprechen, basierend auf Bedingungen wie:Wenn diese Bedingungen erfüllt sind, wird im Feld Max. Ergebnisse die Anzahl der Datensätze angezeigt, die den Kriterien entsprechen. Der älteste oder der erste Datensatz in der Liste wird als übergeordneter Datensatz festgelegt, für den die Security Incidents zusammengefasst werden.
    • Schritt 3 ist nur anwendbar, wenn die Option Untergeordnete Incidents für zusammengefasste E-Mail-Übermittlungen erstellen? Kennzeichnung wurde auf der Seite Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um auf Nein festgelegt.
      In diesem Fall wird die Phishing-E-Mail dem Security Incident-Datensatz zugeordnet, und der Flow wird beendet.
      Transformations-Flow: Aktion 3
    • Wenn die Option Untergeordnete Incidents für zusammengefasste E-Mail-Übermittlungen erstellen? auf Jafestgelegt wurde, wird der Flow weiter ausgeführt, und basierend auf der vom Anwender gemeldeten Phishing-E-Mail wird ein neuer Security Incident erstellt.
      Transformations-Flow: Aktion 4
    • In Schritt 5 werden die Benutzer, die die Phishing-E-Mail erhalten haben (Mitarbeiter in der Liste „An“ und „CC“ der Phishing-E-Mail), der zugehörigen Liste „Betroffene Benutzer“ im Datensatz „Security Incident“ hinzugefügt.
      Formular umwandeln: Aktion 4
    • In Schritt 6 werden erkennbare Elemente auf der Zulassungsliste aus der Liste der erkennbaren Elemente im Security Incident gefiltert.
      Diese erlauben, dass aufgelistete erkennbare Elemente dem Security Incident nicht hinzugefügt werden.
      Transformations-Flow: Filter für aufgelistete erkennbare Elemente zulassen
    • In Schritt 7 werden unbekannte erkennbare Elemente aus der vom Anwender gemeldeten Phishing-E-Mail identifiziert und der zugehörigen Liste „Erkennbare Elemente“ hinzugefügt.
      Transformations-Flow: Erkennbare Elemente hinzufügen
    • In Schritt 8 wird eine E-Mail-Suchabfrage generiert, die eine Kombination aus dem Betreff und der Absenderadresse der E-Mail ist.
      Diese Informationen sind nützlich, um die Mitarbeiter in der Organisation zu identifizieren, die dem Phishing ausgesetzt waren.
      Transformations-Flow: Erstellen Sie eine E-Mail-Suchabfrage
    • In Schritt 9 wird die vom Anwender gemeldete Phishing-E-Mail mit dem Security Incident verknüpft und der Security Incident-Datensatz (in Schritt 4 erstellt) aktualisiert.
      Transformations-Flow: Aktualisieren Sie den Security Incident-Datensatz
    • In Schritt 10 wird der übergeordnete Security Incident identifiziert, und es wird geprüft, ob es sich um einen offenen Security Incident-Datensatz handelt.
      Transformations-Flow: Sucht nach einem Security Incident-Datensatz
    • Wenn die übergeordnete Sicherheit aktiv ist, werden den untergeordneten und den übergeordneten Security Incident-Datensätzen Notizen hinzugefügt, die angeben, wie sie einander zugeordnet sind.
    • Wenn in Schritt 12 keine betroffenen Anwender gefunden wurden (in Schritt 5 des Flow), wird eine Arbeitsnotiz hinzugefügt und der Security Incident-Datensatz aktualisiert.
      Transformations-Flow: Arbeitsnotiz für nicht abgeglichene Anwender hinzufügen
    • In Schritt 13 wird eine Arbeitsnotiz mit der Liste der zulässigen erkennbaren Elemente hinzugefügt.
      Transformations-Flow: Liste der zulässigen aufgeführten erkennbaren Elemente hinzufügen

    Nächste Maßnahme

    Sie können auf Test klicken, um die Aktionen im Flow zu simulieren, bevor er veröffentlicht wird. Klicken Sie nach dem Testen des Flows auf Aktivieren, um den Flow zu aktivieren, damit er ausgeführt werden kann.

    Klicken Sie auf Ausführungen, um die Ausführungsdetails des Flow anzuzeigen.


    Transformations-Flow: Ausführungsdetails

    Wenn der Flow ausgeführt wurde, wird der Phishing-E-Mail-Datensatz in einen Security Incident konvertiert. Siehe Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Phishing-E-Mail-Datensätze, die in der Tabelle „sn_si_phishing_email“ gespeichert sind, werden in Datensätze zu Security Incidents konvertiert.

    Klicken Sie auf, um den Security Incident anzuzeigen, der dem Phishing-E-Mail-Datensatz zugeordnet ist Security Incident > Phishing-E-Mail > Alle Phishing-E-Mails anzeigenan.


    Phishing-E-Mail-Tabelle

    Klicken Sie auf den Link in der Spalte „Security Incident“, die dem Phishing-E-Mail-Datensatz zugeordnet ist. Die Details des Security Incidents werden angezeigt.


    Security Incident, der dem Phishing-E-Mail-Datensatz zugeordnet ist

    Zugehörige Listen

    Scrollen Sie nach unten zum Abschnitt „Zugehörige Links“ des Security Incidents, und klicken Sie auf die zugehörige Liste Alle anzeigen. Zeigen Sie Details wie untergeordnete Security Incidents, betroffene Anwender und zugehörige Phishing-E-Mails an.

    Untergeordnete Security Incidents

    Klicken Sie auf die Registerkarte Untergeordnete Security Incidents. Sie können eine Liste der untergeordneten Security Incidents anzeigen, die dem übergeordneten Security Incident zugeordnet sind, basierend auf der angewendeten Zusammenfassungslogik. Für jeden hinzugefügten untergeordneten Datensatz wird dem übergeordneten Datensatz eine automatisierte Systemaktivität hinzugefügt (im Abschnitt „Arbeitsnotiz“). Dadurch wird der Sicherheitsanalyst über den aggregierten untergeordneten Datensatz benachrichtigt.
    Hinweis:
    Sie können die untergeordneten Security Incidents hier nur anzeigen, wenn die Kennzeichnung Untergeordnete Incidents für zusammengefasste E-Mail-Übermittlungen erstellen auf der Seite „Eigenschaften von vom Anwender gemeldetem Phishing“ auf Ja gesetzt ist. Details siehe Definieren Sie Eigenschaften für vom Benutzer gemeldetes Phishing.

    Untergeordnete Security Incidents

    Zugehörige Phishing-E-Mails

    Klicken Sie auf die Registerkarte Zugehörige Phishing-E-Mails. Sie sehen eine Liste der Phishing-E-Mail-Datensätze (doppelte Datensätze), die dem übergeordneten Phishing-E-Mail-Datensatz zugeordnet sind.
    Zugehörige Phishing-E-Mail-Datensätze

    Zugehörige Phishing-E-Mail-Header

    Klicken Sie auf die Registerkarte Zugehörige Phishing-E-Mails. Sie sehen die Headerdetails der Phishing-E-Mail, die als Teil des Security Incident erfasst wurden. Sie können die Rollup-Header aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die im übergeordneten Security Incident zusammengefasst sind.
    Zugehörige Phishing-E-Mail-Header

    Erkennbare Elemente der zulässigen Liste

    Während der Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um -Flow ausgeführt wird, können Sie den Status des Security Incidents überwachen. Wenn bestimmte erkennbare Elemente als erkennbare Elemente der zulässigen Liste markiert sind, werden sie nicht der zugehörigen Liste „Erkennbare Elemente“ hinzugefügt. Indem Sie die erkennbaren Elemente für die Zulassungsliste markieren, können Sie sicherstellen, dass nur die wichtigen Details angezeigt werden. Wenn beispielsweise www.google.com eine der URLs ist, die als zulässige Liste markiert wurden, wird die folgende Systemnachricht angezeigt. Die zulässigen erkennbaren Elemente der Liste stellen sicher, dass nur die wichtigen erkennbaren Elemente überwacht werden.

    Nicht abgeglichene Anwender werden erfasst

    Einige E-Mail-IDs in der Liste „An“ und „CC“ der Phishing-E-Mail gehören möglicherweise nicht zu Anwendern in der Organisation. Diese E-Mail-IDs werden als nicht übereinstimmende Anwender kategorisiert und sind nicht in der zugehörigen Liste „Betroffene Anwender“ enthalten. Es wird eine Arbeitsnotiz angezeigt, die angibt, dass dies Benutzer ohne Übereinstimmung sind.
    Nicht abgeglichene Anwender

    Von Benutzer gemeldetes Phishing im Arbeitsbereich für Sicherheitsanalysten

    Sie können Security Incidents, die den Phishing-E-Mail-Datensätzen zugeordnet sind, im Arbeitsbereich für Sicherheitsanalysten anzeigen.

    Navigieren zu Security Incident > Neue UIan. Der -Arbeitsbereich wird in einer separaten Browser-Registerkarte geöffnet. Klicken Sie auf den Security Incident, der dem Phishing-E-Mail-Datensatz zugeordnet ist, um den Security Incident anzuzeigen.
    URP Security Incident: Neue UI
    Klicken Sie auf das Feldstecher-Symbol. Die ursprüngliche Phishing-E-Mail wird angezeigt.
    URP Security Incident: Neue UI – Phishing-E-Mail
    Klicken Sie auf der Registerkarte Erkunden auf Incidents > Untergeordnete Security Incidentsan.
    URP Security Incident: Neue UI – untergeordnete Security Incidents
    Klicken Incidents > Zugehörige Phishing-Header > an. Sie können die aufgerollten Header aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die im übergeordneten Security Incident zusammengefasst sind.
    URP: Neue UI – E-Mail-Header
    Klicken Sie auf den Phishing-E-Mail-Link, um den Phishing-E-Mail-Datensatz anzuzeigen, der dem Security Incident zugeordnet ist.
    URP: Neue UI: Phishing-E-Mail-Datensatz
    Klicken Sie auf die Registerkarte Incident-Zeitleiste.
    URP: Neue UI: Arbeitsnotizen
    Sie können die Systemupdates anzeigen, die Folgendes hervorheben:
    • Es wurden doppelte untergeordnete Datensätze identifiziert.
    • Erkennbare Elemente der zulässigen Liste.
    • Anwender ohne Übereinstimmung, die die Phishing-E-Mail erhalten haben, aber nicht zur Liste der betroffenen Anwender gehören.

    Häufige Fragen

    Dieser Abschnitt behandelt einige der häufig gestellten Fragen zur erweiterten Funktion „Von Benutzern gemeldetes Phishing“.

    1. Ich habe die neue Security Incident Response-Spoke installiert, kann jedoch keine von Anwendern gemeldeten Phishing-Incidents anzeigen.

      Standardmäßig wurde die Funktion „Vom Anwender gemeldetes Phishing“ deaktiviert.

      Um diese Funktion zu aktivieren, müssen Sie eine Kopie des schreibgeschützten Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um -Flows erstellen und ihn vor der Verwendung aktivieren.

    2. Welche Vorsichtsmaßnahmen werden bei der Erfassung von Phishing-E-Mails und deren Umwandlung in Security Incidents im Umgang mit schädlichen Links und Anhängen in Phishing-E-Mails verwendet?

      Der Antivirenscanner ServiceNow scannt diese schädlichen Anhänge und Links. Um jedoch sicherzustellen, dass Sicherheitsanalysten die Incidents genau untersuchen können, erfasst die Anwendung Security Incident Response alle Artefakte, die Teil einer Phishing-E-Mail sind. Die Funktion „Vom Anwender gemeldetes Phishing“ deaktiviert jedoch die schädlichen Links in Phishing-E-Mails, damit Sicherheitsanalysten nicht versehentlich auf diese Links klicken. Sicherheitsanalysten müssen beim Herunterladen schädlicher Anhänge vorsichtig sein.

    3. Erfassen wir alle schädlichen Dateien, die Teil der Phishing-E-Mails sind, um die Ergänzung zu Security Incidents zu ermöglichen?

      Ja, wir erfassen alle Dateien aus den Phishing-E-Mails. Sie können diese Details als Teil von erkennbaren Elementen für Security Incidents in Form eines Datei-Hashs anzeigen.

    4. Senden wir schädliche Dateien und Links aus Phishing-E-Mails zur Untersuchung an eine Sandbox-Instanz?

      Derzeit unterstützen wir keine sofort einsatzbereiten Sandbox-Integrationen für die Untersuchung schädlicher Dateien und Links.

    5. Gibt es ein Zeitfenster oder einen Auslöser, das die Dauer definiert, in der eingehende doppelte Phishing-E-Mail-Datensätze einem übergeordneten Security Incident zugeordnet werden?

      Doppelte Phishing-E-Mail-Datensätze werden nur für einen aktiven übergeordneten Security Incident zusammengefasst. Wenn der übergeordnete Incident geschlossen oder abgebrochen wird, wird die eingehende neue doppelte Phishing-E-Mail als neuer Security Incident erstellt. In diesem Szenario können Sie jedoch innerhalb des neuen Security Incident den geschlossenen oder abgebrochenen übergeordneten Security Incident in der zugehörigen Liste „ Ähnliche Security Incidents “ anzeigen.

      Hinweis:
      Dieses Verhalten kann mit dem Flow Designer konfiguriert werden.
    6. Unterstützt die Funktion „Phishing-Bericht für Anwenderberichte“ nur die Verwendung des Microsoft Outlook PhishAlarm- Plugins (früher bekannt als Wombat) zum Erfassen von E-Mail-Headerdetails?

      Die Funktion „Vom Anwender gemeldet“ wurde zum Analysieren von E-Mail-Headern entwickelt und entspricht den RFC822-Standards. Ähnlich wie das PhishAlarm- Plugin (früher als Wombat bezeichnet) werden alle anderen Microsoft Outlook-Plugins unterstützt, die E-Mail-Header basierend auf den RFC822-Standards erfassen.