Verwenden Sie das Playbook zur Erkennung von E-Mail-Domänen-Spoofing

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um eine Ähnlichkeitsübereinstimmung zwischen der Absender-E-Mail-Domäne des Phishers und einem vertrauenswürdigen Domänennamen zu finden, der im Repository für erkennbare Elemente vorhanden ist. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook zur Erkennung von E-Mail-Domänen-Spoofing verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Security Operations Spoke (sn_sec_spoke) installiert ist.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und in Aktion 1 mit der Ausführung beginnt, extrahiert das Playbook die E-Mail-Domäne aus der Phishing-E-Mail.
    2. In Aktion 2 ruft das Playbook alle erkennbaren Elemente vom Typ Domäne/E-Mail-Adresse ab, die mit dem Sicherheits-Tag „Domänen-Spoofing-Kandidat“ gekennzeichnet sind.
    3. In Aktion 3 berechnet das Playbook die Ähnlichkeit zwischen der getaggten Domäne und der E-Mail-Domäne mithilfe des Levenshtein-Algorithmus.
      Abbildung : 1. Playbook zur Erkennung von E-Mail-Domänen-Spoofing
      Berechnen Sie die Ähnlichkeit zwischen den beiden Domänen mit dem Levenshtein-Algorithmus
    4. In Aktion 4 sucht das Playbook basierend auf den folgenden Bedingungen nach dem Systemeigenschaften-Datensatz:
      • Name ist sn_sec_spoke.domain_spoof_threshold, (ODER)
      • Der Name geht von a bis z. Wenn mehrere Datensätze gefunden werden, wird nur der erste zurückgegeben.
    5. In Aktion 5 prüft das Playbook basierend auf der bisher durchgeführten Untersuchung, ob die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet oder nicht.
      Wenn die Ähnlichkeit der beiden Domänen den Schwellenwert nicht überschreitet, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet. Wenn die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet, werden die Aktionen 6 und 7 ausgeführt.
      Abbildung : 2. Ähnlichkeit überschreitet den Schwellenwert
      Antwortaufgaben, um zu überprüfen, ob die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet.
    6. In Aktion 6 fügt das Playbook dem Security Incident das Sicherheits-Tag „E-Mail-Domänen-Spoofing“ hinzu.
    7. In Aktion 7 fügt das Playbook dem Kontext mithilfe der Skriptoption einen Arbeitsnotizlink hinzu.
    8. In Aktion 8 endet der Flow.