Verwenden Sie das Playbook „Gefälschte E-Mails“ (mit demselben Anzeigenamen).

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um gefälschte E-Mails zu untersuchen, die ausgelöst werden, wenn gefälschte Namen für E-Mails an die Mitarbeiter der Organisation gesendet werden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook Gefälschte E-Mails (mit demselben Anzeigenamen) verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, müssen Sie in Aktion 1 überprüfen, ob in Proofpoint fortlaufend gefälschte E-Mails vorhanden sind.
    2. Wenn in Aktion 2 kontinuierlich E-Mails in Proofpoint vorhanden sind, überprüfen Sie, ob es sich um eine intern gefälschte E-Mail handelt oder nicht.
    3. Wenn es sich in Aktion 3 um eine intern gefälschte E-Mail handelt, führen Sie die folgenden Aktionen aus:
      1. In Aktion 5 müssen Sie eine URL-Analyse mit Quellen wie Virus Total, Anomali Threat Stream Sandbox, urlquery.net, PhishTank durchführen (prüfen Sie beispielsweise PhiskTank und Anomali).
      2. In Aktion 6 müssen Sie die URL auf einer Linux-VM (z. B. Ubuntu) untersuchen.
        Abbildung : 1. Playbook für gefälschte E-Mails (mit demselben Anzeigenamen).
        Antwortaufgabe zum Untersuchen der URL auf einer Linux-VM.
      3. In Aktion 7 müssen Sie suchen, wann die Domäne in WHOIS erstellt wurde.
        Suchen Sie nach kürzlich registrierten Domänen (innerhalb der letzten Woche), die verdächtig sind und eine hohe Wahrscheinlichkeit von Phishing-Angriffen aufweisen.
      4. In Aktion 8 müssen Sie basierend auf der bisher durchgeführten Untersuchung überprüfen, ob diese E-Mail einen schädlichen Anhang oder Link enthält.
        Wenn diese E-Mail keinen schädlichen Anhang oder Link enthält, wird der Flow beendet.
        Abbildung : 2. Die gefälschte E-Mail enthält schädliche Anhänge oder Links
        Antwortaufgaben, um zu überprüfen, ob die gefälschte E-Mail schädliche Anhänge oder Links enthält.
      5. Wenn die E-Mail in Aktion 9 schädliche Anhänge oder Links enthält, führen Sie die folgenden Aktionen aus.
        1. In Aktion 10 müssen Sie sich an den betroffenen Anwender wenden, um zu überprüfen, ob die Anmeldeinformationen gefährdet sind. Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den betroffenen Anwender zu kontaktieren.
        2. In Aktion 11 müssen Sie anhand der E-Mail-Antwort überprüfen, ob die Anmeldeinformationen gefährdet sind. Wenn die Anmeldeinformationen nicht gefährdet wurden, wird der Flow beendet.
          1. Wenn in Aktion 12 die Anmeldeinformationen gefährdet sind, müssen Sie in Aktion 13 überprüfen, ob weitere Anwender betroffen sind. Wenn keine zusätzlichen Benutzer betroffen sind, wird der Flow beendet.
          2. Wenn in Aktion 14 weitere Benutzer betroffen sind, führen Sie die folgenden Aktionen aus:
            1. In Aktion 15 müssen Sie mit Microsoft Exchange Online E-Mails suchen und löschen.
            2. In Aktion 16 müssen Sie den Absender und die schädlichen Dateien oder Anhänge in Office 365 und Proofpoint blockieren.
    4. Wenn es sich in Aktion 17 nicht um eine intern gefälschte E-Mail handelt, müssen Sie überprüfen, ob das System des betroffenen Anwenders betroffen ist.
    5. Wenn in Aktion 18 das System des Benutzers betroffen ist, lösen Sie in Aktion 19 ein IT-Ticket aus, um ein erneutes Abbild des betroffenen Systems zu erhalten.
      Abbildung : 3. Überprüfen Sie, ob das System des betroffenen Anwenders betroffen ist
      Antwortaufgabe, um zu überprüfen, ob das System des betroffenen Anwenders betroffen ist.
    6. In Aktion 20 wird eine Antwortaufgabe erstellt, damit Sie die Überprüfung nach dem Incident abschließen, bevor die Aufgabe geschlossen wird.