Génération d’un verdict final pour hameçonnage signalé par un utilisateur
Les équipes de Réponse aux incidents de sécurité peuvent désormais déterminer le verdict définitif d’un enregistrement de hameçonnage signalé par un utilisateur en fonction des résultats des intégrations d’intelligence prédictive et d’enrichissement des menaces.
Cette génération de verdict final est activée par le biais d’une construction de table de décision et exploitée dans un flux.
Prérequis
Assurez-vous que tous les modules d’extension répertoriés dans Composants et modules d’extension requis ont été installés.
Accédez à la .
L’onglet Entrées de décision montre les différentes conditions qui ont été évaluées pour arriver au verdict final.
Les conditions suivantes sont disponibles avec le système de base :
- Prédit comme suspect : lorsque Predictive Intelligence a classifié l’utilisateur a signalé un e-mail d’hameçonnage comme suspect.
- Au moins un observable est malveillant : lorsqu’un observable impliqué dans l’incident de sécurité (par exemple, URL, domaine, adresse IP, hachage) a été classé comme malveillant par des sources de renseignements sur les menaces.
- L’enrichissement des observables est suspect : lorsque l’enrichissement des observables (par exemple, l’enregistrement de la récence de l’enregistrement du domaine d’hameçonnage, le pays de l’enregistrement du domaine d’hameçonnage) est considéré comme suspect.
- Le domaine de l’expéditeur est falsifié : lorsque le domaine de messagerie de l’hameçonneur est soupçonné d’usurper un domaine de confiance.
- Le nom de l’expéditeur est usurpé : lorsque l’adresse e-mail de l’hameçonneur est soupçonnée d’usurper un employé de confiance d’une organisation.
L’onglet Décisions affiche les options de verdict final qui peuvent être obtenues pour un incident de sécurité donné.
- Hameçonnage confirmé : lorsque les conditions ont conduit au verdict final comme étant un e-mail d’hameçonnage confirmé.
- Hameçonnage probable : lorsque les conditions ont conduit au verdict final en tant que tentative d’hameçonnage potentielle.
- Probablement bénin : lorsque les conditions ont conduit au verdict final en tant que soumission bénigne.
Vous pouvez voir les conditions qui ont été évaluées pour chacune des options du verdict final. Cliquez sur le lien Étiquette pour voir les conditions.
Vous pouvez personnaliser la table de décision fournie avec le système de base ou créer votre propre table de décision. Cette table de décision peut être exploitée dans les playbooks de réponse aux incidents de sécurité. Le flux secondaire Générer le verdict final pour les incidents de sécurité liés au hameçonnage est disponible avec le système de base. Ce flux secondaire génère automatiquement le verdict final d’un incident de sécurité de hameçonnage et applique une balise de sécurité en fonction de cette décision. Vous pouvez inclure ce flux secondaire dans le cadre du playbook d’hameçonnage automatisé .
- incident_id : ID système de l’incident de sécurité d’hameçonnage.
- c_level_names : liste séparée par des virgules de noms (par exemple, les noms des cadres de l’organisation) susceptibles d’être usurpés dans l’attaque d’hameçonnage.
- trusted_domains : liste des domaines d’e-mail de confiance séparés par des virgules.
- enrichment_keywords : liste de mots clés séparés par des virgules qui indiquent le caractère malveillant de l’observable à partir des résultats d’enrichissement.
- sender_email (facultatif) : l’adresse e-mail de l’expéditeur de l’e-mail d’hameçonnage.
La sortie de ce flux peut être Hameçonnage confirmé, Hameçonnage probable ou Probablement bénin.