Ce playbook facilite le triage précoce des soumissions de hameçonnage signalées par les utilisateurs en alertant l’analyste de la possibilité d’un domaine similaire dans l’adresse e-mail de l’hameçonneur.

Le playbook de détection d’usurpation de domaine de messagerie cherche à trouver une correspondance de similarité entre le domaine de messagerie de l’expéditeur de l’hameçonneur et un nom de domaine de confiance existe dans le référentiel d’observables. Lorsqu’une correspondance de domaine de messagerie d’expéditeur usurpé a été identifiée par le playbook, les analystes sont alertés par une balise.

Le workflow est créé à partir d’un playbook existant, qui fournit une approche cohérente et efficace pour les enquêtes sur les incidents. Chaque point de décision du playbook a été converti en une tâche pilotée par les résultats et le flux change de direction en fonction du résultat de ces tâches.