Utilisez ce playbook pour trouver une correspondance de similarité entre le domaine de messagerie de l’expéditeur de l’hameçonneur et un nom de domaine de confiance existe dans le référentiel d’observables. Les étapes suivantes vous fournissent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook de détection d’usurpation de domaine de messagerie.
Avant de commencer
Rôle requis :
- sn_si.admin
- flow_designer
Assurez-vous d’avoir installé Opérations de sécurité le spoke (sn_sec_spoke).
Procédure
-
Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, le playbook extrait le domaine de l’e-mail de l’e-mail d’hameçonnage.
-
Dans l’action 2, le playbook récupère tous les observables de type domaine/adresse e-mail marqués par la balise de sécurité « Candidat d’usurpation de domaine ».
-
Dans l’action 3, le playbook calcule la similarité entre le domaine Get Tagged et le domaine Email à l’aide de l’algorithme de Levenshtein.
-
Dans l’action 4, le playbook recherche l’enregistrement de propriété système en fonction des conditions suivantes :
- Le nom est sn_sec_spoke.domain_spoof_threshold, (OU)
- Le nom est compris entre a et z. Si plusieurs enregistrements sont trouvés, renvoie uniquement le premier enregistrement.
-
Dans l’action 5, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie si la similarité des deux domaines dépasse le seuil ou non.
Si la similarité des deux domaines ne dépasse pas le seuil, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête. Si la similarité des deux domaines dépasse le seuil, les actions 6 et 7 sont exécutées.
-
Dans l’action 6, le playbook ajoute la balise de sécurité Usurpation de domaine de messagerie à l’incident de sécurité.
-
Dans l’action 7, le playbook ajoute un lien de note de travail au contexte à l’aide de l’option de script.
-
Dans l’action 8, le flux s’arrête.