Utilisez ce playbook pour enquêter sur les domaines mal orthographiés et collaborer avec le service juridique de l’organisation pour les retraits. Les étapes suivantes vous fournissent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Erreur de frappe de domaine squatté.
Avant de commencer
Rôle requis :
- sn_si.admin
- flow_designer
Assurez-vous d’avoir installé Opérations de sécurité le spoke (sn_sec_spoke).
Procédure
-
Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez vérifier si les observables sont ajoutés à Réponse aux incidents de sécurité (SIR).
Si les observables ne sont pas ajoutés au SIR, ajoutez-les avant de poursuivre. Si les observables ne sont pas disponibles, l’action 10 est exécutée et l’incident de sécurité est fermé.
-
Dans l’action 2, si les observables sont ajoutés à l’incident de sécurité, les actions suivantes sont exécutées.
-
Dans l’action 3, vous devez joindre la capture d’écran du domaine Typo Squatted à l’incident de sécurité.
-
Dans l’action 4, vous devez joindre les informations Whois à l’incident de sécurité.
-
Dans l’action 5, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie s’il s’agit d’un cas de domaine Typo Squatted ou non.
S’il ne s’agit pas d’un cas de domaine squatté par une faute de frappe, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.
-
Dans l’action 6, s’il s’agit d’un cas de domaine Typo Squatted, alors l’action 7 est exécutée.
-
Dans l’action 7, vous devez envoyer un e-mail et informer les équipes juridiques et autres équipes requises qu’il s’agit d’un cas de domaine typosquatté et prendre les mesures nécessaires pour l’éradiquer.
S’il ne s’agit pas d’un cas de domaine squatté par une faute de frappe, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.
-
Dans l’action 9, une tâche de réponse est créée pour vous permettre de terminer la revue post-incident avant de fermer la tâche.