Utiliser le playbook E-mails falsifiés (utilisant le même nom d’affichage)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook E-mails falsifiés (utilisant le même nom d’affichage).

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, à l’étape 1, vous devez vérifier s’il existe des e-mails frauduleux continus dans Proofpoint.
    2. À l’étape 2, s’il y a des e-mails continus dans Proofpoint, vérifiez s’il s’agit d’un e-mail frauduleux interne ou non.
    3. À l’étape 3, s’il s’agit d’un e-mail d’usurpation interne, procédez comme suit :
      1. À l’étape 5, vous devez effectuer une analyse d’URL à l’aide de n’importe quelle source telle que Virus Total, Anomali Threat stream Sandbox, urlquery.net, PhishTank (par exemple, vérifiez PhiskTank et Anomali).
      2. À l’étape 6, vous devez examiner l’URL sur un ordinateur virtuel Linux (par exemple, Ubuntu).
        Figure 1. E-mails falsifiés (utilisant le même nom d’affichage) Playbook
        Tâche de réponse pour examiner l’URL sur un ordinateur virtuel Linux.
      3. À l’étape 7, vous devez rechercher la date de création du domaine sur WHOIS.
        Recherchez les domaines récemment enregistrés (au cours de la dernière semaine) qui sont suspects et présentent une forte probabilité d’attaques de phishing.
      4. À l’étape 8, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier si cet e-mail contient une pièce jointe ou un lien malveillant.
        Si cet e-mail ne contient pas de pièce jointe ou de lien malveillant, le flux s’arrête.
        Figure 2. L’e-mail usurpé contient des pièces jointes ou des liens malveillants
        Tâches de réponse pour vérifier si l’e-mail falsifié contient des pièces jointes ou des liens malveillants.
      5. À l’étape 9, si l’e-mail contient des pièces jointes ou des liens malveillants, effectuez les étapes suivantes.
        1. À l’étape 10, vous devez contacter l’utilisateur affecté pour vérifier si les informations d’identification sont compromises. Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur affecté.
        2. À l’étape 11, vous devez vérifier si les informations d’identification sont compromises en fonction de la réponse par e-mail. Si les informations d’identification n’ont pas été compromises, le flux se termine.
          1. À l’étape 12, si les informations d’identification sont compromises, à l’étape 13, vous devez vérifier si d’autres utilisateurs sont impactés. Si aucun utilisateur supplémentaire n’est impacté, le flux se termine.
          2. À l’Étape 14, si d’autres utilisateurs sont touchés, effectuez les étapes suivantes :
            1. À l’étape 15, vous devez rechercher et supprimer des e-mails à l’aide de Microsoft Exchange Online.
            2. À l’étape 16, vous devez bloquer l’expéditeur et les fichiers ou pièces jointes malveillants sur Office 365 et Proofpoint.
    4. À l’étape 17, s’il ne s’agit pas d’un e-mail interne usurpé, vous devez vérifier si le système de l’utilisateur concerné est impacté.
    5. À l’étape 18, si le système de l’utilisateur est impacté, à l’étape 19, créez un ticket informatique pour recréer une nouvelle image du système impacté.
      Figure 3. Vérifiez si le système de l’utilisateur affecté est concerné
      Tâche de réponse pour vérifier si le système de l’utilisateur affecté est impacté.
    6. À l’Étape 20, une tâche de réponse est créée pour que vous terminiez la revue post-incident avant de fermer la tâche.