Utiliser le playbook de détection d’usurpation de domaine de messagerie

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Utilisez ce playbook pour trouver une correspondance de similarité entre le domaine de messagerie de l’expéditeur de l’hameçonneur et un nom de domaine approuvé existe dans le référentiel de l’observable. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook de détection d’usurpation de domaine de messagerie.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé Security Operations Spoke (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, le playbook extrait le domaine de l’e-mail de l’e-mail d’hameçonnage.
    2. Dans l’action 2, le playbook récupère tous les observables de type domaine/adresse e-mail marqués par la balise de sécurité « Candidat d’usurpation de domaine ».
    3. Dans l’action 3, le playbook calcule la similarité entre le domaine Get Tagged et le domaine Email à l’aide de l’algorithme de Levenshtein.
      Figure 1. Playbook de détection d’usurpation de domaine de messagerie
      Calculer la similarité entre les deux domaines à l’aide de l’algorithme de Levenshtein
    4. Dans l’action 4, le playbook recherche l’enregistrement de propriété système en fonction des conditions suivantes :
      • Le nom est sn_sec_spoke.domain_spoof_threshold, (OU)
      • Le nom est compris entre a et z. Si plusieurs enregistrements sont trouvés, renvoie uniquement le premier enregistrement.
    5. Dans l’action 5, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie si la similarité des deux domaines dépasse le seuil ou non.
      Si la similarité des deux domaines ne dépasse pas le seuil, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête. Si la similarité des deux domaines dépasse le seuil, les actions 6 et 7 sont exécutées.
      Figure 2. La similarité dépasse le seuil
      Tâches de réponse pour vérifier si la similarité des deux domaines dépasse le seuil.
    6. Dans l’action 6, le playbook ajoute la balise de sécurité Usurpation de domaine de messagerie à l’incident de sécurité.
    7. Dans l’action 7, le playbook ajoute un lien de note de travail au contexte à l’aide de l’option de script.
    8. Dans l’action 8, le flux s’arrête.