メールドメインスプーフィング検出 Playbook の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む1読むのに数分

    • 次の手順は、メールドメインスプーフィング検出 Playbook で利用可能なアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されると、ステップ 1 で Playbook はフィッシングメールからメールドメインを抽出します。
    2. ステップ 2 で、Playbook はセキュリティタグ「ドメインスプーフィング候補」でタグ付けされたすべてのドメイン/メールアドレスタイプの観測事象を取得します。
    3. ステップ 3 で、Playbook は Levenshtein アルゴリズムを使用して、タグ付きドメインとメールドメイン間の類似度を計算します。
      図 : 1. メールドメインスプーフィング検出 Playbook
      レーベンシュタインアルゴリズムを使用して 2 つのドメイン間の類似度を計算する
    4. ステップ 4 で、Playbook は次の条件に基づいてシステムプロパティレコードを検索します。
      • 名前は sn_sec_spoke.domain_spoof_threshold, (OR)
      • 名前は a から z で、複数のレコードが見つかった場合は最初のレコードのみを返します。
    5. ステップ 5 では、これまでに行われた調査に基づいて、Playbook は 2 つのドメインの類似性がしきい値を超えているかどうかを確認します。
      2 つのドメインの類似性がしきい値を超えない場合、ステップ 5 で手動応答タスクが作成され、フローが終了します。2 つのドメインの類似性がしきい値を超えると、ステップ 6 と 7 が実行されます。
      図 : 2. 類似性がしきい値を超えています
      2 つのドメインの類似性がしきい値を超えているかどうかを確認する応答タスク。
    6. ステップ 6 で、Playbook はメールドメインのなりすましセキュリティタグをセキュリティインシデントに追加します。
    7. ステップ 7 で、Playbook はスクリプトオプションを使用して作業メモリンクをコンテキストに追加します。
    8. ステップ 8 では、フローは終了します。