이메일 도메인 스푸핑 탐지를 위한 Playbook
이 플레이북은 분석가에게 피셔의 이메일 주소와 유사한 도메인이 있을 가능성을 경고하여 사용자가 보고한 피싱 제출물의 초기 단계 분류를 지원합니다.
이메일 도메인 스푸핑 탐지 플레이북은 옵저버블 리포지토리에 있는 신뢰할 수 있는 도메인 이름과 피셔의 발신자 이메일 도메인 간의 유사성 일치를 찾습니다. 스푸핑된 발신자 이메일 도메인 일치가 플레이북에 의해 식별되면 분석가에게 태그가 표시됩니다.
워크플로우는 기존 Playbook을 기반으로 생성되므로 인시던트 조사를 위한 일관되고 효율적인 접근 방식을 제공합니다. Playbook의 각 결정 지점이 결과 기반 작업으로 변환되고 이러한 작업의 결과에 따라 플로우의 방향이 변경됩니다.
이메일 도메인 스푸핑 탐지 플레이북 시작하기
- sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
- 다음으로 이동 을 클릭하고 이메일 도메인 스푸핑 탐지 Playbook Playbook 을 선택합니다.
- (선택 사항) 이메일 도메인 스푸핑 탐지 Playbook 플로우의 사본을 생성하고 필요한 수정을 수행할 수 있습니다. Playbook 플로우의 사본을 생성하려면
아이콘을 클릭하고 플로우 복사를 선택합니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.그림 1. 이메일 도메인 스푸핑 탐지 Playbook - Playbook을 활성화합니다.
- 기본 시스템에서 사용할 수 있는 Playbook을 사용하도록 메인 플로우를 활성화합니다.
- 필요한 변경 사항을 적용한 후 복사한 플로우를 활성화합니다.
트리거 조건: 이 Playbook은 다음 조건이 충족될 때 트리거되고 보안 인시던트와 연결됩니다.
- From 이 비어 있지 않습니다.
- 보안 인시던트가 비어 있지 않습니다.