Playbook pour la détection d’usurpation de domaine de messagerie
Ce playbook facilite le triage précoce des soumissions de phishing signalées par les utilisateurs en alertant l’analyste de la possibilité d’un domaine similaire dans l’adresse e-mail du phisher.
Le playbook de détection d’usurpation de domaine de messagerie recherche une correspondance de similarité entre le domaine de messagerie de l’expéditeur de l’hameçonnage et un nom de domaine approuvé existe dans le référentiel des observables. Lorsqu’une correspondance de domaine d’e-mail d’expéditeur usurpée a été identifiée par le playbook, les analystes sont alertés par une balise.
Le workflow est créé à partir d’un playbook existant, ce qui fournit une approche cohérente et efficace pour l’enquête sur les incidents. Chaque point de décision du playbook a été converti en une tâche pilotée par les résultats, et le flux change de direction en fonction du résultat de ces tâches.
Prise en main du playbook de détection d’usurpation de domaine de messagerie
- Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
- Accédez à la et sélectionnez le playbook Email Domain Spoofing Detection (Playbook de détection d’usurpation d’identité de domaine de messagerie ).
- (Facultatif) Vous pouvez créer une copie du flux du playbook de détection d’usurpation de domaine de messagerie et apporter les modifications nécessaires. Pour créer une copie du flux du playbook, cliquez sur l’icône
et sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.Figure 1. Playbook de détection d’usurpation d’identité de domaine d’e-mail - Activez les playbooks.
- Activez le flux principal pour utiliser le playbook disponible dans le système de base.
- Activez les flux copiés après avoir apporté les modifications requises.
- De n’est pas vide.
- L’incident de sécurité n’est pas vide.