Créer des incidents de sécurité à partir d’e-mails d’hameçonnage signalés par un utilisateur

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 23 minutes de lecture

    • Utilisez cette fonctionnalité pour créer des incidents de sécurité à partir des e-mails de hameçonnage signalés par les utilisateurs.

    La fonctionnalité améliorée de hameçonnage signalé par un utilisateur comprend des options d’agrégation, d’extraction d’en-tête d’e-mail et de configuration.

    • Les utilisateurs peuvent signaler les e-mails d’hameçonnage de plusieurs façons :
      • Les e-mails peuvent être transférés sous forme de pièces jointes.
      • Si le plugin Wombat a été configuré avec le client Microsoft Outlook, l’utilisateur peut :
        • Cliquez sur le bouton Signaler un hameçonnage .
        • Transférez les e-mails d’hameçonnage à partir d’un équipement mobile à l’aide de l’option Signaler un hameçonnage .

        Signaler des e-mails d’hameçonnage
      • Les utilisateurs peuvent télécharger un e-mail d’hameçonnage (au format .eml).
        Signaler les e-mails d’hameçonnage en tant que pièces jointes
    • Le hameçonnage signalé par un utilisateur inclut une logique métier d’agrégation qui identifie les e-mails de hameçonnage en double signalés par les utilisateurs d’une entreprise. Les utilisateurs peuvent utiliser cette aptitude pour :
      • Regroupez les incidents de hameçonnage signalés par un utilisateur en double ou similaires (campagnes de hameçonnage initiées par l’entreprise).
      • Évitez de trier les incidents de hameçonnage signalés par un utilisateur en double et réduisez l’effort manuel nécessaire à la consolidation des incidents.
      • Permettez aux analystes de sécurité de travailler sur un seul incident de hameçonnage signalé par un utilisateur.
    • Fournit des en-têtes d’e-mail d’hameçonnage dans l’incident d’hameçonnage signalé par l’utilisateur.
      • Les analystes de sécurité peuvent rechercher des informations clés sur l’en-tête de l’e-mail dans l’incident.
      • Il n’est plus nécessaire de collecter manuellement des informations d’en-tête à partir d’autres sources.
    • L’e-mail d’hameçonnage d’origine envoyé est stocké en tant qu’enregistrement d’e-mail d’hameçonnage dans une nouvelle table.
    • Les analystes de sécurité peuvent afficher les détails de l’e-mail d’hameçonnage d’origine, tels que le contenu, les en-têtes et l’origine de l’e-mail d’hameçonnage.
    • Les administrateurs de sécurité peuvent configurer et apporter certaines améliorations, notamment :
      • Configurations permettant d’extraire les en-têtes d’e-mail du corps de l’e-mail (signaler des soumissions d’hameçonnage ).
      • Filtre pour capturer les en-têtes sélectionnés.
      • Configurations permettant de gérer l’association d’incident parent-enfant lorsque des enregistrements d’e-mails d’hameçonnage en double sont identifiés.
      • Configurations de Flow Designer pour modifier la logique métier d’agrégation en fonction des besoins.

    Configurer des règles d’intégration pour le hameçonnage signalé par les utilisateurs

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance des e-mails pour filtrer les e-mails de hameçonnage signalés par les utilisateurs en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés aux security@acme.com directement ou via le bouton Signaler un hameçonnage sont classés dans la catégorie des e-mails de hameçonnage signalés par un utilisateur. Pour plus d'informations, consultez Configurer des règles d’ingestion pour le hameçonnage signalé par un utilisateur.

    Définir les propriétés de hameçonnage signalé par un utilisateur

    Définissez les informations d’en-tête qui doivent être capturées à partir des e-mails de hameçonnage signalés par les utilisateurs. Pour plus d'informations, voir Définir les propriétés de hameçonnage signalé par un utilisateur

    Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par un utilisateur

    Les e-mails de hameçonnage signalés par les utilisateurs sont convertis en incidents de sécurité en fonction des règles de correspondance des e-mails qui ont été définies. Pour plus d'informations, consultez Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par un utilisateur.

    Transformer l’e-mail d’hameçonnage en incident de sécurité

    Le flux Transformer l’e-mail d’hameçonnage en incident de sécurité convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité. Pour plus d'informations, consultez Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Affichez les détails de l’enregistrement d’incident de sécurité, y compris les listes connexes, les notes de travail et d’autres informations importantes. Pour plus d'informations, consultez Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Composants et modules d’extension requis

    La fonctionnalité Hameçonnage signalé par un utilisateur disponible dans cette version est une version améliorée de la fonctionnalité de hameçonnage signalée par un utilisateur disponible dans la version London. Pour plus d’informations, consultez la rubrique Créer des règles pour valider les attaques de phishing signalées par les utilisateurs dans la documentation London.

    Instructions d’installation importantes

    Cette amélioration remplace la conception existante du User Reported Phishing (hameçonnage signalé par un utilisateur). Le nouveau design comprend les mises à jour suivantes :
    • Les actions entrantes d’e-mail de hameçonnage signalées par un utilisateur existantes (Type = Transférer et Type = Nouveau) ont été désactivées.
    • Une nouvelle action entrante Créer un e-mail d’hameçonnage est désormais disponible.
    • Il Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité s’agit d’un nouveau flux qui contient la logique métier de création et d’agrégation des incidents de sécurité pour la nouvelle conception. Vous devez activer ce flux pour que la nouvelle conception prenne effet.
    • Les règles existantes relatives au hameçonnage signalé par un utilisateur ont été conservées pendant la mise à niveau.
    Remarque :
    Si vous utilisez des actions entrantes personnalisées sur e-mail et des workflows personnalisés pour les soumissions de phishing signalées par les utilisateurs, vous devez examiner les anciennes conceptions et les nouvelles conceptions pour détecter les fonctionnalités conflictuelles ou qui se chevauchent.
    Détails de l’amélioration via hameçonnage signalée par un utilisateur : voici les détails de l’amélioration :
    Remarque :
    • Les actions entrantes de hameçonnage signalé par un utilisateur disponibles avant la version 9.0 de Security Incident Response sont désormais désactivées. Les incidents de sécurité ne sont plus créés via les actions entrantes désactivées.
    • L’application de spoke Security Operations doit être installée pour que la nouvelle conception prenne effet. Cela inclut le flux, Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité qui est disponible dans un état inactif par défaut. Activez ce flux pour créer des incidents de sécurité à partir des enregistrements d’e-mails d’hameçonnage.
    L’image suivante montre les différences entre l’ancien et le nouveau design :
    User Reported Phishing : différences
    Pour utiliser la fonctionnalité améliorée de hameçonnage signalé par un utilisateur, les modules d’extension et composants suivants sont requis :
    • Support de sécurité commun (sn_sec_cmn) : comprend :
      • Action entrante
      • Nouveau script EmailUserReportedPhishing
      • Table des règles d’ingestion
    • Security Incident Response (sn_si) : inclut :
      • Table des incidents de sécurité (sn_si_incident)
      • Tableau des e-mails d’hameçonnage de sécurité (sn_si_phishing_email)
      • Tableau des en-têtes d’e-mails d’hameçonnage de sécurité (sn_si_phishing_email_header)
      • Créateur d’enregistrement de chargement EML
    • Spoke Security Operations

      Flux et flux secondaires pour l’agrégation d’e-mails et la transformation des e-mails d’hameçonnage en incidents de sécurité.

    La figure suivante montre la nouvelle table des e-mails d’hameçonnage avec des références à la règle URP correspondante et à l’enregistrement d’incident de sécurité cible (sn_si_incident).


    Modèle de données URP

    Configurer des règles d’ingestion pour le hameçonnage signalé par un utilisateur

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance des e-mails pour filtrer les e-mails de hameçonnage signalés par les utilisateurs en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés aux security@acme.com directement ou via le bouton Signaler un hameçonnage sont classés dans la catégorie des e-mails de hameçonnage signalés par un utilisateur.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Security Operations > Traitement des e-mails > Propriétés de hameçonnage signalé par un utilisateur.
    2. Cliquez sur Nouveau pour créer une règle de correspondance d’e-mail.
    3. Entrez un nom et définissez une ou plusieurs conditions pour la règle.
    4. Cliquez sur Soumettre pour enregistrer la règle.
      Voici quelques exemples de règles :
      • ToRule : filtrez les e-mails qui ont été envoyés directement ou transférés à security@example.com ID d’e-mail. Définir à la règle
      • Règle d’ID d’utilisateur : filtrez les e-mails qui ont été envoyés à partir d’un ID d’e-mail spécifique. Définir la règle d’ID d’utilisateur

    Définir les propriétés de hameçonnage signalé par un utilisateur

    Définissez les informations d’en-tête qui doivent être capturées à partir des e-mails de hameçonnage signalés par les utilisateurs.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Utilisez ces options pour configurer les paramètres de hameçonnage signalés par les utilisateurs suivants.
    • Configuration permettant d’extraire les en-têtes d’e-mail du corps de l’e-mail. (Signaler des soumissions d’hameçonnage .)
    • Filtrez pour sélectionner des en-têtes.
    • Activez ou désactivez l’association parent-enfant.

    Procédure

    1. Accédez à la Tous > Security Operations > Traitement des e-mails > Propriétés de hameçonnage signalé par un utilisateur.
      Propriétés de hameçonnage signalé par un utilisateur
    2. Spécifiez la configuration d’extraction des en-têtes d’e-mail à partir du corps de l’e-mail :
      • Entrez une chaîne qui identifie le début de l’en-tête de l’e-mail.
      • Entrez une chaîne qui identifie la fin de l’en-tête de l’e-mail.
        Remarque :
        Appliquez ces paramètres uniquement aux en-têtes capturés dans le corps de l’e-mail d’hameçonnage. Par exemple, si le plugin Wombat s’est configuré avec le client Microsoft Outlook, lorsque l’utilisateur clique sur le bouton Signaler un hameçonnage , les en-têtes de l’e-mail sont capturés selon la configuration définie ici. Les informations d’en-tête ne sont pas capturées si l’e-mail d’hameçonnage est transféré en tant que pièce jointe.
    3. Spécifiez des filtres pour éliminer les en-têtes qui ne sont pas nécessaires pour enquêter sur l’incident de sécurité.

      Saisissez une liste d’en-têtes d’e-mail séparés par des virgules qui doivent être capturés à partir de l’e-mail d’hameçonnage signalé par l’utilisateur. Si vous ne spécifiez aucune valeur ici, toutes les informations d’en-tête sont capturées.

    4. Activez ou désactivez l’association parent-enfant.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour indiquer que les incidents de sécurité enfants doivent être créés lorsque les e-mails de hameçonnage signalés par les utilisateurs sont regroupés. Si vous sélectionnez Non, les incidents de sécurité enfants ne sont pas créés, mais les e-mails de hameçonnage signalés par l’utilisateur sont associés à l’incident de sécurité et l’enregistrement de l’incident de sécurité est mis à jour. Consultez Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité pour en savoir plus sur la façon dont les incidents de sécurité enfants sont créés.
    5. Activez ou désactivez l’option permettant d’afficher le contenu de l’e-mail d’hameçonnage au format HTML.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour afficher le contenu de l’e-mail d’hameçonnage au format HTML. Si vous sélectionnez Non, le contenu de l’e-mail au format HTML ne sera pas visible dans un enregistrement d’hameçonnage.

    Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par un utilisateur

    Les e-mails de hameçonnage signalés par les utilisateurs sont convertis en incidents de sécurité en fonction des règles de correspondance des e-mails qui ont été définies.

    Lorsqu’un nouvel e-mail d’hameçonnage est signalé, les actions suivantes ont lieu :

    Pour afficher les détails de l’e-mail, accédez à Incident de sécurité > Afficher tous les e-mails d’hameçonnage. Une liste des enregistrements d’e-mails d’hameçonnage s’affiche. Cliquez sur le lien de date dans la colonne Créé pour afficher l’enregistrement d’e-mail.


    E-mail d’hameçonnage avec ToRule
    Tableau 1. Incident de sécurité : détails de l’e-mail de hameçonnage
    Nom de champ Description
    Numéro Le numéro affecté à l’e-mail de hameçonnage signalé par l’utilisateur.
    Objet Objet de l'e-mail. La règle d’objet est utile dans les campagnes ou tests d’hameçonnage simulés. Dans ce cas, les organisations envoient des e-mails trompeurs à leur propre personnel pour tester leur réponse au phishing et aux attaques par e-mail similaires.

    Dans les tests d’e-mails d’hameçonnage simulés, si le client de messagerie Microsoft Outlook avec le plug-in Wombat est utilisé, l’utilisateur peut cliquer sur le bouton Signaler un hameçonnage pour signaler l’e-mail d’hameçonnage. L’e-mail est envoyé à l’équipe Security Operations avec la mention Hameçonnage simulé annexée à l’objet de l’e-mail. Cela permet d’identifier l’e-mail comme un e-mail de hameçonnage simulé.
    De Adresse e-mail d’où provient cet e-mail d’hameçonnage. Ces informations sont disponibles si l’e-mail d’hameçonnage est transféré en tant que . Pièce jointe EML ou si les en-têtes d’origine sont incorporés dans l’e-mail.

    Si l’utilisateur a transféré directement l’e-mail d’hameçonnage, l’adresse de l’expéditeur peut ne pas être disponible.
    Signalé par L’ID d’e-mail de l’utilisateur qui a signalé cet e-mail d’hameçonnage. Cliquez sur l’icône Informations pour afficher des détails supplémentaires.
    ID de message ID affecté au message.
    Règle URP correspondante Règle de hameçonnage signalé par un utilisateur qui doit être appliquée à cet e-mail. Cliquez sur l’icône Informations pour afficher des détails supplémentaires.
    Règle d’ingestion URP

    Comme vous pouvez le voir, dans cet exemple, le champ Condition montre que la règle ToRule est appliquée à cet e-mail et qu’un incident de sécurité est créé. Consultez Configurer des règles d’ingestion pour le hameçonnage signalé par un utilisateur pour en savoir plus sur la définition de règles de correspondance des e-mails.
    État Lorsqu’un nouvel enregistrement d’e-mail d’hameçonnage est créé dans la table sn_si_phishing_email , le champ État est défini sur Nouveau. Lorsque cet enregistrement d’e-mail est converti en incident de sécurité (reportez-vous Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécuritéà ), le champ État est mis à jour sur Traité.
    Origine de l’en-tête Ce champ indique l’origine des en-têtes de l’e-mail ou la manière dont l’utilisateur a signalé l’e-mail d’hameçonnage :
    • En-tête de l’e-mail : l’utilisateur a transféré l’e-mail d’hameçonnage à l’équipe des opérations de sécurité.
    • Corps du texte de l’e-mail :
      • L’utilisateur a cliqué sur l’option Signaler un hameçonnage (si le plugin Wombat a été configuré avec le client de messagerie).
      • En fonction de la règle d’hameçonnage signalée par un utilisateur définie, l’e-mail d’hameçonnage est transféré à l’équipe des opérations de sécurité.
    • En-tête de pièce jointe EML :
      • Pièce jointe : l’utilisateur a transféré l’e-mail en tant que pièce jointe (. EML).
      • Soumission du catalogue de services : l’utilisateur a téléchargé l’e-mail au format . EML sur le bureau, puis téléchargé à un emplacement spécifié. L’incident de sécurité est ensuite créé à partir de l’e-mail.
    • Corps de la pièce jointe EML :
      • L’utilisateur a cliqué sur l’option Signaler un hameçonnage (si le plugin Wombat a été configuré avec le client de messagerie).
      • En fonction de la règle d’hameçonnage signalée par un utilisateur définie, l’e-mail d’hameçonnage est transféré en tant que pièce jointe à l’équipe des opérations de sécurité.
    Incident de sécurité Ce champ est vide lorsque l’e-mail de hameçonnage signalé par l’utilisateur est signalé pour la première fois. Lorsque le Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité flux a été exécuté, cet e-mail est converti en enregistrement d’incident de sécurité et le numéro de cet enregistrement est affiché ici.
    En-têtes bruts Ce champ affiche les informations d’en-tête complètes extraites de l’e-mail telles que définies sur la Définir les propriétés de hameçonnage signalé par un utilisateur page. Les en-têtes sont analysés en paires de valeurs clés et affichés dans la liste En-têtes de l’e-mail d’hameçonnage.
    En-têtes d’e-mails d’hameçonnage
    Détails Il s’agit du corps de l’e-mail de hameçonnage signalé par l’utilisateur.

    Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité

    Le flux Transformer l’e-mail d’hameçonnage en incident de sécurité est un nouveau flux qui convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité.

    Avant de commencer

    Remarque :
    Pour activer la fonctionnalité Hameçonnage signalé par un utilisateur, vous devez effectuer une copie du flux et l’activer . Si vous avez créé des actions entrantes personnalisées et des flux personnalisés pour gérer les soumissions de hameçonnage signalées par les utilisateurs, les modifications de flux suggérées ici ne sont pas nécessaires.
    • Rôle requis : sn_si.admin
    • Le spoke Flow Designer doit être installé.

    Pourquoi et quand exécuter cette tâche

    Ce flux est automatiquement lancé lorsqu’un utilisateur a signalé un enregistrement d’e-mail d’hameçonnage avec l’état défini sur Nouveau est créé. Ce flux contient la logique de :
    • Regrouper les incidents de sécurité.
    • Mettez à jour les incidents de sécurité avec des notes pertinentes.
    • Ajoutez des données d’en-tête.
    • Créez des incidents enfants selon vos besoins.

    Procédure

    • Accédez à la Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations.
      Flux Security Operations
    • Cliquez sur le lien Transformer l’e-mail d’hameçonnage en incidents de sécurité pour afficher le flux.
    • Ce flux est fourni avec le système de base et est en mode lecture seule et ne peut pas être utilisé.
      Cliquez sur l’icône Plus icône Plus, faites une copie du flux et ouvrez-la pour votre utilisation. Vous pouvez maintenant apporter des changements à votre flux, tels que la modification des conditions ou des actions de déclenchement, ou l’ajout et la suppression d’actions. Après avoir effectué les modifications nécessaires, vous devez activer ( Voir Activer un Réponse aux incidents de sécurité flux) le flux afin qu’il puisse être exécuté.Transformer l’e-mail d’hameçonnage en flux d’incidents de sécurité

      Cette figure montre le déclencheur et les étapes exécutées avec le flux. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.

    • Cliquez sur l’icône Déclencher .
      Dans un premier temps, vous définissez ou paramétrez le déclencheur du flux. Spécifiez les conditions du déclencheur et de la tâche à exécuter lorsque les conditions sont remplies. Ce flux est initié lorsqu’un nouvel enregistrement est chargé dans la table de sn_si_phishing_email .Flux de transformation : déclencher
    • À l’étape 1, le flux vérifie si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégées ? est activé ou désactivé sur la Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité page.
      Flux de transformation : action 1
    • À l’étape 2, l’incident de sécurité parent le plus ancien est identifié.
      Remarquez l’icône à l’étape 2. Cela indique que le flux secondaire d’agrégation d’e-mails d’hameçonnage sera exécuté dans le cadre de cette étape.Flux de transformation : action 2

      Cliquez sur l’icône du concepteur d’action pour afficher une vue détaillée de l’action. Ce flux secondaire vérifie l’e-mail d’hameçonnage et le met en correspondance avec un incident de sécurité existant en fonction des critères spécifiés.

      Flux de transformation : flux secondaire d’agrégation d’e-mails d’hameçonnage
      Ces deux actions sont effectuées lorsque ce flux secondaire est exécuté. Cliquez sur le lien de la première action pour afficher des détails supplémentaires.
      Flux de transformation : flux secondaire : action
      Cette action vérifie les e-mails qui correspondent aux critères du nouvel e-mail entrant en fonction de conditions telles que :Si ces conditions sont remplies, vous pouvez voir le nombre d’enregistrements qui correspondent aux critères dans le champ Nombre maximal de résultats. L’enregistrement le plus ancien ou le premier de la liste est désigné comme enregistrement parent par rapport auquel les incidents de sécurité seront regroupés.
    • L’étape 3 ne s’applique que si le marqueur Créer des incidents enfants pour les soumissions par e-mail agrégées ? a été défini sur Non dans la Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité page.
      Dans ce cas, l’e-mail d’hameçonnage est associé à l’enregistrement d’incident de sécurité et le flux se termine.
      Flux de transformation : action 3
    • Si la propriété Créer des incidents enfants pour les soumissions d’e-mails agrégés ? était définie sur Oui, le flux continue de s’exécuter et un nouvel incident de sécurité est créé en fonction de l’e-mail d’hameçonnage signalé par l’utilisateur.
      Flux de transformation : action 4
    • À l’étape 5, les utilisateurs qui ont reçu l’e-mail d’hameçonnage (employés répertoriés dans les listes À et Cc de l’e-mail d’hameçonnage) sont ajoutés à la liste connexe Utilisateurs affectés dans l’enregistrement d’incident de sécurité.
      Formulaire de transformation : action 4
    • À l’étape 6, filtrez les observables figurant dans la liste des observables de l’incident de sécurité.
      Ceux-ci autorisent les observables répertoriés ne seront pas ajoutés à l’incident de sécurité.
      Flux de transformation : filtrer les éléments utiles répertoriés
    • À l’étape 7, les observables inconnus de l’e-mail de hameçonnage signalé par l’utilisateur sont identifiés et ajoutés à la liste connexe Observables.
      Flux de transformation : ajouter des observables
    • À l’étape 8, une requête de recherche d’e-mail est générée et combine l’objet et l’adresse de l’expéditeur de l’e-mail.
      Ces informations sont utiles pour identifier les employés de l’organisation qui ont été victimes d’hameçonnage.
      Flux de transformation : créer une requête de recherche d’e-mail
    • À l’étape 9, l’e-mail de hameçonnage signalé par l’utilisateur est associé à l’incident de sécurité et l’enregistrement de l’incident de sécurité (créé à l’étape 4) est mis à jour.
      Flux de transformation : mettre à jour l’enregistrement d’incident de sécurité
    • À l’étape 10, l’incident de sécurité parent est identifié et une vérification est effectuée pour déterminer s’il s’agit d’un enregistrement d’incident de sécurité ouvert.
      Flux de transformation : rechercher un enregistrement d’incident de sécurité
    • Si la sécurité parente est active, des notes sont ajoutées aux enregistrements d’incident de sécurité enfant et parent indiquant comment ils sont associés les uns aux autres.
    • À l’étape 12, si aucun utilisateur affecté n’a été trouvé (à l’étape 5 du flux), une note de travail est ajoutée et l’enregistrement d’incident de sécurité est mis à jour.
      Flux de transformation : ajouter une note de travail pour les utilisateurs sans correspondance
    • À l’étape 13, une note de travail est ajoutée avec la liste des observables répertoriés autorisés.
      Flux de transformation : Ajouter la liste des observables sur liste d’autorisation

    Que faire ensuite

    Vous pouvez cliquer sur Tester pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, cliquez sur Activer pour activer le flux afin qu’il puisse être exécuté.

    Cliquez sur Exécutions pour afficher les détails de l’exécution du flux.


    Flux de transformation : détails de l’exécution

    Une fois le flux exécuté, l’enregistrement de l’e-mail d’hameçonnage est converti en incident de sécurité. Reportez-vous à la rubrique Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Les enregistrements d’e-mails d’hameçonnage stockés dans la table sn_si_phishing_email sont convertis en enregistrements d’incidents de sécurité.

    Pour afficher l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage, cliquez sur Incident de sécurité > E-mail de hameçonnage > Afficher tous les e-mails d’hameçonnage.


    Table des e-mails d’hameçonnage

    Cliquez sur le lien dans la colonne Incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage. Les détails de l’incident de sécurité sont affichés.


    Incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage

    Listes connexes

    Faites défiler la page jusqu’à la section Liens connexes de l’incident de sécurité et cliquez sur la liste connexe Afficher tout. Affichez les détails tels que les incidents de sécurité enfants, les utilisateurs affectés, les e-mails d’hameçonnage associés.

    Incidents de sécurité enfants

    Cliquez sur l’onglet Incidents de sécurité enfants . En fonction de la logique d’agrégation appliquée, vous pouvez voir une liste des incidents de sécurité enfants associés à l’incident de sécurité parent. Pour chaque enregistrement enfant ajouté, une activité système automatisée est ajoutée (dans la section Note de travail) à l’enregistrement parent. L’analyste de sécurité est alors informé de l’enregistrement enfant agrégé.
    Remarque :
    Vous pouvez voir les incidents de sécurité enfants ici uniquement si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégés est défini sur Oui dans la page Propriétés de hameçonnage signalé par un utilisateur. Consultez Définir les propriétés de hameçonnage signalé par un utilisateur pour en savoir plus.

    Incidents de sécurité enfants

    E-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Une liste d’enregistrements d’e-mails d’hameçonnage (enregistrements en double) associés à l’enregistrement d’e-mail d’hameçonnage parent s’affiche.
    Enregistrements d’e-mails d’hameçonnage associés

    En-têtes d’e-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Les détails de l’en-tête de l’e-mail d’hameçonnage qui ont été capturés dans le cadre de l’incident de sécurité s’affichent. Vous pouvez afficher les en-têtes reportés de tous les enregistrements enfants et des enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.
    En-têtes d’e-mails d’hameçonnage associés

    Liste des observables autorisés

    Pendant l’exécution du Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité flux, vous pouvez surveiller l’état de l’incident de sécurité. Lorsque certains observables sont marqués comme observables de liste autorisés, ils ne sont pas ajoutés à la liste connexe Observables. En inscrivant les observables sur la liste d’autorisation, vous pouvez vous assurer que seuls les détails importants sont affichés. Par exemple, si www.google.com est l’une des URL qui a été balisée comme liste autorisée, le message système suivant s’affiche. La liste des observables autorisés garantit que seuls les observables importants sont surveillés.

    Capturer des utilisateurs sans correspondance

    Certains ID d’e-mail dans les listes À et Cc de l’e-mail d’hameçonnage peuvent ne pas appartenir aux utilisateurs de l’organisation. Ces ID d’e-mail sont classés dans la catégorie des utilisateurs sans correspondance et ne sont pas inclus dans la liste connexe des utilisateurs affectés. Une note de travail indiquant qu’il s’agit d’utilisateurs sans correspondance s’affiche.
    Utilisateurs sans correspondance

    Un utilisateur a signalé un hameçonnage dans Security Analyst Workspace

    Vous pouvez afficher les incidents de sécurité associés aux enregistrements d’e-mails d’hameçonnage dans Security Analyst Workspace.

    Accédez à la Incident de sécurité > Nouvelle interface utilisateur. L’espace de travail s’ouvre dans un onglet de navigateur distinct. Cliquez sur l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage pour afficher l’incident de sécurité.
    Incident de sécurité URP : nouvelle interface utilisateur
    Cliquez sur l’icône des jumelles. L’e-mail d’hameçonnage d’origine s’affiche.
    Incident de sécurité URP : nouvelle interface utilisateur : e-mail d’hameçonnage
    Dans l’onglet Explorer , cliquez sur Incidents > Incidents de sécurité enfants.
    Incident de sécurité URP : nouvelle interface utilisateur - incidents de sécurité enfants
    Cliquer sur Incidents > En-têtes d’hameçonnage associés > . Vous pouvez afficher les en-têtes cumulés de tous les enregistrements enfants et des enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.
    URP : nouvelle interface utilisateur - En-têtes d’e-mail
    Cliquez sur le lien de l’e-mail d’hameçonnage pour afficher l’enregistrement de l’e-mail d’hameçonnage associé à l’incident de sécurité.
    URP : nouvelle interface utilisateur : enregistrement d’e-mail d’hameçonnage
    Cliquez sur l’onglet Chronologie des incidents .
    URP : nouvelle interface utilisateur : notes de travail
    Vous pouvez afficher les mises à jour système qui mettent en évidence :
    • Enregistrements enfants en double identifiés.
    • Liste des observables autorisés.
    • Utilisateurs sans correspondance qui ont reçu l’e-mail d’hameçonnage, mais qui n’appartiennent pas à la liste des utilisateurs affectés.

    Forum aux questions

    Cette section couvre certaines des questions fréquemment posées sur la fonctionnalité améliorée d’hameçonnage signalé par un utilisateur.

    1. J’ai installé le nouveau spoke Security Incident Response, mais je ne peux afficher aucun incident de hameçonnage signalé par un utilisateur.

      Par défaut, la fonctionnalité Hameçonnage signalé par un utilisateur a été désactivée.

      Pour activer cette fonctionnalité, vous devez faire une copie du flux en lecture seule Transformez les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité et l’activer avant de l’utiliser.

    2. Lors de l’ingestion d’e-mails d’hameçonnage et de leur conversion en incidents de sécurité, quelles sont les mesures de précaution utilisées pour gérer les liens et pièces jointes malveillants contenus dans les e-mails d’hameçonnage ?

      L’analyseur ServiceNow antivirus analyse ces pièces jointes et liens malveillants. Toutefois, pour que les analystes de sécurité puissent enquêter précisément sur les incidents, l’application Réponse aux incidents de sécurité capture tous les artefacts qui font partie d’un e-mail d’hameçonnage. Cependant, la fonctionnalité d’hameçonnage signalé par un utilisateur désactive les liens malveillants dans l’e-mail d’hameçonnage afin que les analystes de sécurité ne cliquent pas accidentellement sur ces liens. En ce qui concerne les pièces jointes malveillantes, les analystes de sécurité doivent faire preuve de prudence avant de les télécharger.

    3. Saisissons-nous tous les fichiers malveillants qui font partie des e-mails d’hameçonnage pour enrichir les incidents de sécurité ?

      Oui, nous capturons tous les fichiers des e-mails d’hameçonnage. Vous pouvez afficher ces détails disponibles dans le cadre des observables d’incident de sécurité sous la forme d’un hachage de fichier.

    4. Envoyons-nous des fichiers et des liens malveillants provenant d’e-mails d’hameçonnage vers une instance de bac à sable (sandbox) à des fins d’examen ?

      Actuellement, nous ne prenons pas en charge les intégrations de bac à sable prêtes à l’emploi pour enquêter sur les fichiers et liens malveillants.

    5. Existe-t-il une fenêtre temporelle ou un déclencheur qui définit la durée pendant laquelle les enregistrements d’e-mails de hameçonnage en double entrants sont associés à un incident de sécurité parent ?

      Les enregistrements d’e-mails d’hameçonnage en double ne sont agrégés qu’à un incident de sécurité parent actif. Si l’incident parent est fermé ou annulé, le nouvel e-mail d’hameçonnage en double entrant sera créé comme nouvel incident de sécurité. Toutefois, dans ce scénario, dans le nouvel incident de sécurité, vous pouvez afficher l’incident de sécurité parent fermé ou annulé dans la liste connexe des incidents de sécurité similaires .

      Remarque :
      Ce comportement peut être configuré à l’aide du Flow Designer.
    6. La fonctionnalité User Report Phishing prend-elle en charge l’utilisation du module d’extension Microsoft Outlook Wombat uniquement pour capturer les détails de l’en-tête de l’e-mail ?

      La fonctionnalité Utilisateur signalé a été conçue pour analyser les en-têtes des e-mails et est conforme à la norme RFC822. Ainsi, à l’instar du plug-in Wombat, tous les autres plug-ins Microsoft Outlook qui capturent les en-têtes d’e-mail en fonction des normes RFC822 sont pris en charge.