Erstellen Sie Security Incidents aus von Benutzern gemeldeten Phishing-E-Mails

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 19 Minuten Lesedauer

    • Verwenden Sie diese Funktion, um Security Incidents aus von Benutzern gemeldeten Phishing-E-Mails zu erstellen.

    Die erweiterte Funktionalität für von Anwender gemeldetes Phishing umfasst Zusammenfassungsfunktionen, E-Mail-Header-Extraktion und Konfiguration.

    • Benutzer können Phishing-E-Mails auf verschiedene Arten melden:
      • E-Mails können als Anhänge weitergeleitet werden.
      • Wenn das Wombat-Plugin mit dem Microsoft Outlook-Client konfiguriert wurde, können Benutzer:
        • Klicken Sie auf die Schaltfläche Phishing melden.
        • Leiten Sie Phishing-E-Mails von einem Mobilgerät mit der Option Phishing melden weiter.

        Phishing-E-Mails melden
      • Benutzer können eine Phishing-E-Mail (im EML-Format) hochladen.
        Phishing-E-Mails als Anhänge melden
    • Von Benutzern gemeldetes Phishing umfasst eine Zusammenfassung der Geschäftslogik, die doppelte Phishing-E-Mails identifiziert, die von Benutzern in einer Organisation gemeldet werden. Benutzer können diese Fähigkeit verwenden, um:
      • Fassen Sie doppelte oder ähnliche, von Benutzern gemeldete Phishing-Incidents (vom Unternehmen initiierte Phishing-Kampagnen) zusammen.
      • Vermeiden Sie die Selektierung doppelter, von Benutzern gemeldeter Phishing-Incidents, und reduzieren Sie den manuellen Aufwand für die Konsolidierung von Incidents.
      • Ermöglichen Sie Sicherheitsanalysten, an einem von einem einzelnen Benutzer gemeldeten Phishing-Incident zu arbeiten.
    • Stellt Phishing-E-Mail-Header innerhalb des vom Benutzer gemeldeten Phishing-Incidents bereit.
      • Sicherheitsanalysten können innerhalb des Incident nach wichtigen E-Mail-Header-Informationen suchen.
      • Manueller Aufwand beim Sammeln von Header-Informationen aus anderen Quellen ist nicht mehr erforderlich.
    • Die ursprünglich übermittelte Phishing-E-Mail wird als Phishing-E-Mail-Datensatz in einer neuen Tabelle gespeichert.
    • Sicherheitsanalysten können Details der ursprünglichen Phishing-E-Mail anzeigen, z. B. Phishing-E-Mail-Inhalt, Header, Ursprung.
    • Sicherheitsadministratoren können bestimmte Erweiterungen konfigurieren und vornehmen, darunter:
      • Konfigurationen zum Extrahieren von E-Mail-Kopfzeilen aus dem E-Mail-Text (Phishing -Einreichungen melden).
      • Filter zum Erfassen ausgewählter Header.
      • Konfigurationen für die Verarbeitung der Zuordnung von übergeordneten und untergeordneten Incidents, wenn doppelte Phishing-E-Mail-Datensätze identifiziert werden.
      • Flow Designer-Konfigurationen zum Ändern der Geschäftslogik der Zusammenfassung basierend auf den Anforderungen.

    Richten Sie Erfassungsregeln für von Benutzern gemeldetes Phishing ein

    Als Benutzer mit der Rolle „ sn_si.admin “ können Sie E-Mail-Abgleichregeln definieren, um von Benutzern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, nach der alle E-Mails, die entweder direkt oder über die Schaltfläche Phishing melden an security@acme.com gesendet werden, als von Benutzern gemeldete Phishing-E-Mails kategorisiert werden. Weitere Informationen finden Sie unter Richten Sie Erfassungsregeln für von Benutzern gemeldetes Phishing ein.

    Definieren Sie Eigenschaften für von Benutzern gemeldetes Phishing

    Definieren Sie die Header-Informationen, die aus von Benutzern gemeldeten Phishing-E-Mails erfasst werden müssen. Weitere Informationen finden Sie unter Definieren Sie Eigenschaften für von Benutzern gemeldetes Phishing

    Phishing-E-Mail-Datensätze, die aus von Benutzern gemeldeten Phishing-E-Mails erstellt wurden

    Von Benutzern gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Abgleichregeln in Security Incidents konvertiert. Weitere Informationen finden Sie unter Phishing-E-Mail-Datensätze, die aus von Benutzern gemeldeten Phishing-E-Mails erstellt wurden.

    Phishing-E-Mail in Security Incident umwandeln

    Der Flow Phishing-E-Mail in Security Incident umwandeln konvertiert Phishing-E-Mail-Datensätze in Security Incidents. Weitere Informationen finden Sie unter Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln.

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Zeigen Sie die Details des Security Incident-Datensatzes an, einschließlich zugehöriger Listen, Arbeitsnotizen und anderer wichtiger Informationen. Weitere Informationen finden Sie unter Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden.

    Erforderliche Komponenten und Plugins

    Die in diesem Release verfügbare Funktion für von Benutzern gemeldetes Phishing ist eine erweiterte Version der vorhandenen Funktion für von Benutzern gemeldetes Phishing, die im London-Release verfügbar ist. Weitere Informationen finden Sie im Thema Regeln zur Validierung von von Benutzern gemeldeten Phishing-Angriffen erstellen in der London-Dokumentation.

    Wichtige Installationsanweisungen

    Diese Erweiterung ersetzt das vorhandene Phishing-Design mit Anwendermeldung. Das neue Design umfasst die folgenden Updates:
    • Die vorhandenen eingehenden Aktionen für „Von Anwender gemeldete Phishing -E-Mail“ (Typ = Weiterleiten und Typ = Neu) wurden deaktiviert.
    • Eine neue eingehende Aktion Phishing-E-Mail erstellen ist jetzt verfügbar.
    • Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln ist ein neuer Flow, der die Geschäftslogik für die Erstellung und Zusammenfassung von Security Incidents für das neue Design enthält. Sie müssen diesen Flow aktivieren, damit das neue Design wirksam wird.
    • Die vorhandenen Phishing-Regeln für Anwenderberichte wurden während des Upgrades beibehalten.
    Hinweis:
    Wenn Sie benutzerdefinierte Aktionen bei eingehender E-Mail und benutzerdefinierte Workflows für von Benutzern gemeldete Phishing-Übermittlungen verwenden, müssen Sie sowohl das alte als auch das neue Design auf in Konflikt stehende oder überlappende Funktionalitäten überprüfen.
    Details der Erweiterung„Anwender gemeldetes Phishing“: Im Folgenden finden Sie die Details der Erweiterung:
    Hinweis:
    • Die eingehenden Aktionen für „Vom Anwender gemeldetes Phishing “, die vor Release Security Incident Response 9.0 verfügbar waren, sind jetzt deaktiviert. Security Incidents werden nicht mehr durch deaktivierte eingehende Aktionen erstellt.
    • Die Spoke-Anwendung „Security Operations“ muss installiert sein, damit das neue Design wirksam wird. Dies umfasst den Flow Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln, der standardmäßig in einem inaktiven Status verfügbar ist. Aktivieren Sie diesen Flow, um Security Incidents aus den Phishing-E-Mail-Datensätzen zu erstellen.
    Die folgende Abbildung zeigt die Unterschiede zwischen dem alten und dem neuen Design: Von
    Anwender gemeldetes Phishing: Unterschiede
    Zur Verwendung der erweiterten Funktion „Von Anwender gemeldetes Phishing“ sind die folgenden Plugins und Komponenten erforderlich:
    • Security Support Common (sn_sec_cmn): Enthält:
      • Eingehende Aktion
      • Neues EmailUserReportedPhishing-Skript
      • Tabelle „Erfassungsregeln“.
    • Security Incident Response (sn_si): Umfasst:
      • Security Incident-Tabelle (sn_si_incident)
      • Tabelle „Sicherheits-Phishing-E-Mails“ (sn_si_phishing_email)
      • Tabelle „Sicherheits-Phishing-E-Mail-Header“ (sn_si_phishing_email_header)
      • EML-Upload-Datensatzersteller
    • Security Operations Spoke

      Flows und Subflows für die Zusammenfassung von E-Mails und die Umwandlung von Phishing-E-Mails in Security Incidents.

    Die folgende Abbildung zeigt die Tabelle „Neue Phishing-E-Mails“ mit Verweisen auf die übereinstimmende URP-Regel und den Zieldatensatz für Security Incidents (sn_si_incident).


    URP-Datenmodell

    Richten Sie Erfassungsregeln für von Benutzern gemeldetes Phishing ein

    Als Benutzer mit der Rolle „ sn_si.admin “ können Sie E-Mail-Abgleichregeln definieren, um von Benutzern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, nach der alle E-Mails, die entweder direkt oder über die Schaltfläche Phishing melden an security@acme.com gesendet werden, als von Benutzern gemeldete Phishing-E-Mails kategorisiert werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Eigenschaften des vom Anwender gemeldeten Phishing.
    2. Klicken Sie auf Neu, um eine neue E-Mail-Abgleichregel zu erstellen.
    3. Geben Sie einen Namen ein, und definieren Sie eine oder mehrere Bedingungen für die Regel.
    4. Klicken Sie auf Absenden, um die Regel zu speichern.
      Im Folgenden sind einige Beispielregeln aufgeführt:
      • ToRule: Filtert E-Mails, die direkt gesendet oder an die E-Mail-ID von security@example.com weitergeleitet wurden. Definieren Sie ToRule
      • Anwender-ID-Regel: Filtert E-Mails, die von einer bestimmten E-Mail-ID gesendet wurden. Definieren Sie die Benutzer-ID-Regel

    Definieren Sie Eigenschaften für von Benutzern gemeldetes Phishing

    Definieren Sie die Header-Informationen, die aus von Benutzern gemeldeten Phishing-E-Mails erfasst werden müssen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie diese Optionen, um die folgenden Einstellungen für von Benutzern gemeldetes Phishing zu konfigurieren.
    • Konfiguration zum Extrahieren von E-Mail-Kopfzeilen aus dem E-Mail-Text. (Phishing-Übermittlungen melden.)
    • Filter, um Header auszuwählen.
    • Aktivieren oder deaktivieren Sie die Zuordnung zwischen über- und untergeordneten Elementen.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Eigenschaften des vom Anwender gemeldeten Phishing.
      Vom Benutzer gemeldete Phishing-Eigenschaften
    2. Geben Sie die Konfiguration zum Extrahieren von E-Mail-Kopfzeilen aus dem E-Mail-Text an:
      • Geben Sie eine Zeichenfolge ein, die den Anfang des E-Mail-Headers identifiziert.
      • Geben Sie eine Zeichenfolge ein, die das Ende des E-Mail-Headers angibt.
        Hinweis:
        Wenden Sie diese Einstellungen nur auf Kopfzeilen an, die als Teil des E-Mail-Texts der Phishing-E-Mail erfasst wurden. Wenn beispielsweise das Wombat-Plugin mit dem Microsoft Outlook-Client konfiguriert wurde und der Benutzer auf die Schaltfläche Phishing melden klickt, werden die E-Mail-Header gemäß der hier definierten Konfiguration erfasst. Die Header-Informationen werden nicht erfasst, wenn die Phishing-E-Mail als Anhang weitergeleitet wird.
    3. Geben Sie Filter an, um Header zu entfernen, die für die Untersuchung des Security Incident nicht erforderlich sind.

      Geben Sie eine durch Kommas getrennte Liste von E-Mail-Kopfzeilen ein, die aus der vom Benutzer gemeldeten Phishing-E-Mail erfasst werden müssen. Wenn Sie hier keinen Wert angeben, werden alle Header-Informationen erfasst.

    4. Aktivieren oder deaktivieren Sie die Zuordnung zwischen über- und untergeordneten Elementen.
      Standardmäßig ist die Option Ja aktiviert. Wählen Sie Ja, um anzugeben, dass untergeordnete Security Incidents erstellt werden müssen, wenn von Benutzern gemeldete Phishing-E-Mails zusammengefasst werden. Wenn Sie Neinauswählen, werden keine untergeordneten Security Incidents erstellt, aber die vom Benutzer gemeldeten Phishing-E-Mails werden dem Security Incident zugeordnet, und der Security Incident-Datensatz wird aktualisiert. Weitere Informationen dazu, wie die untergeordneten Security Incidents erstellt werden, finden Sie unter Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln.
    5. Aktivieren oder deaktivieren Sie die Option zum Anzeigen des Phishing-E-Mail-Inhalts im HTML-Format.
      Standardmäßig ist die Option Ja aktiviert. Wählen Sie Ja, um den Phishing-E-Mail-Inhalt im HTML-Format anzuzeigen. Wenn Sie Neinauswählen, ist der E-Mail-Inhalt im HTML-Format in einem Phishing-Datensatz nicht sichtbar.

    Phishing-E-Mail-Datensätze, die aus von Benutzern gemeldeten Phishing-E-Mails erstellt wurden

    Von Benutzern gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Abgleichregeln in Security Incidents konvertiert.

    Wenn eine neue Phishing-E-Mail gemeldet wird, werden die folgenden Aktionen ausgeführt:

    Um die E-Mail-Details anzuzeigen, navigieren Sie zu Security Incident > Alle Phishing-E-Mails anzeigen. Eine Liste der Phishing-E-Mail-Datensätze wird angezeigt. Klicken Sie auf den Datumslink in der Spalte Erstellt, um den E-Mail-Datensatz anzuzeigen.


    Phishing-E-Mail mit ToRule
    Tabelle : 1. Phishing-E-Mail-Details für Security Incident
    Feldname Beschreibung
    Nummer Die Nummer, die der vom Benutzer gemeldeten Phishing-E-Mail zugewiesen ist.
    Betreff Betreff der E-Mail Die Betreffregel ist in simulierten Phishing-Kampagnen oder -Tests nützlich. In diesem Fall senden Unternehmen betrügerische E-Mails an ihre eigenen Mitarbeiter, um ihre Reaktion auf Phishing und ähnliche E-Mail-Angriffe zu testen.

    Wenn in simulierten Phishing-E-Mail-Tests der Microsoft Outlook-E-Mail-Client mit dem Wombat-Plugin verwendet wird, kann der Benutzer auf die Schaltfläche Phishing melden klicken, um die Phishing-E-Mail zu melden. Die E-Mail wird an das Security Operations-Team gesendet, wobei Simuliertes Phishing an den Betreff der E-Mail angehängt wird. Dies wird verwendet, um die E-Mail als simulierte Phishing-E-Mail zu identifizieren.
    Von Die E-Mail-Adresse, von der diese Phishing-E-Mail stammt. Diese Informationen sind verfügbar, wenn die Phishing-E-Mail als EML-Dateianhang weitergeleitet wird oder wenn die ursprünglichen Header in die E-Mail eingebettet sind.

    Wenn der Benutzer die Phishing-E-Mail direkt weitergeleitet hat, ist die Absenderadresse möglicherweise nicht verfügbar.
    Gemeldet von Die E-Mail-ID des Benutzers, der diese Phishing-E-Mail gemeldet hat. Klicken Sie auf das Informationssymbol, um zusätzliche Details anzuzeigen.
    Nachrichten-ID Die der Nachricht zugewiesene ID.
    Übereinstimmende URP-Regel Die Regel für vom Anwender gemeldetes Phishing, die auf diese E-Mail angewendet werden soll. Klicken Sie auf das Informationssymbol, um zusätzliche Details anzuzeigen.
    URP-Erfassungsregel

    Wie Sie in diesem Beispiel sehen können, zeigt das Feld Bedingung an, dass die ToRule auf diese E-Mail angewendet wird und ein Security Incident erstellt wird. Weitere Informationen zum Definieren von E-Mail-Abgleichregeln finden Sie unter Richten Sie Erfassungsregeln für von Benutzern gemeldetes Phishing ein.
    Status Wenn in der Tabelle sn_si_phishing_email ein neuer Phishing-E-Mail-Datensatz erstellt wird, wird das Feld Status auf Neufestgelegt. Wenn dieser E-Mail-Datensatz in einen Security Incident konvertiert wird (siehe Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln), wird das Feld Status auf Verarbeitetaktualisiert.
    Header-Ursprung Dieses Feld gibt an, woher die E-Mail-Kopfzeilen stammen oder wie der Benutzer die Phishing-E-Mail gemeldet hat:
    • E-Mail-Header: Der Benutzer hat die Phishing-E-Mail an das Sicherheitsbetriebsteam weitergeleitet.
    • E-Mail-Text:
      • Der Anwender hat auf die Option Phishing melden geklickt (wenn das Wombat-Plugin mit dem E-Mail-Client konfiguriert wurde).
      • Basierend auf der definierten Regel für vom Anwender gemeldetes Phishing wird die Phishing-E-Mail an das Sicherheitsbetriebsteam weitergeleitet.
    • EML-Anhang-Header:
      • Anhang: Der Benutzer hat die E-Mail als Anhang (.EML-Datei) weitergeleitet.
      • Service Catalog-Übermittlung: Der Benutzer hat die E-Mail als EML-Datei auf den Desktop heruntergeladen und dann an einen angegebenen Speicherort hochgeladen. Der Security Incident wird dann aus der E-Mail erstellt.
    • EML-Anhangtext:
      • Der Anwender hat auf die Option Phishing melden geklickt (wenn das Wombat-Plugin mit dem E-Mail-Client konfiguriert wurde).
      • Basierend auf der definierten Regel für vom Anwender gemeldetes Phishing wird die Phishing-E-Mail als Anhang an das Sicherheitsbetriebsteam weitergeleitet.
    Security Incident Dieses Feld ist leer, wenn die vom Benutzer gemeldete Phishing-E-Mail zum ersten Mal gemeldet wird. Wenn der Flow Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln ausgeführt wurde, wird diese E-Mail in einen Security Incident-Datensatz konvertiert und die Nummer dieses Datensatzes wird hier angezeigt.
    Unformatierte Header In diesem Feld werden die vollständigen Header-Informationen angezeigt, die aus der E-Mail extrahiert wurden, wie auf der Seite Definieren Sie Eigenschaften für von Benutzern gemeldetes Phishing definiert. Die Header werden in Schlüssel-Wert-Paare analysiert und in der Liste „Phishing-E-Mail-Header“ angezeigt.
    Phishing-E-Mail-Header
    Textkörper Dies ist der Text der vom Benutzer gemeldeten Phishing-E-Mail.

    Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln

    Der Flow Phishing-E-Mail in Security Incident umwandeln ist ein neuer Flow, der Phishing-E-Mail-Datensätze in Security Incidents konvertiert oder umwandelt.

    Vorbereitungen

    Hinweis:
    Um die Funktion „Vom Anwender gemeldetes Phishing“ zu aktivieren, müssen Sie eine Kopie des Flow erstellen und ihn aktivieren. Wenn Sie benutzerdefinierte eingehende Aktionen und benutzerdefinierte Flows erstellt haben, um von Benutzern gemeldete Phishing-Übermittlungen zu verarbeiten, sind die hier vorgeschlagenen Flow-Änderungen nicht erforderlich.
    • Erforderliche Rolle: sn_si.admin
    • Flow Designer-Spoke muss installiert sein.

    Warum und wann dieser Vorgang ausgeführt wird

    Dieser Flow wird automatisch gestartet, wenn ein von einem Benutzer gemeldeter Phishing-E-Mail-Datensatz mit dem Status Neu erstellt wird. Dieser Flow enthält die Logik:
    • Sicherheits-Incidents zusammenfassen.
    • Aktualisieren Sie Security Incidents mit relevanten Hinweisen.
    • Fügen Sie Header-Daten hinzu.
    • Erstellen Sie nach Bedarf untergeordnete Incidents.

    Prozedur

    • Navigieren zu Flow Designer > Designer , um die mit der Security Operations-Spoke verfügbaren Flows anzuzeigen.
      Security Operations-Flows
    • Klicken Sie auf den Link Phishing-E-Mail in Security Incidents umwandeln, um den Flow anzuzeigen.
    • Dieser Flow wird mit dem Basissystem bereitgestellt, befindet sich im schreibgeschützten Modus und kann nicht verwendet werden.
      Klicken Sie auf das Symbol „ Mehr“Symbol „Mehr“ , erstellen Sie eine Kopie des Flows, und öffnen Sie sie zur weiteren Verwendung. Sie können jetzt Änderungen an Ihrem Flow vornehmen, z. B. Auslösebedingungen oder Aktionen ändern oder Aktionen hinzufügen und entfernen. Nachdem Sie die erforderlichen Änderungen vorgenommen haben, müssen Sie den Flow aktivieren ( Siehe Aktivieren Sie einen Security Incident Response -Flow), damit er ausgeführt werden kann.Phishing-E-Mail in Security Incidents umwandeln

      Diese Abbildung zeigt den Auslöser und die mit dem Flow ausgeführten Schritte. Im rechten Bereich wird der Datenfluss angezeigt. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.

    • Klicken Sie auf das Auslösersymbol.
      Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser und die Aufgabe an, die ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Dieser Flow wird initiiert, wenn ein neuer Datensatz in die Tabelle sn_si_phishing_email hochgeladen wird.Transformations-Flow: Auslöser
    • In Schritt 1 überprüft der Flow, ob die Option Untergeordnete Incidents für zusammengefasste E-Mail-Übermittlungen erstellen? -Kennzeichnung wird auf der Seite Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln aktiviert oder deaktiviert.
      Transformations-Flow: Aktion 1
    • In Schritt 2 wird der älteste übergeordnete Security Incident identifiziert.
      Beachten Sie das Symbol in Schritt 2. Dies weist darauf hin, dass der Phishing-E-Mail-Zusammenfassungs-Subflow als Teil dieses Schritts ausgeführt wird.Transformations-Flow: Aktion 2

      Klicken Sie auf das Aktionsdesigner-Symbol, um eine detaillierte Ansicht der Aktion anzuzeigen. Dieser Subflow überprüft die Phishing-E-Mail und ordnet sie basierend auf den angegebenen Kriterien einem vorhandenen Security Incident zu.

      Transformations-Flow: Phishing-E-Mail-Zusammenfassung – Subflow
      Diese beiden Aktionen werden ausgeführt, wenn dieser Subflow ausgeführt wird. Klicken Sie auf den Link der ersten Aktion, um zusätzliche Details anzuzeigen.
      Transformations-Flow: Subflow: Aktion
      Mit dieser Aktion werden die E-Mails überprüft, die den Kriterien für die neue eingehende E-Mail entsprechen, basierend auf Bedingungen wie:Wenn diese Bedingungen erfüllt sind, können Sie die Anzahl der Datensätze anzeigen, die den Kriterien im Feld Max. Ergebnisse entsprechen. Der älteste oder erste Datensatz in der Liste wird als übergeordneter Datensatz festgelegt, für den die Security Incidents zusammengefasst werden.
    • Schritt 3 ist nur anwendbar, wenn Untergeordnete Incidents für zusammengefasste E-Mail-Übermittlungen erstellen? Kennzeichnung wurde auf der Seite Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln auf „ Nein “ festgelegt.
      In diesem Fall wird die Phishing-E-Mail dem Security Incident-Datensatz zugeordnet, und der Flow wird beendet.
      Transformations-Flow: Aktion 3
    • Wenn die Option Nachfolge-Incidents für zusammengefasste E-Mail-Übermittlungen erstellen? auf Jafestgelegt wurde, wird der Flow weiterhin ausgeführt, und basierend auf der vom Benutzer gemeldeten Phishing-E-Mail wird ein neuer Security Incident erstellt.
      Transformations-Flow: Aktion 4
    • In Schritt 5 werden Benutzer, die die Phishing-E-Mail erhalten haben (Mitarbeiter in der Liste „An“ und „CC“ der Phishing-E-Mail), der zugehörigen Liste „Betroffene Benutzer“ im Security Incident-Datensatz hinzugefügt.
      Formular umwandeln: Aktion 4
    • In Schritt 6 werden die auf der Allow-Liste aufgeführten erkennbaren Elemente aus der Liste der erkennbaren Elemente im Security Incident gefiltert.
      Diese zulässigen aufgelisteten erkennbaren Elemente werden dem Security Incident nicht hinzugefügt.
      Transformations-Flow: Filtern Sie die zulässigen erkennbaren Elemente
    • In Schritt 7 werden unbekannte erkennbare Elemente aus der vom Benutzer gemeldeten Phishing-E-Mail identifiziert und der zugehörigen Liste „Erkennbare Elemente“ hinzugefügt.
      Transformations-Flow: Erkennbare Elemente hinzufügen
    • In Schritt 8 wird eine E-Mail-Suchabfrage generiert, die eine Kombination aus Betreff und Absenderadresse der E-Mail ist.
      Diese Informationen sind nützlich, um die Mitarbeiter in der Organisation zu identifizieren, die Phishing ausgesetzt waren.
      Transformations-Flow: E-Mail-Suchabfrage erstellen
    • In Schritt 9 wird die vom Benutzer gemeldete Phishing-E-Mail dem Security Incident zugeordnet, und der Security Incident-Datensatz (in Schritt 4 erstellt) wird aktualisiert.
      Transformations-Flow: Aktualisieren Sie den Security Incident-Datensatz
    • In Schritt 10 wird der übergeordnete Security Incident identifiziert und es wird überprüft, ob es sich um einen offenen Security Incident-Datensatz handelt.
      Transformations-Flow: Security Incident-Datensatz suchen
    • Wenn die übergeordnete Sicherheit aktiv ist, werden den untergeordneten und übergeordneten Security Incident-Datensätzen Notizen hinzugefügt, die angeben, wie sie einander zugeordnet sind.
    • Wenn in Schritt 12 keine betroffenen Benutzer gefunden wurden (in Schritt 5 des Flows), wird eine Arbeitsnotiz hinzugefügt, und der Security Incident-Datensatz wird aktualisiert.
      Transformations-Flow: Arbeitsnotiz für nicht abgeglichene Benutzer hinzufügen
    • In Schritt 13 wird eine Arbeitsnotiz mit der Liste der in der Allow-Liste aufgeführten erkennbaren Elemente hinzugefügt.
      Transformations-Flow: Liste der auf der Allow-Liste aufgeführten erkennbaren Elemente hinzufügen

    Nächste Maßnahme

    Sie können auf Test klicken, um die Aktionen im Flow zu simulieren, bevor er veröffentlicht wird. Klicken Sie nach dem Testen des Flow auf Aktivieren, um den Flow zu aktivieren und auszuführen.

    Klicken Sie auf Ausführungen, um die Ausführungsdetails des Flow anzuzeigen.


    Transformations-Flow: Ausführungsdetails

    Wenn der Flow ausgeführt wurde, wird der Phishing-E-Mail-Datensatz in einen Security Incident konvertiert. Siehe Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Phishing-E-Mail-Datensätze, die in der Tabelle sn_si_phishing_email gespeichert sind, werden in Security Incident-Datensätze konvertiert.

    Um den Security Incident anzuzeigen, der dem Phishing-E-Mail-Datensatz zugeordnet ist, klicken Sie auf Sicherheitsvorfall > Phishing-E-Mail > Alle Phishing-E-Mails anzeigen.


    Phishing-E-Mail-Tabelle

    Klicken Sie auf den Link in der Spalte „Security Incident“, der dem Phishing-E-Mail-Datensatz zugeordnet ist. Die Details des Security Incident werden angezeigt.


    Security Incident, der dem Phishing-E-Mail-Datensatz zugeordnet ist

    Zugehörige Listen

    Scrollen Sie nach unten zum Abschnitt „Zugehörige Links“ des Security Incident, und klicken Sie auf Alle anzeigen zugehörige Liste. Zeigen Sie Details wie untergeordnete Security Incidents, betroffene Benutzer und zugehörige Phishing-E-Mails an.

    Untergeordnete Security Incidents

    Klicken Sie auf die Registerkarte Untergeordnete Security Incidents. Sie können eine Liste der untergeordneten Security Incidents anzeigen, die dem übergeordneten Security Incident basierend auf der angewendeten Zusammenfassungslogik zugeordnet sind. Für jeden hinzugefügten untergeordneten Datensatz wird dem übergeordneten Datensatz eine automatisierte Systemaktivität (im Abschnitt „Arbeitsnotiz“) hinzugefügt. Dadurch wird der Sicherheitsanalyst über den zusammengefassten untergeordneten Datensatz benachrichtigt.
    Hinweis:
    Sie können die untergeordneten Security Incidents hier nur anzeigen, wenn die Kennzeichnung Untergeordnete Incidents für zusammengefasste E-Mail-Übermittlungen erstellen auf der Seite „Anwender gemeldete Phishing-Eigenschaften“ auf Ja festgelegt ist. Details siehe Definieren Sie Eigenschaften für von Benutzern gemeldetes Phishing.

    Untergeordnete Security Incidents

    Zugehörige Phishing-E-Mails

    Klicken Sie auf die Registerkarte Zugehörige Phishing-E-Mails. Sie sehen eine Liste der Phishing-E-Mail-Datensätze (doppelte Datensätze), die dem übergeordneten Phishing-E-Mail-Datensatz zugeordnet sind.
    Zugehörige Phishing-E-Mail-Datensätze

    Zugehörige Phishing-E-Mail-Header

    Klicken Sie auf die Registerkarte Zugehörige Phishing-E-Mails. Sie sehen die Headerdetails der Phishing-E-Mail, die im Rahmen des Security Incident erfasst wurden. Sie können die zusammengefassten Kopfzeilen aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die für den übergeordneten Security Incident zusammengefasst sind.
    Zugehörige Phishing-E-Mail-Header

    Zulässige Liste erkennbarer Elemente

    Während der Flow Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln ausgeführt wird, können Sie den Status des Security Incidents überwachen. Wenn bestimmte erkennbare Elemente als erkennbare Elemente der zulässigen Liste markiert sind, werden sie nicht der zugehörigen Liste „Erkennbare Elemente“ hinzugefügt. Durch Markieren der erkennbaren Elemente in der Allow-Liste können Sie sicherstellen, dass nur die wichtigen Details angezeigt werden. Beispiel: Wenn www.google.com eine der URLs ist, die als zulässige Liste markiert wurde, wird die folgende Systemmeldung angezeigt. Die Liste der zulässigen erkennbaren Elemente stellt sicher, dass nur die wichtigen erkennbaren Elemente überwacht werden.

    Nicht abgeglichene Benutzer werden erfasst

    Einige E-Mail-IDs in der Liste „An“ und „CC“ der Phishing-E-Mail gehören möglicherweise nicht zu Benutzern in der Organisation. Diese E-Mail-IDs werden als nicht abgeglichene Benutzer kategorisiert und sind nicht in der zugehörigen Liste „Betroffene Benutzer“ enthalten. Es wird eine Arbeitsnotiz angezeigt, die angibt, dass es sich um nicht abgeglichene Benutzer handelt.
    Nicht abgeglichene Benutzer

    Benutzer hat Phishing im Security Analyst Workspace gemeldet

    Sie können Security Incidents anzeigen, die den Phishing-E-Mail-Datensätzen im Security Analyst Workspace zugeordnet sind.

    Navigieren zu Security Incident > Neue UI. Der Arbeitsbereich wird in einer separaten Browserregisterkarte geöffnet. Klicken Sie auf den Security Incident, der dem Phishing-E-Mail-Datensatz zugeordnet ist, um den Security Incident anzuzeigen.
    URP Security Incident: Neue Benutzeroberfläche
    Klicken Sie auf das Fernglas-Symbol. Die ursprüngliche Phishing-E-Mail wird angezeigt.
    URP Security Incident: Neue UI – Phishing-E-Mail
    Klicken Sie auf der Registerkarte Erkunden auf Incidents > Untergeordnete Security Incidents.
    URP-Security Incident: Neue UI – untergeordnete Security Incidents
    Klicken Incidents > Zugehörige Phishing-Header > . Sie können die Rollup-Kopfzeilen aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die für den übergeordneten Security Incident zusammengefasst sind.
    URP: Neue UI – E-Mail-Header
    Klicken Sie auf den Phishing-E-Mail-Link, um den Phishing-E-Mail-Datensatz anzuzeigen, der dem Security Incident zugeordnet ist.
    URP: Neue UI: Phishing-E-Mail-Datensatz
    Klicken Sie auf die Registerkarte Incident-Zeitleiste.
    URP: Neue UI: Arbeitsnotizen
    Sie können die Systemupdates anzeigen, die Folgendes hervorheben:
    • Doppelte untergeordnete Datensätze identifiziert.
    • Zulässige Liste erkennbarer Elemente.
    • Nicht abgeglichene Benutzer, die die Phishing-E-Mail erhalten haben, aber nicht zur Liste der betroffenen Benutzer gehören.

    Häufige Fragen

    In diesem Abschnitt werden einige der häufig gestellten Fragen zur erweiterten Funktion für von Benutzern gemeldetes Phishing behandelt.

    1. Ich habe die neue Security Incident Response-Spoke installiert, kann jedoch keine von Benutzern gemeldeten Phishing-Incidents anzeigen.

      Standardmäßig wurde die Funktion „Von Anwender gemeldetes Phishing“ deaktiviert.

      Um diese Funktion zu aktivieren, müssen Sie eine Kopie des schreibgeschützten Von Benutzern gemeldete Phishing-E-Mails in Security Incidents umwandeln -Flows erstellen und ihn vor der Verwendung aktivieren.

    2. Welche Vorsichtsmaßnahmen werden bei der Erfassung von Phishing-E-Mails und deren Konvertierung in Security Incidents getroffen, um schädliche Links und Anhänge in den Phishing-E-Mails zu behandeln?

      Der Antivirenscanner ServiceNow scannt solche schädlichen Anhänge und Links. Um jedoch sicherzustellen, dass Sicherheitsanalysten die Incidents genau untersuchen können, erfasst die Anwendung Security Incident Response alle Artefakte, die Teil einer Phishing-E-Mail sind. Die Funktion „Von Anwender gemeldetes Phishing“ schaltet jedoch die schädlichen Links in der Phishing-E-Mail stumm, damit Sicherheitsanalysten nicht versehentlich auf diese Links klicken. In Bezug auf schädliche Anhänge müssen Sicherheitsanalysten beim Herunterladen dieser Anhänge vorsichtig sein.

    3. Erfassen wir alle schädlichen Dateien, die Teil der Phishing-E-Mails sind, zur Ergänzung von Security Incidents?

      Ja, wir erfassen alle Dateien aus den Phishing-E-Mails. Sie können diese Details anzeigen, die als Teil der erkennbaren Security Incident-Elemente in Form eines Datei-Hashs verfügbar sind.

    4. Senden wir schädliche Dateien und Links aus Phishing-E-Mails zur Untersuchung an eine Sandbox-Instanz?

      Derzeit unterstützen wir keine sofort einsatzbereiten Sandbox-Integrationen für die Untersuchung schädlicher Dateien und Links.

    5. Gibt es ein Zeitfenster oder einen Auslöser, der die Dauer definiert, in der eingehende doppelte Phishing-E-Mail-Datensätze einem übergeordneten Security Incident zugeordnet werden?

      Doppelte Phishing-E-Mail-Datensätze werden nur für einen aktiven übergeordneten Security Incident zusammengefasst. Wenn der übergeordnete Incident geschlossen oder abgebrochen wird, wird die eingehende neue doppelte Phishing-E-Mail als neuer Security Incident erstellt. In diesem Szenario können Sie jedoch innerhalb des neuen Security Incident den geschlossenen oder abgebrochenen übergeordneten Security Incident in der zugehörigen Liste „ Ähnliche Security Incidents “ anzeigen.

      Hinweis:
      Dieses Verhalten kann mit dem Flow Designer konfiguriert werden.
    6. Unterstützt die Phishing-Funktion für Benutzerberichte die Verwendung nur des Microsoft Outlook Wombat-Plugins zum Erfassen von E-Mail-Header-Details?

      Die Funktion „Anwender gemeldet“ wurde zum Analysieren von E-Mail-Kopfzeilen entwickelt und entspricht den RFC822-Standards. Daher werden ähnlich wie das Wombat-Plugin alle anderen Microsoft Outlook-Plugins unterstützt, die E-Mail-Kopfzeilen basierend auf RFC822-Standards erfassen.