Usar o playbook de detecção de falsificação de domínio de e-mail

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

1 min. de leitura

As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de falsificação de domínio de e-mail.

Antes de Iniciar

Função necessária:

sn_si.admin
flow_designer

Certifique-se de ter instalado o Security Operations Spoke (sn_sec_spoke).

Procedimento

Quando o playbook é acionado e começa a ser executado, na Etapa 1, o playbook extrai o domínio de e-mail do e-mail de phishing.
Na etapa 2, o playbook recupera todos os observáveis de tipo de domínio/endereço de e-mail marcados pelo marcador de segurança "Candidato a falsificação de domínio".
Na etapa 3, o playbook calcula a semelhança entre o domínio Obter marcador e o domínio E-mail usando o algoritmo Levenshtein.

Figura 1. Playbook de detecção de falsificação de domínio de e-mail
Na etapa 4, o playbook pesquisa o registro de propriedade do sistema com base nas seguintes condições:
- O nome é sn_sec_spoke.domain_spoof_threshold, (OR)
- O nome vai de A a Z e, se vários registros forem encontrados, retornará somente o primeiro registro.
Na etapa 5, com base na investigação feita até o momento, o playbook verifica se a semelhança dos dois domínios excede o limite ou não.
Se a semelhança dos dois domínios não exceder o limite, uma tarefa de resposta manual será criada na Etapa 5 e o fluxo será encerrado. Se a semelhança dos dois domínios exceder o limite, as etapas 6 e 7 serão executadas.
Figura 2. A semelhança excede o limite
Na etapa 6, o playbook adiciona o marcador de segurança de falsificação de domínio de e-mail ao incidente de segurança.
Na etapa 7, o playbook adiciona um link de anotação de trabalho ao contexto usando a opção de script.
Na Etapa 8, o fluxo termina.