Pesquisas de detecções sobre ataques de phishing e malware relatados pelo usuário

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 10 min. de leitura

    • Realize pesquisas de vistas em e-mails ou observáveis para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL mal-intencionado, ocorrem em sua rede. Cada ocorrência é considerada uma vista. As pesquisas de vistas para observáveis devem ser configuradas para seus armazenamentos de log ou para a gestão de informações e eventos de segurança (SIEM).

    Assista a este vídeo de três minutos para saber como usar o recurso de pesquisa de vista para localizar usuários phishing e rastrear observáveis de phishing e malware no armazenamento de logs em sua rede.

    Os termos a seguir são usados para descrever ataques de phishing relatados pelo usuário:
    • Usuário phishing: um usuário que recebeu um e-mail de phishing.
    • Usuário vítima: um usuário que interagiu com o URL de phishing, normalmente clicando em um link no e-mail de phishing. Esta ação potencialmente expõe as credenciais ao invasor.
    Ao começar a analisar um incidente de phishing, você pode Executar uma pesquisa de vistas de e-mail ou Executar uma pesquisa de vistas de observável para identificar outros usuários em sua organização que foram afetados pelo mesmo ataque de phishing. Pesquise seus armazenamentos de log para identificar usuários com phishing e vítimas. Depois de identificar a lista de usuários afetados, crie incidentes de segurança secundários para executar procedimentos de resposta do incidente abrangentes usando as ferramentas disponíveis em Security Incident Response.
    Nota:
    Você também pode usar a seguinte abordagem para executar uma pesquisa de vistas:
    • Navegar até Incidentes de segurança > Mostrar Todos os Incidentes e clique em um incidente de segurança.
    • Clique em Mostrar IoC em Links relacionados. Uma lista de observáveis é exibida.
    • Selecione um observável na lista e, na lista Ações, selecione uma das seguintes opções:
      • Executar pesquisa de detecções no tráfego da web
      • Executar pesquisa de detecções no tráfego de e-mail
    • Especifique o intervalo de tempo e clique em Pesquisar para executar uma pesquisa de vistas.

    Configurações de pesquisa de vista salvas

    Configure pesquisas de vista e crie configurações salvas para SIEMs ou outros armazenamentos de log para instâncias de observáveis para determinar a presença de observáveis mal-intencionados em seu ambiente.
    Nota:
    Pesquisas salvas e consultas no local são compatíveis somente com a integração do Splunk.

    Realizar uma pesquisa de detecções de e-mail para ataques de phishing relatados pelo usuário

    Pesquise usuários que receberam e-mails de phishing com base em observáveis, como assunto do e-mail, nome do remetente ou ID da mensagem. Você pode conter e erradicar esses e-mails de phishing da sua organização.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Pesquise os logs de tráfego de e-mail do Splunk para coletar a lista de destinatários de um e-mail suspeito. A pesquisa pode ser realizada usando o remetente do e-mail, o ID da mensagem de e-mail ou o assunto do e-mail associado a um incidente de segurança como critério.
    Nota:
    • Esta implementação de pesquisa de vistas para observáveis baseados em e-mail foi testada somente com o armazenamento de log do Splunk Enterprise.
    • Os eventos de log do Splunk devem ser compatíveis com o modelo de informação comum (CIM) para que a consulta de pesquisa de vistas retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (Nova IU).
    2. Na lista Incidentes de segurança, selecione um dos filtros, como todos os incidentes abertos, todos os incidentes atribuídos a vocêou todos os incidentes.

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos.

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      A guia Visão geral fornece uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia Visão geral
    4. Clique na guia Explorar.
    5. Em Dados do incidente, navegue até Investigação > Pesquisar e-mail e observáveis.
      Pesquisa de e-mail
    6. Expanda a seção Critérios de pesquisa.
    7. Selecione Pesquisa de e-mail como o tipo de pesquisa que você deseja executar e especifique o restante dos critérios de pesquisa.
      Tabela 1. Formulário de critérios de pesquisa
      Campo Descrição
      Integrações Tipo de integrações. Selecione Armazenamento de logs na lista.
      Nota:
      Este recurso é compatível somente com o armazenamento de log do Splunk.
      De Endereço de e-mail completo do remetente (por exemplo, jane.doe@example.com).
      ID da Mensagem ID da mensagem de e-mail do armazenamento de log.
      Assunto Assunto do e-mail de phishing.
      Janela de Pesquisa Janela de tempo para a pesquisa (por exemplo, as últimas 24 horas).
    8. Na lista Selecionar ação, selecione Pesquisar e clique em Executar.

      O armazenamento de log do Splunk é pesquisado usando os critérios inseridos e os usuários visados pelo ataque de phishing são mostrados na guia Resultados da pesquisa de e-mail. O número total de e-mails de phishing e os detalhes de cada e-mail, incluindo a data de recebimento do e-mail, o destinatário e o ID da mensagem, são exibidos.

    9. Para exibir a lista de usuários que receberam o e-mail de phishing, clique no símbolo > na coluna Data de pesquisa.
      Resultados da pesquisa de e-mail
    10. Para exibir uma lista de usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário Phished identifica os destinatários do e-mail.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    11. Para investigar melhor os usuários que são alvos do ataque de phishing, siga estas etapas:
      1. Marque as caixas de seleção ao lado dos nomes de usuário.
      2. Na lista, selecione Criar incidente de segurança secundárioe clique em Executar.
      Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique na guia Explorar e navegue até Incidentes > Incidentes de segurança secundários.

    Resultado

    A lista de usuários com phishing é exibida.

    Realizar uma pesquisa de vistas observáveis para ataques de phishing e malware relatados pelo usuário

    Realize pesquisas de detecções em observáveis para descobrir quantos usuários visitaram um site mal-intencionado ou suspeito em um período específico.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode executar uma pesquisa de tráfego de rede em observáveis, como o URL, o host de destino ou o endereço IP de destino associado a um incidente de segurança.
    Nota:
    • Esta implementação de pesquisa de vistas para observáveis foi testada somente com o armazenamento de log do Splunk Enterprise.
    • Os eventos de log do Splunk devem ser compatíveis com o modelo de informação comum (CIM) para que a consulta de pesquisa de vistas retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (Nova IU).
    2. Na lista Incidentes de segurança, selecione um filtro diferente, como Todos os incidentes atribuídos a mim, Todos os incidentes em abertoou Todos os incidentes.

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos.

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      Você pode ter uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia Visão geral

      Na seção Observáveis, observe que a coluna Observável mostra o endereço de e-mail, o assunto e o URL. Observe também que a coluna Descoberta mostra que o URL foi verificado automaticamente quando o e-mail de phishing foi enviado e determinado como um URL malicioso conhecido. A coluna Contagem de incidentes mostra os outros incidentes que compartilham o mesmo observável. Esses artefatos indicam que você provavelmente está pronto para passar para procedimentos de contenção para este ataque de phishing, incluindo a determinação de quantos usuários na organização foram afetados.

      Observáveis

    4. Navegar até Explorar > Investigação > Pesquisar e-mail e observáveis.
    5. Expanda a seção Critérios de pesquisa e clique em Pesquisa de observável.
      Pesquisa de observável
    6. Insira o observável que você está procurando e uma janela de tempo para a pesquisa (por exemplo, Últimas 24 horas).
    7. Na lista Selecionar ação, selecione Pesquisar.
      O armazenamento de log do Splunk é pesquisado usando os critérios que você inseriu e os principais usuários visados pelo ataque mal-intencionado são mostrados na guia Resultados da pesquisa do observável.Resultados da pesquisa de observável
    8. Para exibir os usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário Phished identifica os destinatários do e-mail de phishing e a coluna Interação do Usuário identifica os usuários que clicaram em um URL de phishing ou interagiram com um endereço de e-mail suspeito. A coluna Interação do usuário é definida como verdadeiro ou falso, dependendo se o usuário clicou no link mal-intencionado ou no IP.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    9. Para investigar melhor os usuários que clicaram no e-mail de phishing e possivelmente comprometeram suas credenciais:
      1. Nas colunas Usuário Phished e Interação do usuário, marque as caixas de seleção ao lado dos nomes de usuário que são verdadeiros.
      2. Clique em Criar incidente de segurança secundário e em Executar.
        Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique na guia Explorar e navegue até Incidentes > Incidentes de segurança secundários.

    Resultado

    A lista de usuários com phishing é exibida.

    Criar registros de configuração de pesquisa de vistas

    Crie vários registros de configuração de pesquisa de vistas e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • Pesquisas salvas e consultas no local são compatíveis somente com a integração do Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de vistas para invocar pesquisas salvas no armazenamento de log do Splunk Enterprise.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com o Splunk Common Information Model (CIM).
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinam vários registros de evento.
    • Pesquisas eficazes e com design eficiente.
    • Use entradas parametrizadas na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de amostra, conforme mostrado nesta imagem:

    Figura 1. Configurações de pesquisa salvas
    Configuração de pesquisa
    A pesquisa salva e as consultas de configuração Inplace são consultas de exemplo e podem ser substituídas por parâmetros apropriados para o seu ambiente. Crie configurações adicionais de pesquisa salva conforme necessário. Ao definir uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida na sua instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de vistas.
    Nota:
    Na sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Clique no link Permissões para navegar até a página Permissões. Selecione o botão de opção Todos os aplicativos e habilite a opção Permissão de leitura para Todos. Isso mudará o valor da coluna Compartilhamento de Privado para Aplicação para sua consulta de pesquisa salva. Se isso não estiver definido, a consulta de pesquisa salva pode não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida na sua instância do Splunk:

    1. Navegar até Configurações > Pesquisas, relatórios e alertas.
    2. Altere o Contexto da aplicação para Todos.

      Uma lista de relatórios de pesquisa será exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de vistas contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 2. Formulário de Configuração de pesquisa de vistas
    Configuração salva

    Na instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - e-mails e os mesmos parâmetros de pesquisa para o endereço e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem iguais, a pesquisa de vistas não gerará um resultado preciso.

    Procedimento

    1. Navegar até Security Operations > Integrações > Configuração de Pesquisa de Vistas e crie um novo registro (consulte a tabela para obter as descrições dos campos).
      Tabela 2. Formulário de Configuração de pesquisa de vistas
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem de pesquisa de vistas A origem da pesquisa de vistas. Selecione o armazenamento de log do Splunk como a origem.
      Ativo Opção para o status de pesquisa salvo. Somente configurações de pesquisa ativas podem ser usadas para executar uma pesquisa de vistas.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é $(observable), mas você pode definir sua própria consulta de pesquisa especificando parâmetros que são compatíveis com o armazenamento de log do Splunk.
    2. Clique em Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de vistas.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, clique em Gerar consulta de teste de pesquisa de detecçõese especifique uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.