Criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário
Use esse recurso para criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário.
A funcionalidade aprimorada de Phishing relatado pelo usuário inclui recursos de agregação, extração de cabeçalho de e-mail e configuração.
- Os usuários podem relatar e-mails de phishing de várias maneiras:
- Os e-mails podem ser encaminhados como anexos.
- Se o plug-in Wombat tiver sido configurado com o cliente Microsoft Outlook, os usuários poderão:
- Clicar no botão Relatar phishing.
- Encaminhar e-mails de phishing de um dispositivo móvel usando a opção Relatar phishing.
- Os usuários podem carregar um e-mail de phishing (no formato .eml).
- O phishing relatado pelo usuário inclui lógica de negócios de agregação que identifica e-mails de phishing duplicados relatados por usuários em uma organização. Os usuários podem usar este recurso para:
- Agregar incidentes de phishing relatados pelo usuário duplicados ou semelhantes (campanhas de phishing iniciadas pela empresa).
- Evite fazer a triagem de incidentes de phishing relatados pelo usuário duplicados e reduza o esforço manual envolvido na consolidação de incidentes.
- Permita que os analistas de segurança trabalhem em um único incidente de phishing relatado pelo usuário.
- Fornece cabeçalhos de e-mail de phishing no incidente de phishing relatado pelo usuário.
- Os analistas de segurança podem verificar as principais informações do cabeçalho de e-mail no incidente.
- O esforço manual na coleta de informações de cabeçalho de outras fontes não é mais necessário.
- O e-mail de phishing original enviado é armazenado como um Registro de e-mail de phishing em uma nova tabela.
- Os analistas de segurança podem exibir detalhes do e-mail de phishing original, como conteúdo do e-mail de phishing, cabeçalhos e origem.
- Os administradores de segurança podem configurar e fazer algumas melhorias que incluem:
- Configurações para extrair cabeçalhos de e-mail do corpo do e-mail (envios de relatório de phishing).
- Filtros para capturar cabeçalhos selecionados.
- Configurações para lidar com a associação de incidentes primários-secundários quando registros de e-mail de phishing duplicados são identificados.
- Configurações do Flow Designer para modificar a lógica de negócios de agregação com base nos requisitos.
Configurar regras de ingestão para phishing relatado pelo usuário
Como usuário com a função sn_si.admin, você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra em que todos os e-mails enviados diretamente ou por meio do botão Denunciar phishing para security@acme.com sejam categorizados como e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Configurar regras de ingestão para phishing relatado pelo usuário.
Definir propriedades de phishing relatadas pelo usuário
Defina as informações do cabeçalho que precisam ser capturadas dos e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Definir propriedades de Phishing Reportado pelo Usuário
Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário
Os e-mails de phishing relatados pelo usuário são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas. Para obter mais informações, consulte Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário.
Transformar e-mail de phishing em incidente de segurança
O fluxo Transformar e-mail de phishing em incidente de segurança converte ou transforma registros de e-mail de phishing em incidentes de segurança. Para obter mais informações, consulte Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança.
Registros de incidentes de segurança criados a partir de registros de e-mail de phishing
Exiba os detalhes do registro do incidente de segurança, incluindo as Listas relacionadas, anotações de trabalho e outras informações importantes. Para obter mais informações, consulte Registros de incidentes de segurança criados a partir de registros de e-mail de phishing.
Componentes e plug-ins necessários
O recurso Phishing relatado pelo usuário disponível nesta versão é uma versão aprimorada da funcionalidade existente de phishing relatado pelo usuário disponível na versão London. Consulte o tópico Criar regras para validar ataques de phishing relatados pelo usuário na documentação de Londres para obter detalhes.
Instruções importantes de instalação
- As ações de entrada de e-mail de phishing relatadas pelo usuário existentes (Tipo = Encaminhar e Tipo = Novo) foram desabilitadas.
- Uma nova ação de entrada Criar e-mail de phishing está disponível.
- O Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança é um novo fluxo que contém a lógica de negócios de criação e agregação de incidentes de segurança para o novo design. Você deve ativar este fluxo para que o novo design entre em vigor.
- As regras de phishing relatadas pelo usuário existentes foram preservadas durante o upgrade.
- Relatando o e-mail de phishing de várias maneiras: consulte Criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário para obter detalhes. O e-mail de phishing é movido para a tabela sn_si_phishing_email.
- Criação de registros de e-mail de phishing: se as regras de correspondência de e-mail forem atendidas (consulte Configurar regras de ingestão para phishing relatado pelo usuário), a ação Criar e-mail de phishing de entrada criará um registro de e-mail de phishing. Os cabeçalhos de e-mail analisados são armazenados na tabela cmsn_si_phishing_email_header e associados ao e-mail de phishing como uma lista relacionada.
- Agregar registros de phishing semelhantes em um único incidente de segurança: o fluxo Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança cria incidentes de segurança a partir dos registros de e-mail de phishing e agrega registros semelhantes em um único incidente. As condições de agregação podem ser modificadas conforme necessário neste fluxo.
- As ações de entrada de phishing relatadas pelo usuário disponíveis antes da versão 9.0 do Security Incident Response agora estão desabilitadas. Os incidentes de segurança não são mais criados por meio de ações de entrada desabilitadas.
- A aplicação Security Operations spoke deve ser instalada para que o novo design entre em vigor. Isso inclui o fluxo Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança que está disponível em um estado inativo por padrão. Ative este fluxo para criar incidentes de segurança a partir dos registros de e-mail de phishing.
- Security Support Common (sn_sec_cmn): inclui:
- Ação de entrada
- Novo script EmailUserReportedPhishing
- Tabela de regras de ingestão
- Security Incident Response (sn_si): inclui:
- Tabela de incidentes de segurança (sn_si_incident)
- Tabela de e-mails de phishing de segurança (sn_si_phishing_email)
- Tabela de cabeçalhos de e-mail de phishing de segurança (sn_si_phishing_email_header)
- Produtor de registro de upload de EML
- Security Operations Spoke
Fluxos e subfluxos para agregar e-mails e transformar e-mails de phishing em incidentes de segurança.
A figura a seguir mostra a nova tabela de e-mails de phishing com referências à regra de URP correspondente e ao registro de incidente de segurança de destino (sn_si_incident).
Configurar regras de ingestão para phishing relatado pelo usuário
Como usuário com a função sn_si.admin, você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra em que todos os e-mails enviados diretamente ou por meio do botão Denunciar phishing para security@acme.com sejam categorizados como e-mails de phishing relatados pelo usuário.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
-
Clique em Enviar para salvar a regra.
A seguir estão alguns exemplos de regras:
- Regra de regra: filtrar e-mails que foram enviados diretamente ou encaminhados para o ID de e-mail security@example.com.
- Regra de ID de usuário: filtrar e-mails que foram enviados de um ID de e-mail específico.
- Regra de regra: filtrar e-mails que foram enviados diretamente ou encaminhados para o ID de e-mail security@example.com.
Definir propriedades de Phishing Reportado pelo Usuário
Defina as informações do cabeçalho que devem ser capturadas dos e-mails de phishing relatados pelo usuário.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
- Configuração para extrair cabeçalhos de e-mail do corpo do e-mail. (Denunciar envios de phishing.)
- Filtre para selecionar cabeçalhos.
- Habilitar ou desabilitar a associação primário-secundário.
Procedimento
-
Navegar até .
Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário
Os e-mails de phishing relatados pelo usuário são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas.
- Um registro de e-mail é criado na tabela sys_email.
- A ação de entrada Criar e-mail de phishing é executada no registro de e-mail e usa as Regras de correspondência de e-mail (consulte Configurar regras de ingestão para phishing relatado pelo usuário) para determinar se é um e-mail de phishing.
- Quando ele é identificado como um e-mail de phishing, um registro de e-mail de phishing é criado na tabela
sn_si_phishing_email. - Por fim, o fluxo Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança é aplicado para converter o registro de e-mail de phishing em um incidente de segurança.
Para exibir os detalhes do e-mail, navegue até . Uma lista de registros de e-mail de phishing é exibida. Clique no link de data na coluna Criado para exibir o registro de e-mail.
| Nome do campo | Descrição |
|---|---|
| Número | O número atribuído ao e-mail de phishing relatado pelo usuário. |
| Assunto | O assunto do e-mail. A regra do assunto é útil em campanhas ou testes de phishing simulados. Nesse caso, as organizações enviam e-mails enganosos para sua própria equipe para testar sua resposta a ataques de phishing e de e-mail semelhantes. Em testes de e-mail de phishing simulados, se o cliente de e-mail Microsoft Outlook com o plug-in Wombat estiver sendo usado, o usuário poderá clicar no botão Relatar phishing para relatar o e-mail de phishing. O e-mail é enviado para a equipe de Security Operations com o Phishing simulado anexado ao assunto do e-mail. Isso é usado para identificar o e-mail como um e-mail de phishing simulado. |
| De | O endereço de e-mail de origem deste e-mail de phishing. Essas informações estarão disponíveis se o e-mail de phishing for encaminhado como anexo de arquivo .EML ou se os cabeçalhos originais forem incorporados ao e-mail. Se o usuário encaminhou o e-mail de phishing diretamente, o endereço De pode não estar disponível. |
| Relatado por | O ID de e-mail do usuário que relatou este e-mail de phishing. Clique no ícone Informações para exibir detalhes adicionais. |
| ID da mensagem | O ID atribuído à mensagem. |
| Regra de URP correspondente | A regra de phishing relatada pelo usuário que será aplicada a este e-mail. Clique no ícone Informações para exibir detalhes adicionais. |
Como você pode ver, neste exemplo, o campo Condição mostra que o ToRule é aplicado neste e-mail e um incidente de segurança é criado. Consulte Configurar regras de ingestão para phishing relatado pelo usuário para obter mais informações sobre como definir regras de correspondência de e-mail. |
|
| Estado | Quando um novo registro de e-mail de phishing é criado na tabela sn_si_phishing_email, o campo Estado é definido como Novo. Quando este registro de e-mail é convertido em um incidente de segurança (consulte Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança), o campo Estado é atualizado para Processado. |
| Origem do cabeçalho | Este campo indica como os cabeçalhos do e-mail foram originados ou como o usuário relatou o e-mail de phishing:
|
| Incidente de segurança | Este campo fica em branco quando o e-mail de phishing relatado pelo usuário é relatado pela primeira vez. Quando o fluxo Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança tiver sido executado, este e-mail será convertido em um registro de incidente de segurança e o número deste registro será exibido aqui. |
| Cabeçalhos brutos | Este campo mostra as informações completas do cabeçalho extraídas do e-mail, conforme definido na página Definir propriedades de Phishing Reportado pelo Usuário. Os cabeçalhos são analisados em pares de chave-valor e exibidos na lista Cabeçalhos de e-mail de phishing. |
| Corpo | Este é o corpo do e-mail de phishing relatado pelo usuário. |
Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança
O fluxo Transformar e-mail de phishing em incidente de segurança é um novo fluxo que converte ou transforma registros de e-mail de phishing em incidentes de segurança.
Antes de Iniciar
- Função necessária: sn_si.admin
- O spoke do Flow Designer deve ser instalado.
Por Que e Quando Desempenhar Esta Tarefa
- Agregar incidentes de segurança.
- Atualize os incidentes de segurança com anotações relevantes.
- Adicione dados de cabeçalho.
- Crie incidentes secundários conforme necessário.
Procedimento
-
Navegar até para exibir os fluxos disponíveis com o spoke do Security Operations.
-
Este fluxo é fornecido com o sistema de base e está no modo Somente leitura e não pode ser usado.
Clique no ícone mais ícone
, faça uma cópia do fluxo e abra-o para uso. Agora você pode fazer mudanças no fluxo, como modificar condições ou ações do gatilho, ou adicionar e remover ações. Depois de fazer as mudanças necessárias, você deve ativar ( Consulte Ativar um fluxo Security Incident Response) o fluxo para que ele possa ser executado.Esta figura mostra o gatilho e as etapas executadas com o fluxo. O painel à direita mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.
-
Clique no ícone Gatilho.
Na primeira etapa, você define ou define o gatilho do fluxo. Especifique as condições para o gatilho e a tarefa a serem executadas quando as condições forem atendidas. Este fluxo é iniciado quando um novo registro é carregado na tabela
sn_si_phishing_email. -
Na etapa 1, o fluxo verifica se a opção Criar incidentes secundários para envios de e-mail agregados? O sinalizador está habilitado ou desabilitado na página Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança.
-
Na etapa 2, o incidente de segurança primário mais antigo é identificado.
Observe o ícone na etapa 2. Isso indica que o subfluxo de agregação de e-mail de phishing será executado como parte desta etapa.
Clique no ícone do designer de ação para obter uma exibição detalhada da ação. Este subfluxo verifica o e-mail de phishing e o corresponde a um incidente de segurança existente com base nos critérios especificados.
Essas duas ações são realizadas quando este subfluxo é executado. Clique no link da primeira ação para exibir detalhes adicionais.Esta ação verifica os e-mails que correspondem aos critérios do novo e-mail de entrada com base em condições como:- O Estado do Incidente de segurança não é Encerrado.
- O assunto ou o valor de corresponde às condições da regra de correspondência de e-mail definidas (consulte Configurar regras de ingestão para phishing relatado pelo usuário).
-
A etapa 3 é aplicável somente se a mensagem Criar incidentes secundários para envios de e-mail agregados? O sinalizador foi definido como Não na página Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança.
Nesse caso, o e-mail de phishing é associado ao registro do incidente de segurança e o fluxo termina.
-
Se a opção Criar incidentes secundários para envios de e-mail agregados? foi definido como Sim, o fluxo continuará a ser executado e um novo incidente de segurança será criado com base no e-mail de phishing relatado pelo usuário.
-
Na etapa 5, os usuários que receberam o e-mail de phishing (funcionários na lista Para e Cc do e-mail de phishing) são adicionados à lista relacionada Usuários afetados no registro do incidente de segurança.
-
Na etapa 6, permita que os observáveis listados sejam filtrados da lista de observáveis no incidente de segurança.
Esses observáveis listados como permitidos não serão adicionados ao incidente de segurança.
-
Na etapa 7, os observáveis desconhecidos do e-mail de phishing relatado pelo usuário são identificados e adicionados à lista relacionada Observáveis.
-
Na etapa 8, uma consulta de pesquisa de e-mail é gerada, que é uma combinação do assunto e do endereço De do e-mail.
Essas informações são úteis para identificar os funcionários da organização que foram alvo de phishing.
-
Na etapa 9, o e-mail de phishing relatado pelo usuário é associado ao incidente de segurança e o registro do incidente de segurança (criado na etapa 4) é atualizado.
-
Na etapa 10, o incidente de segurança primário é identificado e uma verificação é feita para ver se é um registro de incidente de segurança aberto.
-
Na etapa 12, se nenhum usuário afetado for encontrado (na etapa 5 do fluxo), uma anotação de trabalho será adicionada e o registro do incidente de segurança será atualizado.
-
Na etapa 13, uma anotação de trabalho é adicionada à lista de observáveis listados permitidos.
O que Fazer Depois
Clique em Execuções para exibir os detalhes da execução do fluxo.
Quando o fluxo tiver sido executado, o registro de e-mail de phishing será convertido em um incidente de segurança. Veja Registros de incidentes de segurança criados a partir de registros de e-mail de phishing
Registros de incidentes de segurança criados a partir de registros de e-mail de phishing
Os registros de e-mail de phishing armazenados na tabela sn_si_phishing_email são convertidos em registros de incidentes de segurança.
Para exibir o incidente de segurança associado ao registro de e-mail de phishing, clique em .
Clique no link na coluna Incidente de segurança associada ao registro de e-mail de phishing. Os detalhes do incidente de segurança são exibidos.
Listas relacionadas
Role para baixo até a seção Links relacionados do incidente de segurança e clique em Mostrar tudo lista relacionada. Exiba detalhes como incidentes de segurança secundários, usuários afetados, e-mails de phishing associados.
Incidentes secundários de segurança
E-mails de phishing associados
Cabeçalhos de e-mail de phishing associados
Lista de observáveis permitidos
Conforme o fluxo Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança está sendo executado, você pode monitorar o status do incidente de segurança. Quando determinados observáveis são marcados como observáveis da lista permitida, eles não são adicionados à lista relacionada de observáveis. Ao marcar os observáveis para a lista de permissões, você pode garantir que somente os detalhes importantes sejam exibidos. Por exemplo, se www.google.com for um dos URLs marcados como permitidos, a seguinte mensagem do sistema será exibida. A lista de observáveis permitidos garante que somente os observáveis importantes sejam monitorados.
Captura de usuários incompatíveis
Phishing relatado pelo usuário no espaço do analista de segurança
Você pode exibir incidentes de segurança associados aos registros de e-mail de phishing no Security Analyst Workspace.
- Registros secundários duplicados identificados.
- Observáveis da lista permitidos.
- Usuários incompatíveis que receberam o e-mail de phishing, mas não pertencem à lista Usuários afetados.
Perguntas frequentes
Esta seção aborda algumas das perguntas frequentes sobre o recurso aprimorado de Phishing relatado pelo usuário.
- Instalei o novo spoke do Security Incident Response, mas não consigo exibir nenhum incidente de phishing relatado pelo usuário.
Por padrão, a funcionalidade Phishing relatado pelo usuário foi desabilitada.
Para habilitar este recurso, você deve fazer uma cópia do fluxo somente leitura Transformar e-mails de phishing relatados pelo usuário em incidentes de segurança e ativá-lo antes de usar.
- Ao ingerir e-mails de phishing e convertê-los em incidentes de segurança, quais medidas de precaução são usadas para lidar com links e anexos maliciosos nos e-mails de phishing?
O scanner antivírus ServiceNow verifica esses anexos e links maliciosos. No entanto, para garantir que os analistas de segurança possam investigar os incidentes com precisão, a aplicação Security Incident Response captura todos os artefatos que fazem parte de um e-mail de phishing. Mas a funcionalidade de Phishing relatado pelo usuário silencia os links maliciosos no e-mail de phishing para que os analistas de segurança não cliquem acidentalmente nesses links. Em relação aos anexos maliciosos, os analistas de segurança devem ter cuidado ao baixá-los.
- Capturamos todos os arquivos mal-intencionados que fazem parte dos e-mails de phishing para aprimoramento do incidente de segurança?
Sim, capturamos todos os arquivos dos e-mails de phishing. Você pode exibir esses detalhes que estão disponíveis como parte dos observáveis de incidente de segurança na forma de um hash de arquivo.
- Enviamos arquivos maliciosos e links de e-mails de phishing para uma instância de área restrita para investigação?
Atualmente, não oferecemos suporte a integrações de área restrita prontas para uso para investigar arquivos e links mal-intencionados.
- Há uma janela de tempo ou um gatilho que define a duração na qual os registros de e-mail de phishing duplicados recebidos são associados a um incidente de segurança primário?
Registros de e-mail de phishing duplicados são agregados somente a um incidente de segurança primário ativo. Se o incidente primário for encerrado ou cancelado, o novo e-mail de phishing duplicado recebido será criado como um novo incidente de segurança. No entanto, neste cenário, no novo incidente de segurança, você pode exibir o incidente de segurança primário encerrado ou cancelado na lista relacionada de Incidente de segurança semelhante.
Nota:Esse comportamento pode ser configurado usando o Flow Designer. - O recurso de phishing de relatório do usuário oferece suporte ao uso somente do plug-in Microsoft Outlook Wombat para capturar detalhes do cabeçalho do e-mail?
A funcionalidade Relatada pelo usuário foi criada para analisar cabeçalhos de e-mail e está em conformidade com os padrões RFC822. Portanto, semelhante ao plug-in Wombat, todos os outros plug-ins do Microsoft Outlook que capturam cabeçalhos de e-mail com base nos padrões RFC822 são compatíveis.