Geração de veredicto final para phishing relatado pelo usuário

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • As equipes do Security Incident Response agora podem conduzir o veredicto finalizado para um registro de phishing relatado pelo usuário com base nos resultados da inteligência preditiva e integrações de enriquecimento de ameaças.

    Essa geração de veredicto final é habilitada por meio de uma construção de tabela de decisão e aproveitada em um fluxo.

    Pré-requisitos

    Certifique-se de que todos os plug-ins listados em Componentes e plug-ins necessários tenham sido instalados.

    Navegar até Inteligência preditiva para phishing > Veredito final > Veredicto final para incidente de segurança de phishing.

    A guia Entradas de decisão mostra as diferentes condições que foram avaliadas para chegar ao veredicto final.


    Phishing relatado pelo usuário: configuração de ML: entradas de decisão
    As seguintes condições estão disponíveis com o sistema de base:
    • Previsto como suspeito: quando a inteligência preditiva tiver classificado o e-mail de phishing relatado pelo usuário como suspeito.
    • Pelo menos um observável é mal-intencionado: quando um observável envolvido no incidente de segurança (por exemplo, URL, domínio, IP, hash) foi classificado como mal- intencionado por fontes de inteligência contra ameaças.
    • O enriquecimento de observáveis é suspeito: quando o enriquecimento em observáveis (por exemplo, recência de registro de domínio de phishing, país de registro de domínio de phishing) é considerado suspeito.
    • O domínio do remetente é falsificado: quando o domínio de e-mail do phisher é suspeito de falsificar um domínio confiável.
    • O nome do remetente é falsificado: quando o endereço de e-mail do phisher é suspeito de falsificar um funcionário confiável de uma organização.

    A guia Decisões mostra as opções de veredicto final que podem ser obtidas para um determinado incidente de segurança.


    Phishing relatado pelo usuário: Configuração de ML: Decisões
    As seguintes decisões estão disponíveis com o sistema de base:
    • Phish confirmado: quando as condições levam ao veredicto final como sendo um e-mail de phishing confirmado.
    • Provável phishing: quando as condições levam ao veredicto final como uma possível tentativa de phishing.
    • Provavelmente benigno: quando as condições levam ao veredicto final como um envio benigno.

    Você pode ver as condições que foram avaliadas para cada uma das opções de veredicto final. Clique no link Rótulo para ver as condições.


    Phishing relatado pelo usuário: Configuração de ML: Decisão

    Você pode personalizar a tabela de decisão fornecida com o sistema de base ou criar sua própria tabela de decisão. Esta tabela de decisão pode ser aproveitada em playbooks de resposta a incidentes de segurança. O subfluxo Gerar veredicto final para incidentes de segurança de phishing está disponível com o sistema de base. Este subfluxo gera automaticamente o veredito final para um incidente de segurança de phishing e aplica um marcador de segurança com base nessa decisão. Você pode incluir este subfluxo como parte do playbook de phishing automatizado.

    As entradas para este subfluxo são:
    • incident_id: o SYS ID do incidente de segurança de phishing.
    • c_level_names: lista separada por vírgulas de nomes (por exemplo, nomes de executivos da organização) que provavelmente serão falsificados no ataque de phishing.
    • Trusted_domains: lista separada por vírgulas de domínios de e-mail confiáveis.
    • richment_keywords: lista separada por vírgulas de palavras-chave que indicam a mal-intendência do observável a partir dos resultados de aprimoramento.
    • sender_email (opcional): o endereço de e-mail do remetente do e-mail de phishing.

    A saída deste fluxo pode ser Phish confirmado, Provável phishingou Provavelmente benigno.


    Phishing relatado pelo usuário: Configuração de ML: subfluxo de phishing