Este playbook ajuda na triagem de estágio inicial de envios de phishing relatados pelo usuário, alertando o analista sobre a possibilidade de um domínio semelhante no endereço de e-mail do phishing.

O playbook de detecção de falsificação de domínio de e-mail procura encontrar uma correspondência de semelhança entre o domínio de e-mail do remetente do Phisher com um nome de domínio confiável existente no repositório do observável. Quando uma correspondência de domínio de e-mail de remetente falsificada é identificada pelo playbook, os analistas são alertados com um marcador.

O fluxo de trabalho é criado com base em um playbook existente, que fornece uma abordagem consistente e eficiente para a investigação de incidentes. Cada ponto de decisão no playbook foi convertido em uma tarefa orientada por resultados e o fluxo muda de direção com base no resultado dessas tarefas.