Criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 23 min. de leitura

    • Use esse recurso para criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário.

    A funcionalidade aprimorada de Phishing relatado pelo usuário inclui recursos de agregação, extração de cabeçalho de e-mail e configuração.

    • Os usuários podem relatar e-mails de phishing de várias maneiras:
      • Os e-mails podem ser encaminhados como anexos.
      • Se o plug-in PhishAlarm (anteriormente conhecido como Wombat) tiver sido configurado com o cliente Microsoft Outlook, os usuários poderão:
        • Clicar no botão Relatar phishing.
        • Encaminhar e-mails de phishing de um dispositivo móvel usando a opção Relatar phishing.

        Relatar e-mails de phishing
      • Os usuários podem carregar um e-mail de phishing (no formato .eml).
        Relatar e-mails de phishing como anexos
    • O phishing relatado pelo usuário inclui lógica de negócios de agregação que identifica e-mails de phishing duplicados relatados por usuários em uma organização. Os usuários podem usar este recurso para:
      • Agregar incidentes de phishing relatados pelo usuário duplicados ou semelhantes (campanhas de phishing iniciadas pela empresa).
      • Evite fazer a triagem de incidentes de phishing relatados pelo usuário duplicados e reduza o esforço manual envolvido na consolidação de incidentes.
      • Permita que os analistas de segurança trabalhem em um único incidente de phishing relatado pelo usuário.
    • Fornece cabeçalhos de e-mail de phishing no incidente de phishing relatado pelo usuário.
      • Os analistas de segurança podem verificar as principais informações do cabeçalho de e-mail no incidente.
      • O esforço manual na coleta de informações de cabeçalho de outras fontes não é mais necessário.
    • O e-mail de phishing original enviado é armazenado como um Registro de e-mail de phishing em uma nova tabela.
    • Os analistas de segurança podem exibir detalhes do e-mail de phishing original, como conteúdo do e-mail de phishing, cabeçalhos e origem.
    • Os administradores de segurança podem configurar e fazer algumas melhorias que incluem:
      • Configurações para extrair cabeçalhos de e-mail do corpo do e-mail (envios de relatório de phishing).
      • Filtros para capturar cabeçalhos selecionados.
      • Configurações para lidar com a associação de incidentes primários-secundários quando registros de e-mail de phishing duplicados são identificados.
      • Configurações do Flow Designer para modificar a lógica de negócios de agregação com base nos requisitos.

    Configurar regras de ingestão para phishing relatado pelo usuário

    Como usuário com a função sn_si.admin, você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra em que todos os e-mails enviados diretamente ou por meio do botão Denunciar phishing para security@acme.com sejam categorizados como e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Configurar regras de ingestão para phishing relatado pelo usuário.

    Definir propriedades de phishing relatadas pelo usuário

    Defina as informações do cabeçalho que precisam ser capturadas dos e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Definir propriedades de phishing relatadas pelo usuário.

    Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário

    Os e-mails de phishing relatados pelo usuário são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas. Para obter mais informações, consulte Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário.

    Transformar e-mail de phishing em incidente de segurança

    O fluxo Transformar e-mail de phishing em incidente de segurança converte ou transforma registros de e-mail de phishing em incidentes de segurança. Para obter mais informações, consulte Transformar e-mails de phishing relatados por usuários em incidentes de segurança.

    Registros de incidentes de segurança criados a partir de registros de e-mail de phishing

    Exiba os detalhes do registro do incidente de segurança, incluindo as Listas relacionadas, anotações de trabalho e outras informações importantes. Para obter mais informações, consulte Registros de incidentes de segurança criados a partir de registros de e-mail de phishing.

    Componentes e plug-ins necessários

    O recurso de phishing relatado pelo usuário disponível nesta versão é uma versão aprimorada da funcionalidade de phishing relatada pelo usuário existente disponível na versão London. Consulte o tópico Criar regras para validar ataques de phishing relatados pelo usuário na documentação de London para obter detalhes.

    Instruções importantes de instalação

    Esta melhoria substitui o design de phishing relatado pelo usuário existente. O novo design inclui as seguintes atualizações:
    • As ações de entrada de e-mail de phishing relatadas pelo usuário (Tipo = Encaminhar e Tipo = Novo) foram desabilitadas.
    • Uma nova ação de entrada Criar e-mail de phishing agora está disponível.
    • O Transformar e-mails de phishing relatados por usuários em incidentes de segurança é um novo fluxo que contém a lógica de negócios de criação e agregação de incidentes de segurança para o novo design. Você deve ativar este fluxo para que o novo design tenha efeito.
    • As regras de phishing relatadas pelo usuário existentes foram preservadas durante o upgrade.
    Nota:
    Se você usar ações de entrada de e-mail personalizadas e fluxos de trabalho personalizados para envios de phishing relatados pelo usuário, deverá revisar os designs antigos e novos quanto a funcionalidades conflitantes ou sobrepostas.
    Detalhes da melhoria de phishing relatada pelo usuário: a seguir estão os detalhes da melhoria:
    Nota:
    • As ações de entrada de phishing relatadas pelo usuário disponíveis antes da versão 9.0 do Security Incident Response agora estão desabilitadas. Os incidentes de segurança não são mais criados por meio de ações de entrada desabilitadas.
    • A aplicação de spoke das Operações de segurança deve ser instalada para que o novo design tenha efeito. Isso inclui o fluxo Transformar e-mails de phishing relatados por usuários em incidentes de segurança, que está disponível em um estado inativo por padrão. Ative este fluxo para criar incidentes de segurança a partir dos registros de e-mail de phishing.
    A imagem a seguir mostra as diferenças entre os designs antigos e os novos:
    Phishing relatado pelo usuário: diferenças
    Para usar o recurso aprimorado de phishing relatado pelo usuário, os seguintes plug-ins e componentes são necessários:
    • Suporte de segurança comum (sn_sec_cmn): Inclui:
      • Ação de entrada
      • Novo script EmailUserReportedPhishing
      • Tabela de regras de ingestão
    • Security Incident Response (sn_si): Inclui:
      • Tabela de incidentes de segurança (sn_si_incident)
      • Tabela de e-mails de phishing de segurança (sn_si_phishing_email)
      • Tabela de cabeçalhos de e-mail de phishing de segurança (sn_si_phishing_email_header)
      • Produtor de registro de carregamento de EML
    • Spoke das Operações de segurança

      Fluxos e subfluxos para agregar e-mails e transformar e-mails de phishing em incidentes de segurança.

    A figura a seguir mostra a tabela de novos e-mails de phishing com referências à regra de URP correspondente e ao registro de incidente de segurança de destino (sn_si_incident).


    Modelo de dados URP

    Configurar regras de ingestão para phishing relatado pelo usuário

    Como usuário com a função sn_si.admin, você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra em que todos os e-mails enviados diretamente ou por meio do botão Denunciar phishing para security@acme.com sejam categorizados como e-mails de phishing relatados pelo usuário.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Todos > Operações de segurança > Processamento de E-mails > Regras de ingestão - Phishing reportado pelo usuário.
    2. Clique em Novo para criar uma nova Regra de correspondência de e-mail.
    3. Insira um nome e defina uma ou mais condições para a regra.
    4. Clique em Enviar para salvar a regra.
      A seguir estão alguns exemplos de regras:
      • ToRule: filtra e-mails que foram enviados diretamente ou encaminhados para o ID de e-mail security@example.com. Definir ToRule
      • Regra de ID de usuário: filtre e-mails que foram enviados de um ID de e-mail específico. Definir regra de ID de usuário

    Definir propriedades de phishing relatadas pelo usuário

    Defina as informações de cabeçalho que devem ser capturadas dos e-mails de phishing relatados pelo usuário.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Use essas opções para definir as seguintes configurações de phishing relatadas pelo usuário.
    • Configuração para extrair cabeçalhos de e-mail do corpo do e-mail. (Relatar envios de phishing.)
    • Filtrar para selecionar cabeçalhos.
    • Habilite ou desabilite a associação primária-secundária.

    Procedimento

    1. Navegar até Todos > Operações de segurança > Processamento de E-mails > Propriedades do Phishing Reportado pelo Usuário.
      Propriedades de phishing relatadas pelo usuário
    2. Especifique a configuração para extrair cabeçalhos de e-mail do corpo do e-mail:
      • Insira uma cadeia de caracteres que identifique o início do cabeçalho do e-mail.
      • Insira uma cadeia de caracteres que identifique o final do cabeçalho do e-mail.
        Nota:
        Aplique essas configurações somente a cabeçalhos capturados como parte do corpo do e-mail de phishing. Por exemplo, se o plug-in PhishAlarm (anteriormente conhecido como Wombat) tiver sido configurado com o cliente Microsoft Outlook, quando o usuário clicar no botão Denunciar phishing, os cabeçalhos de e-mail serão capturados de acordo com a configuração definida aqui. As informações do cabeçalho não serão capturadas se o e-mail de phishing for encaminhado como um anexo.
    3. Especifique filtros para eliminar cabeçalhos que não são necessários para investigar o incidente de segurança.

      Insira uma lista separada por vírgulas de cabeçalhos de e-mail que devem ser capturados do e-mail de phishing relatado pelo usuário. Se você não especificar nenhum valor aqui, todas as informações do cabeçalho serão capturadas.

    4. Habilite ou desabilite a associação primária-secundária.
      Por padrão, a opção Sim está habilitada. Selecione Sim para indicar que os incidentes de segurança secundários devem ser criados quando os e-mails de phishing relatados pelo usuário forem agregados. Se você selecionar Não, os incidentes de segurança secundários não serão criados, mas os e-mails de phishing relatados pelo usuário serão associados ao incidente de segurança e o registro do incidente de segurança será atualizado. Consulte Transformar e-mails de phishing relatados por usuários em incidentes de segurança para obter mais informações sobre como os incidentes de segurança secundários são criados.
    5. Habilite ou desabilite a opção para exibir o conteúdo de e-mail de phishing no formato HTML.
      Por padrão, a opção Sim está habilitada. Selecione Sim para exibir o conteúdo do e-mail de phishing no formato HTML. Se você selecionar Não, o conteúdo do e-mail no formato HTML não ficará visível em um registro de phishing.

    Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário

    Os e-mails de phishing relatados pelo usuário são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas.

    Quando um novo e-mail de phishing é relatado, as seguintes ações ocorrem:

    Para exibir os detalhes do e-mail, navegue até Incidente de segurança > Mostrar todos os e-mails de phishing. Uma lista de registros de e-mail de phishing é exibida. Clique no link de data na coluna Criado para exibir o registro de e-mail.


    E-mail de phishing com ToRule
    Tabela 1. Detalhes do e-mail de phishing do incidente de segurança
    Nome do Campo Descrição
    Número O número atribuído ao e-mail de phishing relatado pelo usuário.
    Assunto O assunto do e-mail. A regra de assunto é útil em campanhas ou testes de phishing simulados. Nesse caso, as organizações enviam e-mails fraudulentos para sua própria equipe para testar sua resposta a phishing e ataques de e-mail semelhantes.

    Em testes de e-mail de phishing simulados, se o cliente de e-mail do Microsoft Outlook com o plug-in PhishAlarm (anteriormente conhecido como Wombat) estiver sendo usado, o usuário poderá clicar no botão Denunciar phishing para denunciar o e-mail de phishing. O e-mail é enviado para a equipe de Operações de segurança com o phishing simulado anexado ao assunto do e-mail. Isso é usado para identificar o e-mail como um e-mail de phishing simulado.
    De O endereço de e-mail de origem deste e-mail de phishing. Essas informações estarão disponíveis se o e-mail de phishing for encaminhado como anexo de arquivo .EML ou se os cabeçalhos originais estiverem incorporados ao e-mail.

    Se o usuário encaminhou o e-mail de phishing diretamente, o endereço De pode não estar disponível.
    Relatado por O ID de e-mail do usuário que denunciou este e-mail de phishing. Clique no ícone Informações para exibir detalhes adicionais.
    ID da mensagem O ID atribuído à mensagem.
    Regra de URP correspondente A regra de phishing relatada pelo usuário que será aplicada neste e-mail. Clique no ícone Informações para exibir detalhes adicionais.
    Regra de ingestão de URP

    Como você pode ver, neste exemplo, o campo Condição mostra que o ToRule foi aplicado neste e-mail e um incidente de segurança foi criado. Consulte Configurar regras de ingestão para phishing relatado pelo usuário para obter mais informações sobre como definir regras de correspondência de e-mail.
    Estado Quando um novo registro de e-mail de phishing é criado na tabela sn_si_phishing_email, o campo Estado é definido como Novo. Quando este registro de e-mail é convertido em um incidente de segurança (consulte Transformar e-mails de phishing relatados por usuários em incidentes de segurança), o campo Estado é atualizado para Processado.
    Origem do cabeçalho Este campo indica como os cabeçalhos de e-mail foram originados ou como o usuário denunciou o e-mail de phishing:
    • Cabeçalho do e-mail: o usuário encaminhou o e-mail de phishing para a equipe de operações de segurança.
    • Corpo do texto do e-mail:
      • O usuário clicou na opção Denunciar phishing (se o plug-in PhishAlarm (anteriormente conhecido como Wombat) tiver sido configurado com o cliente de e-mail).
      • Com base na regra de phishing relatada pelo usuário definida, o e-mail de phishing é encaminhado para a equipe de operações de segurança.
    • Cabeçalho do anexo EML:
      • Anexo: o usuário encaminhou o e-mail como um anexo (arquivo .EML).
      • Envio do catálogo de serviços: o usuário baixou o e-mail como um arquivo .EML para a área de trabalho e o carregou para um local especificado. O incidente de segurança é criado a partir do e-mail.
    • Corpo do anexo EML:
      • O usuário clicou na opção Denunciar phishing (se o plug-in PhishAlarm (anteriormente conhecido como Wombat) tiver sido configurado com o cliente de e-mail).
      • Com base na regra de phishing relatada pelo usuário definida, o e-mail de phishing é encaminhado como um anexo para a equipe de operações de segurança.
    Incidente de segurança Este campo fica em branco quando o e-mail de phishing relatado pelo usuário é relatado pela primeira vez. Quando o fluxo Transformar e-mails de phishing relatados por usuários em incidentes de segurança tiver sido executado, este e-mail será convertido em um registro de incidente de segurança e o número deste registro será exibido aqui.
    Cabeçalhos brutos Este campo mostra as informações completas do cabeçalho extraídas do e-mail, conforme definido na página Definir propriedades de phishing relatadas pelo usuário. Os cabeçalhos são analisados em pares de chave-valor e exibidos na lista Cabeçalhos de e-mail de phishing.
    Cabeçalhos de e-mail de phishing
    Corpo Este é o corpo do e-mail de phishing relatado pelo usuário.

    Transformar e-mails de phishing relatados por usuários em incidentes de segurança

    O fluxo Transformar e-mail de phishing em incidente de segurança é um novo fluxo que converte ou transforma registros de e-mail de phishing em incidentes de segurança.

    Antes de Iniciar

    Nota:
    Para habilitar a funcionalidade de phishing relatado pelo usuário, você deve fazer uma cópia do fluxo e ativá -lo. Se você criou ações de entrada personalizadas e fluxos personalizados para lidar com envios de phishing relatados pelo usuário, as modificações de fluxo sugeridas aqui não são necessárias.
    • Função necessária: sn_si.admin
    • O spoke do Flow Designer deve ser instalado.

    Por Que e Quando Desempenhar Esta Tarefa

    Este fluxo é iniciado automaticamente quando um registro de e-mail de phishing relatado pelo usuário com o Estado definido como Novo é criado. Este fluxo contém a lógica para:
    • Incidentes de segurança agregados.
    • Atualize os incidentes de segurança com anotações relevantes.
    • Adicione dados de cabeçalho.
    • Crie incidentes secundários conforme necessário.

    Procedimento

    • Navegar até Flow Designer > Designer para exibir os fluxos disponíveis com o spoke das Operações de segurança.
      Fluxos de Operações de segurança
    • Clique no link Transformar e-mail de phishing em incidentes de segurança para exibir o fluxo.
    • Este fluxo é fornecido com o sistema de base e está no modo Somente leitura e não pode ser usado.
      Clique no ícone mais ícone Mais, faça uma cópia do fluxo e abra-o para uso. Agora você pode fazer mudanças no fluxo, como modificar condições ou ações do gatilho, ou adicionar e remover ações. Depois de fazer as mudanças necessárias, você deve ativar (Consulte Ativar um fluxo Security Incident Response) o fluxo para que ele possa ser executado.Transformar e-mail de phishing em fluxo de incidentes de segurança

      Esta figura mostra o gatilho e as etapas executadas com o fluxo. O painel direito mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.

    • Clique no ícone do gatilho.
      Na primeira etapa, você define ou define o gatilho do fluxo. Especifique as condições para o gatilho e a tarefa a serem executadas quando as condições forem atendidas. Este fluxo é iniciado quando um novo registro é carregado na tabela sn_si_phishing_email.Fluxo de transformação: gatilho
    • Na etapa 1, o fluxo verifica se a opção Criar incidentes secundários para envios de e-mail agregados? O sinalizador está habilitado ou desabilitado na página Transformar e-mails de phishing relatados por usuários em incidentes de segurança.
      Fluxo de transformação: ação 1
    • Na etapa 2, o incidente de segurança primário mais antigo é identificado.
      Observe o ícone na etapa 2. Isso indica que o subfluxo de agregação de e-mail de phishing será executado como parte desta etapa.Fluxo de transformação: ação 2

      Clique no ícone do designer de ações para ter uma exibição detalhada da ação. Este subfluxo verifica o e-mail de phishing e o corresponde a um incidente de segurança existente com base nos critérios especificados.

      Fluxo de transformação: subfluxo de agregação de e-mails de phishing
      Essas duas ações são executadas quando este subfluxo é executado. Clique no link da primeira ação para exibir detalhes adicionais.
      Fluxo de transformação: Subfluxo: Ação
      Esta ação verifica os e-mails que correspondem aos critérios do novo e-mail de entrada com base em condições como:Se essas condições forem atendidas, você poderá ver o número de registros que correspondem aos critérios no campo Máximo de resultados. O registro mais antigo ou o primeiro na lista é designado como o registro primário em relação ao qual os incidentes de segurança serão agregados.
    • A etapa 3 é aplicável somente se a opção Criar incidentes secundários para envios de e-mail agregados? O sinalizador foi definido como Não na página Transformar e-mails de phishing relatados por usuários em incidentes de segurança.
      Nesse caso, o e-mail de phishing é associado ao registro do incidente de segurança e o fluxo termina.
      Fluxo de transformação: ação 3
    • Se a opção Criar incidentes secundários para envios de e-mail agregados? foi definido como Sim, o fluxo continuará a ser executado e um novo incidente de segurança será criado com base no e-mail de phishing relatado pelo usuário.
      Fluxo de transformação: ação 4
    • Na etapa 5, os usuários que receberam o e-mail de phishing (funcionários nas listas Para e CC do e-mail de phishing) são adicionados à lista relacionada Usuários afetados no registro de incidente de segurança.
      Formulário de transformação: ação 4
    • Na etapa 6, permita que os observáveis listados sejam filtrados da lista de observáveis no incidente de segurança.
      Esses observáveis da lista de permissões não serão adicionados ao incidente de segurança.
      Fluxo de transformação: filtrar observáveis listados para permitir
    • Na etapa 7, observáveis desconhecidos do e-mail de phishing relatado pelo usuário são identificados e adicionados à lista relacionada de observáveis.
      Fluxo de transformação: adicionar observáveis
    • Na etapa 8, é gerada uma consulta de pesquisa de e-mail que é uma combinação do Assunto e do endereço De do e-mail.
      Essas informações são úteis para identificar os funcionários da organização que foram alvo de phishing.
      Fluxo de transformação: criar consulta de pesquisa de e-mail
    • Na etapa 9, o e-mail de phishing relatado pelo usuário é associado ao incidente de segurança e o registro do incidente de segurança (criado na etapa 4) é atualizado.
      Fluxo de transformação: atualizar registro de incidente de segurança
    • Na etapa 10, o incidente de segurança primário é identificado e uma verificação é feita para ver se é um registro de incidente de segurança aberto.
      Fluxo de transformação: pesquisar registro de incidente de segurança
    • Se a segurança primária estiver ativa, anotações serão adicionadas aos registros de incidentes de segurança secundários e primários indicando como eles estão associados entre si.
    • Na etapa 12, se nenhum usuário afetado for encontrado (na etapa 5 do fluxo), uma anotação de trabalho será adicionada e o registro do incidente de segurança será atualizado.
      Fluxo de transformação: adicionar anotação de trabalho para usuários incompatíveis
    • Na etapa 13, uma anotação de trabalho é adicionada com a lista de observáveis listados como permitidos.
      Fluxo de transformação: adicionar lista de observáveis permitidos

    O que Fazer Depois

    Você pode clicar em Testar para simular as ações no fluxo antes que ele seja publicado. Depois de testar o fluxo, clique em Ativar para ativar o fluxo para que ele possa ser executado.

    Clique em Execuções para exibir os detalhes de execução do fluxo.


    Fluxo de transformação: detalhes da execução

    Quando o fluxo é executado, o registro de e-mail de phishing é convertido em um incidente de segurança. Veja Registros de incidentes de segurança criados a partir de registros de e-mail de phishing

    Registros de incidentes de segurança criados a partir de registros de e-mail de phishing

    Registros de e-mail de phishing armazenados na tabela sn_si_phishing_email são convertidos em registros de incidentes de segurança.

    Para exibir o incidente de segurança associado ao registro de e-mail de phishing, clique em Incidente de segurança > E-mail de Phishing > Mostrar todos os e-mails de phishing.


    Tabela de e-mail de phishing

    Clique no link na coluna Incidente de segurança associada ao registro de e-mail de phishing. Os detalhes do incidente de segurança são exibidos.


    Incidente de segurança associado ao registro de e-mail de phishing

    Listas relacionadas

    Role para baixo até a seção Links relacionados do incidente de segurança e clique em Mostrar tudo lista relacionada. Exiba detalhes como incidentes de segurança secundários, usuários afetados, e-mails de phishing associados.

    Incidentes de segurança secundários

    Clique na guia Incidentes de segurança secundários. Você pode ver uma lista de incidentes de segurança secundários associados ao incidente de segurança primário com base na lógica de agregação que foi aplicada. Para cada registro secundário adicionado, uma atividade do sistema automatizada é adicionada (na seção Anotação de trabalho) ao registro primário. Isso notifica o analista de segurança sobre o registro secundário agregado.
    Nota:
    Você pode ver os incidentes de segurança secundários aqui somente se o sinalizador Criar incidentes secundários para envios de e-mails agregados estiver definido como Sim na página Propriedades de phishing relatadas pelo usuário. Consulte Definir propriedades de phishing relatadas pelo usuário para obter detalhes.

    Incidentes de segurança secundários

    E-mails de phishing associados

    Clique na guia E- mails de phishing associados. Você verá uma lista de registros de e-mail de phishing (registros duplicados) associados ao registro de e-mail de phishing primário.
    Registros de e-mail de phishing associados

    Cabeçalhos de e-mail de phishing associados

    Clique na guia E- mails de phishing associados. Você verá os detalhes do cabeçalho do e-mail de phishing que foram capturados como parte do incidente de segurança. Você pode exibir os cabeçalhos acumulados de todos os registros secundários e registros de e-mail de phishing agregados ao incidente de segurança primário.
    Cabeçalhos de e-mail de phishing associados

    Observáveis da lista permitida

    Enquanto o fluxo Transformar e-mails de phishing relatados por usuários em incidentes de segurança está sendo executado, você pode monitorar o status do incidente de segurança. Quando determinados observáveis são marcados como observáveis da lista de permitidos, eles não são adicionados à lista relacionada de observáveis. Ao marcar os observáveis para a lista de permissões, você pode garantir que somente os detalhes importantes sejam exibidos. Por exemplo, se www.google.com for um dos URLs que foram marcados como lista de permitidos, a seguinte mensagem do sistema será exibida. A lista de observáveis permitidos garante que somente os observáveis importantes sejam monitorados.

    Capturando usuários incompatíveis

    Algumas IDs de e-mail nas listas Para e CC do e-mail de phishing podem não pertencer a usuários na organização. Esses IDs de e-mail são categorizados como usuários incompatíveis e não estão incluídos na lista relacionada de usuários afetados. Uma anotação de trabalho indicando que esses são usuários incompatíveis é exibida.
    Usuários incompatíveis

    Phishing relatado pelo usuário no espaço do analista de segurança

    Você pode exibir incidentes de segurança associados aos registros de e-mail de phishing no Espaço do analista de segurança.

    Navegar até Incidente de segurança > Nova IU. O espaço é aberto em uma guia separada do navegador. Clique no incidente de segurança associado ao registro de e-mail de phishing para exibir o incidente de segurança.
    Incidente de segurança URP: nova IU
    Clique no ícone de binóculos. O e-mail de phishing original é exibido.
    Incidente de segurança URP: nova IU - e-mail de phishing
    Na guia Explorar, clique em Incidentes > Incidentes de segurança secundário.
    Incidente de segurança de URP: nova IU - incidentes de segurança secundários
    Clicar Incidentes > Cabeçalhos de phishing associados > . Você pode exibir os cabeçalhos acumulados de todos os registros secundários e registros de e-mail de phishing agregados ao incidente de segurança primário.
    URP: nova IU - cabeçalhos de e-mail
    Clique no link do e-mail de phishing para exibir o registro de e-mail de phishing associado ao incidente de segurança.
    URP: nova IU: registro de e-mail de phishing
    Clique na guia Linha do tempo do incidente.
    URP: nova IU: anotações de trabalho
    Você pode exibir as atualizações do sistema que destacam:
    • Registros secundários duplicados identificados.
    • Observáveis da lista permitida.
    • Usuários incompatíveis que receberam o e-mail de phishing, mas não pertencem à lista de Usuários afetados.

    Perguntas frequentes

    Esta seção aborda algumas das perguntas frequentes sobre o recurso aprimorado de Phishing relatado pelo usuário.

    1. Instalei o novo spoke do Security Incident Response, mas não consigo exibir nenhum incidente de phishing relatado pelo usuário.

      Por padrão, a funcionalidade de phishing relatado pelo usuário foi desabilitada.

      Para habilitar este recurso, você deve fazer uma cópia do fluxo somente leitura Transformar e-mails de phishing relatados por usuários em incidentes de segurança e ativá-lo antes de usar.

    2. Ao ingerir e-mails de phishing e convertê-los em incidentes de segurança, quais medidas de precaução são usadas para lidar com links e anexos mal-intencionados nos e-mails de phishing?

      O ServiceNow scanner antivírus verifica esses anexos e links mal-intencionados. No entanto, para garantir que os analistas de segurança possam investigar os incidentes com precisão, a aplicação Security Incident Response captura todos os artefatos que fazem parte de um e-mail de phishing. Mas a funcionalidade de phishing relatado pelo usuário silencia os links maliciosos no e-mail de phishing para que os analistas de segurança não cliquem acidentalmente nesses links. Em relação a anexos mal-intencionados, os analistas de segurança devem ter cuidado ao baixá-los.

    3. Capturamos todos os arquivos mal-intencionados que fazem parte dos e-mails de phishing para aprimoramento do incidente de segurança?

      Sim, capturamos todos os arquivos dos e-mails de phishing. Você pode exibir esses detalhes que estão disponíveis como parte dos observáveis de incidentes de segurança na forma de um hash de arquivo.

    4. Enviamos arquivos e links maliciosos de e-mails de phishing para uma instância de área restrita para investigação?

      Atualmente, não oferecemos suporte a integrações de área restrita prontas para uso para investigar arquivos e links mal-intencionados.

    5. Há uma janela de tempo ou um gatilho que define a duração em que os registros de e-mail de phishing duplicados de entrada são associados a um incidente de segurança primário?

      Registros de e-mail de phishing duplicados são agregados somente a um incidente de segurança primário ativo. Se o incidente primário for encerrado ou cancelado, o novo e-mail de phishing duplicado de entrada será criado como um novo incidente de segurança. No entanto, neste cenário, no novo incidente de segurança, você pode exibir o incidente de segurança primário encerrado ou cancelado na lista relacionada Incidentes de segurança semelhantes.

      Nota:
      Esse comportamento pode ser configurado usando o Flow Designer.
    6. O recurso de phishing de relatório de usuário oferece suporte ao uso somente do plug-in PhishAlarm do Microsoft Outlook (anteriormente conhecido como Wombat) para capturar detalhes do cabeçalho de e-mail?

      A funcionalidade Relatada pelo usuário foi criada para analisar cabeçalhos de e-mail e está em conformidade com os padrões RFC822. Portanto, semelhante ao plug-in PhishAlarm (anteriormente conhecido como Wombat), todos os outros plug-ins do Microsoft Outlook que capturam cabeçalhos de e-mail com base nos padrões RFC822 são compatíveis.