Pesquisas de detecções sobre ataques de phishing e malware relatados pelo usuário

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 10 min. de leitura

    • Realize pesquisas de detecções em e-mails ou observáveis para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL mal-intencionado, ocorrem em sua rede. Cada ocorrência é considerada uma detecção. As pesquisas de detecções de observáveis devem ser configuradas para seus armazenamentos de log ou gestão de eventos e informações de segurança (SIEM).

    Assista a este vídeo de três minutos para saber como usar o recurso de pesquisa de detecções para localizar usuários phishing e rastrear observáveis de phishing e malware no armazenamento de logs em sua rede.

    Os termos a seguir são usados para descrever ataques de phishing relatados pelo usuário:
    • Usuário phishing: um usuário que recebeu um e-mail de phishing.
    • Usuário vítima: um usuário que interagiu com o URL de phishing, normalmente clicando em um link no e-mail de phishing. Esta ação pode expor as credenciais ao invasor.
    Ao começar a analisar um incidente de phishing, você pode realizar uma pesquisa de detecções por e-mail ou realizar uma pesquisa de detecções observável para identificar outros usuários em sua organização que foram afetados pelo mesmo ataque de phishing. Pesquise seus armazenamentos de log para identificar usuários vitimados e phishing. Depois de identificar a lista de usuários afetados, crie incidentes de segurança secundários para executar procedimentos abrangentes de resposta a incidentes usando as ferramentas disponíveis em Resposta a incidentes de segurança.
    Nota:
    Você também pode usar a seguinte abordagem para executar uma pesquisa de detecções:
    • Navegar até Incidentes de segurança > Mostrar todos os incidentes e clique em um incidente de segurança.
    • Clique em Mostrar IoC em Links relacionados. Uma lista de observáveis é exibida.
    • Selecione um observável na lista e, na lista Ações, selecione uma das seguintes opções:
      • Executar pesquisa de detecções de tráfego na web
      • Executar pesquisa de detecções de tráfego de e-mails
    • Especifique o intervalo de tempo e clique em Pesquisar para realizar uma pesquisa de detecções.

    Configurações de pesquisa de detecções salvas

    Configure pesquisas de detecções e crie configurações salvas para SIEMs ou outros armazenamentos de log para instâncias de observáveis para determinar a presença de observáveis mal-intencionados em seu ambiente.
    Nota:
    Pesquisas salvas e consultas no local são compatíveis somente com a integração do Splunk.

    Executar uma pesquisa de detecções de e-mail para ataques de phishing relatados pelo usuário

    Pesquise usuários que receberam e-mails de phishing com base em observáveis, como assunto do e-mail, nome do remetente ou ID da mensagem. Você pode conter e erradicar esses e-mails de phishing da sua organização.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Pesquise os logs de tráfego de e-mail do Splunk para coletar a lista de destinatários de um e-mail suspeito. A pesquisa pode ser realizada usando o remetente do e-mail, o ID da mensagem de e-mail ou o assunto do e-mail associado a um incidente de segurança como critérios.
    Nota:
    • Esta implementação de pesquisa de detecções para observáveis baseados em e-mail foi testada somente com o armazenamento de log do Splunk Enterprise.
    • Os eventos de log do Splunk devem ser compatíveis com o modelo de informações comuns (CIM) para que a consulta de pesquisa de detecções retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (nova IU).
    2. Na lista Incidentes de segurança, selecione um dos filtros, como todos os incidentes abertos, todos os incidentes atribuídos a vocêou todos os incidentes.

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos.

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      A guia Visão geral fornece uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia Visão Geral
    4. Clique na guia Explorar.
    5. Em Dados do incidente, navegue até Investigação > Pesquisar e-mail e observáveis.
      Pesquisa de e-mail
    6. Expanda a seção Critérios de pesquisa.
    7. Selecione Pesquisa de e-mail como o tipo de pesquisa que você deseja executar e especifique o restante dos critérios de pesquisa.
      Tabela 1. Formulário de critérios de pesquisa
      Campo Descrição
      Integrações Tipo de integrações. Selecione Armazenamento de logs na lista.
      Nota:
      Este recurso é compatível somente com o armazenamento de log do Splunk.
      De Endereço de e-mail completo do remetente (por exemplo, jane.doe@example.com).
      ID da Mensagem ID da mensagem de e-mail do armazenamento de logs.
      Assunto Assunto do e-mail de phishing.
      Janela de pesquisa Janela de tempo para a pesquisa (por exemplo, as últimas 24 horas).
    8. Na lista Selecionar ação, selecione Pesquisar e clique em Executar.

      O armazenamento de log do Splunk é pesquisado usando os critérios que você insere e os usuários-alvo do ataque de phishing são mostrados na guia Resultados da pesquisa de e-mail. O número total de e-mails de phishing e os detalhes de cada e-mail, incluindo a data de recebimento do e-mail, o destinatário e o ID da mensagem, são exibidos.

    9. Para exibir a lista de usuários que receberam o e-mail de phishing, clique no símbolo > na coluna Data de pesquisa.
      Resultados da pesquisa de e-mail
    10. Para exibir uma lista de usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário phishing identifica os destinatários do e-mail.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    11. Para investigar melhor os usuários que são alvos do ataque de phishing, siga estas etapas:
      1. Marque as caixas de seleção ao lado dos nomes de usuário.
      2. Na lista, selecione Criar incidente de segurança secundárioe clique em Executar.
      Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique na guia Explorar e navegue até Incidentes > Incidentes de segurança secundário.

    Resultado

    A lista de usuários com phishing é exibida.

    Executar uma pesquisa de detecções de observável para ataques de phishing e malware relatados pelo usuário

    Execute pesquisas de detecções em observáveis para descobrir quantos usuários visitaram um site mal-intencionado ou suspeito em um período específico.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode executar uma pesquisa de tráfego de rede em observáveis, como a URL, o host de destino ou o endereço IP de destino associado a um incidente de segurança.
    Nota:
    • Esta implementação de pesquisa de detecções para observáveis foi testada somente com o armazenamento de log do Splunk Enterprise.
    • Os eventos de log do Splunk devem ser compatíveis com o modelo de informações comuns (CIM) para que a consulta de pesquisa de detecções retorne resultados precisos.

    Procedimento

    1. Para ver os incidentes de segurança atribuídos à sua equipe, navegue até Incidente de segurança > Incidentes (nova IU).
    2. Na lista Incidentes de segurança, selecione um filtro diferente, como todos os incidentes atribuídos a mim, todos os incidentes abertosou todos os incidentes.

      Para exibir incidentes de segurança de um tipo específico, como incidentes críticos ou e-mails de phishing, clique em um dos Filtros rápidos.

      Incidentes de segurança
    3. Clique no incidente de segurança que você deseja analisar.

      Você pode ter uma visão geral do incidente de segurança, incluindo uma lista de observáveis, usuários afetados e incidentes de segurança semelhantes.

      Guia Visão Geral

      Na seção Observáveis, observe que a coluna Observável mostra o endereço de e-mail, o assunto e a URL. Observe também que a coluna Descoberta mostra que a URL foi verificada automaticamente quando o e-mail de phishing foi enviado e determinado como uma URL mal-intencionada conhecida. A coluna Contagem de incidentes mostra os outros incidentes que compartilham o mesmo observável. Esses artefatos indicam que você provavelmente está pronto para prosseguir para os procedimentos de contenção deste ataque de phishing, incluindo a determinação de quantos usuários na organização foram afetados.

      Observáveis

    4. Navegar até Explorar > Investigação > Pesquisar e-mail e observáveis.
    5. Expanda a seção Critérios de pesquisa e clique em Pesquisa de observável.
      Pesquisa de observável
    6. Insira o observável que você está procurando e uma janela de tempo para a pesquisa (por exemplo, Últimas 24 horas).
    7. Na lista Selecionar ação, selecione Pesquisar.
      O armazenamento de log do Splunk é pesquisado usando os critérios que você inseriu e os principais usuários-alvo do ataque mal-intencionado são mostrados na guia Resultados da pesquisa do observável.Resultados da pesquisa de observável
    8. Para exibir os usuários que receberam o e-mail, navegue até Usuários > Usuários afetados.

      A coluna Usuário phishing identifica os destinatários do e-mail de phishing e a coluna Interação do usuário identifica usuários que clicaram em um URL de phishing ou interagiram com um endereço de e-mail suspeito. A coluna Interação do usuário é definida como verdadeira ou falsa, dependendo se o usuário clicou no link ou no IP mal-intencionado.

      Nota:
      A página Usuários afetados mostra somente os registros de usuário que estão presentes na instância da ServiceNow.
    9. Para investigar melhor os usuários que clicaram no e-mail de phishing e possivelmente comprometeram suas credenciais:
      1. Nas colunas Usuário phishing e Interação do usuário, marque as caixas de seleção ao lado dos nomes de usuário que mostram verdadeiro.
      2. Clique em Criar incidente de segurança secundário e, em seguida, clique em Executar.
        Uma mensagem é exibida para mostrar que um incidente de segurança secundário foi criado. Para exibir os incidentes de segurança secundários associados a um incidente primário, clique na guia Explorar e navegue até Incidentes > Incidentes de segurança secundário.

    Resultado

    A lista de usuários com phishing é exibida.

    Criar registros de configuração de pesquisa de detecções

    Crie vários registros de configuração de pesquisa de detecções e use-os ao consultar vários armazenamentos de log ou variar os parâmetros de pesquisa.

    Antes de Iniciar

    Função necessária: sn_si.admin

    • O complemento CIM deve ser instalado na instância do Splunk.
    • Pesquisas salvas e consultas no local são compatíveis somente com a integração do Splunk.

    Por Que e Quando Desempenhar Esta Tarefa

    Você também pode criar registros de configuração de pesquisa de detecções para invocar pesquisas salvas no armazenamento de log do Splunk Enterprise.
    Nota:
    As consultas de configuração de pesquisa dependem dos dados de log do Splunk para serem compatíveis com o Splunk Common Information Model (CIM).
    Com as configurações de pesquisa salvas, você pode:
    • Crie pesquisas personalizadas que combinem vários registros de eventos.
    • Pesquisas eficazes e com design eficiente.
    • Use entradas com parâmetros na pesquisa salva do Splunk.

    O sistema de base inclui as configurações de exemplo, conforme mostrado nesta imagem:

    Figura 1. Configurações de pesquisa salvas
    Configuração de pesquisa
    A pesquisa salva e as consultas de configuração no local são consultas de exemplo e podem ser substituídas por parâmetros apropriados para o seu ambiente. Crie configurações adicionais de pesquisa salva conforme necessário. Quando você define uma configuração de pesquisa salva, o nome e os parâmetros na consulta de pesquisa devem corresponder à configuração salva definida em sua instância do Splunk. Se o nome e os parâmetros não forem os mesmos, talvez você não veja resultados precisos ao executar uma pesquisa de detecções.
    Nota:
    Em sua instância do Splunk, navegue até a página Pesquisas, relatórios e alertas e localize sua consulta de pesquisa salva. Clique no link Permissões para navegar até a página Permissões. Selecione o botão de opção Todos os aplicativos e habilite a opção Permissão de leitura para Todos. Isso mudará o valor da coluna Compartilhamento de Privado para App para sua consulta de pesquisa salva. Se não estiver definido, a consulta de pesquisa salva poderá não retornar resultados.

    Para verificar se a configuração de pesquisa salva corresponde à configuração definida na sua instância do Splunk:

    1. Navegar até Configurações > Pesquisas, relatórios e alertas.
    2. Mude o contexto da aplicação para Todos.

      Uma lista de relatórios de pesquisa é exibida.

    3. Confirme se a consulta de pesquisa salva está presente na lista.
    Por exemplo, o formulário Configuração de pesquisa de detecções contém o endereço de e-mail e o remetente do e-mail como parâmetros de pesquisa:
    Figura 2. Formulário Configuração de pesquisa de detecções
    Configuração salva

    Na instância do Splunk, defina a pesquisa salva com o mesmo nome, Pesquisa salva padrão - e-mails e os mesmos parâmetros de pesquisa para o endereço de e-mail e o assunto do e-mail. Se o nome e os parâmetros de pesquisa não forem os mesmos, a pesquisa de detecções não gerará resultados precisos.

    Procedimento

    1. Navegar até Operações de segurança > Integrações > Configuração da Pesquisa de detecções e crie um novo registro (consulte a tabela para obter as descrições dos campos).
      Tabela 2. Formulário Configuração de pesquisa de detecções
      Campo Descrição
      Nome Nome da configuração.
      Pesquisa salva A configuração de pesquisa salva será criada se você selecionar esta opção.
      Origem da pesquisa de detecções A origem da pesquisa de detecções. Selecione o armazenamento de log do Splunk como a origem.
      Ativo Opção para o status de pesquisa salva. Somente configurações de pesquisa ativa podem ser usadas para executar uma pesquisa de detecções.
      Tipo de observável O tipo de observável pode ser qualquer tipo de observável, como IP, valor de hash, URL, nome de domínio e assim por diante.
      Máximo de observáveis por pesquisa Número máximo de observáveis a serem retornados da pesquisa.
      Pesquisar A cadeia de caracteres de pesquisa padrão é $(observable), mas você pode definir sua própria consulta de pesquisa especificando parâmetros compatíveis com o armazenamento de log do Splunk.
    2. Clique em Enviar.

    Resultado

    Você criou um registro de configuração de pesquisa de detecções.

    O que Fazer Depois

    Depois de definir a consulta de pesquisa, clique em Gerar consulta de teste de pesquisa de detecçõese especifique uma lista de valores observáveis para gerar uma consulta de teste com base nesta configuração de pesquisa salva.