Ce playbook facilite le triage précoce des soumissions d’hameçonnage signalées par les utilisateurs en alertant l’analyste de la possibilité d’un domaine similaire dans l’adresse e-mail de l’hameçonneur.

Le playbook de détection d’usurpation de domaine d’e-mail cherche à trouver une correspondance de similitude entre le domaine de messagerie de l’expéditeur d’hameçonnage et un nom de domaine approuvé existe dans le référentiel observable. Lorsqu’une correspondance de domaine de messagerie d’expéditeur usurpé a été identifiée par le playbook, les analystes sont alertés par une balise.

Le workflow est créé en fonction d’un playbook existant, ce qui fournit une approche cohérente et efficace pour les enquêtes sur les incidents. Chaque point de décision du playbook a été converti en une tâche pilotée par les résultats et le flux change de direction en fonction du résultat de ces tâches.