Playbook para detecção de falsificação de domínio de e-mail
Este playbook ajuda na triagem de fase inicial dos envios de phishing relatados pelo usuário, alertando o analista para a possibilidade de um domínio semelhante no endereço de e-mail do Phisher.
O playbook de detecção de falsificação de domínio de e-mail procura encontrar uma correspondência de semelhança entre o domínio de e-mail do remetente do Phisher com um nome de domínio confiável existente no repositório do observável. Quando uma correspondência de domínio de e-mail do remetente falsificada for identificada pelo playbook, os analistas serão alertados com um marcador.
O fluxo de trabalho é criado com base em um playbook existente, que fornece uma abordagem consistente e eficiente para investigação de incidentes. Cada ponto de decisão no playbook foi convertido em uma tarefa orientada por resultado e o fluxo muda de direção com base no resultado dessas tarefas.
Introdução ao playbook de detecção de falsificação de domínio de e-mail
- Faça login como um usuário com as funções sn_si.user e flow_designer.
- Navegar até e selecione o playbook de detecção de falsificação de domínio de e-mail.
- (Opcional) Você pode criar uma cópia do fluxo do playbook de detecção de falsificação de domínio de e-mail e fazer as modificações necessárias. Para criar uma cópia do fluxo do playbook, clique no ícone de
e selecione Copiar fluxo. Execute esta etapa somente se você planejar personalizar ou fazer mudanças específicas no fluxo.Figura 1. Playbook de detecção de falsificação de domínio de e-mail - Ative os playbooks.
- Ative o fluxo principal para usar o playbook disponível no sistema de base.
- Ative os fluxos copiados depois de fazer as mudanças necessárias.
- De não está vazio.
- O incidente de segurança não está vazio.