Geração de veredito final para phishing relatado pelo usuário

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • As equipes do Security Incident Response agora podem gerar o veredito finalizado para um registro de phishing relatado pelo usuário com base nos resultados da inteligência preditiva e das integrações de aprimoramento de ameaças.

    Essa geração de veredito final é habilitada por meio de uma construção de tabela de decisão e aproveitada em um fluxo.

    Pré-requisitos

    Certifique-se de que todos os plug-ins listados em Componentes e plug-ins necessários tenham sido instalados.

    Navegar até Inteligência preditiva para phishing > Veredito final > Veredito final para incidente de segurança de phishing.

    A guia Entradas de decisão mostra as diferentes condições que foram avaliadas para chegar ao veredito final.


    Phishing relatado pelo usuário: configuração de ML: entradas de decisão
    As seguintes condições estão disponíveis com o sistema de base:
    • Previsto como suspeito: quando a inteligência preditiva tiver classificado o e-mail de phishing relatado pelo usuário como suspeito.
    • Pelo menos um observável é malicioso: quando um observável envolvido no incidente de segurança (por exemplo, URL, domínio, IP, hash) foi classificado como malicioso por fontes de inteligência contra ameaças.
    • O enriquecimento de observáveis é suspeito: quando o enriquecimento em observáveis (por exemplo, recência de registro de domínio de phishing, país de registro de domínio de phishing) é considerado suspeito.
    • O domínio do remetente é falsificado: quando o domínio de e-mail do fraudador é suspeito de falsificar um domínio confiável.
    • O nome do remetente é falsificado: quando o endereço de e-mail do phishing é suspeito de falsificar um funcionário confiável de uma organização.

    A guia Decisões mostra as opções de veredito final que podem ser obtidas para um determinado incidente de segurança.


    Phishing relatado pelo usuário: Configuração de ML: Decisões
    As seguintes decisões estão disponíveis com o sistema de base:
    • Phish confirmado: quando as condições levam ao veredicto final como sendo um e-mail de phishing confirmado.
    • Provável phishing: quando as condições levaram ao veredito final como uma possível tentativa de phishing.
    • Provável benigno: quando as condições levaram ao veredicto final como um envio benigno.

    Você pode ver as condições que foram avaliadas para cada uma das opções de veredito final. Clique no link Rótulo para ver as condições.


    Phishing relatado pelo usuário: Configuração de ML: Decisão

    Você pode personalizar a tabela de decisão fornecida com o sistema de base ou criar sua própria tabela de decisão. Esta tabela de decisão pode ser aproveitada em playbooks de resposta a incidentes de segurança. O subfluxo Gerar veredito final para incidentes de segurança de phishing está disponível com o sistema de base. Este subfluxo gera automaticamente o veredito final para um incidente de segurança de phishing e aplica um marcador de segurança com base nessa decisão. Você pode incluir este subfluxo como parte do playbook de phishing automatizado.

    As entradas para este subfluxo são:
    • incident_id: o ID do sistema do incidente de segurança de phishing.
    • c_level_names: lista separada por vírgulas de nomes (por exemplo, nomes de executivos da organização) que provavelmente estão sendo falsificados no ataque de phishing.
    • Trusted_domains: lista separada por vírgulas de domínios de e-mail confiáveis.
    • richment_keywords: lista separada por vírgulas de palavras-chave que indicam a mal-intendência do observável dos resultados de aprimoramento.
    • sender_email (opcional): o endereço de e-mail do remetente do e-mail de phishing.

    A saída deste fluxo pode ser Phish confirmado, Phish provávelou Benigno provável.


    Phishing relatado pelo usuário: configuração de ML: subfluxo de phishing