Utiliser le playbook des e-mails falsifiés (utilisant le même nom d’affichage)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour examiner les e-mails usurpés, qui sont déclenchés lorsque des noms falsifiés pour les e-mails sont envoyés aux employés de l’organisation. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le Playbook E-mails falsifiés (utilisant le même nom d’affichage).

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez vérifier s’il existe des e-mails falsifiés continus dans Proofpoint.
    2. Dans l’action 2, s’il y a des e-mails continus dans Proofpoint, vérifiez s’il s’agit d’un e-mail d’usurpation interne ou non.
    3. Dans l’action 3, s’il s’agit d’un e-mail interne falsifié, effectuez les actions suivantes :
      1. Dans l’action 5, vous devez effectuer une analyse d’URL à l’aide de n’importe quelle source telle que Virus Total, Anomali Threat stream Sandbox, urlquery.net, PhishTank (par exemple, vérifiez PhiskTank et Anomali).
      2. Dans l’action 6, vous devez examiner l’URL sur une machine virtuelle Linux (par exemple, Ubuntu).
        Figure 1. Playbook d’e-mails falsifiés (utilisant le même nom d’affichage)
        Tâche de réponse pour examiner l’URL sur un ordinateur virtuel Linux.
      3. Dans l’action 7, vous devez rechercher la date de création du domaine sur WHOIS.
        Recherchez les domaines récemment enregistrés (au cours de la dernière semaine) qui sont suspects et ont une forte probabilité d’attaques de phishing.
      4. Dans l’action 8, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier si cet e-mail contient une pièce jointe ou un lien malveillant.
        Si cet e-mail ne contient pas de lien ou de pièce jointe malveillant, le flux s’arrête.
        Figure 2. L’e-mail falsifié contient des pièces jointes ou des liens malveillants
        Tâches de réponse pour vérifier si l’e-mail falsifié contient des pièces jointes ou des liens malveillants.
      5. Dans Action 9, si l’e-mail contient des pièces jointes ou des liens malveillants, effectuez les actions suivantes.
        1. Dans l’action 10, vous devez contacter l’utilisateur affecté pour vérifier si les informations d’identification sont compromises. Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur affecté.
        2. Dans l’action 11, vous devez vérifier si les informations d’identification sont compromises en fonction de la réponse par e-mail. Si les informations d’identification n’ont pas été compromises, le flux s’arrête.
          1. Dans l’action 12, si les informations d’identification sont compromises, dans l’action 13, vous devez vérifier si d’autres utilisateurs sont concernés. Si aucun utilisateur supplémentaire n’est impacté, le flux s’arrête.
          2. Dans l’action 14, si des utilisateurs supplémentaires sont impactés, effectuez les actions suivantes :
            1. Dans l’action 15, vous devez rechercher et supprimer des e-mails à l’aide de Microsoft Exchange Online.
            2. Dans Action 16, vous devez bloquer l’expéditeur et les fichiers ou pièces jointes malveillants sur Office 365 et Proofpoint.
    4. Dans l’action 17, s’il ne s’agit pas d’un e-mail d’usurpation interne, vous devez vérifier si le système de l’utilisateur concerné est impacté.
    5. Dans l’action 18, si le système de l’utilisateur est impacté, dans l’action 19, émettez un ticket informatique pour recréer l’image du système impacté.
      Figure 3. Vérifier si le système de l’utilisateur affecté est impacté
      Tâche de réponse pour vérifier si le système de l’utilisateur affecté est impacté.
    6. Dans l’action 20, une tâche de réponse est créée pour vous permettre de terminer la revue post-incident avant de fermer la tâche.