Ce playbook facilite le tri précoce des soumissions de hameçonnage signalées par les utilisateurs en alertant l’analyste de la possibilité d’un domaine similaire dans l’adresse e-mail de l’hameçonnage.

Le playbook de détection d’usurpation de domaine d’e-mail recherche une correspondance de similarité entre le domaine de messagerie de l’expéditeur de l’hameçonnage et un nom de domaine approuvé existe dans le référentiel des observables. Lorsqu’une correspondance de domaine de messagerie de l’expéditeur usurpée a été identifiée par le playbook, les analystes sont alertés par une balise.

Le workflow est créé à partir d’un playbook existant, ce qui offre une approche cohérente et efficace pour l’examen des incidents. Chaque point de décision dans le playbook a été converti en une tâche axée sur les résultats et le flux change de direction en fonction du résultat de ces tâches.