Erstellen Sie Security Incidents aus von Anwendern gemeldeten Phishing-E-Mails

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 20 Minuten Lesedauer

    • Verwenden Sie diese Funktion, um Security Incidents aus von Anwendern gemeldeten Phishing-E-Mails zu erstellen.

    Die erweiterte Phishing-Funktionalität von Anwendern umfasst Zusammenfassungsfunktionen, E-Mail-Header-Extraktion und Konfiguration.

    • Sie Phishing-E-Mails können auf mehrere Arten gemeldet werden:
      • E-Mails können als Anhänge weitergeleitet werden.
      • Wenn PhishAlarm Plugin (früher als Wombat bekannt) Ist Mit dem Microsoft Outlook-Client konfiguriert, Sie Kann:
        • Wählen Sie aus Phishing Melden Schaltfläche.
        • Leiten Sie Phishing-E-Mails von einem Mobilgerät mit weiter Phishing Melden Option.

        Melden Sie Phishing-E-Mails
      • Sie können eine Phishing-E-Mail hochladen (im .eml-Format).
        Melden Sie Phishing-E-Mails als Anhänge
    • Vom Anwender gemeldete Phishing-Einbindungen Geschäftslogik der Zusammenfassung Identifiziert doppelte Phishing-E-Mails, die von Anwendern in einer Organisation gemeldet wurden. Anwender können diese Fähigkeit verwenden, um:
      • Fassen Sie doppelte oder ähnliche von Anwendern gemeldete Phishing-Incidents zusammen (vom Unternehmen initiierte Phishing-Kampagnen).
      • Vermeiden Sie die Selektierung doppelter Anwender Gemeldete Phishing-Incidents und reduzieren Sie den manuellen Aufwand für die Konsolidierung von Incidents.
      • Ermöglichen Sie Sicherheitsanalysten, an einem einzelnen Anwender gemeldeten Phishing-Incident zu arbeiten.
    • Stellt Phishing-E-Mail-Header innerhalb des vom Anwender gemeldeten Phishing-Incidents bereit.
      • Sicherheitsanalysten können innerhalb des Incidents nach wichtigen E-Mail-Header-Informationen suchen.
      • Manueller Aufwand beim Sammeln von Headerinformationen aus anderen Quellen ist nicht mehr erforderlich.
    • Die ursprünglich übermittelte Phishing-E-Mail wird als gespeichert Phishing-E-Mail-Datensatz In einer neuen Tabelle.
    • Sicherheitsanalysten können Details der ursprünglichen Phishing-E-Mail anzeigen, z. B. Phishing-E-Mail-Inhalt, Header und Ursprung.
    • Sicherheitsadministratoren können bestimmte Erweiterungen konfigurieren und vornehmen, z. B.:
      • Konfigurationen zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text ( Phishing Melden Übermittlungen).
      • Filter zum Erfassen ausgewählter Header.
      • Konfigurationen zur Verarbeitung der Zuordnung von über- und untergeordneten Incidents, wenn doppelte Phishing-E-Mail-Datensätze identifiziert werden.
      • Flow Designer-Konfigurationen zum Ändern der Geschäftslogik der Zusammenfassung basierend auf den Anforderungen.

    Richten Sie Erfassungsregeln für vom Anwender gemeldetes Phishing ein

    Als Anwender mit sn_si.admin Rolle können Sie E-Mail-Übereinstimmungsregeln definieren, um von Anwendern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, bei der alle E-Mails entweder direkt oder über die Schaltfläche „Phishing melden“ gesendet werden security@acme.com Werden als vom Anwender gemeldete Phishing-E-Mails kategorisiert. Weitere Informationen finden Sie unter Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein.

    Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften

    Definieren Sie die Header-Informationen, die aus vom Anwender gemeldeten Phishing-E-Mails erfasst werden müssen. Weitere Informationen finden Sie unter Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften.

    Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden

    Anwender Gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Übereinstimmungsregeln in Security Incidents konvertiert. Weitere Informationen finden Sie unter Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden.

    Wandeln Sie Phishing-E-Mails in Security Incident um

    Der Flow „Phishing-E-Mail in Security Incident umwandeln“ konvertiert oder wandelt Phishing-E-Mail-Datensätze in Security Incidents um. Weitere Informationen finden Sie unter Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents.

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Zeigen Sie die Details des Security Incident-Datensatzes an, einschließlich der zugehörigen Listen, Arbeitsnotizen und anderer wichtiger Informationen. Weitere Informationen finden Sie unter Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden.

    Erforderliche Komponenten und Plugins

    Die verfügbare Phishing-Funktion von Anwendern ist eine erweiterte Version der vorhandenen Phishing-Funktionalität von Anwendern. Siehe Erstellen Sie Regeln, um von Anwendern gemeldete Phishing-Angriffe zu validieren .

    Wichtige Installationsanweisungen

    Diese Erweiterung ersetzt das vorhandene von Anwendern gemeldete Phishing-Design. Das neue Design enthält die folgenden Updates:
    • Die vorhandenen Anwender Hat Phishing Gemeldet Aktionen für eingehende E-Mails (Typ = Weiterleiten und Typ = Neu) wurden deaktiviert.
    • Ein neuer Erstellen Sie Eine Phishing-E-Mail Eingehende Aktion ist jetzt verfügbar.
    • Die Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Ist ein neuer Flow, der die Geschäftslogik für die Erstellung und Zusammenfassung von Security Incidents für das neue Design enthält. Sie müssen diesen Flow aktivieren, damit das neue Design wirksam wird.
    • Die vorhandenen von Anwendern gemeldeten Phishing-Regeln wurden während des Upgrades beibehalten.
    Hinweis:
    Wenn Sie anwenderdefinierte Aktionen für eingehende E-Mails und anwenderdefinierte Workflows für von Anwendern gemeldete Phishing-Übermittlungen verwenden, müssen Sie sowohl das alte als auch das neue Design auf in Konflikt stehende oder sich überschneidende Funktionen überprüfen.
    Anwender hat Details zur Phishing-Erweiterung gemeldet : Im Folgenden finden Sie die Details der Erweiterung:
    Hinweis:
    • Die Anwender Hat Phishing Gemeldet Eingehende Aktionen, die vor dem Release 9,0 für die Reaktion auf Security Incidents verfügbar sind, sind jetzt deaktiviert. Security Incidents werden nicht mehr über die deaktivierten eingehenden Aktionen erstellt.
    • Die Spoke-Anwendung „Security Operations“ muss installiert sein, damit das neue Design wirksam wird. Dies umfasst Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Flow, der standardmäßig in einem inaktiven Status verfügbar ist. Aktivieren Sie diesen Flow, um Security Incidents aus den Phishing-E-Mail-Datensätzen zu erstellen.
    Zur Verwendung der erweiterten Phishing-Funktion „von Anwendern gemeldete Phishing“ sind die folgenden Plugins und Komponenten erforderlich:
    • Allgemeiner Sicherheitssupport ( sn_sec_cmn ): Enthält:
      • Eingehende Aktion
      • Neues E-Mail-AnwenderReportedPhishing-Skript
      • Erfassungsregeltabelle
    • Antwort auf Security Incidents (sn_si): Enthält:
      • Security Incident-Tabelle (sn_si_Incident)
      • Tabelle für Security Phishing-E-Mails (sn_si_phishing_email)
      • Tabelle der Security Phishing-E-Mail-Header (sn_si_phishing_email_header)
      • EML-Upload-Datensatzersteller
    • Sicherheitsvorgänge-Spoke

      Flows und Subflows für die Zusammenfassung von E-Mails und die Umwandlung von Phishing-E-Mails in Security Incidents.

    Die folgende Abbildung zeigt die neue Phishing-E-Mail-Tabelle mit Verweisen auf die übereinstimmende URP-Regel und den Ziel-Security Incident-Datensatz (sn_si_Incident).


    URP-Datenmodell

    Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein

    Als Anwender mit sn_si.admin Rolle können Sie E-Mail-Übereinstimmungsregeln definieren, um von Anwendern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, bei der alle E-Mails entweder direkt oder über die Schaltfläche „Phishing melden“ gesendet werden security@acme.com Werden als vom Anwender gemeldete Phishing-E-Mails kategorisiert.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Erfassungsregeln – von Anwender gemeldetes Phishingan.
    2. Wählen Sie Aus Neu Dient zum Erstellen einer neuen E-Mail-Abgleichsregel.
    3. Geben Sie einen Namen ein, und definieren Sie mindestens eine Bedingung für die Regel.
      Sie können konfigurieren Regeltyp Und wählen Sie seinen Wert aus:
      • Zulassen : Wenn die Bedingung für eine eingehende E-Mail übereinstimmt, wird ein Security Incident erstellt.
      • Ablehnen : Wenn die Bedingung für eine eingehende E-Mail übereinstimmt, wird kein Security Incident erstellt.
      Hinweis:
      Eingehende E-Mails werden unabhängig von zuerst für die Deny-Regeln ausgewertet Reihenfolge Wert.
    4. Wählen Sie Aus Übermitteln Zum Speichern der Regel.
      Im Folgenden finden Sie einige Beispielregeln:
      • An Regel : Filtern Sie E-Mails, die direkt gesendet oder an weitergeleitet wurden security@example.com E-Mail-ID Zu Regel definieren
      • Anwender-ID-Regel : Filtern Sie E-Mails, die von einer bestimmten E-Mail-ID gesendet wurden Definieren Sie die Anwender-ID-Regel

    Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften

    Definieren Sie die Header-Informationen, die aus vom Anwender gemeldeten Phishing-E-Mails erfasst werden müssen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie diese Optionen, um die folgenden von Anwendern gemeldeten Phishing-Einstellungen zu konfigurieren.
    • Konfiguration zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text. ( Phishing Melden Übermittlungen.)
    • Filter zum Auswählen von Headern.
    • Aktivieren oder deaktivieren Sie die Zuordnung von über- und untergeordneten Elementen.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Eigenschaften des vom Anwender gemeldeten Phishingan.
      Vom Anwender Gemeldete Phishing-Eigenschaften
    2. Geben Sie die Konfiguration zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text an:
      • Geben Sie eine Zeichenfolge ein, die den Anfang des E-Mail-Headers identifiziert.
      • Geben Sie eine Zeichenfolge ein, die das Ende des E-Mail-Headers identifiziert.
        Hinweis:
        Wenden Sie diese Einstellungen nur auf Header an, die als Teil des E-Mail-Texts der Phishing-E-Mail erfasst wurden. Beispiel: Wenn PhishAlarm Plugin (früher Wombat) wurde mit dem Microsoft Outlook-Client konfiguriert, wenn der Anwender auswählt Phishing Melden Schaltfläche, werden die E-Mail-Header gemäß der hier definierten Konfiguration erfasst. Die Header-Informationen werden nicht erfasst, wenn die Phishing-E-Mail als Anhang weitergeleitet wird.
    3. Geben Sie Filter an, um Header zu eliminieren, die für die Untersuchung des Security Incidents nicht erforderlich sind.

      Geben Sie eine kommagetrennte Liste von E-Mail-Headern ein, die aus der vom Anwender gemeldeten Phishing-E-Mail erfasst werden müssen. Wenn Sie hier keinen Wert angeben, werden alle Header-Informationen erfasst.

    4. Aktivieren oder deaktivieren Sie die Zuordnung von über- und untergeordneten Elementen.
      Standardmäßig ist Ja Option ist aktiviert. Wählen Sie Aus Ja Gibt an, dass untergeordnete Security Incidents erstellt werden müssen, wenn vom Anwender gemeldete Phishing-E-Mails aggregiert werden. Wenn Sie auswählen Nein , Untergeordnete Security Incidents werden nicht erstellt, aber die vom Anwender gemeldeten Phishing-E-Mails werden dem Security Incident zugeordnet, und der Security Incident-Datensatz wird aktualisiert. Siehe Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Um weitere Informationen darüber zu erhalten, wie die untergeordneten Security Incidents erstellt werden.
    5. Aktivieren oder deaktivieren Sie die Option zum Anzeigen des Phishing-E-Mail-Inhalts im HTML-Format.
      Standardmäßig ist Ja Option ist aktiviert. Wählen Sie Aus Ja Zum Anzeigen des Phishing-E-Mail-Inhalts im HTML-Format. Wenn Sie auswählen Nein , Der E-Mail-Inhalt im HTML-Format ist in einem Phishing-Datensatz nicht sichtbar.

    Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden

    Vom Anwender gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Übereinstimmungsregeln in Security Incidents konvertiert.

    Wenn eine neue Phishing-E-Mail gemeldet wird, werden die folgenden Aktionen ausgeführt:
    • Ein E-Mail-Datensatz wird in erstellt sys_email Tabelle.
    • Die Erstellen Sie Eine Phishing-E-Mail Die eingehende Aktion wird für den E-Mail-Datensatz ausgeführt und verwendet die E-Mail-Abgleichsregeln (siehe Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein), um zu bestimmen, ob es sich um eine Phishing-E-Mail handelt.
      Hinweis:
      Die E-Mail wird zuerst mit allen E-Mail-Übereinstimmungsregeln verifiziert, bei denen Regeltyp Ist auf festgelegt Ablehnen . Wenn die E-Mail mit der Bedingung für eine der Deny-Regeln übereinstimmt, wird ein Audit-Datensatz in erstellt sn_si_phishing_email_deny_audit Tabelle. Für eine solche E-Mail wird kein Security Incident erstellt.
    • Wann Die E-Mail Ist Als Phishing-E-Mail identifiziert , Und stimmt mit einer E-Mail-Übereinstimmungsregel überein, bei der Regeltyp Ist auf festgelegt Zulassen , Ein Phishing-E-Mail-Datensatz wird in erstellt sn_si_phishing_email Tabelle.
    • Schließlich wird Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Flow wird angewendet, um den Phishing-E-Mail-Datensatz in einen Security Incident zu konvertieren.

    Navigieren Sie zu , um die E-Mail-Details anzuzeigen Security Incident > Alle Phishing-E-Mails anzeigenan. Eine Liste von Phishing-E-Mail-Datensätzen wird angezeigt. Wählen Sie den Datumslink in der Spalte erstellt aus, um den E-Mail-Datensatz anzuzeigen.


    Phishing-E-Mail mit an-Regel
    Tabelle : 1. Phishing-E-Mail-Details Für Security Incidents
    Feldname Beschreibung
    Anzahl Die Nummer, die der vom Anwender gemeldeten Phishing-E-Mail zugewiesen ist.
    Betreff Der Betreff der E-Mail. Die Betreffregel ist in simulierten Phishing-Kampagnen oder -Tests nützlich. In diesem Fall senden Unternehmen täuschende E-Mails an ihre eigenen Mitarbeiter, um ihre Reaktion auf Phishing- und ähnliche E-Mail-Angriffe zu testen.

    In simulierten Phishing-E-Mail-Tests, wenn der Microsoft Outlook-E-Mail-Client mit verwendet wird PhishAlarm Plugin (früher Wombat) wird verwendet, der Anwender kann es Wählen Sie aus Die Phishing Melden Schaltfläche zum Melden der Phishing-E-Mail. Die E-Mail wird mit an das Security Operations-Team gesendet Phishing Simuliert An den Betreff der E-Mail angehängt. Dies wird verwendet, um die E-Mail als simulierte Phishing-E-Mail zu identifizieren.
    Von Die E-Mail-Adresse, von der diese Phishing-E-Mail stammt. Diese Informationen sind verfügbar, wenn die Phishing-E-Mail als weitergeleitet wird Ein EML-Dateianhang oder ob die ursprünglichen Header in die E-Mail eingebettet sind.

    Wenn der Anwender die Phishing-E-Mail direkt weitergeleitet hat, ist die Absenderadresse möglicherweise nicht verfügbar.
    Gemeldet von Die E-Mail-ID des Anwenders, der diese Phishing-E-Mail gemeldet hat. Wählen Sie aus Informationen Symbol zum Anzeigen zusätzlicher Details.
    Nachrichten-ID Die der Nachricht zugewiesene ID.
    Übereinstimmende URP-Regel Die vom Anwender gemeldete Phishing-Regel, die auf diese E-Mail angewendet werden soll. Wählen Sie Aus Das Informationssymbol zum Anzeigen zusätzlicher Details.
    URP-Erfassungsregel

    Wie Sie sehen können, wird in diesem Beispiel angezeigt Bedingung Das Feld zeigt an, dass die ToRule auf diese E-Mail angewendet und ein Security Incident erstellt wird. Siehe Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein Weitere Informationen zum Definieren von E-Mail-Übereinstimmungsregeln.
    Status Wenn ein neuer Phishing-E-Mail-Datensatz in erstellt wird sn_si_phishing_email Tabelle, ist das Feld Status auf festgelegt Neu . Wenn dieser E-Mail-Datensatz in einen Security Incident konvertiert wird (siehe Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents), wird das Feld Status auf aktualisiert Verarbeitet .
    Header-Ursprung Dieses Feld gibt an, wie die E-Mail-Header stammen oder wie der Anwender die Phishing-E-Mail gemeldet hat:
    • E-Mail-Header : Der Anwender hat die Phishing-E-Mail an das Security Operations-Team weitergeleitet.
    • E-Mail-Textkörper:
      • Der Anwender Ausgewählt Die Phishing Melden Option (wenn PhishAlarm Plugin (früher Wombat) wurde mit dem E-Mail-Client konfiguriert.)
      • Basierend auf der definierten Phishing-Regel „von Anwendern gemeldet“ wird die Phishing-E-Mail an das Security Operations-Team weitergeleitet.
    • EML-Anhangsheader :
      • Anhang: Der Anwender hat die E-Mail als Anhang weitergeleitet (EML-Datei).
      • Servicekatalog-Übermittlung: Der Anwender hat die E-Mail als EML-Datei auf den Desktop heruntergeladen und sie dann an einen angegebenen Speicherort hochgeladen. Der Security Incident wird dann aus der E-Mail erstellt.
    • EML-Anhangstext :
      • Der Anwender Ausgewählt Die Phishing Melden Option (wenn PhishAlarm Plugin (früher Wombat) wurde mit dem E-Mail-Client konfiguriert.)
      • Basierend auf der definierten Phishing-Regel „von Anwendern gemeldet“ wird die Phishing-E-Mail als Anhang an das Security Operations Team weitergeleitet.
    Security Incident Dieses Feld ist leer, wenn die vom Anwender gemeldete Phishing-E-Mail erstmals gemeldet wird. Wenn Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Flow wurde ausgeführt, diese E-Mail wird in einen Security Incident-Datensatz konvertiert, und die Nummer dieses Datensatzes wird hier angezeigt.
    Hinweis:
    Security Incident wird nur für die E-Mails erstellt, die mit einer E-Mail-Übereinstimmungsregel übereinstimmen, bei der Regeltyp Ist auf festgelegt Zulassen .
    Rohheader Dieses Feld zeigt die vollständigen Header-Informationen an, die aus der E-Mail extrahiert wurden, wie in definiert Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften Seite. Die Header werden in Schlüssel-Wert-Paare analysiert und in der Liste „Phishing-E-Mail-Header“ angezeigt.
    Phishing-E-Mail-Header
    Textkörper B Ody der vom Anwender gemeldeten Phishing-E-Mail.

    Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents

    Die Phishing-E-Mail in Security Incident umwandeln Flow Konvertiert oder wandelt Phishing-E-Mail-Datensätze in Security Incidents um.

    Vorbereitungen

    Hinweis:
    Um die Funktion „von Anwendern gemeldete Phishing“ zu aktivieren, müssen Sie eine Kopie des Flows und erstellen Aktivieren IT. Wenn Sie anwenderdefinierte eingehende Aktionen und anwenderdefinierte Flows erstellt haben, um vom Anwender gemeldete Phishing-Übermittlungen zu verarbeiten, Die Hier vorgeschlagene Flow-Änderungen Sind nicht Erforderlich.
    • Erforderliche Rolle: sn_si.admin
    • Flow Designer-Spoke muss installiert sein.

    Warum und wann dieser Vorgang ausgeführt wird

    Dieser Flow wird automatisch gestartet, wenn ein Anwender einen Phishing-E-Mail-Datensatz mit dem Status auf gemeldet hat Neu Wird erstellt. Dieser Flow enthält die Logik für:
    • Aggregieren Sie Security Incidents.
    • Aktualisieren Sie Security Incidents mit relevanten Notizen.
    • Fügen Sie Headerdaten hinzu.
    • Erstellen Sie nach Bedarf untergeordnete Incidents.

    Prozedur

    • Navigieren zu Flow Designer > Designer Zum Anzeigen der Flows, die mit der Sicherheitsvorgänge-Spoke verfügbar sind.
      Sicherheitsvorgänge-Flows
    • Wählen Sie Aus Die Wandeln Sie Phishing-E-Mails in Security Incidents um Link zum Anzeigen des Flows.
    • Dieser Flow wird mit dem Basissystem bereitgestellt und befindet sich in Schreibgeschützt Modus und Kann nicht Verwendet werden.
      Wählen Sie Aus Das Symbol „mehr“ Symbol „mehr“, Erstellen Sie eine Kopie des Flows, und öffnen Sie ihn für Ihre Verwendung. Sie können jetzt Ändern Ihr Flow, z. B. das Ändern von Auslöserbedingungen oder -Aktionen oder das Hinzufügen und Entfernen von Aktionen. Nachdem Sie die erforderlichen Änderungen vorgenommen haben, müssen Sie aktivieren (Siehe Aktivieren Sie ein Security Incident Response Flow) Den Flow, damit er ausgeführt werden kann.Phishing-E-Mail-Flow in Security Incidents umwandeln

      Diese Abbildung zeigt den Auslöser und die mit dem Flow ausgeführten Schritte. Im rechten Bereich wird der Daten-Flow angezeigt. Wählen Sie Aus Auf einem Symbol, um den Schritt zu erweitern und die Details anzuzeigen.

    • Wählen Sie Aus Die Auslöser Symbol.
      Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser und die Aufgabe an, die ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Dieser Flow wird initiiert, wenn ein Neu Datensatz wird in hochgeladen sn_si_phishing_email Tabelle.Transformations-Flow: Auslöser
    • In Schritt 1 überprüft der Flow, ob der Untergeordnete Incidents für aggregierte E-Mail-Übermittlungen erstellen? Kennzeichnung ist aktiviert oder deaktiviert Ein Die Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Seite.
      Transformations-Flow: Aktion 1
    • In Schritt 2 wird der älteste übergeordnete Security Incident identifiziert.
      Beachten Sie das Symbol in Schritt 2. Dies gibt an, dass der Subflow „Phishing-E-Mail-Zusammenfassung“ als Teil dieses Schritts ausgeführt wird.Transformations-Flow: Aktion 2

      Wählen Sie Aus Das Aktionsdesigner-Symbol, um eine detaillierte Ansicht der Aktion anzuzeigen. Dieser Subflow überprüft die Phishing-E-Mail und gleicht sie basierend auf den angegebenen Kriterien einem vorhandenen Security Incident ab.

      Transformations-Flow: Subflow der Phishing-E-Mail-Zusammenfassung
      Diese beiden Aktionen werden ausgeführt, wenn dieser Subflow ausgeführt wird. Wählen Sie Aus Auf dem Link der ersten Aktion zum Anzeigen zusätzlicher Details.
      Transformations-Flow: Subflow: Aktion
      Diese Aktion überprüft die E-Mails, die den Kriterien für die neue eingehende E-Mail entsprechen, basierend auf Bedingungen wie:Wenn diese Bedingungen erfüllt sind, wird die Anzahl der Datensätze angezeigt, die den Kriterien im Feld „Max. Ergebnisse“ entsprechen. Der älteste oder erste Datensatz in der Liste wird als übergeordneter Datensatz festgelegt, für den die Security Incidents gelten Sind Aggregiert.
    • Schritt 3 gilt nur, wenn Untergeordnete Incidents für aggregierte E-Mail-Übermittlungen erstellen? Kennzeichnung wurde auf festgelegt Nein In Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Seite.
      In diesem Fall wird die Phishing-E-Mail dem Security Incident-Datensatz zugeordnet, und der Flow endet.
      Transformations-Flow: Aktion 3
    • Wenn Untergeordnete Incidents für aggregierte E-Mail-Übermittlungen erstellen? Ist Auf festlegen Ja , Der Flow wird weiterhin ausgeführt, und basierend auf der vom Anwender gemeldeten Phishing-E-Mail wird ein neuer Security Incident erstellt.
      Transformations-Flow: Aktion 4
    • In Schritt 5 werden Anwender, die die Phishing-E-Mail erhalten haben (Mitarbeiter in der Liste „an“ und „CC“ der Phishing-E-Mail) der zugehörigen Liste „Betroffene Anwender“ im Security Incident-Datensatz hinzugefügt.
      Transformationsformular: Aktion 4
    • In Schritt 6 werden erkennbare Elemente mit Allow-Liste aus der Liste der erkennbaren Elemente im Security Incident gefiltert.
      Diese erlauben aufgelistete erkennbare Elemente Wird nicht Dem Security Incident hinzugefügt werden.
      Transformations-Flow: Filter „aufgeführte erkennbare Elemente zulassen“
    • In Schritt 7 werden unbekannte erkennbare Elemente aus der vom Anwender gemeldeten Phishing-E-Mail identifiziert und der zugehörigen Liste erkennbarer Elemente hinzugefügt.
      Transformations-Flow: Erkennbare Elemente hinzufügen
    • In Schritt 8 wird eine E-Mail-Suchabfrage generiert, die eine Kombination aus dem Betreff und der Absenderadresse der E-Mail ist.
      Diese Informationen sind nützlich, um die Mitarbeiter in der Organisation zu identifizieren, denen ein Phishing ausgesetzt wurde.
      Transformations-Flow: E-Mail-Suchabfrage erstellen
    • In Schritt 9 wird die vom Anwender gemeldete Phishing-E-Mail dem Security Incident zugeordnet, und der Security Incident-Datensatz (erstellt in Schritt 4) wird aktualisiert.
      Transformations-Flow: Aktualisieren Sie den Security Incident-Datensatz
    • In Schritt 10 wird der übergeordnete Security Incident identifiziert, und überprüft, ob Ist es Ein offener Security Incident-Datensatz.
      Transformations-Flow: Security Incident-Datensatz suchen
    • Wenn die übergeordnete Sicherheit aktiv ist, werden dem untergeordneten Element und den übergeordneten Security Incident-Datensätzen Notizen hinzugefügt, die angeben, wie Sie sind es Zueinander zugeordnet.
    • Wenn in Schritt 12 keine betroffenen Anwender gefunden wurden (in Schritt 5 des Flows), wird eine Arbeitsnotiz hinzugefügt und der Security Incident-Datensatz aktualisiert.
      Transformations-Flow: Arbeitsnotiz für nicht übereinstimmende Anwender hinzufügen
    • In Schritt 13 wird eine Arbeitsnotiz mit der Liste der erkennbaren Elemente mit Allow-Liste hinzugefügt.
      Transformations-Flow: Liste der erkennbaren Elemente mit Allow-Liste hinzufügen

    Nächste Maßnahme

    Sie können Wählen Sie aus Testen Um die Aktionen im Flow zu simulieren, bevor er veröffentlicht wird. Nach dem Testen des Flows Wählen Sie aus Aktivieren Zum Aktivieren des Flows, damit er ausgeführt werden kann.

    Wählen Sie Aus Ausführungen Zum Anzeigen der Ausführungsdetails des Flows.


    Transformations-Flow: Ausführungsdetails

    Wenn der Flow ausgeführt wurde, wird der Phishing-E-Mail-Datensatz in einen Security Incident konvertiert. Weitere Informationen finden Sie unter Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden.

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    In gespeicherte Phishing-E-Mail-Datensätze sn_si_Phishing_email Tabellen werden in Security Incident-Datensätze konvertiert.

    Um den Security Incident anzuzeigen, der dem Phishing-E-Mail-Datensatz zugeordnet ist, klicken Sie auf Security Incident > Phishing-E-Mail > Alle Phishing-E-Mails anzeigenan.


    Phishing-E-Mail-Tabelle

    Klicken Sie auf den Link in der Spalte „Security Incident“, der dem Phishing-E-Mail-Datensatz zugeordnet ist. Die Security Incident-Details werden angezeigt.


    Security Incident, der dem Phishing-E-Mail-Datensatz zugeordnet ist

    Zugehörige Listen

    Scrollen Sie nach unten zum Abschnitt „zugehörige Links“ des Security Incidents, und klicken Sie auf Alle zugehörigen Listen anzeigen . Zeigen Sie Details wie untergeordnete Security Incidents, betroffene Anwender und zugehörige Phishing-E-Mails an.

    Untergeordnete Security Incidents

    Klicken Sie auf Untergeordnete Security Incidents Registerkarte. Sie können basierend auf der angewendeten Zusammenfassungslogik eine Liste der untergeordneten Security Incidents anzeigen, die dem übergeordneten Security Incident zugeordnet sind. Für jeden hinzugefügten untergeordneten Datensatz wird dem übergeordneten Datensatz eine automatisierte Systemaktivität (im Abschnitt „Arbeitsnotiz“) hinzugefügt. Dadurch wird der Sicherheitsanalyst über den zusammengefassten untergeordneten Datensatz benachrichtigt.
    Hinweis:
    Sie können die untergeordneten Security Incidents hier nur anzeigen, wenn die Erstellen Sie untergeordnete Incidents für aggregierte E-Mail-Übermittlungen Kennzeichnung ist auf festgelegt Ja Auf der Seite „von Anwender gemeldete Phishing-Eigenschaften“. Siehe Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften Für Die Details.

    Zugehörige Phishing-E-Mails

    Klicken Sie auf Zugehörige Phishing-E-Mails Registerkarte. Sie sehen eine Liste von Phishing-E-Mail-Datensätzen (doppelte Datensätze), die dem übergeordneten Phishing-E-Mail-Datensatz zugeordnet sind.
    Zugeordnete Phishing-E-Mail-Datensätze

    Zugeordnete Phishing-E-Mail-Header

    Klicken Sie auf Zugehörige Phishing-E-Mails Registerkarte. Sie sehen die Phishing-E-Mail-Header-Details, die als Teil des Security Incidents erfasst wurden. Sie können die Rollup-Header aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die zum übergeordneten Security Incident aggregiert sind.
    Zugeordnete Phishing-E-Mail-Header

    Zulässige Liste erkennbarer Elemente

    Als Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Flow wird ausgeführt. Sie können den Status des Security Incidents überwachen. Wenn bestimmte erkennbare Elemente als zulässige Listen-erkennbare Elemente markiert sind, werden sie markiert Sind nicht Der zugehörigen Liste erkennbarer Elemente hinzugefügt. Durch Markieren der erkennbaren Elemente in der Allow-Liste können Sie sicherstellen, dass nur die wichtigen Details angezeigt werden. Beispiel: Wenn www.google.com Ist eine der URLs, die als gekennzeichnet wurde Die Zulässige Liste, die folgende Systemnachricht wird angezeigt. Zulässige Liste erkennbarer Elemente sicherstellen Dass nur die wichtigen erkennbaren Elemente überwacht werden.

    Nicht abgeglichene Anwender werden erfasst

    Einige E-Mail-IDs in der an- und CC-Liste der Phishing-E-Mail gehören möglicherweise nicht zu Anwendern in der Organisation. Diese E-Mail-IDs werden als nicht übereinstimmende Anwender und kategorisiert Sind nicht Enthalten in den betroffenen Anwendern Zugehörige Liste . Eine Arbeitsnotiz, die angibt, dass dies nicht übereinstimmende Anwender sind, wird angezeigt.
    Nicht abgeglichene Anwender

    Anwender hat Phishing im Arbeitsbereich für Sicherheitsanalysten gemeldet

    Sie können Security Incidents anzeigen, die den Phishing-E-Mail-Datensätzen im Arbeitsbereich für Sicherheitsanalysten zugeordnet sind.

    Navigieren zu Security Incident > Neue UIan. Der Arbeitsbereich wird in einer separaten Browserregisterkarte geöffnet. Wählen Sie für den Security Incident aus, der dem zugeordnet ist Phishing E-Mail-Datensatz zum Anzeigen des Security Incidents.

    Wählen Sie das Fernglas-Symbol aus. Die ursprüngliche Phishing-E-Mail wird angezeigt.

    In Erkunden Registerkarte, Wählen Sie aus Incidents > Untergeordnete Security Incidentsan.

    Auswählen Incidents > Zugehörige Phishing-Header > an. Sie können die Rollup-Header aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die zum übergeordneten Security Incident aggregiert sind.

    Wählen Sie Aus Auf dem Phishing-E-Mail-Link zum Anzeigen des Phishing-E-Mail-Datensatzes, der dem Security Incident zugeordnet ist.

    Wählen Sie Aus Die Incident-Zeitleiste Registerkarte.

    Sie können die Systemupdates anzeigen, die Folgendes hervorheben:
    • Doppelte untergeordnete Datensätze identifiziert.
    • Zulässige Liste erkennbarer Elemente.
    • Nicht übereinstimmende Anwender, die die Phishing-E-Mail erhalten haben, aber nicht zur Liste „Betroffene Anwender“ gehören.

    Häufige Fragen

    Dieser Abschnitt behandelt einige der häufig gestellten Fragen zur erweiterten Phishing-Funktion von Anwendern.

    1. Ich habe die neue Spoke für die Reaktion auf Security Incidents installiert, aber ich kann keine von Anwendern gemeldeten Phishing-Incidents anzeigen.

      Standardmäßig wurde die Phishing-Funktionalität „von Anwender gemeldet“ deaktiviert.

      Um diese Funktion zu aktivieren, müssen Sie eine Kopie des schreibgeschützten erstellen Transformieren Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents Flow durchführen und vor der Verwendung aktivieren.

    2. Welche Vorsichtsmaßnahmen werden beim Erfassen von Phishing-E-Mails und ihrer Konvertierung in Security Incidents verwendet, um schädliche Links und Anhänge in den Phishing-E-Mails zu behandeln?

      Die ServiceNow Der Virenschutz-Scanner scannt solche schädlichen Anhänge und Links. Um jedoch sicherzustellen, dass Sicherheitsanalysten die Incidents genau untersuchen können Security Incident Response Die Anwendung erfasst alle Artefakte, die Teil einer Phishing-E-Mail sind. Die vom Anwender gemeldete Phishing-Funktionalität schaltet die schädlichen Links in der Phishing-E-Mail jedoch stummgeschaltet, damit Sicherheitsanalysten nicht versehentlich auf diese Links klicken. In Bezug auf schädliche Anhänge müssen Sicherheitsanalysten beim Herunterladen vorsichtig sein.

    3. Erfassen wir alle schädlichen Dateien, die Teil der Phishing-E-Mails sind, zur Ergänzung von Security Incidents?

      Ja, wir erfassen alle Dateien aus den Phishing-E-Mails. Sie können diese Details anzeigen, die als Teil von erkennbaren Security Incident-Elementen in Form eines Datei-Hash verfügbar sind.

    4. Senden wir schädliche Dateien und Links aus Phishing-E-Mails zur Untersuchung an eine Sandbox-Instanz?

      Derzeit unterstützen wir keine sofort einsatzbereiten Sandbox-Integrationen zur Untersuchung schädlicher Dateien und Links.

    5. Gibt es ein Zeitfenster oder einen Auslöser, der die Dauer definiert, in der eingehende doppelte Phishing-E-Mail-Datensätze einem übergeordneten Security Incident zugeordnet werden?

      Doppelte Phishing-E-Mail-Datensätze werden nur zu einem aktiven übergeordneten Security Incident zusammengefasst. Wenn der übergeordnete Incident geschlossen oder abgebrochen wird, wird die eingehende neue doppelte Phishing-E-Mail als neuer Security Incident erstellt. In diesem Szenario können Sie jedoch innerhalb des neuen Security Incidents den geschlossenen oder abgebrochenen übergeordneten Security Incident in anzeigen Ähnlicher Security Incident Zugehörige Liste.

      Hinweis:
      Dieses Verhalten kann mit dem Flow Designer konfiguriert werden.
    6. Unterstützt die Phishing-Funktion für Anwenderberichte nur die Verwendung von Microsoft Outlook PhishAlarm Plugin (früher Wombat) zum Erfassen von E-Mail-Header-Details?

      Die vom Anwender gemeldete Funktionalität wurde entwickelt, um E-Mail-Header zu analysieren, und entspricht den RFC822-Standards. Also ähnlich wie PhishAlarm Plugin (früher als Wombat bekannt); alle anderen Microsoft Outlook-Plugins, die E-Mail-Header basierend auf RFC822-Standards erfassen, werden unterstützt.