Crie incidentes de segurança a partir de e-mails de phishing relatados pelo usuário
Use este recurso para criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário.
A funcionalidade aprimorada de phishing relatado pelo usuário inclui capacidades de agregação, extração de cabeçalho de e-mail e configuração.
- Você pode denunciar e-mails de phishing de várias maneiras:
- Os e-mails podem ser encaminhados como anexos.
- . PhishAlarm Plug-in (anteriormente conhecido como wombat) é Configurado com o cliente Microsoft Outlook, você pode:
- Selecione Relatar phishing botão.
- Encaminhe e-mails de phishing de um dispositivo móvel usando Relatar phishing opção.
- Você pode carregar um e-mail de phishing (no formato .eml).
- Inclui phishing relatado pelo usuário lógica de negócios de agregação que identifica e-mails de phishing duplicados relatados por usuários em uma organização. Os usuários podem usar esta capacidade para:
- Incidentes de phishing relatados por usuários duplicados ou semelhantes (campanhas de phishing iniciadas pela empresa).
- Evite fazer a triagem de usuários duplicados incidentes de phishing relatados e reduzir o esforço manual envolvido na consolidação de incidentes.
- Permita que os analistas de segurança trabalhem em um único incidente de phishing relatado pelo usuário.
- Fornece cabeçalhos de e-mail de phishing no incidente de phishing relatado pelo usuário.
- Os analistas de segurança podem verificar as principais informações do cabeçalho de e-mail no incidente.
- O esforço manual para coletar informações de cabeçalho de outras fontes não é mais necessário.
- O e-mail de phishing original enviado é armazenado como Registro de e-mail de phishing em uma nova tabela.
- Os analistas de segurança podem exibir detalhes do e-mail de phishing original, como conteúdo do e-mail de phishing, cabeçalhos e origem.
- Os administradores de segurança podem configurar e fazer determinados aprimoramentos que incluem:
- Configurações para extrair cabeçalhos de e-mail do corpo do e-mail ( Relatar phishing envios).
- Filtros para capturar cabeçalhos selecionados.
- Configurações para lidar com a associação de incidentes primário-secundário quando registros de e-mail de phishing duplicados são identificados.
- Configurações do Flow Designer para modificar a lógica de negócios de agregação com base nos requisitos.
Configure regras de ingestão para phishing relatado pelo usuário
Como um usuário com sn_si.admin , você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra para a qual todos os e-mails enviados diretamente ou por meio do botão Relatar phishing security@acme.com são categorizados como e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Configure regras de ingestão para phishing relatado pelo usuário.
Defina propriedades de phishing relatadas pelo usuário
Defina as informações do cabeçalho que precisam ser capturadas dos e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Defina propriedades de phishing relatadas pelo usuário.
Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário
Usuário e-mails de phishing relatados são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas. Para obter mais informações, consulte Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário.
Transforme e-mail de phishing em incidente de segurança
O fluxo Transformar e-mail de phishing em incidente de segurança converte ou transforma registros de e-mail de phishing em incidentes de segurança. Para obter mais informações, consulte Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança.
Registros de incidentes de segurança criados a partir de registros de e-mail de phishing
Exiba os detalhes do registro de incidente de segurança, incluindo as listas relacionadas, anotações de trabalho e outras informações importantes. Para obter mais informações, consulte Registros de incidentes de segurança criados a partir de registros de e-mail de phishing.
Plug-ins e componentes obrigatórios
O recurso de phishing relatado pelo usuário disponível é uma versão aprimorada da funcionalidade de phishing relatada pelo usuário existente. Consulte Crie regras para validar ataques de phishing relatados pelo usuário .
Instruções de instalação importantes
- O existente Phishing relatado pelo usuário As ações de entrada de e-mail (Tipo: Encaminhar e Tipo: Novo) foram desabilitadas.
- Um novo Criar e-mail de phishing a ação de entrada agora está disponível.
- . Transforme e-mails de phishing relatados pelo usuário em incidentes de segurançaé um novo fluxo que contém a lógica de negócios de agregação e criação de incidente de segurança para o novo design. Você deve ativar este fluxo para que o novo design entre em vigor.
- As regras de phishing existentes relatadas pelo usuário foram preservadas durante o upgrade.
- Relatar o e-mail de phishing de várias maneiras: Consulte Crie incidentes de segurança a partir de e-mails de phishing relatados pelo usuário para . detalhes. O e-mail de phishing é movido para sn_si_phishing_email tabela.
- Criação de registros de e-mail de phishing: Se as regras de correspondência de e-mail forem atendidas (consulte Configure regras de ingestão para phishing relatado pelo usuário), o. Criar e-mail de phishing a ação de entrada cria um registro de e-mail de phishing. Os cabeçalhos de e-mail analisados são armazenados no sn_si_phishing_email_header e associados ao e-mail de phishing como uma lista relacionada.
- Agregando registros de phishing semelhantes em um único incidente de segurança: O. Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança o flow cria incidentes de segurança a partir dos registros de e-mail de phishing e agrega registros semelhantes em um único incidente. As condições de agregação podem ser modificadas conforme necessário neste fluxo.
- . Phishing relatado pelo usuário As ações de entrada disponíveis antes da versão Resposta a incidentes de segurança 9,0 agora estão desabilitadas. Os incidentes de segurança não são mais criados por meio das ações de entrada desabilitadas.
- A aplicação Spoke de Operações de segurança deve ser instalada para que o novo design entre em vigor. Isso inclui Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança fluxo que está disponível em um estado inativo por padrão. Ative este fluxo para criar incidentes de segurança a partir dos registros de e-mail de phishing.
- Suporte de segurança Comum ( sn_sec_cmn ): Inclui:
- Ação de entrada
- Novo script de EmailUserReportedPhishing
- Tabela de regras de ingestão
- Resposta a incidentes de segurança (sn_si): Inclui:
- Tabela de incidentes de segurança (sn_si_incident)
- Tabela de e-mails de phishing de segurança (sn_si_phishing_email)
- Tabela de cabeçalhos de e-mail de phishing de segurança (sn_si_phishing_email_header)
- Produtor de registro de carregamento do EML
- Spoke de Operações de segurança
Fluxos e subfluxos para agregar e-mails e transformar e-mails de phishing em incidentes de segurança.
A figura a seguir mostra a nova tabela de e-mails de phishing com referências à regra URP correspondente e ao registro de incidente de segurança de destino (sn_si_incident).
Configure regras de ingestão para phishing relatado pelo usuário
Como um usuário com sn_si.admin , você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra para a qual todos os e-mails enviados diretamente ou por meio do botão Relatar phishing security@acme.com são categorizados como e-mails de phishing relatados pelo usuário.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
-
Selecione Enviar para salvar a regra.
A seguir estão algumas regras de exemplo:
- Para regra : Filtrar e-mails que foram enviados diretamente ou encaminhados para security@example.com id de e-mail.
- Regra de ID do usuário : Filtrar e-mails que foram enviados de um ID de e-mail específico.
- Para regra : Filtrar e-mails que foram enviados diretamente ou encaminhados para security@example.com id de e-mail.
Defina propriedades de phishing relatadas pelo usuário
Defina as informações do cabeçalho que devem ser capturadas dos e-mails de phishing relatados pelo usuário.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
- Configuração para extrair cabeçalhos de e-mail do corpo do e-mail. ( Relatar phishing envios.)
- Filtro para selecionar cabeçalhos.
- Habilite ou desabilite a associação primário-secundário.
Procedimento
-
Navegar até .
Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário
E-mails de phishing relatados pelo usuário são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas.
- Um registro de e-mail é criado no sys_email tabela.
- . Criar e-mail de phishing A ação de entrada é executada no registro de e-mail e usa as Regras de correspondência de e-mail (consulte Configure regras de ingestão para phishing relatado pelo usuário) para determinar se é um e-mail de phishing.Nota:O e-mail é verificado primeiro com todas as regras de correspondência de e-mail em que Tipo de regra está definido como Negar . Se o e-mail corresponder à condição de qualquer regra de negação, um registro de auditoria será criado no
sn_si_phishing_email_deny_audittabela. Um incidente de segurança não foi criado para esse e-mail. - Quando o e-mail é identificado como um e-mail de phishing e corresponde a uma regra de correspondência de e-mail em que Tipo de regra está definido como Permitir , um registro de e-mail de phishing é criado no
sn_si_phishing_emailtabela. - Por fim, o. Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança o fluxo é aplicado para converter o registro de e-mail de phishing em um incidente de segurança.
Para exibir os detalhes do e-mail, navegue até . Uma lista de registros de e-mail de phishing é exibida. Selecione o link de data na coluna Criado para exibir o registro de e-mail.
| Nome do campo | Descrição |
|---|---|
| Número | O número atribuído ao e-mail de phishing relatado pelo usuário. |
| Assunto | O assunto do e-mail. A regra de assunto é útil em campanhas ou testes de phishing simulados. Nesse caso, as organizações enviam e-mails enganosos para sua própria equipe para testar sua resposta a ataques de phishing e e-mail semelhantes. Em testes de phishing simulados, se o cliente de e-mail do Microsoft Outlook com PhishAlarm O plug-in (anteriormente conhecido como wombat) está sendo usado, o usuário pode selecione . Relatar phishing botão para denunciar o e-mail de phishing. O e-mail é enviado para a equipe de Operações de segurança com Phishing simulado Anexado ao assunto do e-mail. Isso é usado para identificar o e-mail como um e-mail de phishing simulado. |
| De | O endereço de e-mail de onde este e-mail de phishing se originou. Essas informações estarão disponíveis se o e-mail de phishing for encaminhado como an Arquivo .eml ou se os cabeçalhos originais estiverem incorporados no e-mail. Se o usuário encaminhou o e-mail de phishing diretamente, o endereço do remetente pode não estar disponível. |
| Relatado por | O ID de e-mail do usuário que relatou este e-mail de phishing. Selecione Informações para exibir detalhes adicionais. |
| ID da mensagem | O ID atribuído à mensagem. |
| Regra de URP correspondente | A regra de phishing relatado pelo usuário que deve ser aplicada a este e-mail. Selecione O ícone Informações para exibir detalhes adicionais. |
Como você pode ver, neste exemplo, o. Condição O campo mostra que ToRule é aplicado a este e-mail e um incidente de segurança é criado. Consulte Configure regras de ingestão para phishing relatado pelo usuário para obter mais informações sobre como definir regras de correspondência de e-mail. |
|
| Estado | Quando um novo registro de e-mail de phishing é criado no sn_si_phishing_email , o campo Estado está definido como Novo . Quando este registro de e-mail é convertido em um incidente de segurança (consulte Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança), o campo Estado é atualizado para Processado . |
| Origem do cabeçalho | Este campo indica como os cabeçalhos de e-mail se originaram ou como o usuário relatou o e-mail de phishing:
|
| Incidente de segurança | Este campo fica em branco quando o e-mail de phishing relatado pelo usuário é relatado pela primeira vez. Quando o. Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança o fluxo foi executado, este e-mail é convertido em um registro de incidente de segurança e o número desse registro é exibido aqui. Nota: O incidente de segurança só é criado para os e-mails, que corresponde a uma regra de correspondência de e-mail em que Tipo de regra está definido como Permitir . |
| Cabeçalhos brutos | Este campo mostra as informações completas do cabeçalho extraídas do e-mail, conforme definido em Defina propriedades de phishing relatadas pelo usuário página. Os cabeçalhos são analisados em pares de valor-chave e exibidos na lista Cabeçalhos de e-mail de phishing. |
| Corpo | B e-mail de phishing relatado pelo usuário. |
Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança
. Transformar e-mail de phishing em incidente de segurança fluxo converte ou transforma registros de e-mail de phishing em incidentes de segurança.
Antes de Iniciar
- Função necessária: sn_si.admin
- O spoke do Flow Designer deve estar instalado.
Por Que e Quando Desempenhar Esta Tarefa
- Incidentes de segurança agregados.
- Atualize incidentes de segurança com anotações relevantes.
- Adicione dados do cabeçalho.
- Crie incidentes secundários conforme necessário.
Procedimento
-
Navegar até Para exibir os fluxos disponíveis com o Spoke de Operações de segurança.
-
Este fluxo é fornecido com o sistema de base e está em Somente leitura e. não é possível ser usado.
Selecione o ícone mais
, faça uma cópia do fluxo e abra-o para seu uso. Agora você pode mudança seu fluxo, como modificar condições ou ações do gatilho ou adicionar e remover ações. Depois de fazer as mudanças necessárias, você deve ativar (Consulte Ative um Resposta a incidentes de segurança fluxo) o fluxo para que ele possa ser executado.Esta figura mostra o gatilho e as etapas executadas com o fluxo. O painel direito mostra o fluxo de dados. Selecione em um ícone para expandir a etapa e exibir os detalhes.
-
Selecione . Gatilho ícone.
Na primeira etapa, você define ou define o gatilho para o fluxo. Especifique as condições para o gatilho e a tarefa a serem executados quando as condições forem atendidas. Este fluxo é iniciado quando um Novo o registro foi carregado no
sn_si_phishing_emailtabela. -
Na etapa 1, o fluxo verifica se Criar incidentes secundários para envios de e-mail agregados? o sinalizador está habilitado ou desabilitado ativado . Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança página.
-
Na etapa 2, o incidente de segurança primário mais antigo é identificado.
Observe o ícone na etapa 2. Isso indica que o subfluxo Agregação de e-mail de phishing será executado como parte desta etapa.
Selecione o ícone do designer de ação para ver uma exibição detalhada da ação. Este subfluxo verifica o e-mail de phishing e o corresponde a um incidente de segurança existente com base nos critérios especificados.
Essas duas ações são executadas quando este subfluxo é executado. Selecione no link da primeira ação para exibir detalhes adicionais.Esta ação verifica os e-mails que correspondem aos critérios do novo e-mail de entrada com base em condições como:- Estado do incidente de segurança não é Encerrado .
- O valor de assunto ou de origem corresponde às condições de regra de correspondência de e-mail definidas (consulte Configure regras de ingestão para phishing relatado pelo usuário).
-
A etapa 3 é aplicável somente se o. Criar incidentes secundários para envios de e-mail agregados? o sinalizador foi definido como Não em Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança página.
Nesse caso, o e-mail de phishing é associado ao registro de incidente de segurança e o fluxo termina.
-
. Criar incidentes secundários para envios de e-mail agregados? é definido como Sim , o fluxo continua a ser executado e um novo incidente de segurança é criado com base no e-mail de phishing relatado pelo usuário.
-
Na etapa 5, os usuários que receberam o e-mail de phishing (funcionários na lista Para e CC do e-mail de phishing) são adicionados à lista relacionada Usuários afetados no registro de incidente de segurança.
-
Na etapa 6, Permitir observáveis listados são filtrados da lista de observáveis no incidente de segurança.
Estes permitem observáveis listados não ser adicionado ao incidente de segurança.
-
Na etapa 7, observáveis desconhecidos do e-mail de phishing relatado pelo usuário são identificados e adicionados à lista relacionada de observáveis.
-
Na etapa 8, uma consulta de pesquisa de e-mail é gerada, que é uma combinação do assunto e do endereço do remetente do e-mail.
Essas informações são úteis para identificar os funcionários na organização que receberam phishing.
-
Na etapa 9, o e-mail de phishing relatado pelo usuário é associado ao incidente de segurança e o registro do incidente de segurança (criado na etapa 4) é atualizado.
-
Na etapa 10, o incidente de segurança primário é identificado e uma verificação é feita para ver se é um registro de incidente de segurança em aberto.
-
Na etapa 12, se nenhum usuário afetado for encontrado (na etapa 5 do fluxo), uma anotação de trabalho será adicionada e o registro de incidente de segurança será atualizado.
-
Na etapa 13, uma anotação de trabalho é adicionada à lista de observáveis listados permitidos.
O que Fazer Depois
Selecione Execuções para exibir os detalhes de execução do fluxo.
Quando o fluxo é executado, o registro de e-mail de phishing é convertido em um incidente de segurança. Consulte Registros de incidentes de segurança criados a partir de registros de e-mail de phishing.
Registros de incidentes de segurança criados a partir de registros de e-mail de phishing
Registros de e-mail de phishing armazenados no sn_si_phishing_email as tabelas são convertidas em registros de incidentes de segurança.
Para exibir o incidente de segurança associado ao registro de e-mail de phishing, clique em .
Clique no link na coluna Incidente de segurança associado ao registro de e-mail de phishing. Os detalhes do incidente de segurança são exibidos.
Listas relacionadas
Role para baixo até a seção Links relacionados do incidente de segurança e clique em Mostrar todas as listas relacionadas . Veja detalhes como incidentes de segurança secundários, usuários afetados e e-mails de phishing associados.
Incidentes de segurança secundários
E-mails de phishing associados
Cabeçalhos de e-mail de phishing associados
Observáveis de lista permitidos
Como Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança o fluxo está sendo executado, você pode monitorar o status do incidente de segurança. Quando determinados observáveis são marcados como observáveis de lista permitidos, eles são não são Adicionado à lista relacionada de observáveis. Ao marcar os observáveis na lista de permissões, você pode garantir que somente os detalhes importantes sejam exibidos. Por exemplo, se www.google.com É um dos URLs marcados como . lista permitida, a seguinte mensagem do sistema é exibida. Lista de observáveis permitidos que somente os observáveis importantes sejam monitorados.
Capturando usuários incompatíveis
O usuário relatou phishing no Espaço do analista de segurança
Você pode exibir incidentes de segurança associados aos registros de e-mail de phishing no Espaço do analista de segurança.
Navegar até . O espaço é aberto em uma guia separada do navegador. Selecione no incidente de segurança associado ao phishing registro de e-mail para exibir o incidente de segurança.
Selecione o ícone de binóculos. O e-mail de phishing original é exibido.
Em Explorar guia, selecione .
Selecionar . Você pode exibir os cabeçalhos acumulados de todos os registros secundários e registros de e-mail de phishing agregados ao incidente de segurança primário.
Selecione no link de e-mail de phishing para exibir o registro de e-mail de phishing associado ao incidente de segurança.
Selecione . Linha do tempo do incidente .
- Registros secundários duplicados identificados.
- Observáveis de lista permitidos.
- Usuários incompatíveis que receberam o e-mail de phishing, mas não pertencem à lista de usuários afetados.
Perguntas frequentes
Esta seção aborda algumas das perguntas frequentes sobre o recurso aprimorado de phishing relatado pelo usuário.
- Instalei o novo spoke de Resposta a incidentes de segurança, mas não consigo exibir nenhum incidente de phishing relatado pelo usuário.
Por padrão, a funcionalidade de phishing relatado pelo usuário foi desabilitada.
Para habilitar este recurso, você deve fazer uma cópia do somente leitura Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança e ative-o antes de usar.
- Ao ingerir e-mails de phishing e convertê-los em incidentes de segurança, quais medidas de precaução são usadas para lidar com links e anexos maliciosos nos e-mails de phishing?
. ServiceNow o verificador antivírus verifica anexos e links maliciosos. No entanto, para garantir que os analistas de segurança possam investigar os incidentes com precisão, o. Resposta a incidentes de segurança a aplicação captura todos os artefatos que fazem parte de um e-mail de phishing. Mas a funcionalidade de phishing relatado pelo usuário silencia os links maliciosos no e-mail de phishing para que os analistas de segurança não cliquem acidentalmente nesses links. Em relação a anexos maliciosos, os analistas de segurança devem ser cautelosos ao baixá-los.
- Nós capturamos todos os arquivos maliciosos que fazem parte dos e-mails de phishing para aprimoramento de incidentes de segurança?
Sim, capturamos todos os arquivos dos e-mails de phishing. Esses detalhes estão disponíveis como parte dos observáveis de incidentes de segurança na forma de um hash de arquivo.
- Nós enviamos arquivos maliciosos e links de e-mails de phishing para uma instância de sandbox para investigação?
No momento, não oferecemos suporte a integrações de sandbox prontas para investigar arquivos e links maliciosos.
- Há uma janela de tempo ou um gatilho que define a duração na qual os registros de e-mail de phishing duplicados recebidos são associados a um incidente de segurança primário?
Registros de e-mail de phishing duplicados são agregados somente a um incidente de segurança primário ativo. Se o incidente primário for encerrado ou cancelado, o novo e-mail de phishing duplicado recebido será criado como um novo incidente de segurança. No entanto, neste cenário, no novo incidente de segurança, você pode exibir o incidente de segurança primário encerrado ou cancelado no Incidente de segurança semelhante lista relacionada.
Nota:Esse comportamento pode ser configurado usando o designer de fluxo. - O recurso Relatório de phishing do usuário é compatível com o uso somente do Microsoft Outlook PhishAlarm Plug-in (anteriormente conhecido como wombat) para capturar detalhes do cabeçalho do e-mail?
A funcionalidade relatada pelo usuário foi criada para analisar cabeçalhos de e-mail e está em conformidade com os padrões RFC822. Assim, semelhante ao PhishAlarm Plug-in (anteriormente conhecido como wombat), todos os outros plug-ins do Microsoft Outlook que capturam cabeçalhos de e-mail com base nos padrões RFC822 são compatíveis.