Use o playbook Detecção de falsificação de domínio de e-mail

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 1 min. de leitura

    • Use este playbook para encontrar uma correspondência de semelhança entre o domínio de e-mail do remetente do phisher com um nome de domínio confiável existente no repositório do observável. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos disponíveis no playbook de detecção de falsificação de domínio de e-mail.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado Operações de segurança Spoke ( sn_sec_spoke ).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, o playbook extrai o domínio de e-mail do e-mail de phishing.
    2. Na Ação 2, o playbook recupera todos os observáveis de tipo de endereço de e-mail/domínio marcados pelo marcador de segurança "Candidato a spoofing de domínio".
    3. Na Ação 3, o playbook calcula a semelhança entre o domínio Obter marcador e o domínio E-mail usando o algoritmo Levenshtein.
    4. Na Ação 4, o playbook pesquisa o registro de propriedade do sistema com base nas seguintes condições:
      • O nome é sn_sec_spoke.domain_spoof_threshold, (OU)
      • O nome é de a a z e, se vários registros forem encontrados, retornará somente o primeiro registro.
    5. Na Ação 5, com base na investigação realizada até ao momento, o playbook verifica se a semelhança dos dois domínios excede ou não o limite.
      Se a semelhança dos dois domínios não exceder o limite, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado. Se a semelhança dos dois domínios exceder o limite, as ações 6 e 7 serão executadas.
    6. Na Ação 6, o playbook adiciona o marcador de segurança Spoofing do domínio de e-mail ao incidente de segurança.
    7. Na Ação 7, o playbook adiciona um link de anotação de trabalho ao contexto usando a opção de script.
    8. Na Ação 8, o fluxo termina.