Este playbook ajuda na triagem em fase inicial de envios de phishing relatados pelo usuário, alertando o analista sobre a possibilidade de um domínio semelhante no endereço de e-mail do phisher.

O playbook de detecção de spoofing do domínio de e-mail procura encontrar uma correspondência de semelhança entre o domínio de e-mail do remetente do phisher e um nome de domínio confiável existente no repositório observável. Quando uma correspondência de domínio de e-mail do remetente falsificado é identificada pelo playbook, os analistas são alertados com um marcador.

O fluxo de trabalho é criado com base em um playbook existente, que fornece uma abordagem consistente e eficiente para investigação de incidentes. Cada ponto de decisão no playbook foi convertido em uma tarefa orientada por resultados e o fluxo muda a direção com base no resultado de tais tarefas.