Dieses Playbook hilft bei der frühzeitigen Selektierung von von von Anwendern gemeldeten Phishing-Übermittlungen, indem es den Analysten auf die Möglichkeit einer Look-like-Domäne in der E-Mail-Adresse des Phisher aufmerksam macht.

Das Playbook „Spoofing-Erkennung für E-Mail-Domäne“ sucht nach einer Ähnlichkeitsübereinstimmung zwischen der Absender-E-Mail-Domäne des Phisher mit einem vertrauenswürdigen Domänennamen, der im Repository erkennbarer Elemente vorhanden ist. Wenn eine gefälschte Übereinstimmung der Absender-E-Mail-Domäne vom Playbook identifiziert wurde, werden die Analysten mit einem Tag benachrichtigt.

Der Workflow wird basierend auf einem vorhandenen Playbook erstellt, das einen konsistenten und effizienten Ansatz für die Untersuchung von Incidents bietet. Jeder Entscheidungspunkt im Playbook wurde in eine ergebnisgesteuerte Aufgabe konvertiert, und der Flow ändert die Richtung basierend auf dem Ergebnis solcher Aufgaben.