Erstellen Sie Security Incidents aus von Anwendern gemeldeten Phishing-E-Mails

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 19 Minuten Lesedauer

    • Verwenden Sie diese Funktion, um Security Incidents aus von Anwendern gemeldeten Phishing-E-Mails zu erstellen.

    Die erweiterte Phishing-Funktionalität von Anwendern umfasst Zusammenfassungsfunktionen, E-Mail-Header-Extraktion und Konfiguration.

    • Anwender können Phishing-E-Mails auf mehrere Arten melden:
      • E-Mails können als Anhänge weitergeleitet werden.
      • Wenn PhishAlarm Plugin (früher Wombat) wurde mit dem Microsoft Outlook-Client konfiguriert. Anwender können:
        • Klicken Sie auf Phishing Melden Schaltfläche.
        • Leiten Sie Phishing-E-Mails von einem Mobilgerät mit weiter Phishing Melden Option.

        Melden Sie Phishing-E-Mails
      • Anwender können eine Phishing-E-Mail hochladen (im .eml-Format).
        Melden Sie Phishing-E-Mails als Anhänge
    • Vom Anwender gemeldete Phishing-Einbindungen Geschäftslogik der Zusammenfassung Identifiziert doppelte Phishing-E-Mails, die von Anwendern in einer Organisation gemeldet wurden. Anwender können diese Fähigkeit verwenden, um:
      • Fassen Sie doppelte oder ähnliche von Anwendern gemeldete Phishing-Incidents zusammen (vom Unternehmen initiierte Phishing-Kampagnen).
      • Vermeiden Sie die Selektierung doppelter von Anwendern gemeldeter Phishing-Incidents, und reduzieren Sie den manuellen Aufwand für die Konsolidierung von Incidents.
      • Ermöglichen Sie Sicherheitsanalysten, an einem einzelnen Anwender gemeldeten Phishing-Incident zu arbeiten.
    • Stellt Phishing-E-Mail-Header innerhalb des vom Anwender gemeldeten Phishing-Incidents bereit.
      • Sicherheitsanalysten können innerhalb des Incidents nach wichtigen E-Mail-Header-Informationen suchen.
      • Manueller Aufwand beim Sammeln von Headerinformationen aus anderen Quellen ist nicht mehr erforderlich.
    • Die ursprünglich übermittelte Phishing-E-Mail wird als gespeichert Phishing-E-Mail-Datensatz In einer neuen Tabelle.
    • Sicherheitsanalysten können Details der ursprünglichen Phishing-E-Mail anzeigen, z. B. Phishing-E-Mail-Inhalt, Header und Ursprung.
    • Sicherheitsadministratoren können bestimmte Erweiterungen konfigurieren und vornehmen, z. B.:
      • Konfigurationen zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text ( Phishing Melden Übermittlungen).
      • Filter zum Erfassen ausgewählter Header.
      • Konfigurationen zur Verarbeitung der Zuordnung von über- und untergeordneten Incidents, wenn doppelte Phishing-E-Mail-Datensätze identifiziert werden.
      • Flow Designer-Konfigurationen zum Ändern der Geschäftslogik der Zusammenfassung basierend auf den Anforderungen.

    Richten Sie Erfassungsregeln für vom Anwender gemeldetes Phishing ein

    Als Anwender mit sn_si.admin Rolle können Sie E-Mail-Übereinstimmungsregeln definieren, um von Anwendern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, bei der alle E-Mails entweder direkt oder über die Schaltfläche „Phishing melden“ gesendet werden security@acme.com Werden als vom Anwender gemeldete Phishing-E-Mails kategorisiert. Weitere Informationen finden Sie unter Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein.

    Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften

    Definieren Sie die Header-Informationen, die aus vom Anwender gemeldeten Phishing-E-Mails erfasst werden müssen. Weitere Informationen finden Sie unter Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften

    Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden

    Vom Anwender gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Übereinstimmungsregeln in Security Incidents konvertiert. Weitere Informationen finden Sie unter Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden.

    Wandeln Sie Phishing-E-Mails in Security Incident um

    Der Flow „Phishing-E-Mail in Security Incident umwandeln“ konvertiert oder wandelt Phishing-E-Mail-Datensätze in Security Incidents um. Weitere Informationen finden Sie unter Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um.

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Zeigen Sie die Details des Security Incident-Datensatzes an, einschließlich der zugehörigen Listen, Arbeitsnotizen und anderer wichtiger Informationen. Weitere Informationen finden Sie unter Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden.

    Erforderliche Komponenten und Plugins

    Die in diesem Release verfügbare Funktion „von Anwendern gemeldetes Phishing“ ist eine erweiterte Version der vorhandenen von Anwendern gemeldeten Phishing-Funktionalität, die im London-Release verfügbar ist. Siehe Erstellen Sie Regeln, um von Anwendern gemeldete Phishing-Angriffe zu validieren Thema in der Londoner Dokumentation für Details.

    Wichtige Installationsanweisungen

    Diese Erweiterung ersetzt das vorhandene von Anwendern gemeldete Phishing-Design. Das neue Design enthält die folgenden Updates:
    • Die vorhandenen Anwender Hat Phishing Gemeldet Aktionen für eingehende E-Mails (Typ = Weiterleiten und Typ = Neu) wurden deaktiviert.
    • Ein neuer Erstellen Sie Eine Phishing-E-Mail Eingehende Aktion ist jetzt verfügbar.
    • Die Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umIst ein neuer Flow, der die Geschäftslogik für die Erstellung und Zusammenfassung von Security Incidents für das neue Design enthält. Sie müssen diesen Flow aktivieren, damit das neue Design wirksam wird.
    • Die vorhandenen von Anwendern gemeldeten Phishing-Regeln wurden während des Upgrades beibehalten.
    Hinweis:
    Wenn Sie anwenderdefinierte Aktionen für eingehende E-Mails und anwenderdefinierte Workflows für von Anwendern gemeldete Phishing-Übermittlungen verwenden, müssen Sie sowohl das alte als auch das neue Design auf in Konflikt stehende oder sich überschneidende Funktionen überprüfen.
    Anwender hat Details zur Phishing-Erweiterung gemeldet : Im Folgenden finden Sie die Details der Erweiterung:
    Hinweis:
    • Die Anwender Hat Phishing Gemeldet Eingehende Aktionen, die vor dem Release 9,0 für die Reaktion auf Security Incidents verfügbar sind, sind jetzt deaktiviert. Security Incidents werden nicht mehr über die deaktivierten eingehenden Aktionen erstellt.
    • Die Spoke-Anwendung „Security Operations“ muss installiert sein, damit das neue Design wirksam wird. Dies umfasst Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umFlow, der standardmäßig in einem inaktiven Status verfügbar ist. Aktivieren Sie diesen Flow, um Security Incidents aus den Phishing-E-Mail-Datensätzen zu erstellen.
    Das folgende Bild zeigt die Unterschiede zwischen dem alten und dem neuen Design:
    Vom Anwender Gemeldetes Phishing: Unterschiede
    Zur Verwendung der erweiterten Phishing-Funktion „von Anwendern gemeldete Phishing“ sind die folgenden Plugins und Komponenten erforderlich:
    • Allgemeiner Sicherheitssupport ( sn_sec_cmn ): Enthält:
      • Eingehende Aktion
      • Neues E-Mail-AnwenderReportedPhishing-Skript
      • Erfassungsregeltabelle
    • Antwort auf Security Incidents (sn_si): Enthält:
      • Security Incident-Tabelle (sn_si_Incident)
      • Tabelle für Security Phishing-E-Mails (sn_si_phishing_email)
      • Tabelle der Security Phishing-E-Mail-Header (sn_si_phishing_email_header)
      • EML-Upload-Datensatzersteller
    • Sicherheitsvorgänge-Spoke

      Flows und Subflows für die Zusammenfassung von E-Mails und die Umwandlung von Phishing-E-Mails in Security Incidents.

    Die folgende Abbildung zeigt die neue Phishing-E-Mail-Tabelle mit Verweisen auf die übereinstimmende URP-Regel und den Ziel-Security Incident-Datensatz (sn_si_Incident).


    URP-Datenmodell

    Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing ein

    Als Anwender mit sn_si.admin Rolle können Sie E-Mail-Übereinstimmungsregeln definieren, um von Anwendern gemeldete Phishing-E-Mails basierend auf bestimmten Kriterien zu filtern. Sie können beispielsweise eine Regel definieren, bei der alle E-Mails entweder direkt oder über die Schaltfläche „Phishing melden“ gesendet werden security@acme.com Werden als vom Anwender gemeldete Phishing-E-Mails kategorisiert.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Erfassungsregeln – von Anwender gemeldetes Phishingan.
    2. Klicken Sie Auf Neu Dient zum Erstellen einer neuen E-Mail-Abgleichsregel.
    3. Geben Sie einen Namen ein, und definieren Sie mindestens eine Bedingung für die Regel.
    4. Klicken Sie Auf Übermitteln Zum Speichern der Regel.
      Im Folgenden finden Sie einige Beispielregeln:
      • Zu Regel : Filtern Sie E-Mails, die direkt gesendet oder an weitergeleitet wurden security@example.com E-Mail-ID Zu Regel definieren
      • Anwender-ID-Regel : Filtern Sie E-Mails, die von einer bestimmten E-Mail-ID gesendet wurden Definieren Sie die Anwender-ID-Regel

    Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften

    Definieren Sie die Header-Informationen, die aus vom Anwender gemeldeten Phishing-E-Mails erfasst werden müssen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie diese Optionen, um die folgenden von Anwendern gemeldeten Phishing-Einstellungen zu konfigurieren.
    • Konfiguration zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text. ( Phishing Melden Übermittlungen.)
    • Filter zum Auswählen von Headern.
    • Aktivieren oder deaktivieren Sie die Zuordnung von über- und untergeordneten Elementen.

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Verarbeitung > Eigenschaften des vom Anwender gemeldeten Phishingan.
      Vom Anwender Gemeldete Phishing-Eigenschaften
    2. Geben Sie die Konfiguration zum Extrahieren von E-Mail-Headern aus dem E-Mail-Text an:
      • Geben Sie eine Zeichenfolge ein, die den Anfang des E-Mail-Headers identifiziert.
      • Geben Sie eine Zeichenfolge ein, die das Ende des E-Mail-Headers identifiziert.
        Hinweis:
        Wenden Sie diese Einstellungen nur auf Header an, die als Teil des E-Mail-Texts der Phishing-E-Mail erfasst wurden. Beispiel: Wenn PhishAlarm Plugin (früher Wombat) wurde mit dem Microsoft Outlook-Client konfiguriert, wenn der Anwender auf klickt Phishing Melden Schaltfläche, werden die E-Mail-Header gemäß der hier definierten Konfiguration erfasst. Die Header-Informationen werden nicht erfasst, wenn die Phishing-E-Mail als Anhang weitergeleitet wird.
    3. Geben Sie Filter an, um Header zu eliminieren, die für die Untersuchung des Security Incidents nicht erforderlich sind.

      Geben Sie eine kommagetrennte Liste von E-Mail-Headern ein, die aus der vom Anwender gemeldeten Phishing-E-Mail erfasst werden müssen. Wenn Sie hier keinen Wert angeben, werden alle Header-Informationen erfasst.

    4. Aktivieren oder deaktivieren Sie die Zuordnung von über- und untergeordneten Elementen.
      Standardmäßig ist Ja Option ist aktiviert. Wählen Sie Aus Ja Gibt an, dass untergeordnete Security Incidents erstellt werden müssen, wenn vom Anwender gemeldete Phishing-E-Mails aggregiert werden. Wenn Sie auswählen Nein , Untergeordnete Security Incidents werden nicht erstellt, aber die vom Anwender gemeldeten Phishing-E-Mails werden dem Security Incident zugeordnet, und der Security Incident-Datensatz wird aktualisiert. Siehe Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umUm weitere Informationen darüber zu erhalten, wie die untergeordneten Security Incidents erstellt werden.
    5. Aktivieren oder deaktivieren Sie die Option zum Anzeigen des Phishing-E-Mail-Inhalts im HTML-Format.
      Standardmäßig ist Ja Option ist aktiviert. Wählen Sie Aus Ja Zum Anzeigen des Phishing-E-Mail-Inhalts im HTML-Format. Wenn Sie auswählen Nein , Der E-Mail-Inhalt im HTML-Format ist in einem Phishing-Datensatz nicht sichtbar.

    Phishing-E-Mail-Datensätze, die aus vom Anwender gemeldeten Phishing-E-Mails erstellt wurden

    Vom Anwender gemeldete Phishing-E-Mails werden basierend auf den definierten E-Mail-Übereinstimmungsregeln in Security Incidents konvertiert.

    Wenn eine neue Phishing-E-Mail gemeldet wird, werden die folgenden Aktionen ausgeführt:

    Navigieren Sie zu , um die E-Mail-Details anzuzeigen Security Incident > Alle Phishing-E-Mails anzeigenan. Eine Liste von Phishing-E-Mail-Datensätzen wird angezeigt. Klicken Sie auf den Datumslink in der Spalte erstellt, um den E-Mail-Datensatz anzuzeigen.


    Phishing-E-Mail mit ToRule
    Tabelle : 1. Phishing-E-Mail-Details Für Security Incidents
    Feldname Beschreibung
    Nummer Die Nummer, die der vom Anwender gemeldeten Phishing-E-Mail zugewiesen ist.
    Betreff Der Betreff der E-Mail. Die Betreffregel ist in simulierten Phishing-Kampagnen oder -Tests nützlich. In diesem Fall senden Unternehmen täuschende E-Mails an ihre eigenen Mitarbeiter, um ihre Reaktion auf Phishing- und ähnliche E-Mail-Angriffe zu testen.

    In simulierten Phishing-E-Mail-Tests, wenn der Microsoft Outlook-E-Mail-Client mit verwendet wird PhishAlarm Plugin (früher Wombat) wird verwendet. Der Anwender kann auf klicken Phishing Melden Schaltfläche zum Melden der Phishing-E-Mail. Die E-Mail wird mit an das Security Operations-Team gesendet Phishing Simuliert An den Betreff der E-Mail angehängt. Dies wird verwendet, um die E-Mail als simulierte Phishing-E-Mail zu identifizieren.
    Von Die E-Mail-Adresse, von der diese Phishing-E-Mail stammt. Diese Informationen sind verfügbar, wenn die Phishing-E-Mail als EML-Dateianhang weitergeleitet wird oder wenn die ursprünglichen Header in die E-Mail eingebettet sind.

    Wenn der Anwender die Phishing-E-Mail direkt weitergeleitet hat, ist die Absenderadresse möglicherweise nicht verfügbar.
    Gemeldet von Die E-Mail-ID des Anwenders, der diese Phishing-E-Mail gemeldet hat. Klicken Sie auf Informationen Symbol zum Anzeigen zusätzlicher Details.
    Nachrichten-ID Die der Nachricht zugewiesene ID.
    Übereinstimmende URP-Regel Die vom Anwender gemeldete Phishing-Regel, die auf diese E-Mail angewendet werden soll. Klicken Sie auf das Informationssymbol, um zusätzliche Details anzuzeigen.
    URP-Erfassungsregel

    Wie Sie sehen können, wird in diesem Beispiel angezeigt Bedingung Das Feld zeigt an, dass die ToRule auf diese E-Mail angewendet und ein Security Incident erstellt wird. Siehe Richten Sie Erfassungsregeln für von Anwendern gemeldetes Phishing einWeitere Informationen zum Definieren von E-Mail-Übereinstimmungsregeln.
    Status Wenn ein neuer Phishing-E-Mail-Datensatz in erstellt wird sn_si_phishing_email Tabelle, ist das Feld Status auf festgelegt Neu . Wenn dieser E-Mail-Datensatz in einen Security Incident konvertiert wird (siehe Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um), wird das Feld Status auf aktualisiert Verarbeitet .
    Header-Ursprung Dieses Feld gibt an, wie die E-Mail-Header stammen oder wie der Anwender die Phishing-E-Mail gemeldet hat:
    • E-Mail-Header : Der Anwender hat die Phishing-E-Mail an das Security Operations-Team weitergeleitet.
    • E-Mail-Textkörper:
      • Der Anwender hat auf geklickt Phishing Melden Option (wenn PhishAlarm Plugin (früher Wombat) wurde mit dem E-Mail-Client konfiguriert.)
      • Basierend auf der definierten Phishing-Regel „von Anwendern gemeldet“ wird die Phishing-E-Mail an das Security Operations-Team weitergeleitet.
    • EML-Anhangsheader :
      • Anhang: Der Anwender hat die E-Mail als Anhang weitergeleitet (EML-Datei).
      • Servicekatalog-Übermittlung: Der Anwender hat die E-Mail als EML-Datei auf den Desktop heruntergeladen und sie dann an einen angegebenen Speicherort hochgeladen. Der Security Incident wird dann aus der E-Mail erstellt.
    • EML-Anhangstext :
      • Der Anwender hat auf geklickt Phishing Melden Option (wenn PhishAlarm Plugin (früher Wombat) wurde mit dem E-Mail-Client konfiguriert.)
      • Basierend auf der definierten Phishing-Regel „von Anwendern gemeldet“ wird die Phishing-E-Mail als Anhang an das Security Operations Team weitergeleitet.
    Security Incident Dieses Feld ist leer, wenn die vom Anwender gemeldete Phishing-E-Mail erstmals gemeldet wird. Wenn Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umFlow wurde ausgeführt, diese E-Mail wird in einen Security Incident-Datensatz konvertiert, und die Nummer dieses Datensatzes wird hier angezeigt.
    Rohheader Dieses Feld zeigt die vollständigen Header-Informationen an, die aus der E-Mail extrahiert wurden, wie in definiert Definieren Sie vom Anwender gemeldete Phishing-EigenschaftenSeite. Die Header werden in Schlüssel-Wert-Paare analysiert und in der Liste „Phishing-E-Mail-Header“ angezeigt.
    Phishing-E-Mail-Header
    Textkörper Dies ist der Text der vom Anwender gemeldeten Phishing-E-Mail.

    Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents um

    Die Phishing-E-Mail in Security Incident umwandeln Flow ist ein neuer Flow, der Phishing-E-Mail-Datensätze in Security Incidents konvertiert oder umwandelt.

    Vorbereitungen

    Hinweis:
    Um die Funktion „von Anwendern gemeldete Phishing“ zu aktivieren, müssen Sie eine Kopie des Flows und erstellen Aktivieren IT. Wenn Sie anwenderdefinierte eingehende Aktionen und anwenderdefinierte Flows erstellt haben, um vom Anwender gemeldete Phishing-Übermittlungen zu verarbeiten, sind hier vorgeschlagene Flow-Änderungen nicht erforderlich.
    • Erforderliche Rolle: sn_si.admin
    • Flow Designer-Spoke muss installiert sein.

    Warum und wann dieser Vorgang ausgeführt wird

    Dieser Flow wird automatisch gestartet, wenn ein Anwender einen Phishing-E-Mail-Datensatz mit dem Status auf gemeldet hat Neu Wird erstellt. Dieser Flow enthält die Logik für:
    • Aggregieren Sie Security Incidents.
    • Aktualisieren Sie Security Incidents mit relevanten Notizen.
    • Fügen Sie Headerdaten hinzu.
    • Erstellen Sie nach Bedarf untergeordnete Incidents.

    Prozedur

    • Navigieren zu Flow Designer > Designer Zum Anzeigen der Flows, die mit der Sicherheitsvorgänge-Spoke verfügbar sind.
      Sicherheitsvorgänge-Flows
    • Klicken Sie auf Wandeln Sie Phishing-E-Mails in Security Incidents um Link zum Anzeigen des Flows.
    • Dieser Flow wird mit dem Basissystem bereitgestellt und befindet sich in Schreibgeschützt Modus und kann nicht verwendet werden.
      Klicken Sie auf das Symbol mehr Symbol „mehr“, Erstellen Sie eine Kopie des Flows, und öffnen Sie ihn für Ihre Verwendung. Sie können jetzt Änderungen an Ihrem Flow vornehmen, z. B. Auslöserbedingungen oder -Aktionen ändern oder Aktionen hinzufügen und entfernen. Nachdem Sie die erforderlichen Änderungen vorgenommen haben, müssen Sie aktivieren ( siehe Aktivieren Sie ein Security Incident ResponseFlow) Den Flow, damit er ausgeführt werden kann.Phishing-E-Mail-Flow in Security Incidents umwandeln

      Diese Abbildung zeigt den Auslöser und die mit dem Flow ausgeführten Schritte. Im rechten Bereich wird der Daten-Flow angezeigt. Klicken Sie auf ein Symbol, um den Schritt zu erweitern und die Details anzuzeigen.

    • Klicken Sie auf Auslöser Symbol.
      Im ersten Schritt definieren oder legen Sie den Auslöser für den Flow fest. Geben Sie die Bedingungen für den Auslöser und die Aufgabe an, die ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Dieser Flow wird initiiert, wenn ein Neu Datensatz wird in hochgeladen sn_si_phishing_email Tabelle.Transformations-Flow: Auslöser
    • In Schritt 1 überprüft der Flow, ob der Untergeordnete Incidents für aggregierte E-Mail-Übermittlungen erstellen? Kennzeichnung ist in aktiviert oder deaktiviert Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umSeite.
      Transformations-Flow: Aktion 1
    • In Schritt 2 wird der älteste übergeordnete Security Incident identifiziert.
      Beachten Sie das Symbol in Schritt 2. Dies gibt an, dass der Subflow „Phishing-E-Mail-Zusammenfassung“ als Teil dieses Schritts ausgeführt wird.Transformations-Flow: Aktion 2

      Klicken Sie auf das Aktionsdesigner-Symbol, um eine detaillierte Ansicht der Aktion anzuzeigen. Dieser Subflow überprüft die Phishing-E-Mail und gleicht sie basierend auf den angegebenen Kriterien einem vorhandenen Security Incident ab.

      Transformations-Flow: Subflow der Phishing-E-Mail-Zusammenfassung
      Diese beiden Aktionen werden ausgeführt, wenn dieser Subflow ausgeführt wird. Klicken Sie auf den Link der ersten Aktion, um zusätzliche Details anzuzeigen.
      Transformations-Flow: Subflow: Aktion
      Diese Aktion überprüft die E-Mails, die den Kriterien für die neue eingehende E-Mail entsprechen, basierend auf Bedingungen wie:Wenn diese Bedingungen erfüllt sind, wird die Anzahl der Datensätze angezeigt, die den Kriterien im Feld „Max. Ergebnisse“ entsprechen. Der älteste oder erste Datensatz in der Liste wird als übergeordneter Datensatz festgelegt, für den die Security Incidents aggregiert werden.
    • Schritt 3 gilt nur, wenn Untergeordnete Incidents für aggregierte E-Mail-Übermittlungen erstellen? Kennzeichnung wurde auf festgelegt Nein In Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umSeite.
      In diesem Fall wird die Phishing-E-Mail dem Security Incident-Datensatz zugeordnet, und der Flow endet.
      Transformations-Flow: Aktion 3
    • Wenn Untergeordnete Incidents für aggregierte E-Mail-Übermittlungen erstellen? Wurde auf festgelegt Ja , Der Flow wird weiterhin ausgeführt, und basierend auf der vom Anwender gemeldeten Phishing-E-Mail wird ein neuer Security Incident erstellt.
      Transformations-Flow: Aktion 4
    • In Schritt 5 werden Anwender, die die Phishing-E-Mail erhalten haben (Mitarbeiter in der Liste „an“ und „CC“ der Phishing-E-Mail) der zugehörigen Liste „Betroffene Anwender“ im Security Incident-Datensatz hinzugefügt.
      Transformationsformular: Aktion 4
    • In Schritt 6 werden erkennbare Elemente mit Allow-Liste aus der Liste der erkennbaren Elemente im Security Incident gefiltert.
      Diese zulässigen erkennbaren Elemente werden dem Security Incident nicht hinzugefügt.
      Transformations-Flow: Filter „gelistete überfällige Elemente zulassen“
    • In Schritt 7 werden unbekannte erkennbare Elemente aus der vom Anwender gemeldeten Phishing-E-Mail identifiziert und der zugehörigen Liste erkennbarer Elemente hinzugefügt.
      Transformations-Flow: Erkennbare Elemente hinzufügen
    • In Schritt 8 wird eine E-Mail-Suchabfrage generiert, die eine Kombination aus dem Betreff und der Absenderadresse der E-Mail ist.
      Diese Informationen sind nützlich, um die Mitarbeiter in der Organisation zu identifizieren, denen ein Phishing ausgesetzt wurde.
      Transformations-Flow: E-Mail-Suchabfrage erstellen
    • In Schritt 9 wird die vom Anwender gemeldete Phishing-E-Mail dem Security Incident zugeordnet, und der Security Incident-Datensatz (erstellt in Schritt 4) wird aktualisiert.
      Transformations-Flow: Aktualisieren Sie den Security Incident-Datensatz
    • In Schritt 10 wird der übergeordnete Security Incident identifiziert, und überprüft, ob es sich um einen offenen Security Incident-Datensatz handelt.
      Transformations-Flow: Security Incident-Datensatz suchen
    • Wenn die übergeordnete Sicherheit aktiv ist, werden dem untergeordneten Element und den übergeordneten Security Incident-Datensätzen Notizen hinzugefügt, die angeben, wie sie einander zugeordnet sind.
    • Wenn in Schritt 12 keine betroffenen Anwender gefunden wurden (in Schritt 5 des Flows), wird eine Arbeitsnotiz hinzugefügt und der Security Incident-Datensatz aktualisiert.
      Transformations-Flow: Arbeitsnotiz für nicht übereinstimmende Anwender hinzufügen
    • In Schritt 13 wird eine Arbeitsnotiz mit der Liste der erkennbaren Elemente mit Allow-Liste hinzugefügt.
      Transformations-Flow: Liste der erkennbaren Elemente mit Allow-Liste hinzufügen

    Nächste Maßnahme

    Sie können auf klicken Testen Um die Aktionen im Flow zu simulieren, bevor er veröffentlicht wird. Klicken Sie nach dem Testen des Flows auf Aktivieren Zum Aktivieren des Flows, damit er ausgeführt werden kann.

    Klicken Sie Auf Ausführungen Zum Anzeigen der Ausführungsdetails des Flows.


    Transformations-Flow: Ausführungsdetails

    Wenn der Flow ausgeführt wurde, wird der Phishing-E-Mail-Datensatz in einen Security Incident konvertiert. Siehe Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Security Incident-Datensätze, die aus Phishing-E-Mail-Datensätzen erstellt wurden

    Phishing-E-Mail-Datensätze in gespeichert sn_si_phishing_email Tabelle wird in Security Incident-Datensätze konvertiert.

    Um den Security Incident anzuzeigen, der dem Phishing-E-Mail-Datensatz zugeordnet ist, klicken Sie auf Security Incident > Phishing-E-Mail > Alle Phishing-E-Mails anzeigenan.


    Phishing-E-Mail-Tabelle

    Klicken Sie auf den Link in der Spalte „Security Incident“, der dem Phishing-E-Mail-Datensatz zugeordnet ist. Die Security Incident-Details werden angezeigt.


    Security Incident, der dem Phishing-E-Mail-Datensatz zugeordnet ist

    Zugehörige Listen

    Scrollen Sie nach unten zum Abschnitt „zugehörige Links“ des Security Incidents, und klicken Sie auf Alle zugehörigen Listen anzeigen . Zeigen Sie Details wie untergeordnete Security Incidents, betroffene Anwender und zugehörige Phishing-E-Mails an.

    Untergeordnete Security Incidents

    Klicken Sie auf Untergeordnete Security Incidents Registerkarte. Sie können basierend auf der angewendeten Zusammenfassungslogik eine Liste der untergeordneten Security Incidents anzeigen, die dem übergeordneten Security Incident zugeordnet sind. Für jeden hinzugefügten untergeordneten Datensatz wird dem übergeordneten Datensatz eine automatisierte Systemaktivität (im Abschnitt „Arbeitsnotiz“) hinzugefügt. Dadurch wird der Sicherheitsanalyst über den zusammengefassten untergeordneten Datensatz benachrichtigt.
    Hinweis:
    Sie können die untergeordneten Security Incidents hier nur anzeigen, wenn die Erstellen Sie untergeordnete Incidents für aggregierte E-Mail-Übermittlungen Kennzeichnung ist auf festgelegt Ja Auf der Seite „von Anwender gemeldete Phishing-Eigenschaften“. Details siehe Definieren Sie vom Anwender gemeldete Phishing-Eigenschaften.

    Untergeordnete Security Incidents

    Zugehörige Phishing-E-Mails

    Klicken Sie auf Zugehörige Phishing-E-Mails Registerkarte. Sie sehen eine Liste von Phishing-E-Mail-Datensätzen (doppelte Datensätze), die dem übergeordneten Phishing-E-Mail-Datensatz zugeordnet sind.
    Zugeordnete Phishing-E-Mail-Datensätze

    Zugeordnete Phishing-E-Mail-Header

    Klicken Sie auf Zugehörige Phishing-E-Mails Registerkarte. Sie sehen die Phishing-E-Mail-Header-Details, die als Teil des Security Incidents erfasst wurden. Sie können die Rollup-Header aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die zum übergeordneten Security Incident aggregiert sind.
    Zugeordnete Phishing-E-Mail-Header

    Zulässige Liste erkennbarer Elemente

    Als Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umFlow wird ausgeführt. Sie können den Status des Security Incidents überwachen. Wenn bestimmte erkennbare Elemente als zulässige erkennbare Elemente markiert sind, werden sie nicht der zugehörigen Liste erkennbarer Elemente hinzugefügt. Durch Markieren der erkennbaren Elemente in der Allow-Liste können Sie sicherstellen, dass nur die wichtigen Details angezeigt werden. Beispiel: Wenn www.google.com Ist eine der URLs, die als zulässige Liste getaggt wurde, wird die folgende Systemnachricht angezeigt. Zulässige Listen erkennbarer Elemente stellen sicher, dass nur die wichtigen erkennbaren Elemente überwacht werden.

    Nicht abgeglichene Anwender werden erfasst

    Einige E-Mail-IDs in der an- und CC-Liste der Phishing-E-Mail gehören möglicherweise nicht zu Anwendern in der Organisation. Diese E-Mail-IDs werden als nicht übereinstimmende Anwender kategorisiert und sind nicht in der zugehörigen Liste „Betroffene Anwender“ enthalten. Eine Arbeitsnotiz, die angibt, dass dies nicht übereinstimmende Anwender sind, wird angezeigt.
    Nicht abgeglichene Anwender

    Anwender hat Phishing im Arbeitsbereich für Sicherheitsanalysten gemeldet

    Sie können Security Incidents anzeigen, die den Phishing-E-Mail-Datensätzen im Arbeitsbereich für Sicherheitsanalysten zugeordnet sind.

    Navigieren zu Security Incident > Neue UIan. Der Arbeitsbereich wird in einer separaten Browserregisterkarte geöffnet. Klicken Sie auf den Security Incident, der dem Phishing-E-Mail-Datensatz zugeordnet ist, um den Security Incident anzuzeigen.
    URP Security Incident: Neue UI
    Klicken Sie auf das Fernglas-Symbol. Die ursprüngliche Phishing-E-Mail wird angezeigt.
    URP Security Incident: Neue UI – Phishing-E-Mail
    In Erkunden Klicken Sie auf die Registerkarte Incidents > Untergeordnete Security Incidentsan.
    URP Security Incident: Neue UI – untergeordnete Security Incidents
    Klicken Incidents > Zugehörige Phishing-Header > an. Sie können die Rollup-Header aller untergeordneten Datensätze und Phishing-E-Mail-Datensätze anzeigen, die zum übergeordneten Security Incident aggregiert sind.
    URP: Neue UI – E-Mail-Header
    Klicken Sie auf den Phishing-E-Mail-Link, um den Phishing-E-Mail-Datensatz anzuzeigen, der dem Security Incident zugeordnet ist.
    URP: Neue UI: Phishing-E-Mail-Datensatz
    Klicken Sie auf Incident-Zeitleiste Registerkarte.
    URP: Neue UI: Arbeitsnotizen
    Sie können die Systemupdates anzeigen, die Folgendes hervorheben:
    • Doppelte untergeordnete Datensätze identifiziert.
    • Zulässige Liste erkennbarer Elemente.
    • Nicht übereinstimmende Anwender, die die Phishing-E-Mail erhalten haben, aber nicht zur Liste „Betroffene Anwender“ gehören.

    Häufige Fragen

    Dieser Abschnitt behandelt einige der häufig gestellten Fragen zur erweiterten Phishing-Funktion von Anwendern.

    1. Ich habe die neue Spoke für die Reaktion auf Security Incidents installiert, aber ich kann keine von Anwendern gemeldeten Phishing-Incidents anzeigen.

      Standardmäßig wurde die Phishing-Funktionalität „von Anwender gemeldet“ deaktiviert.

      Um diese Funktion zu aktivieren, müssen Sie eine Kopie des schreibgeschützten erstellen Wandeln Sie vom Anwender gemeldete Phishing-E-Mails in Security Incidents umFlow durchführen und vor der Verwendung aktivieren.

    2. Welche Vorsichtsmaßnahmen werden beim Erfassen von Phishing-E-Mails und ihrer Konvertierung in Security Incidents verwendet, um schädliche Links und Anhänge in den Phishing-E-Mails zu behandeln?

      Die ServiceNowDer Virenschutz-Scanner scannt solche schädlichen Anhänge und Links. Um jedoch sicherzustellen, dass Sicherheitsanalysten die Incidents genau untersuchen können Security Incident ResponseDie Anwendung erfasst alle Artefakte, die Teil einer Phishing-E-Mail sind. Die vom Anwender gemeldete Phishing-Funktionalität schaltet die schädlichen Links in der Phishing-E-Mail jedoch stummgeschaltet, damit Sicherheitsanalysten nicht versehentlich auf diese Links klicken. In Bezug auf schädliche Anhänge müssen Sicherheitsanalysten beim Herunterladen vorsichtig sein.

    3. Erfassen wir alle schädlichen Dateien, die Teil der Phishing-E-Mails sind, zur Ergänzung von Security Incidents?

      Ja, wir erfassen alle Dateien aus den Phishing-E-Mails. Sie können diese Details anzeigen, die als Teil von erkennbaren Security Incident-Elementen in Form eines Datei-Hash verfügbar sind.

    4. Senden wir schädliche Dateien und Links aus Phishing-E-Mails zur Untersuchung an eine Sandbox-Instanz?

      Derzeit unterstützen wir keine sofort einsatzbereiten Sandbox-Integrationen zur Untersuchung schädlicher Dateien und Links.

    5. Gibt es ein Zeitfenster oder einen Auslöser, der die Dauer definiert, in der eingehende doppelte Phishing-E-Mail-Datensätze einem übergeordneten Security Incident zugeordnet werden?

      Doppelte Phishing-E-Mail-Datensätze werden nur zu einem aktiven übergeordneten Security Incident zusammengefasst. Wenn der übergeordnete Incident geschlossen oder abgebrochen wird, wird die eingehende neue doppelte Phishing-E-Mail als neuer Security Incident erstellt. In diesem Szenario können Sie jedoch innerhalb des neuen Security Incidents den geschlossenen oder abgebrochenen übergeordneten Security Incident in anzeigen Ähnlicher Security Incident Zugehörige Liste.

      Hinweis:
      Dieses Verhalten kann mit dem Flow Designer konfiguriert werden.
    6. Unterstützt die Phishing-Funktion für Anwenderberichte nur die Verwendung von Microsoft Outlook PhishAlarm Plugin (früher Wombat) zum Erfassen von E-Mail-Header-Details?

      Die vom Anwender gemeldete Funktionalität wurde entwickelt, um E-Mail-Header zu analysieren, und entspricht den RFC822-Standards. Also ähnlich wie PhishAlarm Plugin (früher als Wombat bekannt); alle anderen Microsoft Outlook-Plugins, die E-Mail-Header basierend auf RFC822-Standards erfassen, werden unterstützt.