Utiliser le playbook de domaine squatté par une faute de frappe

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook de domaine squatté par typo.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, à l’étape 1, vous devez vérifier si les observables sont ajoutés à Security Incident Response (SIR).
      Si les observables ne sont pas ajoutés à SIR, veuillez les ajouter avant de poursuivre. Si les observables ne sont pas disponibles, l’étape 10 est exécutée et l’incident de sécurité est fermé.
    2. À l’étape 2, si les observables sont ajoutés à l’incident de sécurité, les étapes suivantes sont exécutées.
    3. À l’étape 3, vous devez joindre la capture d’écran du domaine squatté par erreur de frappe à l’incident de sécurité.
      Figure 1. Playbook de domaine squatté par une faute de frappe
      Tâches de réponse pour vérifier si les observables sont ajoutés à l’incident de sécurité.
    4. À l’étape 4, vous devez joindre les informations de Whois à l’incident de sécurité.
    5. À l’étape 5, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie s’il s’agit d’un cas de domaine squatté par typo ou non.
      S’il ne s’agit pas d’un domaine squatté par une faute de frappe, une tâche de réponse manuelle est créée à l’étape 5 et le flux se termine.
    6. À l’étape 6, s’il s’agit d’un domaine squatté par une faute de frappe, l’étape 7 est exécutée.
    7. À l’étape 7, vous devez envoyer un e-mail et informer le service juridique et les autres équipes requises qu’il s’agit d’un cas de domaine squatté par faute de frappe et prendre les mesures nécessaires pour l’éradiquer.
      S’il ne s’agit pas d’un domaine squatté par une faute de frappe, une tâche de réponse manuelle est créée à l’étape 5 et le flux se termine.
      Figure 2. Cas de faute de frappe Domaine squatté
      Tâches de réponse s’il s’agit d’une faute de frappe Domaine squatté
    8. À l’étape 9, une tâche de réponse est créée pour que vous terminiez la revue post-incident avant de fermer la tâche.