Créer des incidents de sécurité à partir d’e-mails d’hameçonnage signalés par un utilisateur

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 23 minutes de lecture

    • Utilisez cette fonctionnalité pour créer des incidents de sécurité à partir des e-mails d’hameçonnage signalés par un utilisateur.

    La fonctionnalité améliorée User Reported Phishing comprend des options d’agrégation, d’extraction d’en-tête d’e-mail et de configuration.

    • Les utilisateurs peuvent signaler les e-mails d’hameçonnage de plusieurs manières :
      • Les e-mails peuvent être transférés en tant que pièces jointes.
      • Si le module d’extension PhishAlarm (anciennement connu sous le nom de Wombat) a été configuré avec le client Microsoft Outlook, les utilisateurs peuvent :
        • Cliquez sur le bouton Signaler un hameçonnage .
        • Transférer des e-mails d’hameçonnage à partir d’un appareil mobile à l’aide de l’option Signaler un hameçonnage .

        Signaler des e-mails d’hameçonnage
      • Les utilisateurs peuvent télécharger un e-mail d’hameçonnage (au format .eml).
        Signaler des e-mails d’hameçonnage en tant que pièces jointes
    • L’hameçonnage signalé par un utilisateur comprend une logique métier d’agrégation qui identifie les e-mails d’hameçonnage en double signalés par les utilisateurs d’une organisation. Les utilisateurs peuvent utiliser cette fonctionnalité pour :
      • Regroupez les incidents d’hameçonnage en double ou similaires signalés par un utilisateur (campagnes d’hameçonnage initiées par l’entreprise).
      • Évitez de trier les incidents d’hameçonnage en double signalés par les utilisateurs et réduisez l’effort manuel nécessaire à la consolidation des incidents.
      • Permettez aux analystes de sécurité de travailler sur un seul incident d’hameçonnage signalé par un utilisateur.
    • Fournit des en-têtes d’e-mail d’hameçonnage dans l’incident d’hameçonnage signalé par l’utilisateur.
      • Les analystes de sécurité peuvent rechercher des informations clés sur l’en-tête des e-mails au sein de l’incident.
      • Il n’est plus nécessaire de faire un effort manuel pour recueillir des informations d’en-tête à partir d’autres sources.
    • L’e-mail d’hameçonnage d’origine envoyé est stocké en tant qu’enregistrement d’e-mail d’hameçonnage dans une nouvelle table.
    • Les analystes de sécurité peuvent consulter les détails de l’e-mail d’hameçonnage d’origine, tels que le contenu, les en-têtes et l’origine de l’e-mail d’hameçonnage.
    • Les administrateurs de sécurité peuvent configurer et apporter certaines améliorations, notamment :
      • Configurations permettant d’extraire les en-têtes des e-mails du corps de l’e-mail (signaler les soumissions d’hameçonnage ).
      • Filtres pour capturer les en-têtes sélectionnés.
      • Configurations pour gérer l’association parent-enfant d’incident lorsque des enregistrements d’e-mail d’hameçonnage en double sont identifiés.
      • Configurations de Concepteur de flux pour modifier la logique métier d’agrégation en fonction des besoins.

    Configurer des règles d’intégration pour le hameçonnage signalé par l’utilisateur

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance d’e-mails pour filtrer les e-mails d’hameçonnage signalés par un utilisateur en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés directement ou via le bouton Signaler un hameçonnage à security@acme.com sont classés comme des e-mails d’hameçonnage signalés par un utilisateur. Pour plus d'informations, consultez Configurer des règles d’intégration pour l’hameçonnage signalé par un utilisateur.

    Définir les propriétés de hameçonnage signalé par un utilisateur

    Définissez les informations d’en-tête à capturer à partir des e-mails d’hameçonnage signalés par l’utilisateur. Pour plus d'informations, voir Définir les propriétés de hameçonnage signalé par un utilisateur

    Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par un utilisateur

    Les e-mails d’hameçonnage signalés par un utilisateur sont convertis en incidents de sécurité en fonction des règles de correspondance d’e-mail qui ont été définies. Pour plus d'informations, consultez Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par un utilisateur.

    Transformer l’e-mail d’hameçonnage en incident de sécurité

    Le flux Transformer l’e-mail d’hameçonnage en incident de sécurité convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité. Pour plus d'informations, consultez Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Affichez les détails de l’enregistrement de l’incident de sécurité, y compris les listes connexes, les notes de travail et d’autres informations importantes. Pour plus d'informations, consultez Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Composants et modules d’extension requis

    La fonctionnalité User Reported Phishing disponible dans cette version est une version améliorée de la fonctionnalité User Reported Phishing existante disponible dans la version London. Pour plus d’informations, consultez la rubrique Créer des règles pour valider les attaques de phishing signalées par un utilisateur dans la documentation London.

    Instructions d’installation importantes

    Cette amélioration remplace la conception existante de hameçonnage signalé par un utilisateur. Le nouveau design comprend les mises à jour suivantes :
    • Les actions entrantes des e-mails de hameçonnage signalés par un utilisateur existantes (Type = Transfert et Type = Nouveau) ont été désactivées.
    • Une nouvelle action Créer un e-mail d’hameçonnage entrant est désormais disponible.
    • Il s’agit Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité d’un nouveau flux qui contient la logique métier de création et d’agrégation des incidents de sécurité pour la nouvelle conception. Vous devez activer ce flux pour que la nouvelle conception prenne effet.
    • Les règles existantes de hameçonnage signalé par un utilisateur ont été conservées pendant la mise à niveau.
    Remarque :
    Si vous utilisez des actions entrantes d’e-mail personnalisées et des workflows personnalisés pour les soumissions d’hameçonnage signalées par les utilisateurs, vous devez examiner les anciennes et les nouvelles conceptions pour détecter les fonctionnalités en conflit ou qui se chevauchent.
    Hameçonnage signalé par un utilisateur Détails de l’amélioration : Voici les détails de l’amélioration :
    Remarque :
    • Les actions entrantes de Hameçonnage signalé par un utilisateur disponibles avant la version 9.0 de Réponse aux incidents de sécurité sont désormais désactivées. Les incidents de sécurité ne sont plus créés via les actions entrantes désactivées.
    • L’application Spoke Security Operations doit être installée pour que la nouvelle conception prenne effet. Cela inclut le Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité flux qui est disponible à l’état inactif par défaut. Activez ce flux pour créer des incidents de sécurité à partir des enregistrements d’e-mails d’hameçonnage.
    L’image suivante montre les différences entre l’ancien et le nouveau design :
    User Reported Phishing : différences
    Pour utiliser la fonctionnalité améliorée User Reported Phishing, les modules d’extension et composants suivants sont requis :
    • Support de sécurité commun (sn_sec_cmn) : comprend :
      • Action entrante
      • Nouveau script EmailUserReportedPhishing
      • Table Règles d’ingestion
    • Réponse aux incidents de sécurité (sn_si) : comprend :
      • Table des incidents de sécurité (sn_si_incident)
      • Table des e-mails d’hameçonnage de sécurité (sn_si_phishing_email)
      • Table des en-têtes d’e-mails d’hameçonnage de sécurité (sn_si_phishing_email_header)
      • Créateur d’enregistrement de chargement EML
    • Spoke Security Operations

      Flux et flux secondaires pour l’agrégation des e-mails et la transformation des e-mails d’hameçonnage en incidents de sécurité.

    La figure suivante montre la nouvelle table d’e-mails d’hameçonnage avec des références à la règle URP correspondante et à l’enregistrement d’incident de sécurité cible (sn_si_incident).


    Modèle de données URP

    Configurer des règles d’intégration pour l’hameçonnage signalé par un utilisateur

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance d’e-mails pour filtrer les e-mails d’hameçonnage signalés par un utilisateur en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés directement ou via le bouton Signaler un hameçonnage à security@acme.com sont classés comme des e-mails d’hameçonnage signalés par un utilisateur.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Opérations de sécurité > Traitement des e-mails > Règles d'intégration : hameçonnage signalé par un utilisateur.
    2. Cliquez sur Nouveau pour créer une règle de correspondance d’e-mail.
    3. Entrez un nom et définissez une ou plusieurs conditions pour la règle.
    4. Cliquez sur Soumettre pour enregistrer la règle.
      Voici quelques exemples de règles :
      • ToRule : filtrez les e-mails qui ont été envoyés directement ou transférés à security@example.com identifiant d’e-mail . Définir ToRule
      • Règle d’ID d’utilisateur : filtrez les e-mails qui ont été envoyés à partir d’un ID d’e-mail spécifique. Définir la règle d’ID d’utilisateur

    Définir les propriétés de hameçonnage signalé par un utilisateur

    Définissez les informations d’en-tête qui doivent être capturées à partir des e-mails d’hameçonnage signalés par un utilisateur.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Utilisez ces options pour configurer les paramètres de hameçonnage signalé par l’utilisateur suivants.
    • Configuration permettant d’extraire les en-têtes des e-mails du corps de l’e-mail. (Signaler les soumissions d’hameçonnage .)
    • Filtrez pour sélectionner des en-têtes.
    • Activer ou désactiver l’association parent-enfant.

    Procédure

    1. Accédez à la Tout > Opérations de sécurité > Traitement des e-mails > Propriétés de hameçonnage signalé par un utilisateur.
      Propriétés de hameçonnage signalé par un utilisateur
    2. Spécifiez la configuration d’extraction des en-têtes d’e-mail du corps de l’e-mail :
      • Saisissez une chaîne qui identifie le début de l’en-tête de l’e-mail.
      • Saisissez une chaîne qui identifie la fin de l’en-tête de l’e-mail.
        Remarque :
        Appliquez ces paramètres uniquement aux en-têtes capturés dans le corps de l’e-mail d’hameçonnage. Par exemple, si le module d’extension PhishAlarm (anciennement connu sous le nom de Wombat) a été configuré avec le client Microsoft Outlook, lorsque l’utilisateur clique sur le bouton Signaler un hameçonnage , les en-têtes des e-mails sont capturés selon la configuration définie ici. Les informations d’en-tête ne sont pas capturées si l’e-mail d’hameçonnage est transféré en tant que pièce jointe.
    3. Spécifiez des filtres pour éliminer les en-têtes qui ne sont pas nécessaires pour enquêter sur l’incident de sécurité.

      Saisissez une liste d’en-têtes séparés par des virgules qui doivent être capturés à partir de l’e-mail d’hameçonnage signalé par l’utilisateur. Si vous ne spécifiez aucune valeur ici, toutes les informations d’en-tête sont capturées.

    4. Activer ou désactiver l’association parent-enfant.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour indiquer que les incidents de sécurité enfants doivent être créés lorsque les e-mails d’hameçonnage signalés par un utilisateur sont regroupés. Si vous sélectionnez Non, les incidents de sécurité enfants ne sont pas créés, mais les e-mails d’hameçonnage signalés par l’utilisateur sont associés à l’incident de sécurité et l’enregistrement de l’incident de sécurité est mis à jour. Pour en savoir plus sur la façon dont les incidents de sécurité enfants sont créés, reportez-vous à la rubrique Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité .
    5. Activez ou désactivez l’option permettant d’afficher le contenu de l’e-mail d’hameçonnage au format HTML.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour afficher le contenu de l’e-mail d’hameçonnage au format HTML. Si vous sélectionnez Non, le contenu de l’e-mail au format HTML ne sera pas visible dans un enregistrement d’hameçonnage.

    Enregistrements d’e-mails d’hameçonnage créés à partir d’e-mails d’hameçonnage signalés par un utilisateur

    Les e-mails d’hameçonnage signalés par un utilisateur sont convertis en incidents de sécurité en fonction des règles de correspondance d’e-mails qui ont été définies.

    Lorsqu’un nouvel e-mail d’hameçonnage est signalé, les actions suivantes ont lieu :

    Pour afficher les détails de l’e-mail, accédez à Incident de sécurité > Afficher tous les e-mails d'hameçonnage. Une liste des enregistrements d’e-mails d’hameçonnage s’affiche. Cliquez sur le lien de date dans la colonne Créé pour afficher l’enregistrement d’e-mail.


    E-mail d’hameçonnage avec ToRule
    Tableau 1. Détails de l’e-mail d’hameçonnage de l’incident de sécurité
    Nom de champ Description
    Numéro Numéro attribué à l’e-mail d’hameçonnage signalé par l’utilisateur.
    Objet Objet de l'e-mail. La règle d’objet est utile dans les simulations de campagnes ou de tests d’hameçonnage. Dans ce cas, les organisations envoient des e-mails trompeurs à leur propre personnel pour tester leur réponse au phishing et aux attaques par e-mail similaires.

    Dans les tests d’e-mails d’hameçonnage simulés, si le client de messagerie Microsoft Outlook avec le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) est utilisé, l’utilisateur peut cliquer sur le bouton Signaler un hameçonnage pour signaler l’e-mail d’hameçonnage. L’e-mail est envoyé à l’équipe Security Operations avec la fonctionnalité Simulated Phishing ajoutée à l’objet de l’e-mail. Cela est utilisé pour identifier l’e-mail comme un e-mail d’hameçonnage simulé.
    De Adresse e-mail à partir de laquelle provient cet e-mail d’hameçonnage. Ces informations sont disponibles si l’e-mail d’hameçonnage est transféré comme . Pièce jointe du fichier EML ou si les en-têtes d’origine sont intégrés dans l’e-mail.

    Si l’utilisateur a transféré l’e-mail d’hameçonnage directement, l’adresse de l’appelant peut ne pas être disponible.
    Reporté par L’ID d’e-mail de l’utilisateur qui a signalé cet e-mail d’hameçonnage. Cliquez sur l’icône Informations pour afficher des détails supplémentaires.
    ID de message ID affecté au message.
    Règle URP correspondante La règle User Reported Phishing qui doit être appliquée à cet e-mail. Cliquez sur l’icône Informations pour afficher des détails supplémentaires.
    Règle d’ingestion URP

    Comme vous pouvez le voir, dans cet exemple, le champ Condition montre que la ToRule est appliquée sur cet e-mail et qu’un incident de sécurité est créé. Voir Configurer des règles d’intégration pour l’hameçonnage signalé par un utilisateur pour plus d’informations sur la définition de règles de correspondance d’e-mail.
    État Lorsqu’un nouvel enregistrement d’e-mail d’hameçonnage est créé dans la table sn_si_phishing_email , le champ État est défini sur Nouveau. Lorsque cet enregistrement d’e-mail est converti en incident de sécurité (voir Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité), le champ État est mis à jour sur Traité.
    Origine de l’en-tête Ce champ indique l’origine des en-têtes de l’e-mail ou la manière dont l’utilisateur a signalé l’e-mail d’hameçonnage :
    • En-tête d’e-mail : l’utilisateur a transféré l’e-mail d’hameçonnage à l’équipe des opérations de sécurité.
    • Corps du texte de l’e-mail :
      • L’utilisateur a cliqué sur l’option Signaler un hameçonnage (si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client de messagerie).
      • En fonction de la règle User Reported Phishing définie, l’e-mail d’hameçonnage est transmis à l’équipe des opérations de sécurité.
    • En-tête de pièce jointe EML :
      • Pièce jointe : l’utilisateur a transféré l’e-mail sous forme de pièce jointe (. EML).
      • Soumission de Catalogue de services : l’utilisateur a téléchargé l’e-mail en tant que . EML sur le bureau, puis téléchargé vers un emplacement spécifié. L’incident de sécurité est ensuite créé à partir de l’e-mail.
    • Corps de pièce jointe EML :
      • L’utilisateur a cliqué sur l’option Signaler un hameçonnage (si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client de messagerie).
      • En fonction de la règle User Reported Phishing définie, l’e-mail d’hameçonnage est transmis en pièce jointe à l’équipe des opérations de sécurité.
    Incident de sécurité Ce champ est vide lorsque l’e-mail d’hameçonnage signalé par l’utilisateur est signalé pour la première fois. Lorsque le Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité flux a été exécuté, cet e-mail est converti en enregistrement d’incident de sécurité et le numéro de cet enregistrement est affiché ici.
    En-têtes bruts Ce champ affiche les informations d’en-tête complètes extraites de l’e-mail, telles que définies dans la Définir les propriétés de hameçonnage signalé par un utilisateur page. Les en-têtes sont analysés en paires de valeurs clés et affichés dans la liste En-têtes des e-mails d’hameçonnage.
    En-têtes d’e-mails d’hameçonnage
    Détails Il s’agit du corps de l’e-mail d’hameçonnage signalé par l’utilisateur.

    Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité

    Le flux Transformer l’e-mail d’hameçonnage en incident de sécurité est un nouveau flux qui convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité.

    Avant de commencer

    Remarque :
    Pour activer la fonctionnalité User Reported Phishing, vous devez créer une copie du flux et l’activer . Si vous avez créé des actions entrantes personnalisées et des flux personnalisés pour gérer les soumissions d’hameçonnage signalées par les utilisateurs, les modifications de flux suggérées ici ne sont pas requises.
    • Rôle requis : sn_si.admin
    • Le spoke Flow Designer doit être installé.

    Pourquoi et quand exécuter cette tâche

    Ce flux est automatiquement lancé lorsqu’un enregistrement d’e-mail de hameçonnage signalé par un utilisateur avec l’état défini sur Nouveau est créé. Ce flux contient la logique pour :
    • Regrouper les incidents de sécurité.
    • Mettez à jour les incidents de sécurité avec les notes pertinentes.
    • Ajoutez des données d’en-tête.
    • Créez des incidents enfants selon vos besoins.

    Procédure

    • Accédez à la Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations.
      Flux Security Operations
    • Cliquez sur le lien Transformer l’e-mail d’hameçonnage en incidents de sécurité pour afficher le flux.
    • Ce flux est fourni avec le système de base et est en mode lecture seule et ne peut pas être utilisé.
      Cliquez sur l’icône Plus, faites une copie du flux et ouvrez-le pour votre utilisation. Vous pouvez maintenant apporter des changements à votre flux, tels que la modification des conditions ou des actions de déclenchement, ou l’ajout et la suppression d’actions. Après avoir apporté les modifications nécessaires, vous devez activer ( Voir Activer un Réponse aux incidents de sécurité flux) le flux afin qu’il puisse être exécuté.Flux Transformer l’e-mail d’hameçonnage en incidents de sécurité

      Cette figure illustre le déclencheur et les étapes exécutées avec le flux. Le panneau de droite affiche le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.

    • Cliquez sur l’icône Déclencher .
      Dans la première étape, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions pour le déclencheur et la tâche à effectuer lorsque les conditions sont remplies. Ce flux est lancé lorsqu’un nouvel enregistrement est chargé dans la table sn_si_phishing_email .Flux de transformation : déclencher
    • À l’étape 1, le flux vérifie si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégées ? est activé ou désactivé dans la Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité page.
      Flux de transformation : action 1
    • À l’étape 2, l’incident de sécurité parent le plus ancien est identifié.
      Remarquez l’icône à l’étape 2. Cela indique que le flux secondaire d’agrégation des e-mails d’hameçonnage sera exécuté dans le cadre de cette étape.Flux de transformation : action 2

      Cliquez sur l’icône du concepteur d’action pour afficher une vue détaillée de l’action. Ce flux secondaire vérifie l’e-mail d’hameçonnage et le met en correspondance avec un incident de sécurité existant en fonction des critères spécifiés.

      Flux de transformation : flux secondaire d’agrégation d’e-mails d’hameçonnage
      Ces deux actions sont effectuées lorsque ce flux secondaire est exécuté. Cliquez sur le lien de la première action pour afficher des détails supplémentaires.
      Flux de transformation : flux secondaire : action
      Cette action vérifie les e-mails qui correspondent aux critères du nouvel e-mail entrant en fonction de conditions telles que :Si ces conditions sont remplies, vous pouvez voir le nombre d’enregistrements qui correspondent aux critères dans le champ Nombre maximal de résultats. L’enregistrement le plus ancien ou le premier de la liste est désigné comme l’enregistrement parent par rapport auquel les incidents de sécurité seront regroupés.
    • L’étape 3 s’applique uniquement si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégées ? a été défini sur Non dans la Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité page.
      Dans ce cas, l’e-mail d’hameçonnage est associé à l’enregistrement d’incident de sécurité et le flux s’arrête.
      Flux de transformation : action 3
    • Si l’option Créer des incidents enfants pour les soumissions d’e-mails agrégées ? a été définie sur Oui, le flux continue de s’exécuter et un nouvel incident de sécurité est créé en fonction de l’e-mail d’hameçonnage signalé par l’utilisateur.
      Flux de transformation : action 4
    • À l’étape 5, les utilisateurs qui ont reçu l’e-mail d’hameçonnage (employés dans la liste À et CC de l’e-mail d’hameçonnage) sont ajoutés à la liste connexe Utilisateurs affectés dans l’enregistrement d’incident de sécurité.
      Transformer le formulaire : Action 4
    • À l’étape 6, les observables sur la liste d’autorisation sont filtrés à partir de la liste des observables dans l’incident de sécurité.
      Ces éléments observables répertoriés comme autorisation ne seront pas ajoutés à l’incident de sécurité.
      Flux de transformation : filtrer les éléments accessibles sur la liste d’autorisation
    • À l’étape 7, les observables inconnus de l’e-mail d’hameçonnage signalé par l’utilisateur sont identifiés et ajoutés à la liste connexe Observables.
      Flux de transformation : ajouter des observables
    • À l’étape 8, une requête de recherche d’e-mails est générée, qui est une combinaison de l’objet et de l’adresse De de l’e-mail.
      Ces informations sont utiles pour identifier les employés de l’organisation qui ont été victimes d’hameçonnage.
      Flux de transformation : créer une requête de recherche d’e-mails
    • À l’étape 9, l’e-mail d’hameçonnage signalé par l’utilisateur est associé à l’incident de sécurité et l’enregistrement d’incident de sécurité (créé à l’étape 4) est mis à jour.
      Flux de transformation : mettre à jour l’enregistrement d’incident de sécurité
    • À l’étape 10, l’incident de sécurité parent est identifié et une vérification est effectuée pour voir s’il s’agit d’un enregistrement d’incident de sécurité ouvert.
      Flux de transformation : rechercher un enregistrement d’incident de sécurité
    • Si la sécurité parent est active, des notes sont ajoutées aux enregistrements d’incident de sécurité enfant et parent, indiquant comment ils sont associés les uns aux autres.
    • À l’étape 12, si aucun utilisateur affecté n’est trouvé (à l’étape 5 du flux), une note de travail est ajoutée et l’enregistrement d’incident de sécurité est mis à jour.
      Flux de transformation : ajouter une note de travail pour les utilisateurs sans correspondance
    • À l’étape 13, une note de travail est ajoutée avec la liste des observables sur la liste d’autorisation.
      Flux de transformation : ajouter une liste d’observables sur la liste d’autorisation

    Que faire ensuite

    Vous pouvez cliquer sur Tester pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, cliquez sur Activer pour activer le flux afin qu’il puisse être exécuté.

    Cliquez sur Exécutions pour afficher les détails d’exécution du flux.


    Flux de transformation : détails de l’exécution

    Lorsque le flux a été exécuté, l’enregistrement de l’e-mail d’hameçonnage est converti en incident de sécurité. Reportez-vous à la rubrique Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Les enregistrements d’e-mails d’hameçonnage stockés dans la table sn_si_phishing_email sont convertis en enregistrements d’incidents de sécurité.

    Pour afficher l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage, cliquez sur Incident de sécurité > E-mail de hameçonnage > Afficher tous les e-mails d’hameçonnage.


    Table des e-mails d’hameçonnage

    Cliquez sur le lien dans la colonne Incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage. Les détails de l’incident de sécurité s’affichent.


    Incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage

    Listes connexes

    Faites défiler la page vers le bas jusqu’à la section Liens connexes de l’incident de sécurité et cliquez sur la liste connexe Afficher tout. Affichez des détails tels que les incidents de sécurité enfants, les utilisateurs affectés, les e-mails d’hameçonnage associés.

    Incidents de sécurité enfants

    Cliquez sur l’onglet Incidents de sécurité enfants . Vous pouvez consulter une liste des incidents de sécurité enfants associés à l’incident de sécurité parent en fonction de la logique d’agrégation qui a été appliquée. Pour chaque enregistrement enfant ajouté, une activité système automatisée est ajoutée (dans la section Worknote) à l’enregistrement parent. L’analyste de sécurité est informé de l’enregistrement enfant regroupé.
    Remarque :
    Vous pouvez voir les incidents de sécurité enfants ici uniquement si le marqueur Créer des incidents enfants pour les soumissions d’e-mails agrégées est défini sur Oui dans la page Propriétés de hameçonnage signalé par un utilisateur. Consultez Définir les propriétés de hameçonnage signalé par un utilisateur pour en savoir plus.

    Incidents de sécurité enfants

    E-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Une liste d’enregistrements d’e-mails d’hameçonnage (enregistrements en double) associés à l’enregistrement d’e-mail d’hameçonnage parent s’affiche.
    Enregistrements d’e-mails d’hameçonnage associés

    En-têtes d’e-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Vous voyez les détails de l’en-tête de l’e-mail d’hameçonnage qui ont été capturés dans le cadre de l’incident de sécurité. Vous pouvez afficher les en-têtes cumulés de tous les enregistrements enfants et les enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.
    En-têtes d’e-mails d’hameçonnage associés

    Observables de liste d’autorisation

    Pendant l’exécution du Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité flux, vous pouvez surveiller l’état de l’incident de sécurité. Lorsque certains observables sont marqués comme observables de liste d’autorisation, ils ne sont pas ajoutés à la liste connexe des observables. En marquant les observables sur la liste d’autorisation, vous pouvez vous assurer que seuls les détails importants sont affichés. Par exemple, s’www.google.com une des URL qui a été balisée comme liste d’autorisation, le message système suivant s’affiche. La liste d’autorisation des observables garantit que seuls les observables importants sont surveillés.

    Capture des utilisateurs sans correspondance

    Certains ID d’e-mail de la liste À et CC de l’e-mail d’hameçonnage peuvent ne pas appartenir à des utilisateurs de l’organisation. Ces ID d’e-mail sont classés comme des utilisateurs sans correspondance et ne sont pas inclus dans la liste connexe des utilisateurs affectés. Une note de travail indiquant qu’il s’agit d’utilisateurs sans correspondance s’affiche.
    Utilisateurs sans correspondance

    Hameçonnage signalé par un utilisateur dans Security Analyst Workspace

    Vous pouvez afficher les incidents de sécurité associés aux enregistrements d’e-mails d’hameçonnage dans l’Espace de travail de l’analyste de la sécurité.

    Accédez à la Incident de sécurité > Nouvelle interface utilisateur. L’espace de travail s’ouvre dans un onglet de navigateur distinct. Cliquez sur l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage pour afficher l’incident de sécurité.
    Incident de sécurité URP : nouvelle interface utilisateur
    Cliquez sur l’icône des jumelles. L’e-mail d’hameçonnage d’origine s’affiche.
    Incident de sécurité URP : nouvelle interface utilisateur : e-mail d’hameçonnage
    Dans l’onglet Explorer , cliquez sur Incidents > Incidents de sécurité enfants.
    Incident de sécurité URP : nouvelle interface utilisateur : incidents de sécurité enfants
    Cliquer sur Incidents > En-têtes d'hameçonnage associés > . Vous pouvez afficher les en-têtes cumulés de tous les enregistrements enfants et les enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.
    URP : Nouvelle interface utilisateur - En-têtes d’e-mail
    Cliquez sur le lien de l’e-mail d’hameçonnage pour afficher l’enregistrement de l’e-mail d’hameçonnage associé à l’incident de sécurité.
    URP : Nouvelle interface utilisateur : enregistrement d’e-mail d’hameçonnage
    Cliquez sur l’onglet Chronologie des incidents .
    URP : Nouvelle interface utilisateur : notes de travail
    Vous pouvez consulter les mises à jour système qui mettent en évidence :
    • Identifier les enregistrements enfants en double.
    • Observables sur liste d’autorisation.
    • Utilisateurs sans correspondance ayant reçu l’e-mail d’hameçonnage, mais n’appartenant pas à la liste des utilisateurs affectés.

    Forum aux questions

    Cette section couvre certaines des questions fréquemment posées sur la fonctionnalité améliorée d’hameçonnage signalé par un utilisateur.

    1. J’ai installé le nouveau spoke Réponse aux incidents de sécurité, mais je ne peux afficher aucun incident d’hameçonnage signalé par un utilisateur.

      Par défaut, la fonctionnalité User Reported Phishing a été désactivée.

      Pour activer cette fonctionnalité, vous devez faire une copie du flux en lecture seule Transformer les e-mails d’hameçonnage signalés par un utilisateur en incidents de sécurité et l’activer avant utilisation.

    2. Lors de l’ingestion d’e-mails d’hameçonnage et de leur conversion en incidents de sécurité, quelles mesures de précaution sont utilisées pour gérer les liens et les pièces jointes malveillants contenus dans les e-mails d’hameçonnage ?

      L’analyseur ServiceNow antivirus analyse ces pièces jointes et ces liens malveillants. Cependant, pour s’assurer que les analystes de sécurité peuvent enquêter avec précision sur les incidents, l’application Réponse aux incidents de sécurité capture tous les artefacts qui font partie d’un e-mail d’hameçonnage. Mais la fonctionnalité User Reported Phishing désactive les liens malveillants contenus dans l’e-mail de phishing afin que les analystes de sécurité ne cliquent pas accidentellement sur ces liens. En ce qui concerne les pièces jointes malveillantes, les analystes de sécurité doivent être prudents lorsqu’ils les téléchargent.

    3. Est-ce que nous capturons tous les fichiers malveillants qui font partie des e-mails d’hameçonnage pour enrichir les incidents de sécurité ?

      Oui, nous capturons tous les fichiers des e-mails d’hameçonnage. Vous pouvez afficher ces détails dans le cadre des observables d’incident de sécurité sous la forme d’un hachage de fichier.

    4. Envoyons-nous des fichiers et des liens malveillants à partir d’e-mails d’hameçonnage à une instance de bac à sable pour enquête ?

      Actuellement, nous ne prenons pas en charge les intégrations de bac à sable prêtes à l’emploi pour enquêter sur les liens et les fichiers malveillants.

    5. Existe-t-il une fenêtre de temps ou un déclencheur qui définit la durée pendant laquelle les enregistrements d’e-mails d’hameçonnage entrants en double sont associés à un incident de sécurité parent ?

      Les enregistrements d’e-mails d’hameçonnage en double sont regroupés uniquement en un incident de sécurité parent actif. Si l’incident parent est fermé ou annulé, le nouvel e-mail d’hameçonnage en double entrant est créé en tant que nouvel incident de sécurité. Toutefois, dans ce scénario, au sein du nouvel incident de sécurité, vous pouvez afficher l’incident de sécurité parent fermé ou annulé dans la liste connexe Incident de sécurité similaire .

      Remarque :
      Ce comportement peut être configuré à l’aide du concepteur de flux.
    6. La fonctionnalité User Report Phishing prend-elle en charge l’utilisation uniquement du module d’extension Microsoft Outlook PhishAlarm (précédemment connu sous le nom de Wombat) pour capturer les détails d’en-tête d’e-mail ?

      La fonctionnalité Signalé par l’utilisateur a été conçue pour analyser les en-têtes d’e-mail et est conforme à la norme RFC822. Ainsi, à l’instar du plugin PhishAlarm (anciennement connu sous le nom de Wombat), tous les autres plugins Microsoft Outlook qui capturent les en-têtes d’e-mail basés sur les normes RFC822 sont pris en charge.