ユーザーから報告されたフィッシングに関する最終判定の生成
セキュリティインシデントレスポンスチームは、予測インテリジェンスおよび脅威エンリッチメント統合の結果に基づいて、ユーザーから報告されたフィッシングレコードに関する最終的な判定を下せるようになりました。
この最終判定の生成は、ディシジョンテーブル構成を介して有効化され、フロー内で活用されます。
必須条件
「必要なコンポーネントとプラグイン」にリストされているすべてのプラグインがインストールされていることを確認します。
移動先 .
[意思決定の入力] タブには、最終判定に到達するために評価されたさまざまな条件が表示されます。
ベースシステムでは、次の条件を使用できます。
- 不審として予測:予測インテリジェンスによって、ユーザーから報告されたフィッシングメールが [不審] であると分類された場合。
- 少なくとも 1 つの観測事象に悪意がある:脅威インテリジェンスソースによって、セキュリティインシデントに関連する観測事象 (URL、ドメイン、IP、ハッシュなど) が [悪意がある] として分類された場合。
- 観測事象の拡張が疑わしい:観測事象の拡張 (たとえば、フィッシングドメイン登録の最新性、フィッシングドメイン登録の国) が疑わしい場合。
- 送信者ドメインが偽装されている:フィッシング攻撃者のメールドメインが信頼できるドメインになりすましている可能性がある場合。
- 送信者名が偽装されている:フィッシング攻撃者のメールアドレスが組織の信頼できる従業員になりすましている可能性がある場合。
[決定] タブには、特定のセキュリティインシデントに対して到達できる最終判定オプションが表示されます。
ベースシステムでは、次の決定を使用できます。
- [確認済みのフィッシング (Confirmed Phish)]:条件により、確認済みのフィッシングメールであると最終判定された場合。
- [フィッシングの可能性あり (Likely Phish)]:条件により、潜在的なフィッシング試行であると最終判定された場合。
- [安全な可能性が高い]:条件により、無害であると最終判定された場合。
最終判定オプションごとに、評価された条件を確認できます。[ラベル] リンクをクリックして条件を表示します。
ベースシステムで提供されるディシジョンテーブルをカスタマイズすることも、独自のディシジョンテーブルを作成することもできます。このディシジョンテーブルは、セキュリティインシデントレスポンスプレイブックで利用できます。ベースシステムでは、フィッシングセキュリティインシデントの最終判定を生成サブフローを使用できます。このサブフローは、フィッシングセキュリティインシデントの最終判定を自動的に生成し、その決定に基づいてセキュリティタグを適用します。このサブフローは、自動フィッシングプレイブックの一部として含めることができます。
このサブフローの入力は次のとおりです。
- incident_id:フィッシングセキュリティインシデントの Sys ID。
- c_level_names:フィッシング攻撃で偽装されている可能性がある名前のカンマ区切りリスト (組織内の役員の名前など)。
- trusted_domains:信頼できるメールドメインのカンマ区切りリスト。
- enrichment_keywords:エンリッチメント結果から観測事象に悪意があることを示すキーワードのカンマ区切りリスト。
- sender_email (オプション):フィッシングメールの送信者のメールアドレス。
このフローの出力は、[確認済みのフィッシング (Confirmed Phish)]、[フィッシングの可能性あり (Likely Phish)]、または [安全な可能性が高い] になります。