メールドメインなりすまし検出プレイブックを使用する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:1分

    • このプレイブックを使用して、フィッシング攻撃者の送信元メールドメインと、観測可能リポジトリに存在する信頼できるドメイン名との類似性の一致を探します。以下に示すステップは、メールドメインなりすまし検出プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. プレイブックがトリガーされて実行が開始されると、アクション 1 で、プレイブックはフィッシングメールからメールドメインを抽出します。
    2. アクション 2 では、プレイブックはセキュリティタグ「ドメインスプーフィング候補」でタグ付けされたすべてのドメイン/メールアドレスタイプの観測事象を取得します。
    3. アクション 3 で、プレイブックはレーベンシュタインアルゴリズムを使用して、タグ付きドメインとメールドメイン間の類似度を計算します。
      図 : 1. メールドメインなりすまし検出プレイブック
      レーベンシュタインアルゴリズムを使用して 2 つのドメイン間の類似度を計算します
    4. アクション 4 では、プレイブックは次のいずれかの条件に基づいてシステムプロパティレコードを検索します。
      • 名前は sn_sec_spoke.domain_spoof_threshold。
      • 名前は a ~ z で、複数のレコードが見つかった場合、最初のレコードのみが返される。
    5. アクション 5 では、これまでに行った調査に基づいて、プレイブックは 2 つのドメインの類似性がしきい値を超えているかどうかを確認します。
      2 つのドメインの類似性がしきい値を超えない場合、アクション 5 で、手動応答タスクが作成され、フローが終了します。2 つのドメインの類似性がしきい値を超えると、アクション 6 と 7 が実行されます。
      図 : 2. 類似性がしきい値を超える
      2 つのドメインの類似性がしきい値を超えているかどうかを確認するための応答タスク。
    6. アクション 6 では、プレイブックはメールドメインなりすましセキュリティタグをセキュリティインシデントに追加します。
    7. アクション 7 では、プレイブックはスクリプトオプションを使用して作業メモリンクをコンテキストに追加します。
    8. アクション 8 で、フローは終了します。