Verwenden Sie das Playbook „Spoofing-Erkennung für E-Mail-Domäne“

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um eine Ähnlichkeitsübereinstimmung zwischen der Absender-E-Mail-Domäne des Phisher und einem vertrauenswürdigen Domänennamen im Repository erkennbarer Elemente zu finden. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im Playbook „E-Mail-Domänen-Spoofing-Erkennung“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie die Security Operations-Spoke ( sn_sec_Spoke ).

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, extrahiert das Playbook in Aktion 1 die E-Mail-Domäne aus der Phishing-E-Mail.
    2. In Aktion 2 ruft das Playbook alle erkennbaren Elemente vom Typ Domäne/E-Mail-Adresse ab, die vom Sicherheits-Tag „Domänen-Spoofing-Kandidat“ gekennzeichnet sind.
    3. In Aktion 3 berechnet das Playbook die Ähnlichkeit zwischen der getaggten Domäne und der E-Mail-Domäne mithilfe des Levenshtein-Algorithmus.
      Abbildung : 1. Playbook für E-Mail-Domänen-Spoofing-Erkennung
      Berechnen Sie die Ähnlichkeit zwischen den beiden Domänen mit dem Levenshtein-Algorithmus
    4. In Aktion 4 sucht das Playbook basierend auf den folgenden Bedingungen nach dem Systemeigenschaftsdatensatz:
      • Name ist sn_sec_Spoke.Domain_Spoof_threshold, (ODER)
      • Der Name liegt von a bis z. Wenn mehrere Datensätze gefunden werden, wird nur der erste Datensatz zurückgegeben.
    5. In Aktion 5 überprüft das Playbook basierend auf der bisher durchgeführten Untersuchung, ob die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet oder nicht.
      Wenn die Ähnlichkeit der beiden Domänen den Schwellenwert nicht überschreitet, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow endet. Wenn die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet, werden die Aktionen 6 und 7 ausgeführt.
      Abbildung : 2. Ähnlichkeit überschreitet den Schwellenwert
      Antwortaufgaben, um zu überprüfen, ob die Ähnlichkeit der beiden Domänen den Schwellenwert überschreitet.
    6. In Aktion 6 fügt das Playbook dem Security Incident das Sicherheits-Tag „E-Mail-Domäne Spoofing“ hinzu.
    7. In Aktion 7 fügt das Playbook dem Kontext mithilfe der Skriptoption einen Arbeitsnotizlink hinzu.
    8. In Aktion 8 endet der Flow.