Verwenden Sie das Playbook „gefälschte E-Mails“ (mit demselben Anzeigenamen)

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um gefälschte E-Mails zu untersuchen, die ausgelöst werden, wenn gefälschte Namen für E-Mails an die Mitarbeiter der Organisation gesendet werden. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im Playbook „gefälschte E-Mails“ (mit demselben Anzeigenamen) verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, müssen Sie in Aktion 1 überprüfen, ob in Proofpoint fortlaufende gefälschte E-Mails vorhanden sind.
    2. Wenn in Aktion 2 kontinuierliche E-Mails in Proofpoint vorhanden sind, überprüfen Sie, ob dies eine interne gefälschte E-Mail ist oder nicht.
    3. Wenn es sich in Aktion 3 um eine interne gefälschte E-Mail handelt, führen Sie die folgenden Aktionen aus:
      1. In Aktion 5 müssen Sie URL-Analysen mit beliebigen Quellen wie Virus Total, Anomali-Bedrohungsstrom Sandbox, urlquery.net, PhishTank durchführen (überprüfen Sie z. B. PhiskTank und Anomali).
      2. In Aktion 6 müssen Sie die URL auf einer Linux-VM (z. B. Ubuntu) untersuchen.
        Abbildung : 1. Playbook für gefälschte E-Mails (mit demselben Anzeigenamen)
        Antwortaufgabe zum Untersuchen der URL auf einer Linux-VM.
      3. In Aktion 7 müssen Sie suchen, wann die Domäne in WHOIS erstellt wurde.
        Suchen Sie nach kürzlich registrierten Domänen (innerhalb der letzten Woche), die verdächtig sind und eine hohe Wahrscheinlichkeit von Phishing-Angriffen haben.
      4. In Aktion 8 müssen Sie basierend auf der bisher durchgeführten Untersuchung überprüfen, ob diese E-Mail einen böswilligen Anhang oder Link enthält.
        Wenn diese E-Mail keinen böswilligen Anhang oder Link enthält, wird der Flow beendet.
        Abbildung : 2. Gefälschte E-Mails enthalten schädliche Anhänge oder Links
        Antwortaufgaben, um zu überprüfen, ob die gefälschte E-Mail schädliche Anhänge oder Links enthält.
      5. Führen Sie in Aktion 9 die folgenden Aktionen aus, wenn die E-Mail schädliche Anhänge oder Links enthält.
        1. In Aktion 10 müssen Sie sich an den betroffenen Anwender wenden, um zu überprüfen, ob die Anmeldeinformationen gefährdet sind. Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den betroffenen Anwender zu kontaktieren.
        2. In Aktion 11 müssen Sie basierend auf der E-Mail-Antwort überprüfen, ob die Anmeldeinformationen gefährdet sind. Wenn die Anmeldeinformationen nicht gefährdet wurden, endet der Flow.
          1. Wenn in Aktion 12 die Anmeldeinformationen gefährdet sind, müssen Sie in Aktion 13 überprüfen, ob zusätzliche Anwender betroffen sind. Wenn keine zusätzlichen Anwender betroffen sind, endet der Flow.
          2. Führen Sie in Aktion 14 die folgenden Aktionen aus, wenn zusätzliche Anwender betroffen sind:
            1. In Aktion 15 müssen Sie E-Mails mit Microsoft Exchange Online suchen und löschen.
            2. In Aktion 16 müssen Sie den Absender und die schädlichen Dateien oder Anhänge in Office 365 und Proofpoint blockieren.
    4. Wenn es sich in Aktion 17 nicht um eine interne gefälschte E-Mail handelt, müssen Sie überprüfen, ob das System des betroffenen Anwenders betroffen ist.
    5. Wenn in Aktion 18 das System des Anwenders betroffen ist, erstellen Sie in Aktion 19 ein IT-Ticket, um das betroffene System neu zu erstellen.
      Abbildung : 3. Überprüfen Sie, ob das System des betroffenen Anwenders betroffen ist
      Antwortaufgabe, um zu überprüfen, ob das System des betroffenen Anwenders betroffen ist.
    6. In Aktion 20 wird eine Antwortaufgabe erstellt, mit der Sie die Überprüfung nach dem Incident abschließen können, bevor Sie die Aufgabe schließen.