Dieses Playbook hilft bei der frühzeitigen Selektierung von von von Anwendern gemeldeten Phishing-Übermittlungen, indem es den Analysten auf die Möglichkeit einer Look-like-Domäne in der E-Mail-Adresse des Phisher aufmerksam macht.

Das Playbook „Spoofing-Erkennung für E-Mail-Domäne“ sucht nach einer Ähnlichkeitsübereinstimmung zwischen der Absender-E-Mail-Domäne des Phisher mit einem vertrauenswürdigen Domänennamen, der im Repository erkennbarer Elemente vorhanden ist. Wenn eine gefälschte Übereinstimmung der Absender-E-Mail-Domäne vom Playbook identifiziert wurde, werden die Analysten mit einem Tag benachrichtigt.

Der Workflow wird basierend auf einem vorhandenen Playbook erstellt, das einen konsistenten und effizienten Ansatz für die Incident-Untersuchung bietet. Jeder Entscheidungspunkt im Playbook wurde in eine ergebnisgesteuerte Aufgabe konvertiert, und der Flow ändert die Richtung basierend auf dem Ergebnis solcher Aufgaben.