Endgültige Urteilsgenerierung für vom Anwender gemeldetes Phishing
Security Incident Response-Teams können jetzt basierend auf den Ergebnissen von Predictive Intelligence- und Bedrohungsanreicherungsintegrationen das finalisierte Urteil für einen von Anwendern gemeldeten Phishing-Datensatz vorantreiben.
Diese endgültige Urteilsgenerierung wird über ein Entscheidungstabellenkonstrukt aktiviert und in einem Flow genutzt.
Voraussetzungen
Stellen Sie sicher, dass alle Plugins in aufgeführt sind Erforderliche Komponenten und Plugins Wurden installiert.
Navigieren zu an.
Die Entscheidungseingaben Die Registerkarte zeigt die verschiedenen Bedingungen, die ausgewertet wurden, um zum endgültigen Urteil zu gelangen.
Die folgenden Bedingungen sind mit dem Basissystem verfügbar:
- Als verdächtig vorhergesagt: Wenn Predictive Intelligence die Phishing-E-Mail als klassifiziert hat Verdächtig .
- Mindestens ein erkennbares Element ist schädlich: Wenn ein erkennbares Element, das am Security Incident beteiligt ist (z. B. URL, Domäne, IP, Hash), als klassifiziert wurde Böswillig Nach Threat Intelligence-Quellen.
- Anreicherung erkennbarer Elemente ist verdächtig: Wenn Anreicherung erkennbarer Elemente (z. B. Aktualität der Phishing-Domänenregistrierung, Land der Phishing-Domänenregistrierung) als verdächtig gilt.
- Absenderdomäne wird gefälscht: Wenn der Verdacht besteht, dass die E-Mail-Domäne des Phisher eine vertrauenswürdige Domäne vortäuscht.
- Absendername wird gefälscht: Wenn die E-Mail-Adresse des Phisher vermutet wird, dass ein vertrauenswürdiger Mitarbeiter einer Organisation gefälscht wird.
Die Entscheidungen Auf der Registerkarte werden die endgültigen Urteilsoptionen angezeigt, die für einen bestimmten Security Incident erreicht werden können.
- Bestätigtes Phishing: Wenn die Bedingungen zum endgültigen Urteil als bestätigte Phishing-E-Mail geführt haben.
- Wahrscheinlich Phishing: Wenn die Bedingungen zum endgültigen Urteil als potenzieller Phishing-Versuch geführt haben.
- Wahrscheinlich gutartig: Wenn die Bedingungen zum endgültigen Urteil als gutartige Übermittlung geführt haben.
Sie können die Bedingungen anzeigen, die für jede der endgültigen Urteilsoptionen ausgewertet wurden. Klicken Sie auf den Bezeichnungslink, um die Bedingungen anzuzeigen.
Sie können die mit dem Basissystem bereitgestellte Entscheidungstabelle anpassen oder eine eigene Entscheidungstabelle erstellen. Diese Entscheidungstabelle kann in Security Incident Response-Playbooks verwendet werden. Die Endgültiges Urteil für Phishing Security Incidents generieren subflow ist mit dem Basissystem verfügbar. Dieser Subflow generiert automatisch das endgültige Urteil für einen Phishing-Security Incident und wendet basierend auf dieser Entscheidung ein Sicherheits-Tag an. Sie können diesen Subflow als Teil von einschließen Automatisiertes Phishing playbook.
- Incident_ID: Die SYS-ID des Phishing-Security Incidents.
- c_Level_names: Kommagetrennte Liste von Namen (z. B. Namen von Führungskräften in der Organisation), die wahrscheinlich beim Phishing-Angriff gefälscht werden.
- Trusted_Domains: Kommagetrennte Liste vertrauenswürdiger E-Mail-Domänen.
- Anreicherung_keywords: Kommagetrennte Liste von Stichwörtern, die die böswillige Haltung des erkennbaren Elements aus Anreicherungsergebnissen angeben.
- Sender_email (optional): Die E-Mail-Adresse des Absenders der Phishing-E-Mail.
Die Ausgabe dieses Flows kann sein Phishing Bestätigt , Wahrscheinlich Phishing , Oder Wahrscheinlich Gutartig .