Playbook pour domaine squatté par typo

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Les domaines Typo Squatted sont des noms de domaine intentionnellement mal orthographiés qui ressemblent beaucoup à des noms légitimes. Les attaquants profitent des fautes d’orthographe pour les diriger vers un site Web mal intentionné à des fins d’exploitation financière ou d’autres activités malveillantes.

    Les domaines squattés par typo sont signalés à l’équipe des opérations de sécurité à partir de différentes sources, telles que les solutions de protection contre les risques numériques (Digital Shadows) et les plateformes de renseignement sur les menaces (Anomali Threatstream). Après la création d’un incident de sécurité, cette solution permet d’identifier si le domaine est bien un domaine squatté par typo. S’il s’agit d’un domaine squatté par une faute de frappe, l’analyste peut le signaler à l’équipe juridique afin que d’autres mesures puissent être prises.

    Le workflow est créé à partir d’un playbook existant, ce qui fournit une approche cohérente et efficace pour l’enquête sur les incidents. Chaque point de décision du playbook a été converti en une tâche pilotée par les résultats, et le flux change de direction en fonction du résultat de ces tâches.

    Prise en main du playbook de domaine squatté par une faute de frappe

    1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
    2. Accédez à la Tous > Concepteur de flux et sélectionnez le Playbook de domaine squatté par typo .
    3. (Facultatif) Vous pouvez créer une copie du flux du playbook de domaine squatté par une faute de frappe et apporter les modifications nécessaires. Pour créer une copie du flux du playbook, cliquez sur l’icône de menu Actions supplémentaires et sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.
      Figure 1. Playbook de domaine squatté par une faute de frappe
      Vue d’ensemble du playbook de domaine squatté par typo
    4. Activez les playbooks.
      • Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      • Activez les flux copiés après avoir apporté les modifications requises.
    Condition de déclenchement : ce playbook est déclenché et associé à l’incident de sécurité lorsque les conditions suivantes sont remplies :
    • La catégorie est Hameçonnage.
    • La description courte contient le domaine squatté par une faute de frappe.

    Condition de déclenchement pour le playbook de domaine squatté par une faute de frappe.