Utiliser le playbook de détection d’usurpation de domaine de messagerie

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook de détection d’usurpation de domaine de messagerie.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, à l’étape 1, le playbook extrait le domaine d’e-mail de l’e-mail d’hameçonnage.
    2. À l’étape 2, le playbook récupère tous les observables de type domaine/adresse e-mail marqués par la balise de sécurité « Candidat d’usurpation de domaine ».
    3. À l’étape 3, le playbook calcule la similarité entre le domaine Get Tagged et le domaine Email à l’aide de l’algorithme de Levenshtein.
      Figure 1. Playbook de détection d’usurpation d’identité de domaine d’e-mail
      Calculez la similarité entre les deux domaines à l’aide de l’algorithme de Levenshtein
    4. À l’étape 4, le playbook recherche l’enregistrement de propriété système en fonction des conditions suivantes :
      • Le nom est sn_sec_spoke.domain_spoof_threshold, (OR)
      • Le nom va de a à z. Si plusieurs enregistrements sont trouvés, renvoyez uniquement le premier enregistrement.
    5. À l’étape 5, sur la base de l’enquête effectuée jusqu’à présent, le playbook vérifie si la similarité des deux domaines dépasse le seuil ou non.
      Si la similarité des deux domaines ne dépasse pas le seuil, une tâche de réponse manuelle est créée à l’étape 5 et le flux se termine. Si la similarité des deux domaines dépasse le seuil, les étapes 6 et 7 sont exécutées.
      Figure 2. La similarité dépasse le seuil
      Tâches de réponse pour vérifier si la similarité des deux domaines dépasse le seuil.
    6. À l’étape 6, le playbook ajoute la balise de sécurité Email Domain Spoofing à l’incident de sécurité.
    7. À l’étape 7, le playbook ajoute un lien de note de travail au contexte à l’aide de l’option de script.
    8. À l’étape 8, le flux se termine.