Este playbook ajuda na triagem de fase inicial dos envios de phishing relatados pelo usuário, alertando o analista para a possibilidade de um domínio semelhante no endereço de e-mail do Phisher.

O fluxo de trabalho é criado com base em um playbook existente, que fornece uma abordagem consistente e eficiente para investigação de incidentes. Cada ponto de decisão no playbook foi convertido em uma tarefa orientada por resultado e o fluxo muda de direção com base no resultado dessas tarefas.

Introdução ao T1003 - Detectar playbook de ferramentas de despejo de credencial

1. Faça login como um usuário com as funções sn_si.user e flow_designer.
2. Navegar até Tudo > Flow Designer e selecione o playbook T1003 - Detectar ferramentas de despejo de credencial.
3. (Opcional) Você pode criar uma cópia do fluxo do playbook T1003 - Detectar ferramentas de despejo de credencial e fazer as modificações necessárias. Para criar uma cópia do fluxo do playbook, clique no ícone de e selecione Copiar fluxo. Execute esta etapa somente se você planejar personalizar ou fazer mudanças específicas no fluxo.

   

4. Ative os playbooks.
   • Ative o fluxo principal para usar o playbook disponível no sistema de base.
   • Ative os fluxos copiados depois de fazer as mudanças necessárias.

Condição do gatilho: este playbook é acionado e associado ao incidente de segurança quando a categoria é atividade de código malicioso.