Usar o playbook de e-mails falsificados (usando o mesmo nome de exibição)

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook de e-mails falsificados (usando o mesmo nome de exibição).

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado o Security Operations Spoke (sn_sec_spoke).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Etapa 1, você precisa verificar se há e-mails falsificados contínuos no Proofpoint.
    2. Na Etapa 2, se houver e-mails contínuos no Proofpoint, verifique se este é um e-mail interno falsificado ou não.
    3. Na Etapa 3, se este for um e-mail interno falsificado, execute as seguintes etapas:
      1. Na etapa 5, você precisa executar a análise de URL usando fontes como Total de vírus, Sandbox de fluxo de ameaças de Anomalia, urlquery.net, PhishTank (por exemplo, verifique PhiskTank e Anomali).
      2. Na etapa 6, você precisa investigar o URL em uma VM Linux (por exemplo, Ubuntu).
        Figura 1. Playbook de e-mails falsificados (usando o mesmo nome de exibição)
        Tarefa de resposta para investigar o URL em uma VM Linux.
      3. Na etapa 7, você precisa pesquisar quando o domínio foi criado no WHOIS.
        Procure domínios registrados recentemente (na última semana) que sejam suspeitos e tenham uma alta probabilidade de ataques de phishing.
      4. Na etapa 8, com base na investigação feita até o momento, você precisa verificar se este e-mail contém um anexo ou link malicioso.
        Se este e-mail não contiver um anexo ou link malicioso, o fluxo será encerrado.
        Figura 2. O e-mail falsificado contém anexos ou links maliciosos
        Tarefas de resposta para verificar se o e-mail falsificado contém anexos ou links maliciosos.
      5. Na Etapa 9, se o e-mail contiver anexos ou links maliciosos, execute as etapas a seguir.
        1. Na Etapa 10, você precisa entrar em contato com o usuário afetado para verificar se as credenciais foram comprometidas. Você pode usar o modelo de e-mail fornecido para entrar em contato com o usuário afetado.
        2. Na Etapa 11, você precisa verificar se as credenciais estão comprometidas com base na resposta do e-mail. Se as credenciais não foram comprometidas, o fluxo será encerrado.
          1. Na Etapa 12, se as credenciais forem comprometidas, na Etapa 13, você precisará verificar se usuários adicionais foram afetados. Se nenhum usuário adicional for afetado, o fluxo será encerrado.
          2. Na Etapa 14, se usuários adicionais forem afetados, execute as seguintes etapas:
            1. Na Etapa 15, você precisa pesquisar e excluir e-mails usando o Microsoft Exchange Online.
            2. Na Etapa 16, você precisa bloquear o remetente e os arquivos ou anexos mal-intencionados no Office 365 e no Proofpoint.
    4. Na Etapa 17, se este não for um e-mail interno falsificado, será necessário verificar se o sistema do usuário afetado foi afetado.
    5. Na Etapa 18, se o sistema do usuário for afetado, na Etapa 19, gere um tíquete de TI para recriar a imagem do sistema afetado.
      Figura 3. Verifique se o sistema do usuário afetado foi afetado
      Tarefa de resposta para verificar se o sistema do usuário afetado foi afetado.
    6. Na Etapa 20, uma tarefa de resposta é criada para você concluir a revisão pós-incidente antes de fechar a tarefa.