Use o playbook de detecção de falsificação de domínio de e-mail

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Use este playbook para encontrar uma correspondência de semelhança entre o domínio de e-mail do remetente do Phisher com um nome de domínio confiável no repositório do observável. As etapas a seguir fornecem instruções passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de falsificação de domínio de e-mail.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Verifique se você instalou o Spoke das Operações de segurança (sn_sec_spoke).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, o playbook extrai o domínio de e-mail do e-mail de phishing.
    2. Na Ação 2, o playbook recupera todos os observáveis de tipo de endereço de e-mail/domínio marcados pelo marcador de segurança "Candidato a falsificação de domínio".
    3. Na Ação 3, o playbook calcula a semelhança entre o domínio Obter Marcado e o domínio E-mail usando o algoritmo Levenshtein.
      Figura 1. Playbook de detecção de falsificação de domínio de e-mail
      Calcular a semelhança entre os dois domínios usando o algoritmo Levenshtein
    4. Na Ação 4, o playbook pesquisa o registro de propriedade do sistema com base nas seguintes condições:
      • O nome é sn_sec_spoke.domain_spoof_threshold, (OR)
      • O nome vai de A a Z e, se vários registros forem encontrados, retorne somente o primeiro registro.
    5. Na Ação 5, com base na investigação feita até o momento, o playbook verifica se a semelhança dos dois domínios excede o limite ou não.
      Se a semelhança dos dois domínios não exceder o limite, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado. Se a semelhança dos dois domínios exceder o limite, as ações 6 e 7 serão executadas.
      Figura 2. A semelhança excede o limite
      Tarefas de resposta para verificar se a semelhança dos dois domínios excede o limite.
    6. Na Ação 6, o playbook adiciona o marcador de segurança de falsificação de domínio de e-mail ao incidente de segurança.
    7. Na Ação 7, o playbook adiciona um link de anotação de trabalho ao contexto usando a opção de script.
    8. Na Ação 8, o fluxo termina.