Usar o playbook de detecção de repetição

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use este playbook para investigar se a resposta do incidente foi fornecida em um relatório de phishing exato ou semelhante no passado e funciona automaticamente no novo relatório de forma semelhante. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de repetição.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, o playbook recupera a data relativa do incidente de segurança usando a configuração de dia.
    2. Na Ação 2, o playbook pesquisa os registros do observável de tarefa na tabela sn_ti_m2m_task_observable que correspondem ao incidente com base no ID da mensagem.
      Figura 1. Playbook de detecção de repetição
      Pesquisa registros de observáveis de tarefa com base no ID da mensagem.
    3. Na Ação 3, o playbook compara os observáveis da tarefa e o corpo do e-mail usando o algoritmo Levenshtein para incidentes que correspondem ao ID da mensagem.
    4. Na Ação 4, com base na investigação feita até o momento, o playbook verifica se o incidente correspondente foi encontrado com base na ID da mensagem ou não.
      Na Ação 5, se o incidente correspondente for encontrado, o playbook atualizará automaticamente a anotação de trabalho de que uma correspondência foi encontrada com base na automação da detecção de repetição. Na Ação 6, o fluxo termina.
    5. Se o incidente correspondente não for encontrado, na Ação 7, o playbook pesquisará os registros do observável de tarefa na tabela sn_ti_m2m_task_observable que correspondem ao incidente com base no assunto.
    6. Na Ação 8, o playbook compara os observáveis da tarefa e o corpo do e-mail usando o algoritmo Levenshtein para incidentes que correspondem ao assunto.
    7. Na Ação 9, o playbook verifica se o incidente correspondente foi encontrado ou não.
      Na Ação 10, se o incidente correspondente for encontrado, o playbook atualizará automaticamente a anotação de trabalho de que uma correspondência foi encontrada com base na automação da detecção de repetição. Na Ação 11, o fluxo termina.
      Figura 2. Incidente correspondente
      Quando o incidente correspondente é encontrado, as anotações de trabalho são atualizadas.
    8. Na Ação 12, o playbook pesquisa os registros do observável de tarefa na tabela sn_ti_m2m_task_observable que correspondem ao incidente com base no endereço.
    9. Na Ação 13, o playbook compara os observáveis de tarefa e o corpo do e-mail usando o algoritmo Levenshtein para incidentes que correspondem ao endereço.
    10. Na Ação 14, o playbook verifica se o incidente correspondente foi encontrado com base no Endereço ou não.
      Na Ação 15, se o incidente correspondente for encontrado, o playbook atualizará automaticamente a anotação de trabalho de que uma correspondência foi encontrada com base na automação da detecção de repetição. Na Ação 16, o fluxo termina.