Usar o playbook de e-mails falsificados (usando o mesmo nome de exibição)

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use este playbook para investigar e-mails falsificados, que são acionados quando nomes falsificados de e-mails são enviados para os funcionários da organização. As etapas a seguir fornecem instruções das ações, tarefas e subfluxos que estão disponíveis no playbook de e-mails falsificados (usando o mesmo nome de exibição).

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, você precisa verificar se há e-mails falsificados contínuos no Proofpoint.
    2. Na Ação 2, se houver e-mails contínuos no Proofpoint, verifique se este é um e-mail interno falsificado ou não.
    3. Na Ação 3, se este for um e-mail falsificado interno, execute as seguintes ações:
      1. Na Ação 5, você precisa executar a análise de URL usando todas as origens, como Total de vírus, Sandbox de fluxo de ameaças anômalas, urlquery.net, PhishTank (por exemplo, verifique PhiskTank e Anomali).
      2. Na Ação 6, você precisa investigar o URL em uma VM Linux (por exemplo, Ubuntu).
        Figura 1. Playbook de e-mails falsificados (usando o mesmo nome de exibição)
        Tarefa de resposta para investigar o URL em uma VM Linux.
      3. Na Ação 7, você precisa pesquisar quando o domínio foi criado no WHOIS.
        Procure domínios registrados recentemente (na última semana) que sejam suspeitos e tenham uma alta probabilidade de ataques de phishing.
      4. Na Ação 8, com base na investigação feita até o momento, você precisa verificar se este e-mail contém um link ou anexo malicioso.
        Se este e-mail não contiver um anexo ou link mal-intencionado, o fluxo será encerrado.
        Figura 2. O e-mail falsificado contém anexos ou links maliciosos
        Tarefas de resposta para verificar se o e-mail falsificado contém anexos ou links mal-intencionados.
      5. Na Ação 9, se o e-mail contiver anexos ou links mal-intencionados, execute as ações a seguir.
        1. Na Ação 10, você precisa entrar em contato com o usuário afetado para verificar se as credenciais estão comprometidas. Você pode usar o modelo de e-mail fornecido para entrar em contato com o usuário afetado.
        2. Na Ação 11, você precisa verificar se as credenciais estão comprometidas com base na resposta do e-mail. Se as credenciais não foram comprometidas, o fluxo será encerrado.
          1. Na Ação 12, se as credenciais estiverem comprometidas, na Ação 13, você precisará verificar se usuários adicionais foram afetados. Se nenhum usuário adicional for afetado, o fluxo será encerrado.
          2. Na Ação 14, se usuários adicionais forem afetados, execute as seguintes ações:
            1. Na Ação 15, você precisa pesquisar e excluir e-mails usando o Microsoft Exchange Online.
            2. Na Ação 16, você precisa bloquear o remetente e os arquivos ou anexos mal-intencionados no Office 365 e no Proofpoint.
    4. Na Ação 17, se este não for um e-mail interno falsificado, você precisará verificar se o sistema do usuário afetado foi afetado.
    5. Na Ação 18, se o sistema do usuário for afetado, na Ação 19, gere um tíquete de TI para recriar a imagem do sistema afetado.
      Figura 3. Verifique se o sistema do usuário afetado foi afetado
      Tarefa de resposta para verificar se o sistema do usuário afetado foi afetado.
    6. Na Ação 20, uma tarefa de resposta é criada para você concluir a revisão pós-incidente antes de fechar a tarefa.