Geração de veredito final para phishing relatado pelo usuário

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • As equipes de resposta a incidentes de segurança agora podem conduzir o veredito finalizado para um registro de phishing relatado pelo usuário com base nos resultados da inteligência preditiva e nas integrações de aprimoramento de ameaças.

    Esta geração de veredito final é habilitada por meio de uma construção de tabela de decisão e aproveitada em um fluxo.

    Pré-requisitos

    Todos os plug-ins listados em Plug-ins e componentes necessários foram instalados.

    Navegar até Inteligência preditiva para phishing > Veredito final > Veredito final para incidente de segurança de phishing.

    . Entradas de decisão mostra as diferentes condições que foram avaliadas para chegar ao veredito final.


    Phishing relatado pelo usuário: Configuração DE ML: Entradas de decisão
    As seguintes condições estão disponíveis com o sistema de base:
    • Previsto como suspeito: Quando a inteligência preditiva classifica o e-mail de phishing relatado pelo usuário como suspeito .
    • Pelo menos um observável é mal-intencionado: Quando um observável envolvido no incidente de segurança (por exemplo, URL, Domínio, IP, Hash) foi classificado como mal-intencionado por fontes de inteligência contra ameaças.
    • O aprimoramento de observáveis é suspeito: Quando o aprimoramento em observáveis (por exemplo, recente registro de domínio de phishing, país de registro de domínio de phishing) é considerado suspeito.
    • O domínio do remetente é falsificado: Quando o domínio de e-mail do phisher é suspeito de falsificar um domínio confiável.
    • O nome do remetente é falsificado: Quando o endereço de e-mail do phisher suspeita de falsificar um funcionário confiável de uma organização.

    . Decisões mostra as opções de veredito finais que podem ser obtidas para um determinado incidente de segurança.


    Phishing relatado pelo usuário: Configuração DE ML: Decisões
    As seguintes decisões estão disponíveis com o sistema de base:
    • Phish confirmado: Quando as condições levaram ao veredito final como sendo um e-mail de phishing confirmado.
    • Phish provável: Quando as condições levaram ao veredito final como uma possível tentativa de phishing.
    • Provável benigno: Quando as condições levaram ao veredito final como uma submissão benigna.

    Você pode ver as condições que foram avaliadas para cada uma das opções finais de veredito. Clique no link Rótulo para ver as condições.


    Phishing relatado pelo usuário: Configuração DE ML: Decisão

    Você pode personalizar a tabela de decisão fornecida com o sistema de base ou criar sua própria tabela de decisão. Esta tabela de decisão pode ser aproveitada nos playbooks de resposta a incidentes de segurança. . Gerar veredito final para incidentes de segurança de phishing o subfluxo está disponível com o sistema de base. Este subfluxo gera automaticamente o veredito final de um incidente de segurança de phishing e aplica um marcador de segurança com base nessa decisão. Você pode incluir este subfluxo como parte do Phishing automatizado playbook.

    As entradas para este subfluxo são:
    • Incident_id: O sys ID do incidente de segurança de phishing.
    • c_level_names: Lista separada por vírgulas de nomes (por exemplo, nomes de executivos na organização) que provavelmente estão sendo falsificados no ataque de phishing.
    • Trusted_domains: Lista separada por vírgulas de domínios de e-mail confiáveis.
    • Enrichment_keywords: Lista separada por vírgulas de palavras-chave que indicam a malícia do observável a partir dos resultados de aprimoramento.
    • Sender_email (opcional): O endereço de e-mail do remetente do e-mail de phishing.

    A saída desse fluxo pode ser Phish confirmado , Phish provável ou Provável benigno .


    Phishing relatado pelo usuário: Configuração DE ML: Subfluxo de phishing