Use o playbook de detecção de falsificação de domínio de e-mail

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Use este playbook para encontrar uma correspondência de semelhança entre o domínio de e-mail do remetente do phisher com um nome de domínio confiável existente no repositório observável. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de spoofing do domínio de e-mail.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado o spoke do Security Operations ( sn_sec_spoke ).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, o playbook extrai o domínio de e-mail do e-mail de phishing.
    2. Na Ação 2, o playbook recupera todos os observáveis de tipo de endereço de e-mail/domínio marcados pelo marcador de segurança "Candidato a spoofing de domínio".
    3. Na Ação 3, o playbook calcula a semelhança entre o domínio Obter marcador e o domínio E-mail usando o algoritmo Levenshtein.
      Figura 1. Playbook de detecção de falsificação de domínio de e-mail
      Calcule a semelhança entre os dois domínios usando o algoritmo Levenshtein
    4. Na Ação 4, o playbook pesquisa o registro de propriedade do sistema com base nas seguintes condições:
      • O nome é sn_sec_spoke.domain_spoof_threshold, (OU)
      • O nome é de a a z e, se vários registros forem encontrados, retornará somente o primeiro registro.
    5. Na Ação 5, com base na investigação realizada até ao momento, o playbook verifica se a semelhança dos dois domínios excede ou não o limite.
      Se a semelhança dos dois domínios não exceder o limite, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado. Se a semelhança dos dois domínios exceder o limite, as ações 6 e 7 serão executadas.
      Figura 2. A semelhança excede o limite
      Tarefas de resposta para verificar se a semelhança dos dois domínios excede o limite.
    6. Na Ação 6, o playbook adiciona o marcador de segurança Spoofing de domínio de e-mail ao incidente de segurança.
    7. Na Ação 7, o playbook adiciona um link de anotação de trabalho ao contexto usando a opção de script.
    8. Na Ação 8, o fluxo termina.