Criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 23 min. de leitura

    • Use esse recurso para criar incidentes de segurança a partir de e-mails de phishing relatados pelo usuário.

    A funcionalidade aprimorada de Phishing relatado pelo usuário inclui recursos de agregação, extração de cabeçalho de e-mail e configuração.

    • Os usuários podem relatar e-mails de phishing de várias maneiras:
      • Os e-mails podem ser encaminhados como anexos.
      • . Phishalarm O plug-in (anteriormente conhecido como wombat) foi configurado com o cliente Microsoft Outlook, os usuários podem:
        • Clicar no botão Relatar phishing.
        • Encaminhar e-mails de phishing de um dispositivo móvel usando a opção Relatar phishing.

        Relatar e-mails de phishing
      • Os usuários podem carregar um e-mail de phishing (no formato .eml).
        Relatar e-mails de phishing como anexos
    • O phishing relatado pelo usuário inclui lógica de negócios de agregação que identifica e-mails de phishing duplicados relatados por usuários em uma organização. Os usuários podem usar este recurso para:
      • Agregar incidentes de phishing relatados pelo usuário duplicados ou semelhantes (campanhas de phishing iniciadas pela empresa).
      • Evite fazer a triagem de incidentes de phishing relatados pelo usuário duplicados e reduza o esforço manual envolvido na consolidação de incidentes.
      • Permita que os analistas de segurança trabalhem em um único incidente de phishing relatado pelo usuário.
    • Fornece cabeçalhos de e-mail de phishing no incidente de phishing relatado pelo usuário.
      • Os analistas de segurança podem verificar as principais informações do cabeçalho de e-mail no incidente.
      • O esforço manual na coleta de informações de cabeçalho de outras fontes não é mais necessário.
    • O e-mail de phishing original enviado é armazenado como um Registro de e-mail de phishing em uma nova tabela.
    • Os analistas de segurança podem exibir detalhes do e-mail de phishing original, como conteúdo do e-mail de phishing, cabeçalhos e origem.
    • Os administradores de segurança podem configurar e fazer algumas melhorias que incluem:
      • Configurações para extrair cabeçalhos de e-mail do corpo do e-mail (envios de relatório de phishing).
      • Filtros para capturar cabeçalhos selecionados.
      • Configurações para lidar com a associação de incidentes primários-secundários quando registros de e-mail de phishing duplicados são identificados.
      • Configurações do Flow Designer para modificar a lógica de negócios de agregação com base nos requisitos.

    Configure regras de ingestão para phishing relatado pelo usuário

    Como usuário com a função sn_si.admin, você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra em que todos os e-mails enviados diretamente ou por meio do botão Denunciar phishing para security@acme.com sejam categorizados como e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Configure regras de ingestão para phishing relatado pelo usuário.

    Defina propriedades de phishing relatadas pelo usuário

    Defina as informações do cabeçalho que precisam ser capturadas dos e-mails de phishing relatados pelo usuário. Para obter mais informações, consulte Defina propriedades de phishing relatadas pelo usuário.

    Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário

    Os e-mails de phishing relatados pelo usuário são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas. Para obter mais informações, consulte Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário.

    Transformar e-mail de phishing em incidente de segurança

    O fluxo Transformar e-mail de phishing em incidente de segurança converte ou transforma registros de e-mail de phishing em incidentes de segurança. Para obter mais informações, consulte Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança.

    Registros de incidentes de segurança criados a partir de registros de e-mail de phishing

    Exiba os detalhes do registro do incidente de segurança, incluindo as Listas relacionadas, anotações de trabalho e outras informações importantes. Para obter mais informações, consulte Registros de incidentes de segurança criados a partir de registros de e-mail de phishing.

    Plug-ins e componentes necessários

    O recurso de phishing relatado pelo usuário disponível nesta versão é uma versão aprimorada da funcionalidade de phishing relatada pelo usuário disponível na versão London. Consulte Crie regras para validar ataques de phishing relatados pelo usuário Na documentação de Londres para obter detalhes.

    Instruções de instalação importantes

    Este aprimoramento substitui o design de phishing relatado pelo usuário existente. O novo design inclui as seguintes atualizações:
    • Existente Phishing relatado pelo usuário As ações de entrada de e-mail (Tipo Encaminhar e Tipo Novo) foram desabilitadas.
    • Um novo Criar e-mail de phishing a ação de entrada agora está disponível.
    • . Transforme e-mails de phishing relatados pelo usuário em incidentes de segurançaé um novo fluxo que contém a lógica de negócios de criação e agregação de incidentes de segurança para o novo design. Você deve ativar este fluxo para que o novo design entre em vigor.
    • As regras de phishing existentes relatadas pelo usuário foram preservadas durante o upgrade.
    Nota:
    Se você usar ações de entrada de e-mail personalizadas e fluxos de trabalho personalizados para envios de phishing relatados pelo usuário, revise os designs antigo e novo para verificar se há funcionalidades conflitantes ou sobrepostas.
    Detalhes de Aprimoramento de Phishing relatado pelo usuário A seguir estão os detalhes da melhoria:
    Nota:
    • . Phishing relatado pelo usuário As ações de entrada disponíveis antes da versão Security Incident Response 9,0 agora estão desabilitadas. Os incidentes de segurança não são mais criados por meio das ações de entrada desabilitadas.
    • A aplicação Spoke do Security Operations deve ser instalada para que o novo design entre em vigor. Isso inclui Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança fluxo que está disponível em um estado inativo por padrão. Ative este fluxo para criar incidentes de segurança a partir dos registros de e-mail de phishing.
    A imagem a seguir mostra as diferenças entre o antigo e o novo design:
    Phishing relatado pelo usuário: Diferenças
    Para usar o recurso aprimorado de Phishing relatado pelo usuário, os seguintes plug-ins e componentes são necessários:
    • Suporte de segurança Comum ( sn_sec_cmn ): Inclui:
      • Ação de entrada
      • Novo script EmailUserReportedPhishing
      • Tabela Regras de ingestão
    • Resposta a incidentes de segurança (sn_si): Inclui:
      • Tabela de incidentes de segurança (sn_si_incident)
      • Tabela de e-mails de phishing de segurança (sn_si_phishing_email)
      • Tabela de cabeçalhos de e-mail de phishing de segurança (sn_si_phishing_email_header)
      • Produtor de registro de carregamento do EML
    • Spoke de Operações de segurança

      Fluxos e subfluxos para agregar e-mails e transformar e-mails de phishing em incidentes de segurança.

    A figura a seguir mostra a nova tabela de e-mails de phishing com referências à regra de URP correspondente e ao registro de incidente de segurança de destino (sn_si_incident).


    Modelo de dados do URP

    Configure regras de ingestão para phishing relatado pelo usuário

    Como usuário com a função sn_si.admin, você pode definir regras de correspondência de e-mail para filtrar e-mails de phishing relatados pelo usuário com base em critérios específicos. Por exemplo, você pode definir uma regra em que todos os e-mails enviados diretamente ou por meio do botão Denunciar phishing para security@acme.com sejam categorizados como e-mails de phishing relatados pelo usuário.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Tudo > Operações de segurança > Processamento de E-mails > Regras de ingestão - Phishing reportado pelo usuário.
    2. Clique em Novo Para criar uma nova regra de correspondência de e-mail.
    3. Insira um nome e defina uma ou mais condições para a regra.
    4. Clique em Enviar para salvar a regra.
      A seguir estão algumas regras de exemplo:
      • Para Regra Filtrar e-mails que foram enviados diretamente ou encaminhados para security@example.com id de e-mail. Definir ToRule
      • Regra de ID do usuário Filtrar e-mails que foram enviados de um ID de e-mail específico. Defina Regra de ID do usuário

    Defina propriedades de phishing relatadas pelo usuário

    Defina as informações do cabeçalho que devem ser capturadas de e-mails de phishing relatados pelo usuário.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Use essas opções para definir as seguintes configurações de phishing relatadas pelo usuário.
    • Configuração para extrair cabeçalhos de e-mail do corpo do e-mail. ( Relatar Phish envios.)
    • Filtrar para selecionar cabeçalhos.
    • Habilite ou desabilite a associação primário-secundário.

    Procedimento

    1. Navegar até Tudo > Operações de segurança > Processamento de E-mails > Propriedades do Phishing Reportado pelo Usuário.
      Propriedades de phishing relatadas pelo usuário
    2. Especifique a configuração para extrair cabeçalhos de e-mail do corpo do e-mail:
      • Insira uma cadeia de caracteres que identifique o início do cabeçalho do e-mail.
      • Insira uma cadeia de caracteres que identifique o final do cabeçalho do e-mail.
        Nota:
        Aplique essas configurações somente aos cabeçalhos capturados como parte do corpo do e-mail de phishing. Por exemplo, se Phishalarm O plug-in (anteriormente conhecido como wombat) foi configurado com o cliente Microsoft Outlook, quando o usuário clica em Relatar Phish , os cabeçalhos de e-mail são capturados de acordo com a configuração definida aqui. As informações do cabeçalho não serão capturadas se o e-mail de phishing for encaminhado como um anexo.
    3. Especifique filtros para eliminar cabeçalhos que não são necessários para investigar o incidente de segurança.

      Insira uma lista separada por vírgulas de cabeçalhos de e-mail que devem ser capturados do e-mail de phishing relatado pelo usuário. Se você não especificar nenhum valor aqui, todas as informações do cabeçalho serão capturadas.

    4. Habilite ou desabilite a associação primário-secundário.
      Por padrão, o Sim a opção está habilitada. Selecione Sim indicar que incidentes de segurança secundários devem ser criados quando os e-mails de phishing relatados pelo usuário são agregados. Se você selecionar Não os incidentes de segurança secundários não são criados, mas os e-mails de phishing relatados pelo usuário são associados ao incidente de segurança e o registro do incidente de segurança é atualizado. Consulte Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança para obter mais informações sobre como os incidentes de segurança secundários são criados.
    5. Habilite ou desabilite a opção para exibir o conteúdo do e-mail de phishing no formato HTML.
      Por padrão, o Sim a opção está habilitada. Selecione Sim Para exibir o conteúdo do e-mail de phishing no formato HTML. Se você selecionar Não , O conteúdo do e-mail no formato HTML não ficará visível em um registro de phishing.

    Registros de e-mail de phishing criados a partir de e-mails de phishing relatados pelo usuário

    E-mails de phishing relatados pelo usuário são convertidos em incidentes de segurança com base nas regras de correspondência de e-mail que foram definidas.

    Quando um novo e-mail de phishing é relatado, as seguintes ações ocorrem:

    Para exibir os detalhes do e-mail, navegue até Incidente de segurança > Mostrar todos os e-mails de phishing. Uma lista de registros de e-mail de phishing é exibida. Clique no link de data na coluna Criado para exibir o registro de e-mail.


    E-mail de phishing com ToRule
    Tabela 1. Detalhes do e-mail de phishing do incidente de segurança
    Nome do Campo Descrição
    Número O número atribuído ao e-mail de phishing relatado pelo usuário.
    Assunto O assunto do e-mail. A regra de assunto é útil em campanhas ou testes de phishing simulados. Nesse caso, as organizações enviam e-mails enganosos para sua própria equipe para testar sua resposta a ataques de phishing e e-mail semelhantes.

    Em testes de e-mail de phishing simulados, se o cliente de e-mail do Microsoft Outlook com Phishalarm O plug-in (anteriormente conhecido como wombat) está sendo usado, o usuário pode clicar em Relatar Phish botão para denunciar o e-mail de phishing. O e-mail é enviado para a equipe de Operações de segurança com Phishing simulado Anexado ao assunto do e-mail. Isso é usado para identificar o e-mail como um e-mail de phishing simulado.
    De O endereço de e-mail de onde este e-mail de phishing se originou. Essas informações estarão disponíveis se o e-mail de phishing for encaminhado como anexo de arquivo .eml ou se os cabeçalhos originais estiverem incorporados no e-mail.

    Se o usuário encaminhou o e-mail de phishing diretamente, o endereço do remetente pode não estar disponível.
    Relatado por O ID de e-mail do usuário que relatou este e-mail de phishing. Clique em Informações ícone para exibir detalhes adicionais.
    ID da mensagem O ID atribuído à mensagem.
    Regra de URP correspondente A regra de phishing relatado pelo usuário que deve ser aplicada a este e-mail. Clique no ícone Informações para exibir detalhes adicionais.
    Regra de ingestão de URP

    Como você pode ver, neste exemplo, o. Condição O campo mostra que ToRule é aplicado a este e-mail e um incidente de segurança é criado. Consulte Configure regras de ingestão para phishing relatado pelo usuário para obter mais informações sobre como definir regras de correspondência de e-mail.
    Estado Quando um novo registro de e-mail de phishing é criado no sn_si_phishing_email , o campo Estado está definido como Novo . Quando este registro de e-mail é convertido em um incidente de segurança (consulte Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança), o campo Estado é atualizado para Processado .
    Origem do cabeçalho Este campo indica como os cabeçalhos de e-mail se originaram ou como o usuário relatou o e-mail de phishing:
    • Cabeçalho do e-mail : O usuário encaminhou o e-mail de phishing para a equipe de operações de segurança.
    • Corpo do texto do e-mail:
      • O usuário clicou em Relatar Phish opção (se for Phishalarm O plug-in (anteriormente conhecido como wombat) foi configurado com o cliente de e-mail).
      • Com base na regra de phishing relatado pelo usuário definida, o e-mail de phishing é encaminhado para a equipe de operações de segurança.
    • Cabeçalho do anexo do EML :
      • Anexo: O usuário encaminhou o e-mail como um anexo (arquivo .eml).
      • Envio do catálogo de serviços: O usuário baixou o e-mail como um arquivo .eml para a área de trabalho e o carregou em um local especificado. O incidente de segurança é criado a partir do e-mail.
    • Corpo do anexo do EML :
      • O usuário clicou em Relatar Phish opção (se for Phishalarm O plug-in (anteriormente conhecido como wombat) foi configurado com o cliente de e-mail).
      • Com base na regra de phishing relatado pelo usuário definida, o e-mail de phishing é encaminhado como um anexo para a equipe de operações de segurança.
    Incidente de segurança Este campo fica em branco quando o e-mail de phishing relatado pelo usuário é relatado pela primeira vez. . Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança o fluxo foi executado, este e-mail é convertido em um registro de incidente de segurança e o número desse registro é exibido aqui.
    Cabeçalhos brutos Este campo mostra as informações completas do cabeçalho extraídas do e-mail, conforme definido em Defina propriedades de phishing relatadas pelo usuário página. Os cabeçalhos são analisados em pares de valor de chave e exibidos na lista Cabeçalhos de e-mail de phishing.
    Cabeçalhos de e-mail de phishing
    Corpo da mensagem Este é o corpo do e-mail de phishing relatado pelo usuário.

    Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança

    . Transformar e-mail de phishing em incidente de segurança o fluxo é um novo fluxo que converte ou transforma registros de e-mail de phishing em incidentes de segurança.

    Antes de Iniciar

    Nota:
    Para habilitar a funcionalidade Phishing relatado pelo usuário, você deve fazer uma cópia do fluxo e. ativar . Se você criou ações de entrada personalizadas e fluxos personalizados para lidar com envios de phishing relatados pelo usuário, as modificações de fluxo sugeridas aqui não serão necessárias.
    • Função necessária: sn_si.admin
    • O spoke do Flow Designer deve ser instalado.

    Por Que e Quando Desempenhar Esta Tarefa

    Este fluxo é iniciado automaticamente quando um usuário relata um registro de e-mail de phishing com o Estado definido como Novo criado. Este fluxo contém a lógica para:
    • Incidentes de segurança agregados.
    • Atualize incidentes de segurança com anotações relevantes.
    • Adicionar dados do cabeçalho.
    • Crie incidentes secundários conforme necessário.

    Procedimento

    • Navegar até Flow Designer > Designer Para exibir os fluxos disponíveis com o spoke de Operações de segurança.
      Fluxos de operações de segurança
    • Clique em Transformar e-mail de phishing em incidentes de segurança link para exibir o fluxo.
    • Este fluxo é fornecido com o sistema de base e está em Somente leitura e não podem ser usados.
      Clique no ícone Mais Ícone Mais, faça uma cópia do fluxo e abra-o para seu uso. Agora você pode fazer mudanças em seu fluxo, como modificar condições ou ações do gatilho ou adicionar e remover ações. Depois de fazer as mudanças necessárias, você deve ativar ( consulte Ativar um Resposta a incidentes de segurança fluxo o fluxo para que ele possa ser executado.Transformar e-mail de phishing em fluxo de incidentes de segurança

      Esta figura mostra o gatilho e as etapas executadas com o fluxo. O painel direito mostra o fluxo de dados. Clique em um ícone para expandir a etapa e exibir os detalhes.

    • Clique em Gatilho ícone.
      Na primeira etapa, você define ou define o gatilho para o fluxo. Especifique as condições para o gatilho e a tarefa a serem executados quando as condições forem atendidas. Este fluxo é iniciado quando um Novo o registro é carregado no sn_si_phishing_email tabela.Fluxo de transformação: Gatilho
    • Na etapa 1, o fluxo verifica se Criar incidentes secundários para envios de e-mail agregados? o sinalizador está habilitado ou desabilitado em Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança página.
      Fluxo de transformação: Ação 1
    • Na etapa 2, o incidente de segurança primário mais antigo é identificado.
      Observe o ícone na etapa 2. Indica que o subfluxo Agregação de e-mail de phishing será executado como parte desta etapa.Fluxo de transformação: Ação 2

      Clique no ícone do designer de ação para ver uma exibição detalhada da ação. Este subfluxo verifica o e-mail de phishing e o corresponde a um incidente de segurança existente com base nos critérios especificados.

      Fluxo de transformação: Subfluxo de agregação de e-mail de phishing
      Essas duas ações são executadas quando este subfluxo é executado. Clique no link da primeira ação para exibir detalhes adicionais.
      Fluxo de transformação: Subfluxo: Ação
      Esta ação verifica os e-mails que correspondem aos critérios do novo e-mail de entrada com base em condições como:Se essas condições forem atendidas, você poderá ver o número de registros que correspondem aos critérios no campo Máximo de resultados. O registro mais antigo ou o primeiro na lista é designado como o registro primário em relação ao qual os incidentes de segurança serão agregados.
    • A etapa 3 será aplicável somente se Criar incidentes secundários para envios de e-mail agregados? o sinalizador foi definido como Não em Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança página.
      Nesse caso, o e-mail de phishing é associado ao registro de incidente de segurança e o fluxo é encerrado.
      Fluxo de transformação: Ação 3
    • . Criar incidentes secundários para envios de e-mail agregados? definido como Sim , o fluxo continua a ser executado e um novo incidente de segurança é criado com base no e-mail de phishing relatado pelo usuário.
      Fluxo de transformação: Ação 4
    • Na etapa 5, os usuários que receberam o e-mail de phishing (funcionários na lista Para e CC do e-mail de phishing) são adicionados à lista relacionada Usuários afetados no registro de incidente de segurança.
      Formulário de transformação: Ação 4
    • Na etapa 6, Permitir observáveis listados são filtrados da lista de observáveis no incidente de segurança.
      Observáveis listados não serão adicionados ao incidente de segurança.
      Fluxo de transformação: Filtro Permitir obeserváveis listados
    • Na etapa 7, observáveis desconhecidos do e-mail de phishing relatado pelo usuário são identificados e adicionados à lista relacionada de observáveis.
      Fluxo de transformação: Adicionar observáveis
    • Na etapa 8, uma consulta de pesquisa de e-mail é gerada, que é uma combinação do assunto e do endereço do remetente do e-mail.
      Essas informações são úteis para identificar os funcionários na organização que foram submetidos a phishing.
      Fluxo de transformação: Crie consulta de pesquisa de e-mail
    • Na etapa 9, o e-mail de phishing relatado pelo usuário é associado ao incidente de segurança e o registro do incidente de segurança (criado na etapa 4) é atualizado.
      Fluxo de transformação: Atualize o registro de incidente de segurança
    • Na etapa 10, o incidente de segurança primário é identificado e uma verificação é feita para ver se é um registro de incidente de segurança aberto.
      Fluxo de transformação: PESQUISE registro de incidente de segurança
    • Se a segurança primária estiver ativa, anotações serão adicionadas aos registros de incidente de segurança secundário e primário indicando como eles estão associados uns aos outros.
    • Na etapa 12, se nenhum usuário afetado for encontrado (na etapa 5 do fluxo), uma anotação de trabalho será adicionada e o registro do incidente de segurança será atualizado.
      Fluxo de transformação: Adicione anotação de trabalho para usuários incompatíveis
    • Na etapa 13, uma anotação de trabalho é adicionada com a lista de observáveis listados de permissão.
      Fluxo de transformação: Adicione a lista de observáveis listados de permissões

    O que Fazer Depois

    Você pode clicar em Teste simular as ações no fluxo antes que ele seja publicado. Depois de testar o fluxo, clique em Ativar para ativar o fluxo para que ele possa ser executado.

    Clique em Execuções para exibir os detalhes de execução do fluxo.


    Fluxo de transformação: Detalhes da execução

    Quando o fluxo é executado, o registro de e-mail de phishing é convertido em um incidente de segurança. Veja Registros de incidentes de segurança criados a partir de registros de e-mail de phishing

    Registros de incidentes de segurança criados a partir de registros de e-mail de phishing

    Registros de e-mail de phishing armazenados no sn_si_phishing_email as tabelas são convertidas em registros de incidentes de segurança.

    Para exibir o incidente de segurança associado ao registro de e-mail de phishing, clique em Incidente de segurança > E-mail de Phishing > Mostrar todos os e-mails de phishing.


    Tabela de e-mail de phishing

    Clique no link na coluna Incidente de segurança associado ao registro de e-mail de phishing. Os detalhes do incidente de segurança são exibidos.


    Incidente de segurança associado ao registro de e-mail de phishing

    Listas relacionadas

    Role para baixo até a seção Links relacionados do incidente de segurança e clique em Mostrar todas as listas relacionadas . Exiba detalhes como incidentes de segurança secundários, usuários afetados, e-mails de phishing associados.

    Incidentes de segurança secundários

    Clique em Incidentes de segurança secundários guia. Você pode ver uma lista de incidentes de segurança secundários associados ao incidente de segurança primário com base na lógica de agregação que foi aplicada. Para cada registro secundário adicionado, uma atividade automatizada do sistema é adicionada (na seção Anotação de trabalho) ao registro primário. Notifica o analista de segurança sobre o registro secundário agregado.
    Nota:
    Você pode ver os incidentes de segurança secundários aqui somente se Crie incidentes secundários para envios de e-mails agregados o sinalizador está definido como Sim Na página Propriedades de phishing relatadas pelo usuário. Consulte Defina propriedades de phishing relatadas pelo usuário para obter detalhes.

    Incidentes de segurança secundários

    E-mails de phishing associados

    Clique em E-mails de Phish associados guia. Você vê uma lista de registros de e-mail de phishing (registros duplicados) associados ao registro de e-mail de phishing primário.
    Registros de e-mail de phishing associados

    Cabeçalhos de e-mail de phishing associados

    Clique em E-mails de Phish associados guia. Você vê os detalhes do cabeçalho do e-mail de phishing que foram capturados como parte do incidente de segurança. Você pode exibir os cabeçalhos acumulados de todos os registros secundários e registros de e-mail de phishing agregados ao incidente de segurança primário.
    Cabeçalhos de e-mail de phishing associados

    Observáveis de lista permitidos

    . Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança o fluxo está sendo executado, você pode monitorar o status do incidente de segurança. Quando determinados observáveis são marcados como observáveis de lista permitidos, eles não são adicionados à lista relacionada de observáveis. Ao marcar os observáveis na lista de permissões, você pode garantir que somente os detalhes importantes sejam exibidos. Por exemplo, se www.google.com É um dos URLs que foi marcado como lista permitida, a seguinte mensagem do sistema é exibida. A lista de observáveis permitidos garante que somente os observáveis importantes sejam monitorados.

    Capturar usuários incompatíveis

    Alguns ids de e-mail na lista Para e CC do e-mail de phishing podem não pertencer a usuários da organização. Esses ids de e-mail são categorizados como usuários incompatíveis e não estão incluídos na lista relacionada Usuários afetados. Uma anotação de trabalho indicando que esses são usuários incompatíveis é exibida.
    Usuários incompatíveis

    Phishing relatado pelo usuário no Espaço do analista de segurança

    Você pode exibir incidentes de segurança associados aos registros de e-mail de phishing no Espaço do analista de segurança.

    Navegar até Incidente de segurança > Nova IU. O espaço é aberto em uma guia separada do navegador. Clique no incidente de segurança associado ao registro de e-mail de phishing para exibir o incidente de segurança.
    Incidente de segurança do URP: Nova IU
    Clique no ícone de binóculos. O e-mail de phishing original é exibido.
    Incidente de segurança do URP: Nova IU - e-mail de phishing
    Em Explorar clique em incidentes > Incidentes de segurança secundários.
    Incidente de segurança do URP: Nova IU - incidentes de segurança secundários
    Clique incidentes > Cabeçalhos de phishing associados > . Você pode exibir os cabeçalhos acumulados de todos os registros secundários e registros de e-mail de phishing agregados ao incidente de segurança primário.
    URP: Nova IU - Cabeçalhos de e-mail
    Clique no link do e-mail de phishing para exibir o registro de e-mail de phishing associado ao incidente de segurança.
    URP: Nova IU: Registro de e-mail de phishing
    Clique em Linha do tempo do incidente guia.
    URP: Nova IU: Anotações de trabalho
    Você pode exibir as atualizações do sistema que destacam:
    • Registros secundários duplicados identificados.
    • Observáveis de lista permitidos.
    • Usuários incompatíveis que receberam o e-mail de phishing, mas não pertencem à lista de usuários afetados.

    Perguntas frequentes

    Esta seção aborda algumas das perguntas frequentes sobre o recurso aprimorado de Phishing relatado pelo usuário.

    1. Instalei o novo spoke de resposta a incidentes de segurança, mas não consigo exibir nenhum incidente de phishing relatado pelo usuário.

      Por padrão, a funcionalidade de phishing relatado pelo usuário foi desabilitada.

      Para habilitar este recurso, você deve fazer uma cópia do somente leitura Transforme e-mails de phishing relatados pelo usuário em incidentes de segurança e ative-o antes de usar.

    2. Ao ingerir e-mails de phishing e convertê-los em incidentes de segurança, quais medidas de precaução são usadas para lidar com links e anexos maliciosos nos e-mails de phishing?

      . ServiceNow o scanner antivírus verifica anexos e links maliciosos. No entanto, para garantir que os analistas de segurança possam investigar os incidentes com precisão, o Resposta a incidentes de segurança a aplicação captura todos os artefatos que fazem parte de um e-mail de phishing. Mas a funcionalidade de phishing relatado pelo usuário silencia os links maliciosos no e-mail de phishing para que os analistas de segurança não cliquem acidentalmente nesses links. Em relação a anexos maliciosos, os analistas de segurança devem ser cautelosos ao baixá-los.

    3. Capturamos todos os arquivos mal-intencionados que fazem parte dos e-mails de phishing para aprimoramento de incidentes de segurança?

      Sim, capturamos todos os arquivos dos e-mails de phishing. Esses detalhes estão disponíveis como parte dos observáveis de incidentes de segurança na forma de um hash de arquivo.

    4. Enviamos arquivos e links maliciosos de e-mails de phishing para uma instância de área restrita para investigação?

      Atualmente, não oferecemos suporte a integrações de sandbox prontas para a investigação de arquivos e links maliciosos.

    5. Há uma janela de tempo ou um gatilho que define a duração na qual os registros de e-mail de phishing duplicados de entrada são associados a um incidente de segurança primário?

      Registros de e-mail de phishing duplicados são agregados somente a um incidente de segurança primário ativo. Se o incidente primário for encerrado ou cancelado, o novo e-mail de phishing duplicado de entrada será criado como um novo incidente de segurança. Neste cenário, no novo incidente de segurança, você pode exibir o incidente de segurança primário encerrado ou cancelado no Incidente de segurança semelhante lista relacionada.

      Nota:
      Este comportamento pode ser configurado usando o Flow Designer.
    6. O recurso Relatório de phishing do usuário oferece suporte ao uso somente do Microsoft Outlook Phishalarm Plug-in (anteriormente conhecido como wombat) para capturar detalhes do cabeçalho do e-mail?

      A funcionalidade relatada pelo usuário foi criada para analisar cabeçalhos de e-mail e está em conformidade com os padrões RFC822. Semelhante ao Phishalarm Plug-in (anteriormente conhecido como wombat), todos os outros plug-ins do Microsoft Outlook que capturam cabeçalhos de e-mail com base nos padrões RFC822 são compatíveis.