Modelo de fluxo de trabalho de phishing de incidente de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • O Incidente de segurança - Phishing - Modelo permite que você execute uma série de tarefas projetadas para lidar com e-mails de phishing na sua rede.

    Antes de Iniciar

    Função necessária: sn_si.write

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho é acionado quando a Categoria em um incidente de segurança é definida como Spear Phishing. Esta ação faz com que uma tarefa de resposta seja criada para a primeira atividade no fluxo de trabalho.

    Figura 1. Spear Phishing
    Modelo de fluxo de trabalho de Spear Phishing

    Procedimento

    1. Abra o incidente de segurança para este possível ataque de phishing ou crie um novo incidente de segurança.
    2. Em Categoria, selecione Spear Phishing.
    3. Salve o registro.
    4. Role para baixo e abra a lista relacionada Tarefas de resposta.
      A primeira de uma série de tarefas de resposta é exibida. Cada vez que o registro é salvo, sua resposta à tarefa anterior faz com que a próxima tarefa de resposta seja criada ou o fluxo de trabalho seja encerrado.
      Tabela 1. Tarefas de resposta no modelo de Spear Phishing
      Tarefa de resposta Ação Resultados
      Isso é um ataque de phishing? Determine se este é um ataque de phishing.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, as seguintes tarefas serão executadas em paralelo:
      • Endpoint de verificação - Malware encontrado?
      • Atualizar software de proteção de e-mail
      • Remover e-mail de phishing não lido da fila - Para todos os usuários

      Se você selecionar Não, o fluxo será encerrado.
      Endpoint de verificação - Malware encontrado? Depois de executar uma verificação, determine se o malware foi encontrado.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a mensagem Remover malware - Sucesso? tarefa é executada.

      Se você selecionar Não, a tarefa Definir estado como revisão será executada.
      Remover malware - Sucesso? Determine se o malware foi removido com sucesso.

      Na tarefa, selecione Sim ou Não em Resultado.

      		 Se você selecionar Sim, a tarefa Definir estado como revisão será executada.

      Se você selecionar Não, a tarefa de limpeza e recriação de imagem será executada.
      Limpar e recriar imagem Se você não removeu com sucesso o malware encontrado, esta tarefa instrui você a executar um apagamento e recriação de imagens nos computadores infectados com o malware. Depois que a tarefa for concluída, a tarefa Definir estado como revisão será executada.
      Atualizar software de proteção de e-mail Se for determinado que se trata de um ataque de phishing, você será solicitado a atualizar o software de proteção de e-mail de acordo. Quando a tarefa for concluída, a tarefa Definir estado como revisão será executada.
      Remover e-mail de phishing não lido da fila - Para todos os usuários Execute as etapas necessárias para remover o e-mail de phishing ainda na fila para todos os usuários. Quando a tarefa for concluída, a tarefa Definir estado como revisão será executada.
      Definir Estado como Revisar Nenhuma ação necessária. O Estado do incidente de segurança é alterado automaticamente para Revisar.

      A tarefa Programar treinamento de conscientização de segurança é executada.
      Programar treinamento de conscientização de segurança Programe treinamento para aumentar a conscientização de segurança de seus funcionários.

      Atualize o campo Estado na tarefa conforme apropriado.

      		 Quando a tarefa é concluída, o fluxo termina.