スプーフィングされたメール (同じ表示名を使用) Playbook を使用する

ワシントンDCのセキュリティ管理

Release

washingtondc

ft:locale

ja-JP

ft:publication_title

ワシントンDCのセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

スプーフィングされたメール (同じ表示名を使用) Playbook を使用する

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む3読むのに数分

次の手順では、スプーフィングされたメール (同じ表示名を使用) Playbook で使用できるアクション、タスク、およびサブフローのウォークスルーを示します。

始める前に

必要なロール：

sn_si.admin
flow_designer

Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

手順

プレイブックがトリガーされて実行が開始されたら、ステップ1で、Proofpointに継続的ななりすましメールがないかどうかを確認する必要があります。
ステップ2で、Proofpointに継続的な電子メールがある場合は、これが内部スプーフィングされた電子メールであるかどうかを確認します。
ステップ 3 で、これが内部スプーフィングされた電子メールである場合は、次の手順を実行します。
1. ステップ 5 では、Virus Total、Anomali Threat Stream Sandbox、urlquery.net、PhishTank などのソースを使用して URL 分析を実行する必要があります (たとえば、PhiskTank と Anomali を確認します)。
2. 手順 6 では、Linux VM (Ubuntu など) 上の URL を調査する必要があります。
  
  図 : 1. スプーフィングされたメール (同じ表示名を使用) Playbook
3. ステップ7では、WHOISでドメインがいつ作成されたかを調べる必要があります。
  疑わしい、フィッシング攻撃の可能性が高い最近登録されたドメイン(先週以内)を探します。
4. ステップ8では、これまでに行われた調査に基づいて、この電子メールに悪意のある添付ファイルまたはリンクが含まれているかどうかを確認する必要があります。
  このメールに悪意のある添付ファイルまたはリンクが含まれていない場合、フローは終了します。
  図 : 2. なりすましメールに悪意のある添付ファイルまたはリンクが含まれている
5. 手順 9 で、電子メールに悪意のある添付ファイルまたはリンクが含まれている場合は、次の手順を実行します。
  1. ステップ 10 では、影響を受けるユーザーに連絡して、資格情報が侵害されていないかどうかを確認する必要があります。提供されたメールテンプレートを使用して、影響を受けるユーザーに連絡できます。
  2. ステップ 11 では、電子メールの応答に基づいて資格情報が侵害されているかどうかを確認する必要があります。資格情報が侵害されていなければ、フローは終了します。
    1. ステップ 12 で資格情報が侵害された場合、ステップ 13 で、追加のユーザーが影響を受けるかどうかを確認する必要があります。それ以外のユーザーが影響を受けない場合、フローは終了します。
    2. ステップ 14 で、追加のユーザが影響を受ける場合は、次の手順を実行します。
      
      ステップ 15 では、Microsoft Exchange Online を使用してメールを検索および削除する必要があります。
      
      ステップ16では、Office 365とProofpointの送信者と悪意のあるファイルまたは添付ファイルをブロックする必要があります。
手順 17 で、これが内部のなりすまし電子メールでない場合は、影響を受けるユーザーのシステムが影響を受けているかどうかを確認する必要があります。
ステップ 18 でユーザーのシステムが影響を受ける場合は、ステップ 19 で IT チケットを発行して、影響を受けるシステムを再イメージ化します。

図 : 3. 影響を受けるユーザーのシステムが影響を受けているかどうかを確認する
ステップ 20 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。