Skip to main content
Lanterna Home

Splunk Lantern

Enriquecer domínios de correio electrónico suspeitos

  1. Last updated
  2. Save as PDF

O phishing continua a ser a técnica mais popular para os atacantes. A natureza aberta do e-mail e a sua confiança nele para comunicação tornam difícil para os defensores classificar as mensagens, por isso a investigação suspeita por e-mail é um dos seus principais casos de uso para automação. Você gostaria de usar o Cisco Umbrella Investigate para examinar um nome de domínio, adicionar a pontuação de risco, o status do risco e a categoria de domínio ao evento em Splunk SOAR . Dessa forma, quando os analistas receberem eventos, eles poderão reconhecer mais rapidamente a finalidade do e-mail, e o enriquecimento do domínio também fornecerá um ponto de conexão para tomar outras medidas na saída.

Como utilizar o software Splunk para este caso de utilização

O playbook começa por buscar todo o texto do evento e todos os seus artefatos e, em seguida, executar uma expressão regular contra esse texto para extrair quaisquer endereços de e-mail nele contidos. A partir daí, duas consultas separadas de reputação de domínio são executadas nos domínios dos endereços de correio electrónico extraídos, bem como quaisquer domínios que foram extraídos após a ingestão de correio electrónico. Em conjunto, estes devem analisar quaisquer domínios a partir dos cabeçalhos e corpo do e-mail. O próximo passo é uma consulta ao Cisco Umbrella Investigate para determinar as pontuações de risco, o estado do risco e as categorizações desses domínios. A Umbrella fornece uma riqueza de inteligência sobre ameaças sobre nomes de domínio apoiados pela pesquisa de ameaças da Cisco e ampla visibilidade do tráfego na Internet, o que muitas vezes produz informações valiosas sobre o propósito de um domínio e o potencial de danos. O restante do playbook formata campos chave do resultado da reputação do domínio e apresenta-os numa nota ao analista. Para usar o playbook :

  1. Configurar o Aplicação Cisco Umbrella Investigue em Splunk SOAR :
    1. Navegar até Home > Apps > Aplicações não configuradas > Busca para Investigar o Cisco Umbrella > Configurar Novo Activo .
    2. Dê ao ativo um nome como “umbrella_investigate”.
    3. Na página Definições do activo, forneça a chave de API a partir da aplicação Web Umbrella.
  2. Se ainda não utilizou o Enriquecimento de domínio de correio electrónico suspeito playbook , configurá-lo e ativá-lo.
    1. Navegar até Home > Manuais e pesquisar enriquecimento de domínio de e-mail suspeito . Se não estiver lá, clique Actualização a partir do Controlo de Origem e seleccionar Comunidade para descarregar novos playbooks da comunidade.
    2. Clique no botão playbook nome para abri-lo.
    3. Resolver o playbook assistente de importação seleccionando a aplicação recém-criada.
    4. Defina o rótulo como e-mail (ou o nome escolhido acima na configuração do e-mail).
    5. Defina o playbook a Ativo .
    6. Salvar o playbook e depois executá-lo.

Próximos passos

Este playbook inicia o processo de enriquecimento de um e-mail suspeito, mas existem muitas possibilidades de resposta adicional. Por exemplo, os nomes de domínio com pontuações de risco superiores a um determinado limite podem ser utilizados para iniciar uma acção de “bloquear domínio” ou “eliminar correio electrónico” para impedir o utilizador de seguir uma hiperligação num correio electrónico de phishing. Da mesma forma, as ferramentas de protecção de endpoints podem ser utilizadas para monitorizar a actividade num endpoint potencialmente infectado para monitorizar utilizadores que possam ter seguido uma ligação de phishing e sido expostos a roubo de credenciais ou malware do lado do cliente.

O conteúdo deste artigo provém de uma blog publicado anteriormente , um dos milhares de recursos do Splunk disponíveis para ajudar os utilizadores a terem sucesso. Além disso, estes recursos podem ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.