Skip to main content
Lanterna Home

Splunk Lantern

Investigar ataques de phishing Gsuite

  1. Last updated
  2. Save as PDF

Trabalha para uma organização que migrou para o Gsuite para os seus serviços baseados em aplicações Web, armazenamento de ficheiros, correio electrónico, calendário e outros canais. Alguns funcionários relataram recentemente ter recebido ficheiros suspeitos entregues através da partilha de ficheiros do GSuite Drive, utilizando documentos marcados com logótipos de instituições financeiras proeminentes que os levam a clicar em ligações e partilhar informações.

Algumas das tentativas de entrega de ficheiros estão a ser enviadas sem um e-mail de notificação que o acompanha, fazendo com que os utilizadores acreditem que os ficheiros no Google Drive foram partilhados por alguém que conhecem. Os atacantes também estão a usar uma variedade de métodos para tentar entregar os seus ficheiros, incluindo mensagens de texto.

Não é possível reagir a isto de forma eficaz colocar restrições de domínio de origem porque é impossível bloquear todos os domínios maliciosos possíveis de partilhar ficheiros. Mesmo com a imposição destas e outras restrições, tais como prestadores de serviços, tipos de documentos ou mesmo análise de mensagens, está a ter dificuldade em detetar estes ataques.

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Se estiver a experimentar um caso de spear ou phishing direcionado, essas pesquisas podem ajudá-lo, no entanto, são necessárias análises mais aprofundadas e detecções compensadoras para restringir a busca pela origem do ataque.

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.

Se é um Splunk Enterprise Security cliente, também pode obter ajuda da equipa de Security Research opções de suporte no GitHub .

Além disso, os seguintes recursos podem ajudá-lo com este caso de utilização: