基于SOAR的钓鱼邮件处置剧本

最新推荐文章于 2024-07-04 22:10:49 发布
最新推荐文章于 2024-07-04 22:10:49 发布
阅读量291 收藏
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41610932/article/details/132357711
版权

      钓鱼邮件处置剧本通常用于处理和应对已经收到的钓鱼邮件。以下是一个示例的SOAR钓鱼邮件处置剧本:

1、检测和标识

   整合威胁情报:将已知的钓鱼邮件发送者、恶意域名等威胁情报与SOAR集成。

   邮件检测和分类:使用SOAR集成的邮件过滤功能,自动检测并标识钓鱼邮件。

2、建立工作流程

   自动提醒:设置自动提醒机制,通知安全团队有新的钓鱼邮件需要处理。

   创建工作任务:自动生成或分配工作任务给相应的安全团队成员,确保及时且透明地处理钓鱼邮件事件。

3、分析和调查

   邮件分析:通过SOAR对钓鱼邮件进行深入分析,包括邮件内容、附件和链接等。

   IP地址和域名调查:通过查找相关的威胁情报,调查并验证邮件中涉及的IP地址和域名的可疑性。

4、响应和封锁

   邮件封锁:如果确认邮件是钓鱼邮件,使用SOAR集成的防火墙或电子邮件网关,封锁发送者或恶意域名。

   用户通知和教育:通知受影响的用户钓鱼邮件的风险,并提供有关如何识别和避免类似攻击的教育。

5、数据记录和报告

   日志记录:使用SOAR记录所有与钓鱼邮件处置相关的活动和操作。

   报告生成:通过SOAR生成有关已处理钓鱼邮件事件的详细报告,包括所采取的措施和结果。

5、PS

       请注意,以上仅是一个示例剧本,实际的钓鱼邮件处置剧本会根据企业组织的安全要求、流程和技术架构而有所不同。

       定制化的剧本应基于企业组织的特定需求和安全策略进行设计和实施。建议与专业安全团队合作,确保有效应对和处理钓鱼邮件事件。

MingXS2021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
TOP 10 SOAR 安全剧本最佳实践
05-28
概述: SOAR(Security Orchestration,Automation and Response安全编排自动化响应),Gartner 对 SOAR 的最新描述性定义(摘自 Gartner 报告《Hype Cycle on Threat-Facing Technologies, 2018》) 是:SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。 翻译一个通俗版本: SOAR是一套安全自动化技术。基于SOAR技术的系统(以下简称SOAR),通过接收SOC/SIEM/态势感知系统、人工创建的事件,然后利用剧本(预先编排好的、可以自动执行的事件处置流程。)调度网内已经购买的安全产品,开展自动化响应处置工作;SOAR在整个事件处置过程中,处于连接中枢和调度指挥中心的角色。
应急响应-钓鱼邮件的处理思路溯源及其反制
告白的博客
08-14 2397
默认端口服务,是否架设有其他服务,框架是否存在漏洞等,将收集到的信息留作溯源信息收集。内容会指引诱导你点击某些网址,或者下载某些程序文件,将相关样本可以在沙箱运行后尝试得到一些攻击者的服务器等基础设施的信息,留作溯源用。根据内容的诱导性判断是否为可以的邮件,以及内容中设计到的一些信息,二维码等,留存提取出ip,域名邮件等地址,留作后续的溯源处理。下面为正常的邮件,可以看到对方的邮箱地址,cms信息,其他邮件可能会获取到邮件头信息,4.邮件的详情查看,获取域名,对方基础设施信息,ip等信息。
钓鱼邮件处置操作
墨痕诉清风的博客
05-21 311
3. 查看进程对应的文件路径:wmic process get 进程名称(windows)/processid|findstr PID(Linux)第一时间肯定是全员通知,微信群或者钉钉群,还没点击的千万不要点击,已经点击的立刻上报并且做断网隔离,对所有主机做病毒查杀。2. 记录有问题的进程PID,定位进程:tasklist(Windows)/ps aux|grep PID(Linux)4. 杀死进程:taskkill /F PID(windows)/kill -9 PID(Linux)
钓鱼邮件从入门到放弃
热门推荐
tomyyyyy
12-06 1万+
目录钓鱼邮件从入门到放弃一、钓鱼邮件的基本概念1.1 钓鱼邮件的伪造方式1.1.1 购买域名搭建邮箱服务器1.1.2 伪造发件人1.2 三个邮件安全协议1.2.1 SPF1.2.2 DKIM1.2.3 DMARC1.3 钓鱼邮件的利用方式1.3.1 链接钓鱼邮件1.3.2 附件钓鱼邮件1.3.3 鱼叉式钓鱼邮件1.3.4 BEC钓鱼邮件1.3.5 二维码钓鱼邮件二、钓鱼环境的搭建2.1 网站克隆...
钓鱼邮件处置
m0_70655343的博客
07-19 581
此处除了需要排查有多少人接收到钓鱼邮件之外,还需要排查是否公司通讯录泄露。对邮件内容出现的URL做扫描,可以发现大量的异常链接。发现途径如下邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警。对访问钓鱼网站的内网IP进行记录,以便后续排查溯源可能的后果。屏蔽办公区域对钓鱼邮件内容涉及站点、URL访问。删除还在邮件服务器未被客户端收取钓鱼邮件。有条件的可以根据邮件内容进行屏蔽。通知已接收钓鱼邮件的用户进行处理。屏蔽钓鱼邮件来源邮箱域名。处理接收到钓鱼邮件的用户。屏蔽钓鱼邮件来源IP。...
来了!100+SOAR安全剧本模板,加速安全运营!
wuzhiSOAR的博客
06-30 318
这100+安全剧本模板是雾帜智能多年积累的宝贵经验和实践成果。梳理这100+安全剧本模板库的初衷不仅是为了满足客户需求,更是希望通过挖掘这些模板的巨大价值,为整个安全行业注入更多的智慧和力量,助力整个安全行业的发展。未来,雾帜智能将坚持运用人工智能和自动化技术,不断研发创新的技术和产品,为智能安全运营提供更多的可能性。
一文带你快速了解SOAR
dzqxwzoe的博客
11-02 143
SOAR的出现有效缓解了人工处置水平参差不齐、安全工作重复单一、威胁情报种类繁多等问题,大大提高了网络安全事件的处置效率。平参差不齐、安全工作重复单一、威胁情报种类繁多等问题,大大提高了网络安全事件的处置效率。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
SOAR_soar路由协议_
10-04
SOAR路由协议的核心思想是基于源节点的信息来做出路由决策。这与传统的基于目的地的路由策略不同,后者通常依赖于逐跳的路由发现过程。源节点在发送数据时会考虑当前网络状态,如节点的能量、邻居节点的可达性、...
基于Soar推理引擎的智能体开发实例
07-18
**基于Soar推理引擎的智能体开发实例** Soar推理引擎是人工智能领域中一个重要的开源框架,主要用于构建复杂的认知模型和智能系统。它基于一种称为“认知架构”的理论,允许开发者创建具有学习、记忆、决策制定等...
基于认知结构SOAR的机器人路径规划.pdf
08-14
基于认知结构SOAR的机器人路径规划 本文提出了一种基于认知结构SOAR的机器人路径规划方法,旨在解决环境未知、目标位置已知情况下的机器人路径规划问题。该方法首先介绍了SOAR的基本概念及求解机制,然后设计了基于...
Soar Tutorial Part 1 - Simple Agents_soar_
10-02
Soar中,知识表示是基于“生产系统”(production system)的,这是一种规则库,其中包含了一组条件-行动规则。当规则的条件部分匹配到当前状态时,对应的行动部分会被执行。这种模式允许Soar灵活地适应不断变化的...
SOAR:软件定义安全之编排篇
marvel的专栏
09-05 8018
摘要:自动化编排已经成为行业内讨论很多的话题,但自动化编排的场景、如何实现自动化编排,还在探索中。本文从软件定义安全的角度,讨论了安全编排的必要性、关键支撑技术、实现架构和发展方向。 关键字:安全编排 软件定义安全 一,安全为什么要编排 1.1 什么是软件定义安全 Gartner自提出了软件定义安全的理念,为安全防护指出了一个可行的方向。软件定义安全连续xx被列入了十大新技...
国内SOAR领域首个Top 10安全剧本最佳实践
wuzhiSOAR的博客
04-19 3908
作为国产SOAR领域的先行者,雾帜智能对过往两年多的SOAR实战经验进行总结,与同行、伙伴和客户共同碰撞,最终输出了国内SOAR领域首个Top 10安全剧本最佳实践。
java学习:&&和&,||和|的比较
DJunYuan的博客
09-23 200
&&和&,||和|的比较 重点:’&&‘和’||’:安全的,’&‘和’|’:不安全的。
O365 Exchange收到钓鱼邮件的处理办法
Junson142099的博客
07-05 1590
某日某同事说收到一封钓鱼邮件对方邮件地址是个外国的域名,但是发件人名称却仿冒我们公司内部的管理邮箱。 收到该邮件后,首先第一时间应当告知该上报的用户不要点击里面的链接,并立即修改邮箱密码。 随后,在exchange后台追踪该域名的垃圾邮件 ............
soar系统搭建_利用 Airflow 快速搭建企业安全运营自动化平台
weixin_36170708的博客
01-06 979
1. 安全运营自动化企业的各类安全设备每天都会产生大量的告警和安全事件,安全运营人员在处理这些安全告警和事件的过程中,一方面,需要手工去对安全事件进行信息富化,搜集更多的关于告警、资产、威胁情报的相关信息,以进行调查和确认;另一方面,需要对一些低威胁的、明显未成功,或者并不关注的告警进行初步过滤。在这个过程中,安全运营人员往往会进行大量的重复性工作,需要耗费大量的时间和精力进行各类查询和...
安全编排自动化与响应 (SOAR) 技术解析
网络空间发展与战略研究
05-09 9999
首席安全官Plus是一个围绕“大数据、云计算和人工智能”高技术领域,发布相关网络安全前沿技术和产业趋势的平台,努力打造“有特色、高水平、国际化”的网络安全思想高地。如投稿,请发送到:csoplus@163.com。 欢迎关注我们的公众号,谢谢! 一、SOAR 的产生背景 随着网络安全攻防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击...
钓鱼邮件演练方案有哪些?如何模拟一次演练
高级基础架构专家-Hunter
05-13 4253
众所周知,网络钓鱼仍是当今勒索软件载体及数据外泄攻击入侵公司内部的便捷途径。有市场调查报告指出,高达41%的受访企业每日均遭受到网络攻击,由此可见员工培训对公司维持有效安全防御尤其关键。 有哪些钓鱼邮件演练方案?能够将整个培训程序自动化,并通过一目了然的分析报告辨别出安全意识薄弱的员工。 方案一:人工群发邮件的方式,过程比较繁琐 方案二:使用一些产品的方式,例如Sophos、KB4等。 钓鱼邮件演练大概过程如下: 1.首先看一个效果图,通过仪表盘查看报表,识别出哪些用户点击了钓鱼邮件 ..
Iperf基本用法
最新发布
peterhunter0320的博客
07-04 340
Iperf支持TCP和UDP协议,可以用于点对点或客户端-服务器等模式的网络测试。在Windows系统中,您可以下载Iperf的预编译版本,并将其解压到任意文件夹中。以上是Iperf的一些基本用法,您可以根据实际需要调整各种参数来满足不同的测试需求。更多详细的使用方法和参数,您可以通过运行iperf3 -h命令来查看帮助文档。在Linux系统中,您可以使用包管理器安装Iperf。Iperf的使用非常灵活,可以通过命令行参数来调整测试的各种参数。iperf3 -c <服务器IP地址> -u -b 10M。
SOAR 买方指南-Splunk.pdf
06-25
在确定SOAR平台时,需识别关键的安全使用案例,这些案例通常是基于当前手动工作流程并解决最棘手的问题。涉及多个工具和步骤的工作流程是自动化的主要候选对象。全面列出所有潜在的使用案例,即使初期不实施,也能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MingXS2021

技术活儿,当赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值