Analizar URLs recibidas por correo electrónico

Disponible en:

En este documento se describe cómo crear un flujo de trabajo de automatización de seguridad que extraiga y analice URLs de correos entrantes para detectar enlaces de phishing o maliciosos. Este proceso asegura que los enlaces peligrosos se neutralicen antes de que supongan un riesgo, lo que permite que tu manual de respuestas tome medidas inmediatas, como bloquear la URL o poner en cuarentena el correo.

Antes de empezar

Debe tener instalada y configurada la siguiente integración en su entorno:

  • Integración de correo: Microsoft Graph Mail o Gmail (para leer y extraer datos del correo o la alerta).
  • Integración de la reputación: VirusTotal o una herramienta de análisis de URLs similar.

Para analizar las URLs recibidas por correo electrónico, tendrás que configurar un conector que monitorice un buzón de correo (con las integraciones Email o Exchange).

Crea la lógica de análisis en tu playbook

Sigue estos pasos para crear la lógica de análisis en tu manual de respuestas:

  1. Usa la acción de la integración de correo electrónico (por ejemplo, Gmail_Enrich Email) para obtener el cuerpo completo del correo o los datos del evento. Usa el Generador de expresiones para analizar el correo y extraer las URLs específicas que quieras analizar. Para obtener más información, consulta Usar el creador de expresiones.
    Cuando los correos empiezan a llegar a Google Security Operations SOAR, su contenido se puede analizar mediante la función de asignación o extraerse mediante la acción del playbook Crear entidad (si los playbooks están adjuntos a los correos entrantes).
  2. Añade la acción que hayas seleccionado (por ejemplo, VirusTotal_Scan URL) y usa un marcador de posición para introducir la URL extraída en el paso anterior.
  3. Añade un flujo de condición inmediatamente después de la acción de escaneo. Para obtener más información, consulta el artículo Usar flujos en manuales.
  4. Configura las ramas de la condición para evaluar el resultado JSON del análisis de reputación:
    • Rama 1 (Malicioso): si se informa de que Scan Result es malicioso (por ejemplo, si la puntuación es superior a 5 o si un buscador específico ha detectado una amenaza).
    • Rama 2 (Limpio/Desconocido): si Scan Result está limpio o si la condición no encuentra indicadores maliciosos.

Una vez que se hayan extraído todas las URLs, podrás usarlas en acciones manuales y en guías.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.