Analiza las URLs que se reciben por correo electrónico

Compatible con:

En este documento, se describe cómo compilar un flujo de trabajo de automatización de seguridad que extrae y analiza las URLs de los correos electrónicos entrantes para detectar vínculos maliciosos o de phishing. Este proceso garantiza que los vínculos peligrosos se neutralicen antes de que representen un riesgo, lo que permite que tu cuaderno de estrategias tome medidas inmediatas, como bloquear la URL o poner en cuarentena el correo electrónico.

Antes de comenzar

Debes tener instalada y configurada la siguiente integración en tu entorno:

  • Integración de correo electrónico: Microsoft Graph Mail o Gmail (para leer y extraer datos del correo electrónico o la alerta)
  • Integración de reputación: VirusTotal o una herramienta de análisis de URLs similar

Para analizar las URLs que se reciben por correo electrónico, deberás configurar un conector que supervise un buzón de correo electrónico (con las integraciones de Correo electrónico o Exchange).

Crea la lógica de análisis en tu guía

Sigue estos pasos para crear la lógica de análisis en tu manual:

  1. Usa la acción de integración de correo electrónico (por ejemplo, Gmail_Enrich Email) para obtener el cuerpo completo del correo electrónico o los datos del evento. Usa el compilador de expresiones para analizar el correo electrónico y extraer las URLs específicas que deseas analizar. Para obtener más información, consulta Cómo usar el compilador de expresiones.
    Cuando los correos electrónicos comienzan a llegar a Google Security Operations SOAR, su contenido se puede analizar con la función de asignación o extraer con la acción de la guía Create Entity (si las guías están adjuntas a los correos electrónicos entrantes).
  2. Agrega la acción seleccionada (por ejemplo, VirusTotal_Scan URL) y usa un marcador de posición para ingresar la URL extraída del paso anterior.
  3. Agrega un flujo de condición inmediatamente después de la acción de análisis. Para obtener más información, consulta Cómo usar flujos en los playbooks.
  4. Configura las ramas de la condición para evaluar el resultado JSON del análisis de reputación:
    • Rama 1 (maliciosa): Si se informa que Scan Result es maliciosa (por ejemplo, la puntuación es superior a 5 o un motor específico encontró una amenaza)
    • Rama 2 (Limpia/Desconocida): Si Scan Result está limpia o si la condición no encuentra indicadores maliciosos.

Una vez que se extraen todas las URLs, puedes usarlas en acciones manuales y en guías.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.