Analyser les URL reçues par e-mail

Compatible avec :

Ce document explique comment créer un workflow d'automatisation de la sécurité qui extrait et analyse les URL des e-mails entrants pour détecter les liens d'hameçonnage ou malveillants. Ce processus permet de s'assurer que les liens dangereux sont neutralisés avant de présenter un risque, ce qui permet à votre playbook d'agir immédiatement, par exemple en bloquant l'URL ou en mettant l'e-mail en quarantaine.

Avant de commencer

Vous devez avoir installé et configuré l'intégration suivante dans votre environnement :

  • Intégration de la messagerie : Microsoft Graph Mail ou Gmail (pour lire et extraire des données de l'e-mail/de l'alerte).
  • Intégration de la réputation : VirusTotal ou un outil d'analyse d'URL similaire.

Pour analyser les URL reçues par e-mail, vous devez configurer un connecteur qui surveille une boîte aux lettres (avec les intégrations E-mail ou Exchange).

Créer la logique d'analyse dans votre playbook

Pour créer la logique d'analyse dans votre playbook, procédez comme suit :

  1. Utilisez l'action d'intégration de l'e-mail (par exemple, Gmail_Enrich Email) pour obtenir le corps complet de l'e-mail ou les données de l'événement. Utilisez le générateur d'expressions pour analyser l'e-mail et extraire les URL spécifiques que vous souhaitez analyser. Pour en savoir plus, consultez Utiliser le générateur d'expressions.
    Lorsque des e-mails commencent à arriver dans Google Security Operations SOAR, leur contenu peut être analysé par la fonctionnalité de mappage ou extrait par l'action de playbook Créer une entité (si des playbooks sont associés aux e-mails entrants).
  2. Ajoutez l'action sélectionnée (par exemple, l'URL VirusTotal_Scan) et utilisez un espace réservé pour saisir l'URL extraite à l'étape précédente.
  3. Ajoutez un flux de condition immédiatement après l'action d'analyse. Pour en savoir plus, consultez Utiliser des flux dans les playbooks.
  4. Configurez les branches de la condition pour évaluer le résultat JSON de l'analyse de la réputation :
    • Branche 1 (malveillante) : si Scan Result est signalé comme malveillant (par exemple, score > 5 ou moteur spécifique ayant détecté une menace).
    • Branche 2 (Propre/Inconnu) : si Scan Result est propre ou si la condition ne parvient pas à trouver d'indicateurs malveillants.

Une fois toutes les URL extraites, vous pouvez les utiliser dans des actions manuelles et dans des playbooks.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.