Memindai URL yang diterima melalui email

Didukung di:

Dokumen ini menjelaskan cara membuat alur kerja otomatisasi keamanan yang mengekstrak dan memindai URL dari email masuk untuk mendeteksi link phishing atau berbahaya. Proses ini memastikan bahwa link berbahaya dinetralisir sebelum menimbulkan risiko, sehingga playbook Anda dapat segera mengambil tindakan, seperti memblokir URL atau mengarantina email.

Sebelum memulai

Anda harus menginstal dan mengonfigurasi integrasi berikut di lingkungan Anda:

  • Integrasi Email: Microsoft Graph Mail atau Gmail (untuk membaca dan mengekstrak data dari email/pemberitahuan).
  • Integrasi Reputasi: VirusTotal atau alat analisis URL serupa.

Untuk memindai URL yang diterima melalui email, Anda harus mengonfigurasi konektor yang memantau kotak email (dengan integrasi Email atau Exchange).

Buat logika pemindaian di playbook Anda

Gunakan langkah-langkah berikut untuk membuat logika pemindaian di playbook Anda:

  1. Gunakan tindakan integrasi email (misalnya, Gmail_Enrich Email) untuk mendapatkan isi email atau data acara lengkap. Gunakan Pembuat Ekspresi untuk mengurai email dan mengekstrak URL tertentu yang ingin Anda pindai. Untuk mengetahui detailnya, lihat Menggunakan Pembuat Ekspresi.
    Saat email mulai masuk ke SOAR Google Security Operations, kontennya dapat diuraikan oleh fitur pemetaan atau diekstrak oleh tindakan playbook Buat Entitas (jika playbook dilampirkan ke email yang masuk).
  2. Tambahkan tindakan yang Anda pilih (misalnya, URL VirusTotal_Scan) dan gunakan placeholder untuk memasukkan URL yang diekstrak dari langkah sebelumnya.
  3. Tambahkan alur Kondisi segera setelah tindakan pemindaian. Untuk mengetahui detailnya, lihat Menggunakan alur dalam playbook.
  4. Konfigurasi cabang kondisi untuk mengevaluasi Hasil JSON dari pemindaian reputasi:
    • Cabang 1 (Berbahaya): Jika Scan Result dilaporkan sebagai berbahaya (misalnya, skor > 5, atau mesin tertentu menemukan ancaman).
    • Cabang 2 (Bersih/Tidak Diketahui): Jika Scan Result bersih atau jika kondisi gagal menemukan indikator berbahaya.

Setelah semua URL diekstrak, Anda dapat menggunakannya dalam tindakan manual dan dalam playbook.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.