Scansionare gli URL ricevuti via email

Supportato in:

Questo documento descrive come creare un flusso di lavoro di automazione della sicurezza che estrae e analizza gli URL dalle email in entrata per rilevare link di phishing o dannosi. Questo processo assicura che tutti i link pericolosi vengano neutralizzati prima che rappresentino un rischio, consentendo al playbook di intraprendere azioni immediate, come bloccare l'URL o mettere in quarantena l'email.

Prima di iniziare

Nel tuo ambiente deve essere installata e configurata la seguente integrazione:

  • Integrazione email: Microsoft Graph Mail o Gmail (per leggere ed estrarre dati dall'email/avviso).
  • Integrazione della reputazione: VirusTotal o uno strumento di analisi degli URL simile.

Per eseguire la scansione degli URL ricevuti via email, devi configurare un connettore che monitori una casella di posta (con le integrazioni Email o Exchange).

Crea la logica di scansione nel playbook

Per creare la logica di scansione nel playbook:

  1. Utilizza l'azione dell'integrazione email (ad esempio Gmail_Enrich Email) per ottenere il corpo completo dell'email o i dati dell'evento. Utilizza lo strumento di creazione delle espressioni per analizzare l'email ed estrarre gli URL specifici che vuoi scansionare. Per maggiori dettagli, vedi Utilizzare il generatore di espressioni.
    Quando le email iniziano ad arrivare in Google Security Operations SOAR, il loro contenuto può essere analizzato dalla funzionalità di mappatura o estratto dall'azione del playbook Crea entità (se i playbook sono allegati alle email in arrivo).
  2. Aggiungi l'azione selezionata (ad esempio, l'URL VirusTotal_Scan) e utilizza un segnaposto per inserire l'URL estratto dal passaggio precedente.
  3. Aggiungi un flusso di condizioni immediatamente dopo l'azione di scansione. Per maggiori dettagli, vedi Utilizzare i flussi nei playbook.
  4. Configura i rami della condizione per valutare il risultato JSON della scansione della reputazione:
    • Branch 1 (Malicious): If Scan Result is reported as malicious (for example, score > 5, or specific engine found a threat).
    • Branch 2 (Clean/Unknown): se Scan Result è pulito o se la condizione non riesce a trovare indicatori dannosi.

Una volta estratti tutti gli URL, puoi utilizzarli nelle azioni manuali e nei playbook.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.