メールで受信した URL をスキャンする

以下でサポートされています。

このドキュメントでは、受信メールから URL を抽出してスキャンし、フィッシング リンクや悪意のあるリンクを検出するセキュリティ自動化ワークフローを構築する方法について説明します。このプロセスにより、危険なリンクがリスクをもたらす前に無効化され、プレイブックで URL のブロックやメールの隔離などのアクションを直ちに実行できます。

始める前に

環境に次のインテグレーションがインストールされ、構成されている必要があります。

  • メールの統合: Microsoft Graph Mail または Gmail(メールやアラートからデータを読み取って抽出するため)。
  • レピュテーションの統合: VirusTotal または同様の URL 分析ツール。

メールで受信した URL をスキャンするには、メールボックスをモニタリングするコネクタ(メールまたは Exchange 統合)を構成する必要があります。

Playbook でスキャン ロジックを構築する

次の手順に沿って、プレイブックにスキャン ロジックを構築します。

  1. メール統合のアクション(Gmail_Enrich Email など)を使用して、メールの本文全体またはイベントデータを取得します。Expression Builder を使用してメールを解析し、スキャンする特定の URL を抽出します。詳細については、式ビルダーを使用するをご覧ください。
    メールが Google Security Operations SOAR に届き始めると、そのコンテンツはマッピング機能で解析されるか、エンティティの作成プレイブック アクションで抽出されます(プレイブックが受信メールに添付されている場合)。
  2. 選択したアクション(VirusTotal_Scan URL など)を追加し、プレースホルダを使用して前の手順で抽出した URL を入力します。
  3. スキャン アクションの直後に条件フローを追加します。詳細については、ハンドブックでフローを使用するをご覧ください。
  4. 条件のブランチを構成して、レピュテーション スキャンからの JSON 結果を評価します。
    • ブランチ 1(悪意のあるもの): Scan Result が悪意のあるものとして報告された場合(スコアが 5 より大きい場合や、特定のエンジンで脅威が検出された場合など)。
    • ブランチ 2(クリーン/不明): Scan Result がクリーンである場合、または条件で悪意のある指標が見つからなかった場合。

すべての URL が抽出されると、手動アクションとハンドブックで使用できるようになります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。