Verificar URLs recebidos por e-mail

Compatível com:

Este documento descreve como criar um fluxo de trabalho de automação de segurança que extrai e verifica URLs de e-mails recebidos para detectar phishing ou links maliciosos. Esse processo garante que os links perigosos sejam neutralizados antes de representarem um risco, permitindo que o playbook tome medidas imediatas, como bloquear o URL ou colocar o e-mail em quarentena.

Antes de começar

Você precisa ter a seguinte integração instalada e configurada no seu ambiente:

  • Integração de e-mail: Microsoft Graph Mail ou Gmail (para ler e extrair dados do e-mail/alerta).
  • Integração de reputação: VirusTotal ou uma ferramenta semelhante de análise de URL.

Para verificar URLs recebidos por e-mail, configure um conector que monitore uma caixa de e-mail (com as integrações E-mail ou Exchange).

Criar a lógica de verificação no seu manual

Siga estas etapas para criar a lógica de verificação no seu playbook:

  1. Use a ação da integração de e-mail (por exemplo, Gmail_Enrich Email) para receber o corpo completo do e-mail ou os dados do evento. Use o criador de expressões para analisar o e-mail e extrair os URLs específicos que você quer verificar. Para mais detalhes, consulte Usar o criador de expressões.
    Quando os e-mails começam a chegar ao SOAR do Google Security Operations, o conteúdo deles pode ser analisado pelo recurso de mapeamento ou extraído pela ação do playbook Criar entidade (se os playbooks estiverem anexados aos e-mails recebidos).
  2. Adicione a ação selecionada (por exemplo, URL VirusTotal_Scan) e use um marcador de posição para inserir o URL extraído da etapa anterior.
  3. Adicione um fluxo de condição imediatamente após a ação de verificação. Para mais detalhes, consulte Usar fluxos em playbooks.
  4. Configure as ramificações da condição para avaliar o resultado JSON da verificação de reputação:
    • Ramificação 1 (maliciosa): se Scan Result for sinalizado como malicioso (por exemplo, pontuação > 5 ou um mecanismo específico encontrou uma ameaça).
    • Ramificação 2 (limpa/desconhecida): se Scan Result estiver limpo ou se a condição não encontrar indicadores maliciosos.

Depois que todos os URLs forem extraídos, você poderá usá-los em ações manuais e playbooks.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.