扫描通过电子邮件收到的网址

支持的平台:

本文档介绍了如何构建安全自动化工作流,该工作流可从入站电子邮件中提取网址并扫描这些网址,以检测钓鱼式攻击链接或恶意链接。此流程可确保在任何危险链接造成风险之前将其中和,从而让您的剧本立即采取行动,例如屏蔽相应网址或隔离相应电子邮件。

准备工作

您必须在环境中安装并配置以下集成:

  • 电子邮件集成:Microsoft Graph Mail 或 Gmail(用于读取和提取电子邮件/提醒中的数据)。
  • 信誉集成:VirusTotal 或类似的网址分析工具。

如需扫描通过电子邮件收到的网址,您需要配置一个监控邮箱的连接器(通过 EmailExchange 集成)。

在 playbook 中构建扫描逻辑

请按照以下步骤在 playbook 中构建扫描逻辑:

  1. 使用电子邮件集成的操作(例如 Gmail_Enrich Email)获取完整的电子邮件正文或活动数据。使用表达式构建器解析电子邮件,并提取要扫描的特定网址。如需了解详情,请参阅使用表达式构建器
    当电子邮件开始进入 Google Security Operations SOAR 时,其内容可以通过映射功能进行解析,也可以通过 Create Entity playbook 操作(如果 playbook 附加到传入的电子邮件)进行提取。
  2. 添加您选择的操作(例如 VirusTotal_Scan 网址),并使用占位符输入上一步中提取的网址。
  3. 在扫描操作后立即添加“条件”流程。如需了解详情,请参阅使用 playbook 中的流程
  4. 配置条件的各个分支,以评估信誉扫描的 JSON 结果:
    • 分支 1(恶意):如果 Scan Result 被报告为恶意(例如,得分 > 5,或特定引擎发现威胁)。
    • 分支 2(干净/未知):如果 Scan Result 是干净的,或者条件未能找到恶意指标。

提取所有网址后,您可以在手动操作和 playbook 中使用这些网址。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。