marzo 28, 2024

Marco de PowerShell para la defensa de phishing con Office 365

0
Voiced by Amazon Polly
Comparte en redes sociales

El Phishing Intelligence Engine (PIE) es un marco que ayudará con la detección y respuesta a los ataques de phishing. Un marco de Active Defense creado en torno a Office 365, que evalúa continuamente los registros de seguimiento de mensajes en busca de contenido malicioso y responde dinámicamente a medida que se identifican amenazas o se informan correos electrónicos.

Caracteristicas:

  • Analiza sujetos, remitentes y destinatarios utilizando la correlación RegEx y Threat Feed, para determinar el riesgo del correo electrónico.
  • Responde automáticamente a los ataques poniendo en cuarentena el correo, bloqueando a los remitentes y verificando los clics.
  • Análisis de sandbox en todos los archivos adjuntos y enlaces marcados.
  • Integración dinámica de gestión de casos y seguimiento de métricas.
  • Evita la pérdida de datos confidenciales y verifique la seguridad del correo electrónico corporativo.

Office 365 Message Trace Logging es el núcleo de la infraestructura PIE, lo que permite la ingestión y el análisis dinámico del correo electrónico a medida que estos mensajes atraviesan su entorno. La integración de estos datos con LogRhythm permite una búsqueda rápida y fácil en todos los datos de correo electrónico dentro de su entorno, a través de paneles y vistas de análisis detalladas.

Una vez que se recopilan estos datos de correo electrónico, puede integrarse con los Servicios de inteligencia de amenazas de LogRhythm (TIS) para activar alarmas en spammers conocidos y otros eventos maliciosos dentro de los datos.

Sin embargo, los datos que genera internamente suelen ser la mejor información sobre amenazas para su empresa. Por lo tanto, cada ataque de suplantación de identidad (phishing) que cruza un umbral se agrega automáticamente a una lista de amenazas internas, para un posible bloqueo alarmante en el futuro.

El verdadero punto fuerte de PIE se centra en la orquestación de seguridad, la automatización y la respuesta (SOAR). Para cada alarma que se dispara, puede elegir que se realicen acciones automatizadas. Esto puede ser cualquier cosa, desde poner en cuarentena el correo de cada destinatario dentro de la empresa, hasta cambiar las credenciales y agregar bloqueos a los remitentes, asegurando que un usuario específico ya no pueda suplantar la identidad de la organización.

Hay múltiples aspectos de este marco que trabajan juntos para detectar y responder a los ataques de phishing:

1) Registro de seguimiento de mensajes PIE.

El núcleo del motor de inteligencia de phishing: proporciona un registro continuo a través de la API, integraciones de herramientas de terceros y respuesta automática por correo electrónico.

2) Office 365 Ninja.

El brazo de respuesta de PIE. Poner en cuarentena el correo, bloquear remitentes, cambiar credenciales, verificar las configuraciones de Office 365 y más.

3) Rastreador de spam.

Actualizador de listas para el seguimiento continuo de las direcciones de correo electrónico de spammer.

4) Tableros de LogRhythm SIEM.

Tableros de análisis e investigación, que permiten buscar y agregar datos de Office 365 dentro de LogRhythm SIEM.

5) Alarmas y listas de amenazas.

Configuraciones de alarma LogRhythm AIE e integraciones de lista de amenazas.

6) LogRhythm SmartResponse.

Complementos que se pueden integrar con LogRhythm SIEM, lo que permite una respuesta automática a las alarmas.

7) Botón Informar mensaje de phishing.

Complemento para Microsoft Outlook para permitir informes fáciles de ataques de phishing.

8) Arquitectura.

Descripción general de alto nivel de la arquitectura PIE y el flujo de trabajo.

Más información y descarga de PIE:

https://github.com/LogRhythm-Labs/PIE

Deja un comentario