Ein Nutzer meldet eine verdächtige E-Mail. Führen Sie mich durch Ihr sicheres Triage-Vorgehen.
Kurzantwort
Prüfen Sie die E-Mail sicher ohne zu klicken: Header und Absender-Authentifizierung (SPF/DKIM/DMARC) checken, URLs und Anhänge in einer Sandbox oder mit Reputations-Tools inspizieren, dann den Umfang bestimmen — wer sie sonst erhielt, ob jemand klickte oder Zugangsdaten eingab. Je nach Befund remediieren: E-Mail purgen, Indikatoren blockieren und kompromittierte Zugangsdaten zurücksetzen.
Phishing ist der häufigste Initial-Access-Vektor, daher ist Phishing-Triage tägliche SOC-Arbeit. Interviewer fragen das, um zwei Dinge zu prüfen: dass Sie sicher untersuchen (keine Live-Links anklicken) und dass Sie an den Umfang denken, nicht nur an die eine gemeldete E-Mail.
Die E-Mail sicher untersuchen
Niemals klicken. Arbeiten Sie mit der Rohnachricht. Lesen Sie die Header: die echte sendende IP und den Pfad sowie die Ergebnisse von SPF, DKIM und DMARC, die Ihnen sagen, ob die Absenderdomain autorisiert und die Nachricht unverfälscht war. Prüfen Sie den Anzeigenamen gegen die tatsächliche Adresse (Spoofing und Lookalike-Domains) und achten Sie auf die üblichen Social-Engineering-Hinweise — Dringlichkeit, abweichendes Reply-to, Credential-Harvesting-Vorwände.
Links und Anhänge analysieren
Extrahieren Sie die URLs und inspizieren Sie sie mit Reputationsdiensten oder einer Sandbox-/Detonationsumgebung statt mit Ihrem eigenen Browser. Detonieren Sie Anhänge in einer Sandbox, um das Verhalten zu beobachten. Entschärfte Indikatoren (hxxp://) bewahren Sie davor, versehentlich zu klicken.
Den Schadensradius bestimmen
Das ist der Schritt, den Juniors vergessen. Durchsuchen Sie das Mail-Gateway und das SIEM: Wer hat diese oder ähnliche Nachrichten sonst noch erhalten? Hat jemand auf den Link geklickt oder den Anhang geöffnet? Hat jemand Zugangsdaten eingegeben auf der Landingpage? Eine Meldung steht meist für eine Kampagne, die viele Postfächer trifft.
Verhältnismäßig remediieren
Purgen Sie die Nachricht aus allen betroffenen Postfächern, blockieren Sie die Absenderdomain, URLs und Datei-Hashes am Gateway und Proxy und fügen Sie die Indikatoren der Detektion hinzu. Wurden Zugangsdaten eingegeben, behandeln Sie es als Kontokompromittierung: Passwörter zurücksetzen, Sitzungen widerrufen und auf Folge-Logins achten.
Dokumentieren und abschließen
Halten Sie Indikatoren und Schlussfolgerungen fest, damit die nächste ähnliche E-Mail schneller bearbeitet wird.
Warum das wichtig ist
Sichere Handhabung plus Umfangsbestimmung zeigt Urteilsvermögen. Ein Analyst, der eine einzelne Phishing-Meldung als potenzielle organisationsweite Kampagne behandelt — und nie eine Payload auf der eigenen Maschine detoniert —, ist genau der, den Interviewer für die Postfach-Triage wollen.
Wahrscheinliche Anschlussfragen
- Was sagen Ihnen SPF, DKIM und DMARC jeweils über einen Absender?
- Wie würden Sie den Schadensradius über die gesamte Organisation hinweg bestimmen?
- Was machen Sie anders, wenn jemand bereits seine Zugangsdaten eingegeben hat?