Criar analisadores de e-mail em Operações de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 7 min. de leitura

    • Análise de E-mails cria Operações de segurança registros do seu e-mail para segurança, vulnerabilidade e observáveis para agilizar a resposta e a correção de ameaças.

    Antes de Iniciar

    • Configure ferramentas de detecção externas para enviar e-mails para um endereço de e-mail central.
    • Defina o endereço de e-mail em Operações de segurança Propriedades. Para obter mais informações, consulte Criar Operações de segurança propriedades de e-mail.
    • Atribua uma conta de usuário a este endereço de e-mail e forneça a esse usuário controles de segurança de acesso para criar e atualizar os registros de eventos de e-mail.
    • Tenha uma cópia do e-mail relevante da sua ferramenta de detecção externa à sua frente.
    • Decida que tipo de registro você deseja criar, um incidente de segurança, registro de vulnerabilidade, tarefa e assim por diante. Esta opção determina a tabela selecionada.
    Função necessária: sn_sec_cmn.admin

    Procedimento

    1. Navegar até Todos > Operações de segurança > Análise de E-mails.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme o apropriado.
      Nota:
      Se mais de um campo for especificado, todos os campos deverão corresponder ao e-mail para criar um registro.
      Tabela 1. Analisador de e-mail
      Campo Descrição
      Nome O nome do analisador de e-mail.
      O e-mail é de Se preenchido, somente e-mails deste endereço serão transformados por este analisador de e-mail.
      O e-mail é para Se preenchido, somente e-mails deste endereço serão transformados por este analisador de e-mail.
      O assunto do e-mail contém Se preenchido, somente os e-mails em que o assunto contém esta frase serão transformados por este analisador de e-mail.
      Regra de duplicação Controla como lidar com e-mails duplicados para qualquer e-mail que esta transformação manipule. Para obter mais informações, consulte Transformação de dados compartilhados.
      Ordem Em que ordem considerar as transformações. A primeira transformação de e-mail correspondente é usada. Normalmente, você deseja configurar os analisadores de e-mail mais específicos nos números mais baixos, com algum fallback. Forneça aos analisadores de e-mail catchall números de pedido mais altos para que eles sejam executados se nada mais corresponder. O padrão é 100. Quando tudo corresponde, o analisador de e-mail mais específico (corresponde de, ae assunto) é usado.
      Tabela de destino A tabela em que você deseja criar registros.
      Ativo Se esta transformação está ativa, em uso ou não. Se desmarcado, nenhum e-mail será transformado com este código.
      Separador de registros Quando os e-mails tratados por este analisador de e-mail criam vários registros, este campo contém o separador entre as informações desses registros. Para obter mais informações, consulte Operações de segurança análise de e-mail.
      Descrição Descrição deste analisador de e-mail, com qual ferramenta ele funciona, a finalidade e assim por diante.
    4. Ao concluir suas entradas, clique com o botão direito do mouse no cabeçalho do formulário e selecione Salvar.
      Uma guia Transformações de campo é exibida. Esta guia mostra como os campos individuais na tabela de destino são definidos com base no conteúdo do e-mail.
      Formulário de transformações de campo
    5. Para adicionar transformações de campo, execute estas etapas.
      1. Na guia Transformações de campo, clique em Novo.
      2. Preencha os campos no formulário, conforme o apropriado.
      OpçãoDescrição
      Campo Descrição
      Armazenar valor em um campo ou uma lista relacionada Selecione onde encontrar o valor. As opções incluem:
      • Armazene o valor em um campo no novo registro
      • Vincular a este valor a uma lista relacionada
      • Vincular a este valor, criando um novo registro se um registro correspondente não existir
        Nota:
        Se a tabela de destino não tiver listas relacionadas, este campo não será exibido.
      Campo Selecione o campo a ser preenchido com este valor.
      Nota:

      Para campos de opção, as correspondências são feitas com as escolhas existentes usando o rótulo ou valor de escolha subjacente. Se nenhuma correspondência for encontrada, o campo será definido, mas nenhuma nova entrada será adicionada à lista de seleção. Para obter mais informações, consulte Listasde seleção .

      Para campos de referência, uma entrada é definida somente quando um valor correspondente ao nome de exibição do registro ou um sys_id válido é encontrado. Para obter mais informações, consulte Campos de referência.
      Lista relacionada

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor em uma lista relacionada ou Vincular a este valor, criando um novo registro se não existir um registro correspondente, este campo especificará a lista relacionada à qual informações serão adicionadas.
      Campo de valor

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor em uma lista relacionada ou Vincular a este valor, criando um novo registro se não existir um registro correspondente, este campo especifica o campo na tabela exibida no relacionado lista. É usado para pesquisar e localizar um registro existente. Por exemplo, se sua lista relacionada for ICs afetados, este campo poderá conter Nome ou Nome de domínio totalmente qualificadoou qualquer outro campo no registro de IC a ser usado para pesquisar o IC adicionado à lista de ICs afetados.
      Dados de relacionamento

      Quando Armazenar valor em um campo ou lista relacionada é definido como Vincular a este valor em uma lista relacionada, um registro é criado para vincular esse registro (como um incidente de segurança) ao valor (um IC, um Observável e assim por diante. ). Este campo especifica todas as informações adicionais (pares de campo e valor) que devem ser adicionadas ao registro de vinculação. Por exemplo, ao adicionar um Observável para um IP de origem, especifique que este IP é o IP de origem, em vez do IP de destino. Para vários valores, use um separador ^, por exemplo, type= Source IP^Active=true.
      Novos dados de registro

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor, criar um novo registro se não existir um registro correspondente, se nenhum registro relacionado correspondente ao valor analisado for encontrado, um registro será criado. Este campo especifica os dados estáticos a serem adicionados a esse registro. Para ICs afetados, se nenhum IC correspondente for encontrado, um registro de IC será criado). Quando isso acontece, o valor encontrado no e-mail é definido como o campo Valor no registro de IC. Você pode definir dados adicionais - uma anotação indicando o motivo pelo qual o IC foi criado, algumas informações sobre com que tipo de ICs você está trabalhando e assim por diante. Uma amostra seria: description=Created by Malware Scanner email parser^type=autodetect.
      Pesquisar valor Selecione o local no e-mail para pesquisar. As opções incluem:
      • No início de uma linha do corpo do e-mail
      • Em qualquer parte do corpo do e-mail
      • Na linha de assunto do e-mail
      • Sempre o valor estático

      Quando você define um Separador de registros, mais opções (Em qualquer lugar na seção de registro e No início de uma linha na seção de registro) permitem que você pesquise somente na seção atual em vez de em todo o corpo do e-mail (consulte Operações de segurança análise de e-mail para obter mais informações informações.

      As informações que estão em um cabeçalho ou rodapé, aplicando-se a todos os registros, são pesquisadas em todo o corpo do e-mail. As informações que diferem entre os registros são pesquisadas somente na seção.
      Separador de valores

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor em uma lista relacionada ou Vincular a este valor, criando um novo registro se não existir um registro correspondente, este campo especificará o separador a ser usado para listas de itens. por exemplo, uma vírgula ou ponto-e-vírgula quando os dados do e-mail são uma lista de endereços IP.
      Prefixo de valor

      O texto que sempre precede o valor colocado neste campo a ser extraído.
      Final do valor

      Selecione o que indica o fim do valor. As opções incluem: Fim da linha, Fim do e-mail (traz todo o texto restante no e-mail) ou Até (para quando encontra o texto especificado) ou Até (para quando encontra o texto especificado).
      Sufixo de valor

      Quando o Fim do valor é definido como Até, este campo especifica qual texto sempre segue o valor colocado neste campo.

      Por exemplo, procurar um valor que vem depois de "O computador afetado está" e antes de "". analisará "AB123" de "O vírus dementes foi encontrado. O computador afetado é o AB123. O tempo estimado de infecção foi 15h45” em um e-mail.
      Transformação de valor Escolha a entrada de transformação de campo a ser aplicada. Converte o valor encontrado no e-mail em um valor diferente, usado para preencher campos de opção, referência ocasional e outros campos.
      Ordem A ordem na qual o campo transforma a execução, da mais baixa para a mais alta. Uma transformação de campo com uma entrada de ordem de 100 é tentada primeiro. Somente se essa transformação de campo não conseguir encontrar um valor, uma transformação de campo com uma ordem superior (200) no mesmo campo será executada.
      Transformação de e-mail A transformação à qual esta transformação de campo pertence.
      Tabela de destino Tabela de destino da transformação de e-mail. Ele contém dados informativos da transformação de e-mail.
      Ativo O padrão é verificado. Quando marcada, a transformação do campo está ativada. Desmarque esta caixa para desativar a transformação do campo.
      1. Clique em Enviar.
        O novo registro é usado para analisar as informações no e-mail em um novo registro.