Tout système capable d’envoyer un e-mail peut créer Opérations de sécurité des enregistrements, par exemple, des incidents de sécurité, des demandes, des éléments vulnérables, des vulnérabilités, des observables d’incident de sécurité, des méthodes d’attaque, etc.

Tous les Opérations de sécurité modules d’extension (Réponse aux incidents de sécurité, Renseignements sur les menaces, et Réponse aux vulnérabilités) ont une propriété (email_to) qui définit l’adresse e-mail à laquelle les intégrations externes doivent envoyer des e-mails, à analyser par les analyseurs d’e-mails. Reportez-vous à Traitement des e-mails > Propriétés pour plus d’informations.

Un e-mail envoyé à l’une Opérations de sécurité des adresses e-mail est stocké dans une table d’événements d’e-mail. Ces e-mails sont traités pour déterminer s’ils correspondent à un analyseur d’e-mails.

Les e-mails qui ont une correspondance sont marqués et les règles de transformation et de duplication créent ou mettent à jour un Opérations de sécurité enregistrement. L’e-mail est lié à cet enregistrement et marqué comme correspondant.

Les e-mails qui ne correspondent pas sont répertoriés en E-mails sans correspondances tant qu’enregistrement Opérations de sécurité . Ils peuvent être examinés pour aider à construire des analyseurs d’e-mails pour gérer ces e-mails. Une action de retraitement vous permet d’exécuter à nouveau l’e-mail sans correspondance dans les analyseurs. Le journal d’e-mail d’origine est lié à cet enregistrement.

Par défaut, les événements d’e-mail sont supprimés après 30 jours.

Les systèmes de détection externes (détecteurs de logiciels malveillants, vulnérabilités, etc.) peuvent envoyer des e-mails qui signalent plusieurs éléments à la fois. L’analyseur d’e-mail prend en charge les séparateurs dans l’e-mail.

Par exemple, un détecteur de logiciels malveillants pourrait vous envoyer un rapport par e-mail sur tous les systèmes de votre réseau infectés par un logiciel malveillant particulier, avec d’abord des informations sur le programme malveillant, puis une liste des systèmes affectés.

Les transformations de champ extraient les données de chaque section. Si un élément dans l’en-tête ou le pied de page de l’e-mail s’applique à tous les enregistrements, comme Hachage de programme malveillant, Nom du programme malveillant et Type dans cet exemple, la transformation de champ correspondant doit définir la valeur Rechercher en une valeur qui effectue une recherche dans le corps de l’e-mail, soit au début d’une ligne dans le corps de l’e-mail , soit n’importe où dans le corps de l’e-mail.

Les transformations de champdoivent être définies sur rechercher au début d’une ligne dans la section des enregistrements ou dans la seconde des données définies dans chaque section, telles que le système, l’adresse IP ou l’état. Les options de section d’enregistrement ne sont disponibles que lorsqu’un séparateur d’enregistrement est défini dans la transformation d’e-mail.

Lors de l’analyse d’un e-mail avec un séparateur défini, les enregistrements ne sont créés que pour les sections ayant au moins un élément de données spécifiques à la section.

Dans cet exemple, trois enregistrements sont créés, même s’il y a quatre sections définies. La première section est un en-tête, et il lui manque quoi que ce soit de spécifique à un seul système. Si l’un des champs de la première section est renseigné (Système, IP ou État), un enregistrement est également créé pour cette section.