Créer des analyseurs d’e-mails dans Security Operations

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Analyse des e-mails Crée Opérations de sécurité des enregistrements à partir de votre e-mail pour la sécurité, la vulnérabilité et les observables afin d’accélérer la réponse aux menaces et les mesures correctives.

    Avant de commencer

    • Configurez des outils de détection externes pour envoyer des e-mails à une adresse e-mail centrale.
    • Définissez l’adresse e-mail dans les propriétés de Security Operations. Pour plus d'informations, consultez Créer des Opérations de sécurité propriétés d’e-mail.
    • Affectez un compte d’utilisateur à cette adresse e-mail et donnez à cet utilisateur des contrôles d’accès de sécurité pour créer et mettre à jour les enregistrements d’événements d’e-mail.
    • Ayez devant vous une copie de l’e-mail concerné provenant de votre outil de détection externe.
    • Décidez du type d’enregistrement que vous souhaitez créer : incident de sécurité, enregistrement de vulnérabilité, tâche, etc. Ce choix détermine la table que vous sélectionnez.
    Rôle requis : sn_sec_cmn.admin

    Procédure

    1. Accédez à la Tout > Security Operations > Analyse des e-mails.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Remarque :
      Si plusieurs champs sont spécifiés, tous doivent correspondre à l’e-mail pour créer un enregistrement.
      Tableau 1. Analyseur d’e-mail
      Champ Description
      Nom Le nom de l’analyseur d’e-mails.
      L'e-mail provient de S’il est renseigné, seuls les e-mails provenant de cette adresse sont transformés par cet analyseur d’e-mails.
      L'e-mail est destiné à S’il est renseigné, seuls les e-mails provenant de cette adresse sont transformés par cet analyseur d’e-mails.
      L'objet de l'e-mail contient S’ils sont renseignés, seuls les e-mails dont l’objet contient cette phrase sont transformés par cet analyseur d’e-mail.
      Règle de duplication Régit la façon de gérer les e-mails en double pour tous les e-mails traités par cette transformation. Pour plus d'informations, consultez Transformation des données partagées.
      Ordre Dans quel ordre considérer les transformations. La première transformation d’e-mail correspondante est utilisée. En règle générale, vous souhaitez configurer les analyseurs d’e-mails les plus spécifiques dans les numéros inférieurs, avec quelques solutions de secours. Donnez aux analyseurs d’e-mails fourre-tout des numéros de commande plus élevés afin qu’ils s’exécutent si rien d’autre ne correspond. La valeur par défaut est 100. Lorsque tout correspond, l’analyseur d’e-mails le plus spécifique (correspond de, à et objet) est utilisé.
      Table de destination Table dans laquelle vous souhaitez créer des enregistrements.
      Actif Indique si cette transformation est active, en cours d’utilisation ou non active. Si elle n’est pas cochée, aucun e-mail n’est transformé avec ce code.
      Séparateur d’enregistrements Lorsque les e-mails traités par cet analyseur d’e-mails créent plusieurs enregistrements, ce champ contient le séparateur entre les informations de ces enregistrements. Consultez Opérations de sécurité Analyse des e-mails pour plus d'informations.
      Description Description de cet analyseur d’e-mails, avec quel outil il fonctionne, objectif, etc.
    4. Lorsque vous avez terminé vos saisies, faites un clic droit dans l’en-tête du formulaire et sélectionnez Enregistrer.
      Un onglet Transformations de champ s’affiche. Cet onglet montre comment les champs individuels de la table de destination sont définis en fonction du contenu de l’e-mail.
      Le champ transforme le formulaire
    5. Pour ajouter des transformations de champ, procédez comme suit.
      1. Dans l’onglet Transformations de champ , cliquez sur Nouveau.
      2. Renseignez les champs du formulaire comme il convient.
      OptionDescription
      Champ Description
      Stocker la valeur dans un champ ou une liste connexe Sélectionnez où trouver la valeur. Les choix sont les suivants :
      • Stocker la valeur dans un champ du nouvel enregistrement
      • Lier à cette valeur dans une liste connexe
      • Lier à cette valeur, ce qui crée un nouvel enregistrement si un enregistrement correspondant n'existe pas
        Remarque :
        Si la table de destination ne possède aucune liste connexe, ce champ n’est pas affiché.
      Champ Sélectionnez le champ à renseigner avec cette valeur.
      Remarque :

      Pour les champs de choix, les correspondances avec les choix existants sont établies à l’aide de l’étiquette ou de la valeur de choix sous-jacente. Si aucune correspondance n’est trouvée, le champ est défini, mais aucune nouvelle entrée n’est ajoutée à la liste de choix. Pour plus d'informations, consultez Listes de choix.

      Pour les champs de référence, une entrée n’est définie que lorsqu’une valeur correspondant au nom d’affichage de l’enregistrement ou à un sys_id valide est trouvée. Pour plus d'informations, consultez Champs de référence.
      Liste connexe

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, la création d’un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie la liste connexe à laquelle ajouter des informations.
      Champ de valeur

      Lorsque la valeur stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, la création d’un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie le champ dans la table affichée dans la liste connexe. Il est utilisé pour rechercher et trouver un enregistrement existant. Par exemple, si votre liste connexe est celle des CI affectés, ce champ peut contenir le nom ou le nom de domaine complet, ou tout autre champ de l’enregistrement de CI à utiliser pour rechercher le CI ajouté à la liste des CI affectés .
      Données de relation

      Lorsque la valeur stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe, un enregistrement est créé pour lier cet enregistrement (comme un incident de sécurité) à la valeur (un CI, un observable, etc.). Ce champ spécifie toutes les informations supplémentaires (paires de champ et valeur) qui doivent être ajoutées à l’enregistrement de liaison. Par exemple, lors de l’ajout d’un observable pour une adresse IP source, spécifiez que cette adresse IP est la source et non l’adresse IP de destination. Pour plusieurs valeurs, utilisez un séparateur ^, par exemple, type= Source IP^Active=true.
      Données de nouvel enregistrement

      Lorsque la valeur stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur, ce qui crée un nouvel enregistrement. Si aucun enregistrement correspondant n’existe, si aucun enregistrement connexe correspondant à la valeur analysée n’est trouvé, un enregistrement est créé. Ce champ spécifie les données statiques à ajouter à cet enregistrement. Pour les CI affectés, si aucun CI correspondant n’est trouvé, un enregistrement de CI est créé. Lorsque cela se produit, la valeur trouvée dans l’e-mail est définie sur le champ Valeur dans l’enregistrement CI. Vous pouvez définir des données supplémentaires : une note indiquant pourquoi le CI a été créé, des informations sur le type de CI avec lesquels vous travaillez, etc. Un exemple serait : description=Created by Malware Scanner email parser^type=autodetect.
      Rechercher la valeur Sélectionnez l’emplacement dans l’e-mail à rechercher. Les choix sont les suivants :
      • Au début d'une ligne dans le corps de l'e-mail
      • N'importe où dans le corps de l'e-mail
      • Dans la ligne d'objet de l'e-mail
      • Toujours la valeur statique

      Lorsque vous avez défini un séparateur d’enregistrement, d’autres options (n’importe où dans la section d’enregistrement et au début d’une ligne dans la section d’enregistrement) vous permettent d’effectuer une recherche uniquement dans la section actuelle et non dans l’ensemble du corps de l’e-mail (voir Opérations de sécurité Analyse des e-mails pour plus d’informations.

      Les informations contenues dans un en-tête ou un pied de page, s’appliquant à tous les enregistrements, sont recherchées dans l’ensemble du corps de l’e-mail. Les informations qui diffèrent d’un enregistrement à l’autre ne sont recherchées que dans la section.
      Séparateur de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, créant un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie le séparateur à utiliser pour les listes d’éléments. par exemple, une virgule ou un point-virgule lorsque les données de l’e-mail sont une liste d’adresses IP.
      Préfixe de valeur

      Texte qui précède toujours la valeur placée dans ce champ à extraire.
      Fin de la valeur

      Sélectionnez ce qui indique la fin de la valeur. Les choix sont les suivants : Fin de ligne, Fin de l’e-mail (affiche tout le texte restant dans l’e-mail), Jusqu’à (s’arrête lorsqu’il trouve le texte spécifié) ou Jusqu’à (s’arrête lorsqu’il trouve le texte spécifié).
      Suffixe de valeur

      Lorsque la fin de la valeur est définie sur Jusqu’à, ce champ spécifie le texte qui suit toujours la valeur placée dans ce champ.

      Par exemple, la recherche d’une valeur qui vient après « L’ordinateur affecté est » et avant « . » analysera « AB123 » à partir de « Le virus du lapin dément a été trouvé. L’ordinateur concerné est AB123. L’heure estimée de l’infection était 15h45 » dans un courriel.
      Transformation de valeur Choisissez l’entrée de transformation de champ à appliquer. Convertit la valeur trouvée dans l’e-mail en une valeur différente, utilisée pour remplir les champs de choix, parfois de référence, et d’autres champs.
      Ordre Ordre dans lequel les transformations de champ s’exécutent, de la plus basse à la plus élevée. Une transformation de champ avec une entrée d’ordre de 100 est d’abord tentée. Ce n’est que si cette transformation de champ ne parvient pas à trouver une valeur qu’une transformation de champ d’ordre supérieur (200) sur le même champ s’exécute.
      Transformation d'e-mail Transformation à laquelle appartient cette transformation de champ.
      Table de destination Table de destination de la transformation d’e-mail. Il contient des données d’information issues de la transformation d’e-mail.
      Actif L’option par défaut est cochée. Lorsque cette option est activée, la transformation de champ est activée. Décochez cette case pour désactiver la transformation de champ.
      1. Cliquez sur Envoyer.
        Le nouvel enregistrement est utilisé pour analyser les informations contenues dans l’e-mail en un nouvel enregistrement.