Security Operations でのメールパーサーの作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • メール解析 は、セキュリティ、脆弱性、および観測事象についてメールから セキュリティオペレーション レコードを作成し、脅威への対応と修復を迅速化します。

    始める前に

    • 中央のメールアドレスにメールを送信するように外部検出ツールを設定します。
    • Security Operations プロパティでメールアドレスを設定します。詳細については、「セキュリティオペレーション メールプロパティの作成」を参照してください。
    • このメールアドレスにユーザーアカウントを割り当て、そのユーザーにメールイベントレコードを作成および更新するためのセキュリティアクセスコントロールを付与します。
    • 外部検出ツールからの関連メールのコピーを用意します。
    • 作成するレコードのタイプ、セキュリティインシデント、脆弱性レコード、タスクなどを決定します。この選択により、選択するテーブルが決まります。
    必要なロール:sn_sec_cmn.admin

    手順

    1. 移動先 すべて > セキュリティオペレーション > メールの解析.
    2. [New] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      注:
      複数のフィールドが指定されている場合は、すべてのフィールドがレコードを作成するメールと一致する必要があります。
      表 : 1. メールパーサー
      フィールド 説明
      名前 メールパーサーの名前。
      メールの送信元 入力すると、このアドレスからのメールのみがこのメールパーサーによって変換されます。
      メールの送信先 入力すると、このアドレスからのメールのみがこのメールパーサーによって変換されます。
      メールの件名に含まれる 入力すると、件名にこのフレーズが含まれるメールのみがこのメールパーサーによって変換されます。
      重複ルール この変換が処理するメールの重複メールを処理する方法を制御します。詳細については、「共有データ変換」を参照してください。
      順序 変換を考慮する順序。最初に一致したメール変換が使用されます。通常は、最も限定的なメールパーサーを下位の番号で設定し、代替をいくつか用意します。一致するものが他にない場合に実行されるように、予備メールパーサーの [順序] 番号を大きくします。デフォルトは 100 です。すべてが一致する場合、最も限定的なメールパーサー ([送信元][宛先]、および [件名] に一致) が使用されます。
      宛先テーブル レコードを作成するテーブル。
      有効 この変換がアクティブか、使用中か、非アクティブか。オフにすると、このコードではメールは変換されません。
      レコードセパレータ このメールパーサーによって処理されるメールが複数のレコードを作成する場合、このフィールドにはそれらのレコードの情報間にセパレータが含まれます。詳細については、「セキュリティオペレーション メール解析」を参照してください。
      説明 このメールパーサーの説明、連携するツール、目的など。
    4. 入力が完了したら、フォームヘッダーを右クリックし、[保存] を選択します。
      [フィールド変換] タブが表示されます。このタブには、宛先テーブル内の個々のフィールドがメールコンテンツに基づいてどのように設定されるかが表示されます。
      フィールド変換フォーム
    5. フィールド変換を追加するには、次の手順を実行します。
      1. [フィールド変換] タブで、[新規] をクリックします。
      2. 必要に応じて、フォームのフィールドに入力します。
      オプション説明
      フィールド 説明
      フィールドまたは関連リストに値を保存する 値を検索する場所を選択します。次の選択肢があります。
      • 新しいレコード内のフィールドに値を保存する (Store the value into a field in the new record)
      • 関連リスト内で、この値にリンクする
      • この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する
        注:
        宛先テーブルに関連リストがない場合、このフィールドは表示されません。
      フィールド この値を入力するフィールドを選択します。
      注:

      選択肢フィールドの場合、基礎となる選択肢のラベルまたは値を使用して、既存の選択肢が照合されます。一致するものが見つからない場合、フィールドは設定されますが、新しいエントリーは選択リストに追加されません。詳細については、次を参照してください: 選択リスト

      参照フィールドの場合、レコードの表示名に一致する値または有効な sys_id が見つかった場合にのみ、エントリーが設定されます。詳細については、次を参照してください: 参照フィールド
      関連リスト

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] または [この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、このフィールドは情報を追加する関連リストを指定します。
      値フィールド

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] または [この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、このフィールドは関連リストに表示されるテーブル内のフィールドを指定します。既存のレコードをルックアップして見つけるために使用されます。たとえば、関連リストが [影響を受ける CI] である場合、このフィールドには [名前] または [完全修飾ドメイン名] が含まれている可能性があります。そうでない場合、CI のルックアップに使用する CI レコードの他のフィールドが [影響を受ける CI] リストに追加されます。
      関係性データ

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] に設定されている場合、そのレコード (セキュリティインシデントなど) を値 (CI、観測事象など) にリンクするためにレコードが作成されます。このフィールドは、そのリンクレコードに追加する必要がある追加情報 (フィールドと値のペア) を指定します。たとえば、ソース IP の観測事象を追加する場合、この IP が宛先 IP ではなくソースであることを指定します。複数の値の場合は、^ 区切り文字を使用します (例:type= Source IP^Active=true)。
      新規レコードデータ

      [フィールドまたは関連リストに値を保存する][この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、解析された値に一致する関連レコードが見つからないときは、レコードが作成されます。このフィールドは、そのレコードに追加する静的データを指定します。[影響を受ける CI] の場合、一致する CI が見つからないと CI レコードが作成されます。その場合、メールで検出された値が CI レコードの [値] フィールドに設定されます。追加のデータ (CI が作成された理由を示すメモ、使用する CI のタイプに関する情報など) を設定できます。サンプル:description=Created by Malware Scanner email parser^type=autodetect。
      値の検索 検索するメール内の場所を選択します。次の選択肢があります。
      • メール本文の行の先頭
      • メール本文の任意の場所
      • メールの件名
      • 常に静的値

      レコードセパレータ を定義した場合、より多くのオプション ([レコードセクションの任意の場所] および [レコードセクションの行の先頭]) を使用すると、メール本文全体ではなく現在のセクション内のみを検索できます (詳細については、「セキュリティオペレーション メール解析」を参照してください)。

      すべてのレコードに適用されるヘッダーまたはフッターの情報は、メール本文全体で検索されます。レコード間で異なる情報はセクション内でのみ検索されます。
      値のセパレータ

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] または [この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、このフィールドはアイテムのリストに使用するセパレータ (例:メールのデータが IP アドレスのリストの場合はカンマまたはセミコロン) を指定します。
      値プリフィックス

      抽出するこのフィールド内の値の前に常に表示されるテキスト。
      値の終了

      値の終了を示すものを選択します。選択肢には、[行の最後][メールの最後] (メールの残りのすべてのテキストを取り込む)、または [期限] (指定されたテキストが見つかると停止する)、または [期限] (指定されたテキストが見つかると停止する) があります。
      値サフィックス

      [値の終了][期限] に設定されている場合、このフィールドは、このフィールド内に配置される値の後に常に表示されるテキストを指定します。

      たとえば、「The affected computer is」の後、「.」の前に来る値を探す場合、次のメールを解析すると「AB123」が得られます:「The demented bunny virus has been found. The affected computer is AB123. Estimated time of infection was 3:45PM」
      値の変換 適用するフィールド変換エントリーを選択します。メールで見つかった値を別の値に変換します。これは、選択肢フィールド、場合によっては参照フィールドやその他のフィールドの入力に使用されます
      順序 フィールド変換が実行される順序 (最低から最高)。最初に順序エントリーが 100 のフィールド変換が試行されます。そのフィールド変換が値を見つけることができない場合にのみ、同じフィールドでより高い順序 (200) のフィールド変換が実行されます。
      メール変換 このフィールド変換が属する変換。
      宛先テーブル メール変換の宛先テーブル。メール変換からの情報データが含まれています。
      有効 デフォルトはオンです。オンにすると、フィールド変換が有効になります。このボックスをオフにすると、フィールド変換が無効になります。
      1. [Submit] をクリックします。
        新しいレコードは、メール内の情報を解析して新しいレコードを作成するために使用されます。