Crie analisadores de e-mail em Operações de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 7 min. de leitura

    • Análise de E-mailscria Operações de segurança registros do seu e-mail para segurança, vulnerabilidade e observáveis para agilizar a resposta e correção de ameaças.

    Antes de Iniciar

    • Configure ferramentas de detecção externas para enviar e-mails para um endereço de e-mail central.
    • Defina o endereço de e-mail em Propriedades de operações de segurança. Para obter mais informações, consulte Criar Operações de segurança propriedades de e-mail.
    • Atribua uma conta de usuário a este endereço de e-mail e conceda a esse usuário controles de acesso de segurança para criar e atualizar os registros de eventos de e-mail.
    • Tenha uma cópia do e-mail relevante da sua ferramenta de detecção externa à sua frente.
    • Decida que tipo de registro você deseja criar, um incidente de segurança, registro de vulnerabilidade, tarefa e assim por diante. Esta opção determina a tabela selecionada.
    Função necessária: sn_sec_cmn.admin

    Procedimento

    1. Navegar até Tudo > Operações de segurança > Análise de E-mails.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme o apropriado.
      Nota:
      Se mais de um campo for especificado, todos os campos deverão corresponder ao e-mail para criar um registro.
      Tabela 1. Analisador de e-mail
      Campo Descrição
      Nome O nome do analisador de e-mail.
      O e-mail é de Se preenchido, somente os e-mails deste endereço serão transformados por este analisador de e-mail.
      O e-mail é para Se preenchido, somente os e-mails deste endereço serão transformados por este analisador de e-mail.
      O assunto do e-mail contém Se preenchido, somente os e-mails em que o assunto contém esta frase serão transformados por este analisador de e-mail.
      Regra de duplicação Controla como lidar com e-mails duplicados para qualquer e-mail manipulado por esta transformação. Para obter mais informações, consulte Transformação de dados compartilhados.
      Ordem Em que ordem considerar as transformações. A primeira transformação de e-mail correspondente é usada. Normalmente, você deseja configurar os analisadores de e-mail mais específicos nos números mais baixos, com algum fallback. Dê analisadores de e-mail catchall mais altos Pedido para que eles sejam executados se nada mais corresponder. O padrão é 100. Quando tudo corresponde, o analisador de e-mail mais específico (corresponde de , . e assunto ) é usado.
      Tabela de destino A tabela em que você deseja criar registros.
      Ativo Se esta transformação está ativa, em uso ou não. Se desmarcado, nenhum e-mail será transformado com este código.
      Separador de registro Quando os e-mails manipulados por este analisador de e-mail criam vários registros, este campo contém o separador entre as informações desses registros. Para obter mais informações, consulte Operações de segurança análise de e-mail.
      Descrição Descrição deste analisador de e-mail, com qual ferramenta ele funciona, a finalidade e assim por diante.
    4. Ao concluir suas entradas, clique com o botão direito do mouse no cabeçalho do formulário e selecione Salvar .
      . Transformações de campo é exibida. Esta guia mostra como os campos individuais na tabela de destino são definidos com base no conteúdo do e-mail.
      Formulário Transformações de campo
    5. Para adicionar Transformações de campo execute estas etapas.
      1. Em Transformações de campo clique em Novo .
      2. Preencha os campos no formulário, conforme o apropriado.
      OpçãoDescrição
      Campo Descrição
      Armazenar valor em um campo ou uma lista relacionada Selecione onde encontrar o valor. As opções incluem:
      • Armazene o valor em um campo no novo registro
      • Vincular a este valor a uma lista relacionada
      • Vincular a este valor, criando um novo registro se um registro correspondente não existir
        Nota:
        Se a tabela de destino não tiver listas relacionadas, este campo não será exibido.
      Campo Selecione o campo a ser preenchido com este valor.
      Nota:

      Para campos de seleção, são feitas correspondências com as escolhas existentes usando o rótulo ou valor de escolha subjacente. Se nenhuma correspondência for encontrada, o campo será definido, mas nenhuma nova entrada será adicionada à lista de seleção. Para obter mais informações, consulte Listas de seleção .

      Para campos de referência, uma entrada é definida somente quando um valor corresponde ao nome de exibição do registro ou é válido sys_id encontrado. Para obter mais informações, consulte Campos de referência .
      Lista relacionada

      Quando Armazene o valor em um campo ou lista relacionada está definido como Link para este valor em uma lista relacionada ou Link para este valor, criando um novo registro se um registro correspondente não existir este campo especifica a lista relacionada à qual adicionar informações.
      Campo de valor

      Quando Armazene o valor em um campo ou lista relacionada está definido como Link para este valor em uma lista relacionada ou Link para este valor, criando um novo registro se um registro correspondente não existir este campo especifica o campo na tabela exibida na lista relacionada. Ele é usado para pesquisar e encontrar um registro existente. Por exemplo, se sua lista relacionada for ICs afetados este campo pode conter Nome ou Nome de domínio totalmente qualificado Ou qualquer outro campo no registro de IC a ser usado para pesquisar o IC adicionado ao ICs afetados lista.
      Dados de relacionamento

      Quando Armazene o valor em um campo ou lista relacionada está definido como Link para este valor em uma lista relacionada Um registro é criado para vincular esse registro (como um incidente de segurança) ao valor (um IC, um observável e assim por diante). Este campo especifica todas as informações adicionais (pares de campo e valor) que devem ser adicionadas ao registro de vinculação. Por exemplo, ao adicionar um observável a um IP de origem, especifique que este IP é a origem, em vez de o IP de destino. Para vários valores, use um separador, por exemplo, digite IP de origem ativo verdadeiro.
      Novos dados de registro

      Quando Armazene o valor em um campo ou lista relacionada está definido como Link para este valor, criando um novo registro se um registro correspondente não existir se nenhum registro relacionado correspondente ao valor analisado for encontrado, um registro será criado. Este campo especifica os dados estáticos a serem adicionados a esse registro. Para IC afetado Se nenhum ICs correspondente for encontrado, um registro de IC será criado). Quando isso acontece, o valor encontrado no e-mail é definido como Valor Campo no registro de IC. Você pode definir dados adicionais - uma anotação indicando por que o IC foi criado, algumas informações sobre o tipo de ICs com os quais você está trabalhando e assim por diante. Uma amostra seria: Descrição: Criado pelo analisador de e-mail do scanner de malware.
      Pesquisar valor Selecione o local no e-mail a ser pesquisado. As opções incluem:
      • No início de uma linha do corpo do e-mail
      • Em qualquer parte do corpo do e-mail
      • Na linha de assunto do e-mail
      • Sempre o valor estático

      Quando você tiver definido um Separador de registro mais opções ( Em qualquer lugar na seção de registro e. No início de uma linha na seção de registro) Permite que você pesquise somente na seção atual, em vez de em todo o corpo do e-mail (consulte Operações de segurança análise de e-mail para obter mais informações.

      As informações que estão em um cabeçalho ou rodapé, aplicadas a todos os registros, são pesquisadas em todo o corpo do e-mail. As informações que diferem entre os registros são pesquisadas somente na seção .
      Separador de valores

      Quando Armazene o valor em um campo ou lista relacionada está definido como Link para este valor em uma lista relacionada ou Link para este valor, criando um novo registro se um registro correspondente não existir este campo especifica o separador a ser usado para listas de itens. Por exemplo, uma vírgula ou ponto-e-vírgula quando os dados do e-mail são uma lista de endereços IP.
      Prefixo de valor

      O texto que sempre precede o valor inserido neste campo a ser extraído.
      Final do valor

      Selecione o que indica o fim do valor. As opções incluem: Fim da linha , Fim do e-mail (traz todo o texto restante no e-mail), ou Até (para quando encontra o texto especificado), ou Até (para quando encontra o texto especificado).
      Sufixo de valor

      . Fim do valor está definido como Até este campo especifica qual texto sempre segue o valor inserido neste campo.

      Por exemplo, procurar um valor que vem depois de "O computador afetado é" e antes de "." Analisará "AB123" de "The dement bunny vírus has found. O computador afetado é AB123. O tempo estimado de infecção foi 3:45" em um e-mail.
      Transformação de valor Escolha a entrada de transformação de campo a ser aplicada. Converte o valor encontrado no e-mail em um valor diferente, usado para preencher campos de escolha, referência ocasionalmente e outros campos .
      Ordem A ordem em que as transformações de campo são executadas, da menor para a maior. Uma transformação de campo com uma entrada de pedido de 100 é tentada primeiro. Uma transformação de campo com uma ordem superior (200) no mesmo campo será executada somente se essa transformação de campo não conseguir encontrar um valor.
      Transformação de e-mail A transformação à qual esta transformação de campo pertence.
      Tabela de destino Tabela de destino da transformação de e-mail. Ele contém dados informativos da transformação de e-mail.
      Ativo O padrão é marcado. Quando marcado, a transformação de campo é ativada. Desmarque esta caixa para desativar a transformação de campo.
      1. Clique em Enviar.
        O novo registro é usado para analisar as informações no e-mail em um novo registro.