Operações de segurança análise de e-mail

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Gere novos registros Operações de segurança de sistemas de detecção externos usando Análise de E-mails. Este recurso fornece um método para integrar informações de ferramentas externas, como detecção de malware, detecção de vulnerabilidades, firewalls, inteligência contra ameaças e muito mais.

    Como os e-mails são analisados

    Qualquer sistema que pode enviar um e-mail pode criar Operações de segurança registros, por exemplo, incidentes de segurança, solicitações, itens vulneráveis, vulnerabilidades, observáveis de incidentes de segurança, métodos de ataque e muito mais.

    Todos os Operações de segurança plug-ins (Resposta a incidentes de segurança, Inteligência contra ameaçase Resposta a vulnerabilidades) têm uma propriedade (email_to) que define o endereço de e-mail para o qual as integrações externas devem enviar e-mails, a serem analisados pelos analisadores de e-mail. Confira Processamento de E-mails > Propriedades para obter mais informações.

    O e-mail enviado para qualquer um dos Operações de segurança endereços de e-mail é armazenado em uma tabela de eventos de e-mail. Esses e-mails são processados para determinar se correspondem a algum analisador de e-mail.

    Os e-mails que têm uma correspondência são sinalizados e as regras de transformação e duplicação criam ou atualizam um registro Operações de segurança. O e-mail está vinculado a esse registro e sinalizado como correspondente.

    E-mails que não correspondem são listados em E-mails Incompatíveis como um registro Operações de segurança. Eles podem ser revisados para ajudar a criar analisadores de e-mail para lidar com esses e-mails. Uma ação de reprocessamento permite que você execute novamente o e-mail incompatível por meio dos analisadores. O log de e-mail original está vinculado a esse registro.

    As regras de duplicação para a transformação de e-mail gerenciam vários e-mails relacionados ao mesmo problema. Essas regras definem o que torna um registro duplicado e podem impedir que registros duplicados sejam criados. Quando uma duplicata é detectada, a regra especifica qual ação executar: nenhuma ação (não criar um novo registro), criar o novo registro como um registro secundário do registro existente ou atualizar o registro existente. Ao atualizar, a regra de duplicação especifica quais campos no registro existente são atualizados.
    Nota:
    Um Operações de segurança analisador de e-mail funciona em conjunto com as ações de entrada da plataforma e não as substitui. Ele não oferece suporte à definição de valores em campos indiretos, por exemplo, entradas sys_journal_field.

    Por padrão, os eventos de e-mail são excluídos após 30 dias.

    Vários registros

    Sistemas de detecção externos (detectores de malware, vulnerabilidade e assim por diante) podem enviar e-mails que relatam vários itens de uma só vez. O analisador de e-mail oferece suporte a separadores no e-mail.

    Por exemplo, um detector de malware pode enviar a você um relatório por e-mail sobre todos os sistemas em sua rede infectados por um malware específico, com informações sobre o malware primeiro, seguido por uma lista dos sistemas afetados.

    Figura 1. Exemplo de e-mail mal-intencionado
    Exemplo de e-mail malicioso
    Neste exemplo, quando o Separador de Registros é definido em sua Transformação de E-mailcomo ===================, ele divide o e-mail em quatro seções que são avaliadas separadamente. Isso cria um incidente de segurança para cada um dos três sistemas afetados.
    Nota:
    A seção de cabeçalho é detectada, mas não tem nenhum sistema afetado, portanto, ela é usada em todos os três registros e não cria um quarto registro.

    As transformações de campo extraem dados de cada seção. Se algo no cabeçalho ou rodapé do e-mail se aplicar a todos os registros, como Hash de Malware, Nome de Malware e Tipo neste exemplo, a transformação de campo para eles deverá definir Pesquisar valor como um valor que pesquisa no corpo do e-mail Em o início de uma linha no corpo do e-mail ou em qualquer lugar no corpo do e-mail.

    Astransformações de campodevem ser definidas para pesquisar no início de uma linha na seção de registro ou na seção de dados definidos em cada seção, como sistema, endereço IP ou status. As opções de seção de registro só estão disponíveis quando há um separador de registro definido na transformação de e-mail.

    Ao analisar um e-mail com um separador definido, os registros são criados somente para seções com pelo menos uma parte de dados específicos da seção.

    Neste exemplo, três registros são criados, embora haja quatro seções definidas. A primeira seção é um cabeçalho e não tem nada específico para apenas um sistema. Se algum dos campos na primeira seção fosse preenchido (Sistema, IP ou Status), um registro também seria criado para essa seção.