Erstellen Sie E-Mail-Parser in Security Operations

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 6 Minuten Lesedauer

    • E-Mail-Analyse erstellt aus Ihrer E-Mail Security Operations -Datensätze für Sicherheit, Schwachstelle und erkennbare Elemente, um die Reaktion auf Bedrohungen und die Korrektur zu beschleunigen.

    Vorbereitungen

    • Richten Sie externe Erkennungstools ein, um E-Mails an eine zentrale E-Mail-Adresse zu senden.
    • Legen Sie die E-Mail-Adresse in den Security Operations-Eigenschaften fest. Weitere Informationen finden Sie unter Erstellen Sie Security Operations -E-Mail-Eigenschaften.
    • Weisen Sie dieser E-Mail-Adresse ein Anwenderkonto zu, und gewähren Sie diesem Anwender Sicherheitszugriffssteuerungen, um die E-Mail-Ereignisdatensätze zu erstellen und zu aktualisieren.
    • Halten Sie eine Kopie der relevanten E-Mail aus Ihrem externen Erkennungstool bereit.
    • Entscheiden Sie, welche Art von Datensatz Sie erstellen möchten (Security Incident, Schwachstellendatensatz, Aufgabe usw.). Diese Auswahl bestimmt die Tabelle, die Sie auswählen.
    Erforderliche Rolle: sn_sec_cmn.admin

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Analysean.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Hinweis:
      Wenn mehr als ein Feld angegeben ist, müssen alle Felder mit der E-Mail-Adresse übereinstimmen, um einen Datensatz zu erstellen.
      Tabelle : 1. E-Mail-Parser
      Feld Beschreibung
      Name Der Name des E-Mail-Parsers.
      E-Mail ist von Wenn ausgefüllt, werden nur E-Mails von dieser Adresse von diesem E-Mail-Parser umgewandelt.
      E-Mail an Wenn ausgefüllt, werden nur E-Mails von dieser Adresse von diesem E-Mail-Parser umgewandelt.
      E-Mail Betreff enthält Wenn ausgefüllt, werden nur E-Mails von diesem E-Mail-Parser transformiert, bei denen der Betreff diesen Ausdruck enthält.
      Duplizierungsregel Steuert, wie doppelte E-Mails für alle E-Mails behandelt werden, die von dieser Transformation verarbeitet werden. Weitere Informationen finden Sie unter Transformation freigegebener Daten.
      Bestellung In welcher Reihenfolge die Transformationen berücksichtigt werden sollen. Die erste übereinstimmende E-Mail-Transformation wird verwendet. Normalerweise möchten Sie die spezifischsten E-Mail-Parser in den niedrigeren Nummern mit einem Fallback einrichten. Geben Sie E-Mail-Parsern für Ausweichkontakt höhere Auftragsnummern, damit sie ausgeführt werden, wenn keine Übereinstimmung mit anderen Elementen vorliegt. Der Standardwert ist 100. Wenn alles übereinstimmt, wird der spezifischste E-Mail-Parser (entspricht von, bisund Betreff) verwendet.
      Zieltabelle Die Tabelle, in der Sie Datensätze erstellen möchten.
      Aktiv Gibt an, ob diese Transformation aktiv ist, verwendet wird oder nicht aktiv ist. Wenn diese Option deaktiviert ist, werden keine E-Mails mit diesem Code umgewandelt.
      Datensatztrennzeichen Wenn von diesem E-Mail-Parser verarbeitete E-Mails mehrere Datensätze erstellen, enthält dieses Feld das Trennzeichen zwischen den Informationen für diese Datensätze. Weitere Informationen finden Sie unter Security Operations E-Mail-Analyse.
      Beschreibung Beschreibung des E-Mail-Parsers, des verwendeten Tools, des Zwecks usw.
    4. Wenn Sie Ihre Eingaben abgeschlossen haben, klicken Sie mit der rechten Maustaste in den Formularheader, und wählen Sie Speichernaus.
      Die Registerkarte Feldtransformationen wird angezeigt. Diese Registerkarte zeigt, wie einzelne Felder in der Zieltabelle basierend auf dem E-Mail-Inhalt festgelegt werden.
      Feldtransformationen Formular
    5. Um Feldtransformationenhinzuzufügen, führen Sie die folgenden Schritte aus.
      1. Klicken Sie auf der Registerkarte Feldtransformationen auf Neu.
      2. Füllen Sie die entsprechenden Felder im Formular aus.
      OptionBezeichnung
      Feld Beschreibung
      Wert in einem Feld oder einer zugehörigen Liste speichern Wählen Sie aus, wo der Wert gefunden werden soll. Zur Auswahl stehen:
      • Speichern Sie den Wert in einem Feld im neuen Datensatz
      • Verknüpfung mit diesem Wert in einer zugehörigen Liste erstellen
      • Verknüpfung mit diesem Wert erstellen und neuen Datensatz erstellen, wenn kein übereinstimmender Datensatz vorhanden ist
        Hinweis:
        Wenn die Zieltabelle keine zugehörigen Listen enthält, wird dieses Feld nicht angezeigt.
      Feld Wählen Sie das Feld aus, das mit diesem Wert ausgefüllt werden soll.
      Hinweis:

      Bei Auswahlfeldern werden Übereinstimmungen mit vorhandenen Auswahlmöglichkeiten anhand der zugrunde liegenden Auswahlbezeichnung oder des zugrunde liegenden Auswahlwerts vorgenommen. Wenn keine Übereinstimmung gefunden wird, wird das Feld festgelegt, aber der Auswahlliste wird kein neuer Eintrag hinzugefügt. Weitere Informationen finden Sie unter Auswahllisten.

      Für Referenzfelder wird ein Eintrag nur festgelegt, wenn ein Wert gefunden wird, der dem Anzeigenamen des Datensatzes entspricht oder eine gültige sys_id gefunden wird. Weitere Informationen finden Sie unter Referenzfelder.
      Zugehörige Liste

      Wenn „Wert in einem Feld oder einer zugehörigen Listespeichern“ auf „Mit diesem Wert in einer zugehörigen Liste verknüpfen“ oder „Mit diesem Wert verknüpfen“ festgelegt ist, wird ein neuer Datensatz erstellt, wenn kein übereinstimmender Datensatz vorhandenist. Gibt dieses Feld die zugehörige Liste an, der Informationen hinzugefügt werden sollen.
      Wertfeld

      Wenn „Wert in einem Feld oder einer zugehörigen Listespeichern“ auf „Mit diesem Wert in einer zugehörigen Liste verknüpfen“ oder „Mit diesem Wert verknüpfen“ festgelegt ist, wird ein neuer Datensatz erstellt, wenn kein übereinstimmender Datensatz vorhanden ist, gibt dieses Feld das Feld innerhalb der im zugehörigen angezeigten Tabelle an Liste Es wird verwendet, um einen vorhandenen Datensatz zu suchen und zu finden. Lautet Ihre zugehörige Liste beispielsweise „Betroffene CIs“, kann dieses Feld „ Name “ oder „ Vollständig qualifizierter Domänenname“ oder ein beliebiges anderes Feld im CI-Datensatz enthalten, das zum Suchen des CI verwendet werden soll, das der Liste „ Betroffene CIs “ hinzugefügt wurde.
      Beziehungsdaten

      Wenn Wert in einem Feld oder einer zugehörigen Listespeichern auf Mit diesem Wert in einer zugehörigen Liste verknüpfenfestgelegt ist, wird ein Datensatz erstellt, um diesen Datensatz (z. B. einen Security Incident) mit dem Wert (ein CI, ein erkennbares Element usw.) zu verknüpfen. ). Dieses Feld gibt zusätzliche Informationen (Feld-Wert-Paare) an, die dem Verknüpfungsdatensatz hinzugefügt werden sollen. Wenn Sie beispielsweise ein erkennbares Element für eine Quell-IP hinzufügen, geben Sie an, dass diese IP die Quelle und nicht die Ziel-IP ist. Verwenden Sie für mehrere Werte ein ^-Trennzeichen, z. B. type= Source IP^Active=true.
      Neue Datensatzdaten

      Wenn „Wert speichern“ in einem Feld oder einer zugehörigen Listeauf „Mit diesem Wert verknüpfen“ festgelegt ist, wird ein neuer Datensatz erstellt, wenn kein übereinstimmender Datensatz vorhandenist. Wenn kein zugehöriger Datensatz gefunden wird, der dem analysierten Wert entspricht, wird ein Datensatz erstellt. Dieses Feld gibt die statischen Daten an, die diesem Datensatz hinzugefügt werden sollen. (Für betroffeneCIs wird ein CI-Datensatz erstellt, wenn keine übereinstimmenden CIs gefunden werden.) In diesem Fall wird der in der E-Mail gefundene Wert auf das Feld Wert im CI-Datensatz festgelegt. Sie können zusätzliche Daten festlegen – einen Hinweis, der angibt, warum das CI erstellt wurde, einige Informationen darüber, mit welcher Art von CIs Sie arbeiten, usw. Ein Beispiel wäre: description=Created by Malware Scanner email parser^type=autodetect.
      Suche nach Wert Wählen Sie den Ort in der zu suchenden E-Mail aus. Zur Auswahl stehen:
      • Am Anfang einer Zeile im E-Mail-Text
      • Irgendwo im E-Mail-Text
      • In der E-Mail-Betreffzeile
      • Immer der statistische Wert

      Wenn Sie ein Datensatztrennzeichendefiniert haben, ermöglichen Ihnen weitere Optionen (Beliebig im Datensatzabschnitt und Am Anfang einer Zeile im Datensatzabschnitt), nur innerhalb des aktuellen Abschnitts anstatt im gesamten E-Mail-Text zu suchen (weitere Informationen finden Sie unter Security Operations E-Mail-Analyse. Informationen.

      Informationen, die sich in einem Header oder Footer befinden und für alle Datensätze gelten, werden im gesamten E-Mail-Text gesucht. Die Informationen, die sich zwischen Datensätzen unterscheiden, werden nur innerhalb des Abschnitts gesucht.
      Werttrennzeichen

      Wenn „Wert in einem Feld oder einer zugehörigen Listespeichern“ auf „Mit diesem Wert in einer zugehörigen Liste verknüpfen“ oder „Mit diesem Wert verknüpfen“ festgelegt ist, wird ein neuer Datensatz erstellt, wenn kein übereinstimmender Datensatz vorhandenist. Gibt dieses Feld das Trennzeichen an, das für Listen von Elementen verwendet werden soll. Zum Beispiel ein Komma oder Semikolon, wenn die Daten aus der E-Mail eine Liste von IP-Adressen sind.
      Wertepräfix

      Der Text, der immer vor dem Wert steht, der in diesem zu extrahierenden Feld platziert ist.
      Ende des Werts

      Wählen Sie aus, was das Ende des Werts angibt. Auswahlmöglichkeiten: Zeilenende, E- Mail-Ende (zieht den gesamten verbleibenden Text in der E-Mail ein), Bis (wird angehalten, wenn der angegebene Text gefunden wird) oder Bis (wird angehalten, wenn der angegebene Text gefunden wird).
      Wertesuffix

      Wenn das Ende des Werts auf Bisfestgelegt ist, gibt dieses Feld an, welcher Text immer auf den in diesem Feld angegebenen Wert folgt.

      Beispiel: Suchen Sie nach einem Wert, der nach „Betroffener Computer ist“ und vor „.“ kommt. analysiert „AB123“ aus „Der dementierte Häschenvirus wurde gefunden“. Der betroffene Computer ist AB123. Geschätzte Zeit der Ansteckung war 15:45 Uhr“ in einer E-Mail.
      Wertumwandlung Wählen Sie den anzuwendenden Feldtransformationseintrag. Konvertiert den in der E-Mail gefundenen Wert in einen anderen Wert, der zum Ausfüllen von Auswahlfeldern, gelegentlich Referenz- und anderen Feldern verwendet wird.
      Bestellung Die Reihenfolge, in der die Feldtransformationen ausgeführt werden, vom niedrigsten zum höchsten. Zuerst wird versucht, eine Feldtransformation mit einem Reihenfolgeeintrag von 100 durchzuführen. Nur wenn diese Feldtransformation keinen Wert findet, wird ein Feldtransformation mit einer höheren Reihenfolge (200) im selben Feld ausgeführt.
      E-Mail-Transformation Die Transformation, zu der diese Feldtransformation gehört.
      Zieltabelle Zieltabelle der E-Mail-Transformation. Sie enthält Informationsdaten aus der E-Mail-Transformation.
      Aktiv Standardmäßig ist diese Option aktiviert. Wenn diese Option aktiviert ist, ist die Feldtransformation aktiviert. Deaktivieren Sie dieses Kontrollkästchen, um die Feldtransformation zu deaktivieren.
      1. Klicken Sie auf Absenden.
        Der neue Datensatz wird verwendet, um die Informationen in der E-Mail in einem neuen Datensatz zu analysieren.