Security Operations E-Mail-Analyse

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Generieren Sie neu Security Operations Datensätze aus externen Erkennungssystemen mit E-Mail-Analyse. Diese Funktion bietet eine Methode zum Integrieren von Informationen aus externen Tools wie Malware-Erkennung, Schwachstellenerkennung, Firewalls, Threat Intelligence und mehr.

    Wie E-Mails analysiert werden

    Jedes System, das eine E-Mail senden kann, kann erstellen Security Operations Datensätze, z. B. Security Incidents, Anforderungen, angreifbare Elemente, Schwachstellen, erkennbare Security Incident-Elemente, Angriffsmethoden und mehr.

    Alle Security Operations Plugins ( Security Incident Response, Threat Intelligence, Und Vulnerability Response) Haben eine Eigenschaft ( E-Mail_an ), die die E-Mail-Adresse definiert, an die externe Integrationen E-Mails senden sollen, die von den E-Mail-Parsern analysiert werden sollen. Siehe E-Mail-Verarbeitung > Eigenschaften Weitere Informationen finden Sie unter .

    E-Mail an einen der gesendet Security Operations E-Mail-Adressen werden in einer E-Mail-Ereignistabelle gespeichert. Diese E-Mails werden verarbeitet, um festzustellen, ob sie mit einem E-Mail-Parser übereinstimmen.

    E-Mails, die eine Übereinstimmung aufweisen, werden gekennzeichnet, und die Transformations- und Duplizierungsregeln erstellen oder aktualisieren einen Security Operations Datensatz. Die E-Mail ist mit diesem Datensatz verknüpft und als gekennzeichnet Übereinstimmend .

    E-Mails, die nicht übereinstimmen, werden in aufgeführt Nicht übereinstimmende E-MailsAls Security Operations Datensatz. Sie können überprüft werden, um E-Mail-Parser zur Verarbeitung dieser E-Mails zu erstellen. Mit der Aktion „erneut verarbeiten“ können Sie die nicht abgeglichene E-Mail erneut über die Parser ausführen. Das ursprüngliche E-Mail-Protokoll ist mit diesem Datensatz verknüpft.

    Die Duplizierungsregeln für die E-Mail-Transformation verwalten mehrere E-Mails im Zusammenhang mit demselben Problem. Diese Regeln definieren, was zu einem doppelten Datensatz führt, und können verhindern, dass doppelte Datensätze erstellt werden. Wenn ein Duplikat erkannt wird, gibt die Regel an, welche Aktion ausgeführt werden soll: Keine Aktion (keinen neuen Datensatz erstellen), neuen Datensatz als untergeordneten Datensatz des vorhandenen Datensatzes erstellen oder den vorhandenen Datensatz aktualisieren. Beim Aktualisieren gibt die Duplikatregel an, welche Felder im vorhandenen Datensatz aktualisiert werden.
    Hinweis:
    A Security Operations E-Mail-Parser funktioniert in Verbindung mit eingehenden Plattformaktionen und ersetzt sie nicht. Das Festlegen von Werten für indirekte Felder wird nicht unterstützt, z. B. sys_Journal_field Einträge.

    Standardmäßig werden E-Mail-Ereignisse nach 30 Tagen gelöscht.

    Mehrere Datensätze

    Externe Erkennungssysteme (Malware-Erkennung, Schwachstelle usw.) können E-Mails senden, die mehrere Elemente gleichzeitig melden. Der E-Mail-Parser unterstützt Trennzeichen innerhalb der E-Mail.

    Beispielsweise könnte Ihnen ein Malware-Detektor einen E-Mail-Bericht über alle Systeme in Ihrem Netzwerk senden, die von einer bestimmten Malware infiziert sind, und zuerst Informationen zur Malware, gefolgt von einer Liste der betroffenen Systeme.

    Abbildung : 1. Beispiel für schädliche E-Mails
    Beispiel für schädliche E-Mails
    In diesem Beispiel, wenn Datensatztrennzeichen Ist in festgelegt E-Mail-Transformation Als ================ , Teilt die E-Mail in vier Abschnitte auf, die separat ausgewertet werden. Dadurch wird für jedes der drei betroffenen Systeme ein Security Incident erstellt.
    Hinweis:
    Der Header-Abschnitt wird erkannt, weist jedoch keine betroffenen Systeme auf. Daher wird er in allen drei Datensätzen verwendet und erstellt keinen vierten Datensatz.

    Feldtransformationen Rufen Sie Daten aus jedem Abschnitt ab. Wenn etwas in der Header- oder Fußzeile der E-Mail für alle Datensätze gilt, z. B. Malware-Hash, Malware-Name und Typ in diesem Beispiel, sollte die Feldtransformation für sie festgelegt werden Suchen Sie nach Wert Zu einem Wert, der entweder innerhalb des E-Mail-Texts sucht Am Anfang einer Zeile im E-Mail-Text Oder An beliebiger Stelle im E-Mail-Text .

    Feldtransformation S müssen für die Suche festgelegt werden Am Anfang einer Zeile im Datensatzabschnitt Oder Sek Für Daten, die in jedem Abschnitt definiert sind, z. B. System, IP-Adresse oder Status. Die Optionen für den Datensatzabschnitt sind nur verfügbar, wenn in der E-Mail-Transformation ein Datensatztrennzeichen definiert ist.

    Beim Analysieren einer E-Mail mit einem definierten Trennzeichen werden Datensätze nur für Abschnitte mit mindestens einem Stück abschnittsspezifischer Daten erstellt.

    In diesem Beispiel werden drei Datensätze erstellt, obwohl vier Abschnitte definiert sind. Der erste Abschnitt ist ein Header, und es fehlt alles, was für nur ein System spezifisch ist. Wenn eines der Felder im ersten Abschnitt ausgefüllt wurde (System, IP oder Status), wird auch für diesen Abschnitt ein Datensatz erstellt.