Créer des analyseurs d’e-mails dans Opérations de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • Analyse des e-mails Crée Opérations de sécurité des enregistrements à partir de votre e-mail pour la sécurité, la vulnérabilité et les observables afin d’accélérer la réponse aux menaces et la correction.

    Avant de commencer

    • Configurez des outils de détection externes pour envoyer des e-mails à une adresse e-mail centrale.
    • Définissez l’adresse e-mail dans Opérations de sécurité les propriétés. Pour plus d'informations, consultez Créer des Opérations de sécurité propriétés d’e-mail.
    • Affectez un compte d’utilisateur à cette adresse e-mail et donnez à cet utilisateur des contrôles d’accès de sécurité pour créer et mettre à jour les enregistrements d’événements d’e-mail.
    • Ayez une copie de l’e-mail correspondant de votre outil de détection externe devant vous.
    • Décidez du type d’enregistrement que vous souhaitez créer, un incident de sécurité, un enregistrement de vulnérabilité, une tâche, etc. Ce choix détermine la table que vous sélectionnez.
    Rôle requis : sn_sec_cmn.admin

    Procédure

    1. Accédez à la Tous > Opérations de sécurité > Analyse des e-mails.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Remarque :
      Si plusieurs champs sont spécifiés, tous les champs doivent correspondre à l’e-mail pour créer un enregistrement.
      Tableau 1. Analyseur d’e-mails
      Champ Description
      Nom Le nom de l’analyseur d’e-mails.
      L'e-mail provient de Si elle est remplie, seuls les e-mails de cette adresse sont transformés par cet analyseur d’e-mails.
      L'e-mail est destiné à Si elle est remplie, seuls les e-mails de cette adresse sont transformés par cet analyseur d’e-mails.
      L'objet de l'e-mail contient S’il est rempli, seuls les e-mails dont l’objet contient cette phrase sont transformés par cet analyseur d’e-mails.
      Règle de duplication Régit la façon de gérer les e-mails en double pour tout e-mail traité par cette transformation. Pour plus d'informations, consultez Transformation des données partagées.
      Ordre Dans quel ordre considérer les transformations. La première transformation d’e-mail correspondante est utilisée. En règle générale, vous souhaitez configurer les analyseurs d’e-mails les plus spécifiques dans les nombres inférieurs, avec une solution de secours. Attribuez des numéros de commande plus élevés aux analyseurs d’e-mails fourre-tout afin qu’ils s’exécutent si rien d’autre ne correspond. La valeur par défaut est 100. Lorsque tout correspond, l’analyseur d’e-mails le plus spécifique ( correspondances de, à et objet) est utilisé.
      Table de destination Table dans laquelle vous souhaitez créer des enregistrements.
      Actives Indique si cette transformation est active, en cours d’utilisation ou inactive. Si cette option n’est pas cochée, aucun e-mail n’est transformé avec ce code.
      Séparateur d’enregistrements Lorsque les e-mails traités par cet analyseur d’e-mail créent plusieurs enregistrements, ce champ contient le séparateur entre les informations de ces enregistrements. Consultez Opérations de sécurité Analyse des e-mails pour plus d'informations.
      Description Description de cet analyseur d’e-mails, avec quel outil il fonctionne, son objectif, etc.
    4. Lorsque vous avez terminé vos entrées, sélectionnez et maintenez l’appui (ou cliquez avec le bouton droit de la souris) dans l’en-tête du formulaire et sélectionnez Enregistrer.
      Un onglet Transformation de champ s’affiche. Cet onglet montre comment les champs individuels de la table de destination sont définis en fonction du contenu de l’e-mail.
      Formulaire de transformations de champs
    5. Pour ajouter des transformations de champ, effectuez les étapes suivantes.
      1. Dans l’onglet Transformations de champs , sélectionnez Nouveau.
      2. Renseignez les champs du formulaire comme il convient.
      OptionDescription
      Champ Description
      Stocker la valeur dans un champ ou une liste connexe Sélectionnez où trouver la valeur. Vous avez le choix entre :
      • Stocker la valeur dans un champ du nouvel enregistrement
      • Lier à cette valeur dans une liste connexe
      • Lier à cette valeur, ce qui crée un nouvel enregistrement si un enregistrement correspondant n'existe pas
        Remarque :
        Si la table de destination ne contient pas de listes connexes, ce champ n’est pas affiché.
      Champ Sélectionnez le champ à renseigner avec cette valeur.
      Remarque :

      Pour les champs de choix, les correspondances sont effectuées avec les choix existants à l’aide de l’étiquette ou de la valeur de choix sous-jacente. Si aucune correspondance n’est trouvée, le champ est défini, mais aucune nouvelle entrée n’est ajoutée à la liste de choix. Pour plus d'informations, consultez Listes de choix.

      Pour les champs de référence, une entrée n’est définie que lorsqu’une valeur correspondant au nom d’affichage de l’enregistrement ou à un sys_id valide est trouvée. Pour plus d'informations, consultez Champs de référence.
      Liste connexe

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, ce qui crée un nouvel enregistrement si un enregistrement correspondant n’existe pas, ce champ indique la liste connexe à laquelle ajouter des informations.
      Champ de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, ce qui crée un nouvel enregistrement si un enregistrement correspondant n’existe pas, ce champ spécifie le champ de la table affiché dans la liste connexe. Il est utilisé pour rechercher et rechercher un enregistrement existant. Par exemple, si votre liste connexe comporte des CI affectés, ce champ peut contenir le nom ou le nom de domaine complet, ou tout autre champ de l’enregistrement de CI à utiliser pour rechercher le CI ajouté à la liste des CI affectés .
      Données de relation

      Lorsque l’option Stocker la valeur dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe, un enregistrement est créé pour lier cet enregistrement (par exemple, un incident de sécurité) à la valeur (CI, Observable, etc.). Ce champ indique toutes les informations supplémentaires (paires de valeurs et de champs) qui doivent être ajoutées à l’enregistrement de liaison. Par exemple, si vous ajoutez un observable pour une adresse IP source, spécifiez que cette adresse IP est l’adresse IP source, et non l’adresse IP de destination. Pour plusieurs valeurs, utilisez un séparateur ^, par exemple, type= Source IP^Active=true.
      Données de nouvel enregistrement

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur, un nouvel enregistrement est créé si aucun enregistrement correspondant n’existe. Si aucun enregistrement connexe correspondant à la valeur analysée n’est trouvé, un enregistrement est créé. Ce champ spécifie les données statiques à ajouter à cet enregistrement. Pour les CI affectés, si aucun CI correspondant n’est trouvé, un enregistrement CI est créé. Lorsque cela se produit, la valeur trouvée dans l’e-mail est définie sur le champ Valeur dans l’enregistrement CI. Vous pouvez définir des données supplémentaires : une note indiquant la raison de création du CI, des informations sur le type de CI avec lesquels vous travaillez, etc. Un exemple serait : description=Créé par Analyseur d’e-mails de scanner de programmes malveillants^type=autodetect.
      Rechercher la valeur Sélectionnez l’emplacement dans l’e-mail à rechercher. Vous avez le choix entre :
      • Au début d'une ligne dans le corps de l'e-mail
      • N'importe où dans le corps de l'e-mail
      • Dans la ligne d'objet de l'e-mail
      • Toujours la valeur statique

      Lorsque vous avez défini un séparateur d’enregistrements, davantage d’options (n’importe où dans la sectiondes enregistrements et Au début d’une ligne dans la section des enregistrements) vous permettent d’effectuer une recherche uniquement dans la section actuelle plutôt que dans l’ensemble du corps de l’e-mail (voir Opérations de sécurité Analyse des e-mails pour plus d’informations).

      Les informations qui se trouvent dans un en-tête ou un pied de page, s’appliquant à tous les enregistrements, sont recherchées dans l’ensemble du corps de l’e-mail. Les informations qui diffèrent d’un enregistrement à l’autre ne sont recherchées que dans la section.
      Séparateur de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, ce qui crée un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie le séparateur à utiliser pour les listes d’éléments. par exemple, une virgule ou un point-virgule lorsque les données de l’e-mail sont une liste d’adresses IP.
      Préfixe de valeur

      Texte qui précède toujours la valeur placée dans ce champ à extraire.
      Fin de la valeur

      Sélectionnez ce qui indique la fin de la valeur. Les choix incluent : Fin de ligne, Fin de l’e-mail (intègre tout le texte restant dans l’e-mail), Jusqu’à (s’arrête lorsqu’il trouve le texte spécifié) ou Jusqu’à (s’arrête lorsqu’il trouve le texte spécifié).
      Suffixe de valeur

      Lorsque Fin de la valeur est défini sur Jusqu’à, ce champ spécifie le texte qui suit toujours la valeur placée dans ce champ.

      Par exemple, la recherche d’une valeur qui vient après « L’ordinateur affecté est » et avant « . » analyse « AB123 » à partir de « Le virus du lapin dément a été trouvé. L’ordinateur concerné est AB123. L’heure estimée de l’infection était de 15h45" dans un e-mail.
      Transformation de valeur Choisissez l’entrée de transformation de champ à appliquer. Convertit la valeur trouvée dans l’e-mail en une valeur différente, utilisée pour remplir des champs de choix, parfois des champs de référence, et d’autres champs.
      Ordre Ordre dans lequel s’exécutent les transformations de champ, de la plus basse à la plus élevée. Une transformation de champ avec une entrée d’ordre de 100 est tentée en premier. Ce n’est que si cette transformation de champ ne parvient pas à trouver une valeur qu’une transformation de champ d’ordre supérieur (200) sur le même champ s’exécute.
      Transformation d'e-mail Transformation à laquelle appartient cette transformation de champ.
      Table de destination Table de destination de la transformation d’e-mail. Il contient des données d’information provenant de la transformation d’e-mail.
      Actives La valeur par défaut est cochée. Lorsque cette option est cochée, la transformation de champ est activée. Décochez cette case pour désactiver la transformation de champ.
      1. Sélectionnez Envoyer.
        Le nouvel enregistrement est utilisé pour analyser les informations contenues dans l’e-mail en un nouvel enregistrement.