Tout système capable d’envoyer un e-mail peut créer Security Operations des enregistrements, par exemple, des incidents de sécurité, des demandes, des éléments vulnérables, des vulnérabilités, des observables d’incident de sécurité, des méthodes d’attaque, etc.

Tous les Security Operations modules d’extension (Réponse aux incidents de sécurité, Renseignements sur les menaceset Vulnerability Response) ont une propriété (email_to) qui définit l’adresse e-mail vers laquelle les intégrations externes doivent envoyer des e-mails, afin qu’elle soit analysée par les analyseurs d’e-mails. Reportez-vous à Traitement des e-mails > Propriétés pour plus d’informations.

Les e-mails envoyés à l’une Security Operations des adresses e-mail sont stockés dans une table d’événements d’e-mail. Ces e-mails sont traités pour déterminer s’ils correspondent à un analyseur d’e-mails.

Les e-mails qui ont une correspondance sont marqués et les règles de transformation et de duplication créent ou mettent à jour un Security Operations enregistrement. L’e-mail est lié à cet enregistrement et marqué comme correspondant.

Les e-mails qui ne correspondent pas sont répertoriés en E-mails sans correspondances tant qu’enregistrement Security Operations . Ils peuvent être examinés pour aider à créer des analyseurs d’e-mails pour gérer ces e-mails. Une action de retraitement vous permet d’exécuter à nouveau l’e-mail sans correspondance via les analyseurs. Le journal d’e-mails d’origine est lié à cet enregistrement.

Par défaut, les événements d’e-mail sont supprimés après 30 jours.

Les systèmes de détection externes (détecteurs de logiciels malveillants, de vulnérabilités, etc.) peuvent envoyer des e-mails qui signalent plusieurs éléments à la fois. L’analyseur d’e-mail prend en charge les séparateurs dans l’e-mail.

Par exemple, un détecteur de logiciels malveillants peut vous envoyer par e-mail un rapport sur tous les systèmes de votre réseau infectés par un logiciel malveillant particulier, avec d’abord des informations sur le logiciel malveillant, suivies d’une liste des systèmes affectés.

Les transformations de champs extraient les données de chaque section. Si un élément de l’en-tête ou du pied de page de l’e-mail s’applique à tous les enregistrements, tels que Hachage de programme malveillant, Nom de programme malveillant et Type dans cet exemple, la transformation de champ correspondante doit définir Rechercher une valeur sur une valeur qui effectue une recherche dans le corps de l’e-mail, soit Au début d’une ligne dans le corps de l’e-mail , soit N’importe où dans le corps de l’e-mail.

Les transformations de champdoivent être définies sur recherche au début d’une ligne dans la section d’enregistrement ou Sec pour les données définies dans chaque section, telles que le système, l’adresse IP ou l’état. Les options de section d’enregistrement ne sont disponibles que lorsqu’un séparateur d’enregistrement est défini dans la transformation d’e-mail.

Lors de l’analyse d’un e-mail avec un séparateur défini, les enregistrements ne sont créés que pour les sections ayant au moins un élément de données spécifiques à la section.

Dans cet exemple, trois enregistrements sont créés, même si quatre sections sont définies. La première section est un en-tête, et il lui manque quoi que ce soit de spécifique à un seul système. Si l’un des champs de la première section est renseigné (Système, Adresse IP ou État), un enregistrement est également créé pour cette section.