Tout système capable d’envoyer un e-mail peut créer Opérations de sécurité des enregistrements, par exemple, incidents de sécurité, demandes, éléments vulnérables, vulnérabilités, observables d’incident de sécurité, méthodes d’attaque, etc.

Tous les Opérations de sécurité modules d’extension (Réponse aux incidents de sécurité, Renseignements sur les menaces, et Réponse aux vulnérabilités) ont une propriété (email_to) qui définit l’adresse e-mail à laquelle les intégrations externes doivent envoyer des e-mails, afin qu’ils soient analysés par les analyseurs d’e-mails. Reportez-vous à Traitement des e-mails > Propriétés pour plus d’informations.

L’e-mail envoyé à l’une Opérations de sécurité des adresses e-mail est stocké dans une table d’événements d’e-mail. Ces e-mails sont traités pour déterminer s’ils correspondent à un analyseur d’e-mail.

Les e-mails qui ont une correspondance sont marqués et les règles de transformation et de duplication créent ou mettent à jour un Opérations de sécurité enregistrement. L’e-mail est lié à cet enregistrement et marqué comme correspondant.

Les e-mails qui ne correspondent pas sont répertoriés en E-mails sans correspondances tant qu’enregistrement Opérations de sécurité . Ils peuvent être examinés pour aider à créer des analyseurs d’e-mails pour traiter ces e-mails. Une action de retraitement vous permet d’exécuter à nouveau l’e-mail sans correspondance dans les analyseurs. Le journal d’e-mails d’origine est lié à cet enregistrement.

Par défaut, les événements par e-mail sont supprimés au bout de 30 jours.

Les systèmes de détection externes (détecteurs de logiciels malveillants, vulnérabilités, etc.) peuvent envoyer des e-mails qui signalent plusieurs éléments à la fois. L’analyseur d’e-mails prend en charge les séparateurs dans l’e-mail.

Par exemple, un détecteur de logiciels malveillants peut vous envoyer un rapport par e-mail sur tous les systèmes de votre réseau infectés par un logiciel malveillant particulier avec des informations sur le logiciel malveillant en premier, suivi d’une liste des systèmes touchés.

Les transformations de champ extraient les données de chaque section. Si quelque chose dans l’en-tête ou le pied de page de l’e-mail s’applique à tous les enregistrements, tels que Hachage de programme malveillant, Nom du programme malveillant et Type dans cet exemple, la transformation de champ pour eux doit définir la valeur Rechercher sur une valeur qui effectue une recherche dans le corps de l’e-mail soit Au début d’une ligne dans le corps de l’e-mail , soit N’importe où dans le corps de l’e-mail.

Les transformations de champdoivent être définies sur rechercher Au début d’une ligne dans la section des enregistrements ou sur Sec pour les données définies dans chaque section, telles que Système, Adresse IP ou État. Les options de section d’enregistrement ne sont disponibles que lorsqu’un séparateur d’enregistrement est défini dans la transformation d’e-mail.

Lors de l’analyse d’un e-mail avec un séparateur défini, les enregistrements ne sont créés que pour les sections comportant au moins une donnée spécifique à la section.

Dans cet exemple, trois enregistrements sont créés, même si quatre sections sont définies. La première section est un en-tête, et il lui manque quelque chose de spécifique à un seul système. Si l’un des champs de la première section était rempli (Système, Adresse IP ou État), un enregistrement serait également créé pour cette section.