이메일을 보낼 수 있는 모든 시스템은 보안 인시던트, 요청, 취약한 항목, 취약성, 보안 인시던트 옵저버블, 공격 방법 등의 기록을 생성할 Security Operations 수 있습니다.

모든 Security Operations 플러그인(보안 인시던트 응답, 위협 인텔리전스및 Vulnerability Response)에는 외부 통합에서 이메일을 보내야 하는 이메일 주소를 정의하는 속성(email_to)이 있습니다. 이메일 파서에서 구문 분석할 수 있습니다. 참조 이메일 처리 > 속성 자세한 내용은.

이메일 Security Operations 주소로 전송된 이메일은 이메일 이벤트 테이블에 저장됩니다. 이러한 이메일은 이메일 파서와 일치하는지 여부를 확인하기 위해 처리됩니다.

일치하는 이메일에는 플래그가 지정되고 변환 및 중복 규칙이 기록을 만들거나 업데이트합니다 Security Operations . 이메일이 해당 기록에 연결되고 일치로 플래그가 지정됩니다.

일치하지 않는 이메일은 기록으로 Security Operations 나열 일치하지 않는 이메일 됩니다. 이러한 이메일을 처리하는 이메일 파서를 빌드하는 데 도움이 되도록 검토할 수 있습니다. 다시 처리 작업을 사용하면 파서를 통해 일치하지 않는 이메일을 다시 실행할 수 있습니다. 원본 이메일 로그는 해당 기록에 연결됩니다.

기본적으로 이메일 이벤트는 30일 후에 삭제됩니다.

외부 탐지 시스템(맬웨어 탐지기, 취약성 등)은 한 번에 여러 항목에 대해 보고하는 이메일을 보낼 수 있습니다. 이메일 파서는 이메일 내에서 구분 기호를 지원합니다.

예를 들어, 멀웨어 탐지기는 특정 멀웨어에 감염된 네트워크 내의 모든 시스템에 대한 이메일 보고서를 먼저 멀웨어에 대한 정보와 함께 보낸 다음 영향을 받는 시스템 목록을 보낼 수 있습니다.

필드 변환은 각 섹션에서 데이터를 끌어옵니다. 이메일의 머리글 또는 바닥글에 있는 항목이 모든 레코드에 적용되는 경우(예: 이 예제의 맬웨어 해시, 맬웨어 이름 및 유형) 이에 대한 필드 변환은 값 검색을이메일 본문의 줄 시작 부분 또는 이메일 본문의 아무 곳에나 이메일 본문 내에서 검색하는 값으로 설정해야 합니다.

필드 변환은 레코드 섹션 내의 줄 시작 부분 또는 Sec 에서 시스템, IP 주소 또는 상태와 같이 각 섹션 내에 정의된 데이터를 검색하도록 설정해야 합니다. 기록 섹션 옵션은 이메일 변환 내에 정의된 기록 구분 기호가 있는 경우에만 사용할 수 있습니다.

구분 기호가 정의된 이메일을 구문 분석할 때 하나 이상의 섹션별 데이터가 있는 섹션에 대해서만 기록이 생성됩니다.

이 예시에서는 4개의 섹션이 정의되어 있어도 3개의 기록이 생성됩니다. 첫 번째 섹션은 헤더이며 하나의 시스템에만 해당하는 것이 없습니다. 첫 번째 섹션 내의 필드 중 하나라도 채워지면(시스템, IP 또는 상태) 해당 섹션에 대한 기록도 생성됩니다.