• 새 기록의 필드에 값 저장
• 관련 목록에서 이 값에 연결
• 이 값에 연결, 일치하는 기록이 없는 경우 새 레코드 생성
  주:

  대상 테이블에 관련 목록이 없으면 이 필드가 표시되지 않습니다.

필드 또는 관련 목록에 값 저장이관련 목록의 이 값에 연결 또는 이 값에 연결로 설정된 경우, 일치하는 기록이 없는 경우 새 기록 생성, 이 필드는 정보를 추가할 관련 목록을 지정합니다.

필드 또는 관련 목록에 값 저장이 관련 목록의 이 값에 연결 또는 이 값에 대한 링크로 설정된 경우, 일치하는 기록이 없는 경우 새 기록 생성, 이 필드는 관련 목록에 표시되는 테이블 내의 필드를 지정합니다. 기존 기록을 조회하고 찾는 데 사용됩니다. 예를 들어 관련 목록이 영향을 받는 CI인 경우 이 필드에는 이름 또는 전체 주소 도메인 이름, 또는 영향을 받는 CI 목록에 추가된 CI를 조회하는 데 사용할 CI 기록의 다른 필드가 포함될 수 있습니다.

필드 또는 관련 목록의 값 저장을 관련 목록의 이 값에 연결로 설정하면 해당 기록(예: 보안 인시던트)을 값(CI, 옵저버블 등)에 연결하는 기록이 생성됩니다. 이 필드는 연결 기록에 추가해야 하는 추가 정보(필드 및 값 쌍)를 지정합니다. 예를 들어 소스 IP에 대한 옵저버블을 추가할 때 이 IP가 대상 IP가 아닌 소스임을 지정합니다. 여러 값의 경우 ^ 구분 기호를 사용합니다(예: type= Source IP^Active=true).

필드 또는 관련 목록의 값 저장이 이 값에 연결로 설정된 경우, 일치하는 기록이 없으면 새 기록을 만들고, 구문 분석된 값과 일치하는 관련 기록이 없으면 기록을 만듭니다. 이 필드는 해당 기록에 추가할 정적 데이터를 지정합니다. 영향을 받는 CI의 경우 일치하는 CI가 없으면 CI 기록이 생성됩니다.) 이 경우 이메일에 있는 값이 CI 기록의 값 필드로 설정됩니다. CI가 생성된 이유를 나타내는 메모, 작업 중인 CI 유형에 대한 일부 정보 등 추가 데이터를 설정할 수 있습니다. 샘플은 description=Created by Malware Scanner email parser^type=autodetect입니다.

• 이메일 본문의 줄 시작 부분에
• 이메일 본문의 모든 곳
• 이메일 제목 라인에
• 항상 정적 값

레코드 구분 기호를 정의하면 추가 옵션(레코드 섹션 내의 모든 곳 및 레코드 섹션 내의 줄 시작 부분)을 사용하여 전체 이메일 본문 대신 현재 섹션 내에서만 검색할 수 있습니다(자세한 내용은 참조Security Operations 이메일 구문 분석).

머리글 또는 바닥글에 있는 정보는 모든 기록에 적용되며 전체 이메일 본문에서 검색됩니다. 기록 간에 다른 정보는 섹션 내에서만 검색됩니다.

필드 또는 관련 목록에 값 저장이 관련 목록의 이 값에 연결 또는 이 값에 연결로 설정되어 일치하는 기록이 없는 경우 새 기록을 생성하면 이 필드는 항목 목록에 사용할 구분 기호를 지정합니다. 예를 들어, 이메일의 데이터가 IP 주소 목록인 경우 쉼표 또는 세미콜론을 사용합니다.

추출하기 위해 이 필드 내에 배치된 값 앞에 항상 오는 텍스트입니다.

값의 끝을 나타내는 항목을 선택합니다. 선택 사항으로는 줄 끝, 전자 메일 끝 (전자 메일에 남아 있는 모든 텍스트 가져오기) 또는 Until (지정된 텍스트를 찾으면 중지) 또는 Until (지정된 텍스트를 찾으면 중지)이 있습니다.

값의 끝이다음까지로 설정된 경우 이 필드는 이 필드에 배치된 값 뒤에 항상 오는 텍스트를 지정합니다.

예를 들어 "The affected computer is" 뒤와 "." 앞에 오는 값을 찾으면 "The demented bunny virus has been found"에서 "AB123"이 구문 분석됩니다. 영향을 받는 컴퓨터는 AB123입니다. 감염 추정 시간은 오후 3시 45분이었다"고 밝혔다.