이메일을 보낼 수 있는 모든 시스템은 보안 인시던트, 요청, 취약한 항목, 취약성, 보안 인시던트 옵저버블, 공격 방법 등과 같은 기록을 생성할 보안 운영 수 있습니다.

모든 보안 운영 플러그인(보안 인시던트 응답, 위협 인텔리전스및 취약성 대응)에는 이메일 구문 분석기로 구문 분석하기 위해 외부 통합에서 이메일을 보내야 하는 이메일 주소를 정의하는 속성(email_to)이 있습니다. 참조 이메일 처리 > 속성 자세한 내용은.

이메일 보안 운영 주소로 전송된 이메일은 이메일 이벤트 테이블에 저장됩니다. 이러한 이메일은 모든 이메일 파서와 일치하는지 확인하기 위해 처리됩니다.

일치하는 이메일에는 플래그가 지정되고 변환 및 중복 규칙이 기록을 생성하거나 업데이트합니다 보안 운영 . 이메일은 해당 기록에 연결되고 일치하는 것으로 플래그가 지정됩니다.

일치하지 않는 이메일은 기록으로 보안 운영 나열됩니다일치하지 않는 이메일. 이러한 이메일을 처리하기 위한 이메일 파서를 빌드하는 데 도움이 되도록 검토할 수 있습니다. 다시 처리 작업을 사용하면 파서를 통해 일치하지 않는 이메일을 다시 실행할 수 있습니다. 원본 이메일 로그가 해당 기록에 연결됩니다.

기본적으로 이메일 이벤트는 30일 후에 삭제됩니다.

외부 탐지 시스템(맬웨어 탐지기, 취약성 등)은 한 번에 여러 항목에 대해 보고하는 이메일을 보낼 수 있습니다. 이메일 파서는 이메일 내의 구분 기호를 지원합니다.

예를 들어, 멀웨어 탐지기는 특정 멀웨어에 감염된 네트워크 내의 모든 시스템에 대한 이메일 보고서를 먼저 멀웨어에 대한 정보와 함께 보낸 다음 영향을 받는 시스템 목록을 보낼 수 있습니다.

필드 변환은 각 섹션에서 데이터를 끌어옵니다. 이메일의 머리글 또는 바닥글에 있는 내용이 이 예제의 맬웨어 해시, 맬웨어 이름 및 유형과 같은 모든 기록에 적용되는 경우 필드 변환은 값 검색을이메일 본문 내에서 이메일 본문의 줄 시작 또는 이메일 본문의 아무 곳이나 검색하는 값으로 설정해야 합니다.

필드변환은 시스템, IP 주소 또는 상태와 같이 각 섹션 내에 정의된 데이터를 기록 섹션 또는 초내의 줄 시작 부분에 검색하도록 설정되어야 합니다. 기록 섹션 옵션은 이메일 변환 내에 정의된 기록 구분 기호가 있는 경우에만 사용할 수 있습니다.

구분 기호가 정의된 이메일을 구문 분석할 때 하나 이상의 섹션별 데이터가 있는 섹션에 대해서만 기록이 생성됩니다.

이 예에서는 4개의 섹션이 정의되어 있더라도 3개의 기록이 생성됩니다. 첫 번째 섹션은 헤더이며 하나의 시스템에만 특정한 것이 없습니다. 첫 번째 섹션(시스템, IP 또는 상태) 내의 필드가 채워지면 해당 섹션에 대한 기록도 생성됩니다.