• 새 기록의 필드에 값을 저장합니다.
• 관련 목록에서 이 값에 연결
• 이 값에 연결, 일치하는 기록이 없는 경우 새 레코드 생성
  주:

  대상 테이블에 관련 목록이 없으면 이 필드가 표시되지 않습니다.

필드 또는 관련 목록의 값 저장을관련 목록의 이 값에 연결 또는 이 값에 대한 연결로 설정하고 일치하는 기록이 없는 경우 새 기록을 생성하면 이 필드는 정보를 추가할 관련 목록을 지정합니다.

필드 또는 관련 목록의 저장 값이관련 목록에서 이 값에 연결 또는 이 값에 연결로 설정되면 일치하는 기록이 없는 경우 새 레코드를 생성하며, 이 필드는 관련 목록에 표시되는 테이블 내의 필드를 지정합니다. 기존 기록을 조회하고 찾는 데 사용됩니다. 예를 들어, 관련 목록이 영향을 받는 CI인 경우 이 필드에는 이름 , 전체 주소 도메인 이름 또는 영향을 받는 CI 목록에 추가된 CI 를 조회하는 데 사용되는 CI 기록의 다른 필드가 포함될 수 있습니다.

필드 또는 관련 목록의 값 저장을관련 목록의 이 값에 연결로 설정하면 해당 기록(예: 보안 인시던트)을 값(CI, 옵저버블 등)에 연결하기 위한 기록이 생성됩니다. 이 필드는 링크 기록에 추가해야 하는 추가 정보(필드 및 값 쌍)를 지정합니다. 예를 들어 소스 IP에 대한 옵저버블을 추가하는 경우 이 IP를 대상 IP가 아닌 소스로 지정합니다. 값이 여러 개인 경우 ^ 구분 기호(예: type= Source IP^Active=true)를 사용합니다.

필드 또는 관련 목록의 값 저장을이 값에 연결로 설정하고 새 레코드를 만듭니다. 일치하는 레코드가 없으면 구문 분석된 값과 일치하는 관련 레코드가 없으면 레코드가 만들어집니다. 이 필드는 해당 기록에 추가할 정적 데이터를 지정합니다. 영향을 받는 CI의 경우 일치하는 CI가 없으면 CI 기록이 생성됩니다.) 이 경우 이메일에 있는 값이 CI 레코드의 값 필드로 설정됩니다. CI가 생성된 이유, 작업 중인 CI 유형에 대한 일부 정보 등을 나타내는 메모와 같은 추가 데이터를 설정할 수 있습니다. 샘플은 description=Created by Malware Scanner email parser^type=autodetect입니다.

• 이메일 본문의 줄 시작 부분에
• 이메일 본문의 모든 곳
• 이메일 제목 라인에
• 항상 정적 값

기록 구분 기호를 정의하면 추가 옵션(기록 섹션 내 아무 곳이나 및 기록 섹션 내 줄 시작 부분)을 사용하여 전체 이메일 본문 대신 현재 섹션 내에서만 검색할 수 있습니다(자세한 내용은 참조보안 운영 이메일 구문 분석).

모든 기록에 적용되는 머리글 또는 바닥글에 있는 정보는 전체 이메일 본문에서 검색됩니다. 기록마다 다른 정보는 섹션 내에서만 검색됩니다.

필드 또는 관련 목록의 저장 값이관련 목록에서 이 값에 연결 또는 이 값에 연결로 설정되면 일치하는 기록이 없는 경우 새 레코드를 생성하며, 이 필드는 항목 목록에 사용할 구분 기호를 지정합니다. 예를 들어 이메일의 데이터가 IP 주소 목록인 경우 쉼표 또는 세미콜론.

추출하기 위해 이 필드에 배치된 값보다 항상 선행하는 텍스트입니다.

값의 끝을 표시하는 항목을 선택합니다. 선택 사항에는 줄의 끝, 이메일의 끝 (이메일에 남아 있는 모든 텍스트 가져오기) 또는 때까지 (지정된 텍스트를 찾으면 중지) 또는 때까지 (지정된 텍스트를 찾으면 중지)가 포함됩니다.

값의 끝이 종료 기간으로 설정된 경우 이 필드는 이 필드에 배치된 값 뒤에 항상 오는 텍스트를 지정합니다.

예를 들어 "영향을 받는 컴퓨터는" 뒤와 "." 앞에 오는 값을 찾으면 "치매 토끼 바이러스가 발견되었습니다"에서 "AB123"이 구문 분석됩니다. 영향을 받는 컴퓨터는 AB123입니다. 감염 추정 시간은 오후 3시 45분이었다"고 이메일에서 밝혔다.