Erstellen Sie E-Mail-Parser in Security Operations

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 7 Minuten Lesedauer

    • E-Mail-AnalyseErstellt Security Operations Datensätze aus Ihrer E-Mail für Sicherheit, Schwachstellen und erkennbare Elemente, um die Reaktion auf Bedrohungen und die Korrektur zu beschleunigen.

    Vorbereitungen

    • Richten Sie externe Erkennungstools ein, um E-Mails an eine zentrale E-Mail-Adresse zu senden.
    • Legen Sie die E-Mail-Adresse in Security Operations-Eigenschaften fest. Weitere Informationen finden Sie unter Erstellen Security Operations E-Mail-Eigenschaften.
    • Weisen Sie dieser E-Mail-Adresse einen Anwenderaccount zu, und weisen Sie diesem Anwender Sicherheitszugriffssteuerungen zu, um die E-Mail-Ereignisdatensätze zu erstellen und zu aktualisieren.
    • Halten Sie eine Kopie der relevanten E-Mail aus Ihrem externen Erkennungstool vor sich.
    • Entscheiden Sie, welche Art von Datensatz Sie erstellen möchten, einen Security Incident, einen Schwachstellendatensatz, eine Aufgabe usw. Diese Auswahl bestimmt die von Ihnen ausgewählte Tabelle.
    Erforderliche Rolle: sn_sec_cmn.admin

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Analysean.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Hinweis:
      Wenn mehr als ein Feld angegeben ist, müssen alle Felder mit der E-Mail übereinstimmen, um einen Datensatz zu erstellen.
      Tabelle : 1. E-Mail-Parser
      Feld Beschreibung
      Name Der Name des E-Mail-Parsers.
      E-Mail ist von Wenn ausgefüllt, werden nur E-Mails von dieser Adresse von diesem E-Mail-Parser umgewandelt.
      E-Mail an Wenn ausgefüllt, werden nur E-Mails von dieser Adresse von diesem E-Mail-Parser umgewandelt.
      E-Mail Betreff enthält Wenn ausgefüllt, werden nur E-Mails, in denen der Betreff diesen Ausdruck enthält, von diesem E-Mail-Parser umgewandelt.
      Duplizierungsregel Steuert, wie doppelte E-Mails für alle E-Mails behandelt werden, die diese Transformation verarbeitet. Weitere Informationen finden Sie unter Transformation freigegebener Daten.
      Reihenfolge In welcher Reihenfolge die Transformationen berücksichtigt werden sollen. Die erste übereinstimmende E-Mail-Transformation wird verwendet. Normalerweise möchten Sie die spezifischsten E-Mail-Parser in den niedrigeren Zahlen mit einem Fallback einrichten. Geben Sie Catchall-E-Mail-Parser höher an Reihenfolge Nummern, damit sie ausgeführt werden, wenn nichts anderes übereinstimmt. Der Standardwert ist 100. Wenn alles übereinstimmt, stimmt der spezifischste E-Mail-Parser (stimmt überein Von , Bis , Und Betreff ) Wird verwendet.
      Zieltabelle Die Tabelle, in der Sie Datensätze erstellen möchten.
      Aktiv Gibt an, ob diese Transformation aktiv, in Gebrauch oder nicht aktiv ist. Wenn diese Option deaktiviert ist, werden keine E-Mails mit diesem Code umgewandelt.
      Datensatztrennzeichen Wenn E-Mails, die von diesem E-Mail-Parser verarbeitet werden, mehrere Datensätze erstellen, enthält dieses Feld das Trennzeichen zwischen den Informationen für diese Datensätze. Weitere Informationen finden Sie unter Security Operations E-Mail-Analyse.
      Beschreibung Beschreibung dieses E-Mail-Parsers, mit welchem Tool er arbeitet, der Zweck usw.
    4. Wenn Sie Ihre Einträge abgeschlossen haben, klicken Sie mit der rechten Maustaste in den Formularheader, und wählen Sie aus Speichern .
      A Feldtransformationen Die Registerkarte wird angezeigt. Diese Registerkarte zeigt, wie einzelne Felder in der Zieltabelle basierend auf dem E-Mail-Inhalt festgelegt werden.
      Formular „Feldtransformationen“
    5. Zum Hinzufügen Feldtransformationen , Führen Sie diese Schritte aus.
      1. In Feldtransformationen Klicken Sie auf die Registerkarte Neu .
      2. Füllen Sie die entsprechenden Felder im Formular aus.
      OptionBezeichnung
      Feld Beschreibung
      Wert in einem Feld oder einer zugehörigen Liste speichern Wählen Sie aus, wo der Wert gefunden werden soll. Zur Auswahl stehen:
      • Speichern Sie den Wert in einem Feld im neuen Datensatz
      • Verknüpfung mit diesem Wert in einer zugehörigen Liste erstellen
      • Verknüpfung mit diesem Wert erstellen und neuen Datensatz erstellen, wenn kein übereinstimmender Datensatz vorhanden ist
        Hinweis:
        Wenn die Zieltabelle keine zugehörigen Listen enthält, wird dieses Feld nicht angezeigt.
      Feld Wählen Sie das Feld aus, das mit diesem Wert ausgefüllt werden soll.
      Hinweis:

      Für Auswahlfelder werden Übereinstimmungen mit vorhandenen Auswahlmöglichkeiten mithilfe der zugrunde liegenden Auswahlbezeichnung oder des zugrunde liegenden Werts getroffen. Wenn keine Übereinstimmung gefunden wird, wird das Feld festgelegt, der Auswahlliste wird jedoch kein neuer Eintrag hinzugefügt. Weitere Informationen finden Sie unter Auswahllisten .

      Für Referenzfelder wird ein Eintrag nur festgelegt, wenn ein Wert dem Anzeigenamen des Datensatzes entspricht oder ein gültiger Wert vorliegt sys_ID Wurde gefunden. Weitere Informationen finden Sie unter Referenzfelder .
      Zugehörige Liste

      Wenn Speichern Sie den Wert in einem Feld oder einer zugehörigen Liste Ist auf festgelegt Link zu diesem Wert in einer zugehörigen Liste Oder Link zu diesem Wert, um einen neuen Datensatz zu erstellen, wenn kein übereinstimmender Datensatz vorhanden ist , Dieses Feld gibt die zugehörige Liste an, zu der Informationen hinzugefügt werden sollen.
      Wertfeld

      Wenn Speichern Sie den Wert in einem Feld oder einer zugehörigen Liste Ist auf festgelegt Link zu diesem Wert in einer zugehörigen Liste Oder Link zu diesem Wert, um einen neuen Datensatz zu erstellen, wenn kein übereinstimmender Datensatz vorhanden ist , Dieses Feld gibt das Feld innerhalb der Tabelle an, das in der zugehörigen Liste angezeigt wird. Wird verwendet, um einen vorhandenen Datensatz zu suchen und zu finden. Beispiel: Wenn Ihre zugehörige Liste lautet Betroffene CIs , Dieses Feld kann enthalten Name Oder Vollqualifizierter Domänenname , Oder ein anderes Feld im CI-Datensatz, das zum Suchen des CI verwendet werden soll, das zu hinzugefügt wurde Betroffene CIs Liste.
      Beziehungsdaten

      Wenn Speichern Sie den Wert in einem Feld oder einer zugehörigen Liste Ist auf festgelegt Link zu diesem Wert in einer zugehörigen Liste , Wird ein Datensatz erstellt, um diesen Datensatz (z. B. einen Security Incident) mit dem Wert (CI, erkennbares Element usw.) zu verknüpfen. Dieses Feld gibt alle zusätzlichen Informationen (Feld- und Wertpaare) an, die dem Verknüpfungsdatensatz hinzugefügt werden sollen. Geben Sie beispielsweise beim Hinzufügen eines erkennbaren Elements für eine Quell-IP an, dass diese IP die Quell- und nicht die Ziel-IP ist. Verwenden Sie für mehrere Werte ein ^-Trennzeichen, z. B. TYPE= Quell-IP^Active=true.
      Neue Datensatzdaten

      Wenn Speichern Sie den Wert in einem Feld oder einer zugehörigen Liste Ist auf festgelegt Link zu diesem Wert, um einen neuen Datensatz zu erstellen, wenn kein übereinstimmender Datensatz vorhanden ist Wenn kein zugehöriger Datensatz gefunden wird, der dem analysierten Wert entspricht, wird ein Datensatz erstellt. Dieses Feld gibt die statischen Daten an, die diesem Datensatz hinzugefügt werden sollen. Für Betroffenes CI S: Wenn keine übereinstimmenden CIs gefunden werden, wird ein CI-Datensatz erstellt). Wenn dies geschieht, wird der in der E-Mail gefundene Wert auf festgelegt Wert Feld im CI-Datensatz. Sie können zusätzliche Daten festlegen – eine Notiz, die angibt, warum das CI erstellt wurde, einige Informationen darüber, mit welcher Art von CIs Sie arbeiten usw. Ein Beispiel wäre: Description=Created by Malware Scanner Email Parser^type=autodetect.
      Suche nach Wert Wählen Sie den zu suchenden Standort in der E-Mail aus. Zur Auswahl stehen:
      • Am Anfang einer Zeile im E-Mail-Text
      • Irgendwo im E-Mail-Text
      • In der E-Mail-Betreffzeile
      • Immer der statistische Wert

      Wenn Sie eine definiert haben Datensatztrennzeichen , Weitere Optionen ( An beliebiger Stelle im Datensatzabschnitt Und Am Anfang einer Zeile im Datensatzabschnitt) Ermöglichen Sie es Ihnen, nur innerhalb des aktuellen Abschnitts und nicht im gesamten E-Mail-Text zu suchen (siehe Security Operations E-Mail-Analyse Weitere Informationen finden Sie unter .

      Informationen, die sich in einer Kopf- oder Fußzeile befinden und für alle Datensätze gelten, werden im gesamten E-Mail-Text gesucht. Die Informationen, die sich zwischen Datensätzen unterscheiden, werden nur innerhalb des Abschnitts gesucht.
      Werttrennzeichen

      Wenn Speichern Sie den Wert in einem Feld oder einer zugehörigen Liste Ist auf festgelegt Link zu diesem Wert in einer zugehörigen Liste Oder Link zu diesem Wert, um einen neuen Datensatz zu erstellen, wenn kein übereinstimmender Datensatz vorhanden ist , Dieses Feld gibt das Trennzeichen an, das für Listen von Elementen verwendet werden soll. Zum Beispiel ein Komma oder Semikolon, wenn die Daten aus der E-Mail eine Liste von IP-Adressen sind.
      Wertepräfix

      Der Text, der immer dem Wert vorangeht, der in diesem zu extrahierenden Feld platziert wird.
      Ende des Werts

      Wählen Sie aus, was das Ende des Werts angibt. Auswahlmöglichkeiten: Zeilenende , Ende der E-Mail (Bringt den gesamten verbleibenden Text in die E-Mail ein), oder Bis (Wird angehalten, wenn der angegebene Text gefunden wird), oder Bis (Wird angehalten, wenn der angegebene Text gefunden wird).
      Wertesuffix

      Wenn Ende des Werts Ist auf festgelegt Bis , Dieses Feld gibt an, welcher Text immer dem Wert folgt, der in diesem Feld platziert wird.

      Beispielsweise wird nach einem Wert gesucht, der nach „der betroffene Computer ist“ und vor „“ steht. Analysiert „AB123“ aus „der dementierte Bunny-Virus wurde gefunden. Der betroffene Computer ist AB123. Die geschätzte Infektionszeit betrug 45 Uhr in einer E-Mail.
      Wertumwandlung Wählen Sie den anzuwendenden Feldtransformationseintrag aus. Konvertiert den in der E-Mail gefundenen Wert in einen anderen Wert, der zum Ausfüllen von Auswahlfeldern, gelegentlich als Referenz und anderen Feldern verwendet wird .
      Reihenfolge Die Reihenfolge, in der die Feldtransformationen ausgeführt werden, vom niedrigsten zum höchsten. Eine Feldtransformation mit einem Reihenfolgeeintrag von 100 wird zuerst versucht. Nur wenn diese Feldtransformation keinen Wert findet, wird eine Feldtransformation mit einer höheren Reihenfolge (200) im selben Feld ausgeführt.
      E-Mail-Transformation Die Transformation, zu der diese Feldtransformation gehört.
      Zieltabelle Zieltabelle der E-Mail-Transformation. Enthält Informationsdaten aus der E-Mail-Transformation.
      Aktiv Der Standardwert ist aktiviert. Wenn diese Option aktiviert ist, wird die Feldtransformation aktiviert. Deaktivieren Sie dieses Kontrollkästchen, um die Feldtransformation zu deaktivieren.
      1. Klicken Sie auf Absenden.
        Der neue Datensatz wird verwendet, um die Informationen in der E-Mail in einen neuen Datensatz zu analysieren.