Security Operations E-Mail-Analyse

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Generieren Sie neue Security Operations Datensätze aus externen Erkennungssystemen mit E-Mail-Analyse. Diese Funktion bietet eine Methode zur Integration von Informationen aus externen Tools wie Malware-Erkennung, Schwachstellenerkennung, Firewalls, Threat Intelligence und mehr.

    Wie E-Mails analysiert werden

    Jedes System, das eine E-Mail senden kann, kann Security Operations Datensätze erstellen, z. B. Security Incidents, Anforderungen, angreifbare Elemente, Schwachstellen, erkennbare Elemente von Security Incidents, Angriffsmethoden und mehr.

    Alle Security Operations -Plugins (Security Incident Response, Threat Intelligenceund Vulnerability Response) haben eine Eigenschaft (email_to), die die E-Mail-Adresse definiert, an die externe Integrationen E-Mails senden sollen, die von den E-Mail-Parsern analysiert werden sollen. Siehe E-Mail-Verarbeitung > Eigenschaften für weitere Informationen.

    E-Mails, die an eine der Security Operations E-Mail-Adressen gesendet werden, werden in einer E-Mail-Ereignistabelle gespeichert. Diese E-Mails werden verarbeitet, um festzustellen, ob sie mit einem E-Mail-Parser übereinstimmen.

    E-Mails mit einer Übereinstimmung werden gekennzeichnet, und die Transformations- und Duplizierungsregeln erstellen oder aktualisieren einen Security Operations -Datensatz. Die E-Mail wird mit diesem Datensatz verknüpft und als abgeglichen gekennzeichnet.

    E-Mails, die nicht übereinstimmen, werden in Nicht übereinstimmende E-Mails als Datensatz Security Operations ] aufgelistet. Sie können überprüft werden, um E-Mail-Parser für die Verarbeitung dieser E-Mails zu erstellen. Mit einer Aktion „Erneut verarbeiten“ können Sie die nicht abgeglichene E-Mail erneut durch die Parser ausführen. Das ursprüngliche E-Mail-Protokoll ist mit diesem Datensatz verknüpft.

    Die Duplizierungsregeln für die E-Mail-Transformation verwalten mehrere E-Mails, die sich auf dasselbe Problem beziehen. Diese Regeln definieren, was einen doppelten Datensatz ausmacht, und können verhindern, dass doppelte Datensätze erstellt werden. Wenn ein Duplikat erkannt wird, gibt die Regel an, welche Aktion ausgeführt werden soll: keine Aktion (keinen neuen Datensatz erstellen), den neuen Datensatz als untergeordneten Datensatz des vorhandenen Datensatzes erstellen oder den vorhandenen Datensatz aktualisieren. Beim Aktualisieren gibt die Duplikatregel an, welche Felder im vorhandenen Datensatz aktualisiert werden.
    Hinweis:
    Ein Security Operations E-Mail-Parser funktioniert in Verbindung mit eingehenden Plattformaktionen und ersetzt diese nicht. Das Festlegen von Werten für indirekte Felder, z. B. sys_journal_field- Einträge, wird nicht unterstützt.

    Standardmäßig werden E-Mail-Events nach 30 Tagen gelöscht.

    Mehrere Datensätze

    Externe Erkennungssysteme (Malware-Detektoren, Schwachstellen usw.) können E-Mails senden, die mehrere Elemente gleichzeitig melden. Der E-Mail-Parser unterstützt Trennzeichen innerhalb der E-Mail.

    Zum Beispiel könnte ein Malware-Erkenner Ihnen einen E-Mail-Bericht über alle Systeme in Ihrem Netzwerk senden, die mit einer bestimmten Malware infiziert sind, wobei zuerst Informationen zur Malware angezeigt werden, gefolgt von einer Liste der betroffenen Systeme.

    Abbildung : 1. Beispiel für schädliche E-Mail
    Beispiel für eine schädliche E-Mail
    In diesem Beispiel wird die E-Mail in vier Abschnitte aufgeteilt, wenn die Datensatztrennung in Ihrer E- Mail-Transformationals ======================================================================================================= nicht Dadurch wird für jedes der drei betroffenen Systeme ein Security Incident erstellt.
    Hinweis:
    Der Header-Abschnitt wird erkannt, weist jedoch keine betroffenen Systeme auf. Daher wird er in allen drei Datensätzen verwendet und erstellt keinen vierten Datensatz.

    Feldtransformationen rufen Daten aus jedem Abschnitt ab. Wenn etwas in der Kopf- oder Fußzeile der E-Mail für alle Datensätze gilt, z. B. Malware-Hash, Malware-Name und Typ in diesem Beispiel, sollte die Feldtransformation für sie Wert für Suche auf einen Wert festlegen, der den E-Mail-Text durchsucht, entweder At der Beginn einer Zeile im E-Mail-Text oder an beliebiger Stelle im E-Mail-Text.

    Feldtransformationenmüssen so festgelegt werden, dass sie am Anfang einer Zeile innerhalb des Datensatzabschnitts oder Abschnittsnach Daten suchen, die in jedem Abschnitt definiert sind, z. B. System, IP-Adresse oder Status. Die Optionen für Datensatzabschnitte sind nur verfügbar, wenn in der E-Mail-Transformation ein Datensatztrennzeichen definiert ist.

    Beim Analysieren einer E-Mail mit definiertem Trennzeichen werden Datensätze nur für Abschnitte mit mindestens einem abschnittsspezifischen Datenelement erstellt.

    In diesem Beispiel werden drei Datensätze erstellt, obwohl vier Abschnitte definiert sind. Der erste Abschnitt ist ein Header, und es fehlt etwas, das nur für ein System spezifisch ist. Wenn eines der Felder im ersten Abschnitt ausgefüllt wurde (System, IP oder Status), wird auch für diesen Abschnitt ein Datensatz erstellt.