Erstellen Sie E-Mail-Parser in Security Operations

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • E-Mail-Analyse erstellt Security Operations Datensätze aus Ihrer E-Mail für Sicherheit, Schwachstelle und erkennbare Elemente, um die Reaktion auf Bedrohungen und die Behebung von Bedrohungen zu beschleunigen.

    Vorbereitungen

    • Richten Sie externe Erkennungstools ein, um E-Mails an eine zentrale E-Mail-Adresse zu senden.
    • Legen Sie die E-Mail-Adresse in Security Operations Eigenschaften fest. Weitere Informationen finden Sie unter Erstellen Sie Security Operations E-Mail-Eigenschaften.
    • Weisen Sie dieser E-Mail-Adresse ein Benutzerkonto zu, und geben Sie diesem Benutzer Sicherheitszugriffskontrollen, um die E-Mail-Ereignisdatensätze zu erstellen und zu aktualisieren.
    • Halten Sie eine Kopie der relevanten E-Mail von Ihrem externen Erkennungstool bereit.
    • Entscheiden Sie, welche Art von Datensatz Sie erstellen möchten: Security Incident, Schwachstellendatensatz, Aufgabe usw. Diese Auswahl bestimmt die Tabelle, die Sie auswählen.
    Erforderliche Rolle: sn_sec_cmn.admin

    Prozedur

    1. Navigieren zu Alle > Security Operations > E-Mail-Analyse.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die entsprechenden Felder im Formular aus.
      Hinweis:
      Wenn mehr als ein Feld angegeben ist, müssen alle Felder mit der E-Mail übereinstimmen, um einen Datensatz zu erstellen.
      Tabelle : 1. E-Mail-Parser
      Feld Beschreibung
      Name Der Name des E-Mail-Parsers.
      E-Mail ist von Wenn ausgefüllt, werden nur E-Mails von dieser Adresse von diesem E-Mail-Parser umgewandelt.
      E-Mail an Wenn ausgefüllt, werden nur E-Mails von dieser Adresse von diesem E-Mail-Parser umgewandelt.
      E-Mail Betreff enthält Wenn ausgefüllt, werden nur E-Mails, deren Betreff diesen Ausdruck enthält, von diesem E-Mail-Parser umgewandelt.
      Duplizierungsregel Steuert die Behandlung doppelter E-Mails für alle E-Mails, die diese Transformation behandelt. Weitere Informationen finden Sie unter Transformation freigegebener Daten.
      Bestellung In welcher Reihenfolge die Transformationen berücksichtigt werden sollen. Die erste übereinstimmende E-Mail-Transformation wird verwendet. Normalerweise möchten Sie die spezifischsten E-Mail-Parser in den niedrigeren Nummern mit etwas Fallback einrichten. Geben Sie Catchall-E-Mail-Parsern höhere Reihenfolgennummern, damit sie ausgeführt werden, wenn nichts anderes übereinstimmt. Der Standardwert ist 100. Wenn alles übereinstimmt, wird der spezifischste E-Mail-Parser (entspricht von, bisund Betreff) verwendet.
      Zieltabelle Die Tabelle, in der Sie Datensätze erstellen möchten.
      Aktiv Gibt an, ob diese Transformation aktiv ist, verwendet wird oder nicht aktiv ist. Wenn diese Option deaktiviert ist, werden keine E-Mails mit diesem Code umgewandelt.
      Datensatztrennung Wenn von diesem E-Mail-Parser verarbeitete E-Mails mehrere Datensätze erstellen, enthält dieses Feld das Trennzeichen zwischen den Informationen für diese Datensätze. Weitere Informationen finden Sie unter Security Operations E-Mail-Analyse.
      Beschreibung Beschreibung dieses E-Mail-Parsers, das Tool, mit dem er funktioniert, der Zweck usw.
    4. Wenn Sie Ihre Eingaben abgeschlossen haben, klicken Sie mit der rechten Maustaste in den Formular-Header, und wählen Sie Speichernaus.
      Eine Registerkarte Feldtransformationen wird angezeigt. Diese Registerkarte zeigt, wie einzelne Felder in der Zieltabelle basierend auf dem E-Mail-Inhalt festgelegt werden.
      Formular „Feldtransformationen“.
    5. Führen Sie die folgenden Schritte aus, um Feldtransformationenhinzuzufügen.
      1. Klicken Sie auf der Registerkarte Feldtransformationen auf Neu.
      2. Füllen Sie die entsprechenden Felder im Formular aus.
      OptionBezeichnung
      Feld Beschreibung
      Wert in einem Feld oder einer zugehörigen Liste speichern Wählen Sie aus, wo der Wert zu finden ist. Zur Auswahl stehen:
      • Speichern Sie den Wert in einem Feld im neuen Datensatz
      • Verknüpfung mit diesem Wert in einer zugehörigen Liste erstellen
      • Verknüpfung mit diesem Wert erstellen und neuen Datensatz erstellen, wenn kein übereinstimmender Datensatz vorhanden ist
        Hinweis:
        Wenn die Zieltabelle keine zugehörigen Listen enthält, wird dieses Feld nicht angezeigt.
      Feld Wählen Sie das Feld aus, das mit diesem Wert ausgefüllt werden soll.
      Hinweis:

      Bei Auswahlfeldern werden Übereinstimmungen mit vorhandenen Auswahlmöglichkeiten anhand der zugrunde liegenden Auswahlbezeichnung oder des zugrunde liegenden Auswahlwerts vorgenommen. Wenn keine Übereinstimmung gefunden wird, wird das Feld festgelegt, der Auswahlliste wird jedoch kein neuer Eintrag hinzugefügt. Weitere Informationen finden Sie unter Auswahllisten.

      Für Referenzfelder wird ein Eintrag nur festgelegt, wenn ein Wert gefunden wird, der dem Anzeigenamen des Datensatzes oder einer gültigen sys_id entspricht. Weitere Informationen finden Sie unter Referenzfelder.
      Zugehörige Liste

      Wenn Wert in einem Feld oder einer zugehörigen Listespeichern auf Mit diesem Wert verknüpfen in einer zugehörigen Liste oder Mit diesem Wert verknüpfen festgelegt ist, wird ein neuer Datensatz erstellt, wenn kein übereinstimmender Datensatz vorhandenist. In diesem Feld wird die zugehörige Liste angegeben, der Informationen hinzugefügt werden sollen.
      Wertfeld

      Wenn Store value in a field or related list (Wert in einem Feld oder einer zugehörigen Liste speichern) auf Mit diesem Wert verknüpfen in einer zugehörigen Liste oder Mit diesem Wert verknüpfen festgelegt ist, wird ein neuer Datensatz erstellt, wenn kein übereinstimmender Datensatz vorhandenist. In diesem Feld wird das Feld in der Tabelle angegeben, die im zugehörigen angezeigt wird Liste. Es wird verwendet, um einen vorhandenen Datensatz zu suchen und zu finden. Wenn Ihre zugehörige Liste beispielsweise „Betroffene CIs“ist, kann dieses Feld „ Name “ oder „ Vollständig qualifizierter Domänenname“ oder ein anderes Feld im CI-Datensatz enthalten, das für die Suche nach dem CI verwendet werden soll, das der Liste „ Betroffene CIs “ hinzugefügt wurde.
      Beziehungsdaten

      Wenn Wert in einem Feld oder einer zugehörigen Listespeichern auf Mit diesem Wert in einer zugehörigen Liste verknüpfenfestgelegt ist, wird ein Datensatz erstellt, um diesen Datensatz (z. B. einen Security Incident) mit dem Wert (einem CI, einem erkennbaren Element usw.) zu verknüpfen. ). Dieses Feld gibt zusätzliche Informationen (Feld- und Wertpaare) an, die dem Verknüpfungsdatensatz hinzugefügt werden sollen. Wenn Sie beispielsweise ein erkennbares Element für eine Quell-IP hinzufügen, geben Sie an, dass diese IP die Quell- und nicht die Ziel-IP ist. Verwenden Sie für mehrere Werte das Trennzeichen ^, z. B. type= Source IP^Active=true.
      Neue Datensatzdaten

      Wenn Wert in einem Feld oder einer zugehörigen Listespeichern auf Mit diesem Wert verknüpfen festgelegt ist, wird ein neuer Datensatz erstellt, wenn kein übereinstimmender Datensatz vorhandenist. Wenn kein zugehöriger Datensatz gefunden wird, der dem analysierten Wert entspricht, wird ein Datensatz erstellt. Dieses Feld gibt die statischen Daten an, die diesem Datensatz hinzugefügt werden sollen. Wenn für betroffene CIskeine übereinstimmenden CIs gefunden werden, wird ein CI-Datensatz erstellt. In diesem Fall wird der in der E-Mail gefundene Wert auf das Feld Wert im CI-Datensatz festgelegt. Sie können zusätzliche Daten festlegen – eine Notiz, die angibt, warum das CI erstellt wurde, einige Informationen darüber, mit welcher Art von CIs Sie arbeiten usw. Ein Beispiel wäre: description=Created by Malware Scanner email parser^type=autodetect.
      Suche nach Wert Wählen Sie die zu durchsuchende Stelle in der E-Mail aus. Zur Auswahl stehen:
      • Am Anfang einer Zeile im E-Mail-Text
      • Irgendwo im E-Mail-Text
      • In der E-Mail-Betreffzeile
      • Immer der statistische Wert

      Wenn Sie eine Datensatztrennungdefiniert haben, können Sie mit weiteren Optionen (Überall im Datensatzabschnitt und Am Anfang einer Zeile innerhalb des Datensatzabschnitts) nur im aktuellen Abschnitt anstatt im gesamten E-Mail-Text suchen (weitere Informationen finden Sie unter Security Operations E-Mail-Analyse. Informationen.

      Informationen, die sich in einer Kopf- oder Fußzeile befinden und für alle Datensätze gelten, werden im gesamten E-Mail-Text durchsucht. Die Informationen, die sich zwischen Datensätzen unterscheiden, werden nur innerhalb des Abschnitts gesucht.
      Werttrennzeichen

      Wenn Wert in einem Feld oder einer zugehörigen Listespeichern auf Mit diesem Wert verknüpfen in einer zugehörigen Liste oder Mit diesem Wert verknüpfen festgelegt ist, neuen Datensatz erstellen, wenn kein übereinstimmender Datensatz vorhanden ist, gibt dieses Feld das für Listen von Elementen zu verwendende Trennzeichen an. Zum Beispiel ein Komma oder ein Semikolon, wenn die Daten aus der E-Mail eine Liste von IP-Adressen sind.
      Wertepräfix

      Der Text, der immer vor dem in diesem Feld platzierten Wert steht, um zu extrahieren.
      Ende des Werts

      Wählen Sie aus, was das Ende des Werts angibt. Auswahlmöglichkeiten: Zeilenende, E- Mail-Ende (führt den gesamten verbleibenden Text in die E-Mail ein) oder Bis (wird angehalten, wenn der angegebene Text gefunden wird) oder Bis (wird angehalten, wenn der angegebene Text gefunden wird).
      Wertesuffix

      Wenn das Ende des Werts auf Bisfestgelegt ist, gibt dieses Feld an, welcher Text immer auf den in diesem Feld platzierten Wert folgt.

      Suchen Sie beispielsweise nach einem Wert, der nach „Der betroffene Computer ist“ und vor „“ kommt. analysiert „AB123“ aus „Der dementierte Häschen-Virus wurde gefunden“. Der betroffene Computer ist AB123. Geschätzte Zeit der Infektion war 15:45 Uhr“ in einer E-Mail.
      Wertumwandlung Wählen Sie den anzuwendenden Feldtransformationseintrag aus. Konvertiert den in der E-Mail gefundenen Wert in einen anderen Wert, der zum Ausfüllen von Auswahlfeldern, gelegentlichen Referenzen und anderen Feldern verwendet wird.
      Bestellung Die Reihenfolge, in der die Feldtransformationen ausgeführt werden, von der niedrigsten zur höchsten. Zuerst wird eine Feldtransformation mit einem Reihenfolgeneintrag von 100 versucht. Nur wenn diese Feldtransformation keinen Wert findet, wird eine Feldtransformation mit einer höheren Reihenfolge (200) für dasselbe Feld ausgeführt.
      E-Mail-Transformation Die Transformation, zu der diese Feldtransformation gehört.
      Zieltabelle Zieltabelle der E-Mail-Transformation. Sie enthält Informationsdaten aus der E-Mail-Transformation.
      Aktiv Der Standardwert ist aktiviert. Wenn diese Option aktiviert ist, ist die Feldtransformation aktiviert. Deaktivieren Sie dieses Kontrollkästchen, um die Feldtransformation zu deaktivieren.
      1. Klicken Sie auf Absenden.
        Der neue Datensatz wird verwendet, um die Informationen in der E-Mail in einen neuen Datensatz zu analysieren.