Operações de segurança análise de e-mail

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Gerar novo Operações de segurança registros de sistemas de detecção externos usando Análise de E-mails. Este recurso fornece um método para integrar informações de ferramentas externas, como detecção de malware, detecção de vulnerabilidades, firewalls, inteligência contra ameaças e muito mais.

    Como os e-mails são analisados

    Qualquer sistema que possa enviar um e-mail, pode criar Operações de segurança registros, por exemplo, incidentes de segurança, solicitações, itens vulneráveis, observáveis de incidentes de segurança, métodos de ataque e muito mais.

    Todos Operações de segurança plug-ins ( Resposta a incidentes de segurança, Inteligência contra ameaças e Resposta a vulnerabilidades) têm uma propriedade ( email_to ) que define o endereço de e-mail para o qual as integrações externas devem enviar e-mails, a ser analisado pelos analisadores de e-mail. Confira Processamento de E-mails > Propriedades para obter mais informações.

    E-mail enviado para qualquer um dos Operações de segurança os endereços de e-mail são armazenados em uma tabela de eventos de e-mail. Esses e-mails são processados para determinar se correspondem a qualquer analisador de e-mail.

    Os e-mails que têm uma correspondência são sinalizados e as regras de transformação e duplicação criam ou atualizam um Operações de segurança registro. O e-mail está vinculado a esse registro e sinalizado como correspondido .

    Os e-mails que não correspondem são listados em E-mails Incompatíveis. Operações de segurança registro. Eles podem ser revisados para ajudar a criar analisadores de e-mail para lidar com esses e-mails. Uma ação de reprocessar permite executar o e-mail incompatível por meio dos analisadores novamente. O log de e-mail original está vinculado a esse registro.

    As regras de duplicação para a transformação de e-mail gerenciam vários e-mails relacionados ao mesmo problema. Essas regras definem o que faz um registro duplicado e podem impedir que registros duplicados sejam criados. Quando uma duplicata é detectada, a regra especifica qual ação executar: nenhuma ação (não criar um novo registro), criar o novo registro como um registro secundário do registro existente ou atualizar o registro existente. Ao atualizar a regra duplicada, especifica quais campos no registro existente serão atualizados.
    Nota:
    . Operações de segurança o analisador de e-mail funciona em conjunto com as ações de entrada da plataforma e não as substitui. Não é compatível com a definição de valores em campos indiretos, por exemplo, sys_journal_field entradas.

    Por padrão, os eventos de e-mail são excluídos após 30 dias.

    Vários registros

    Os sistemas de detecção externos (detectores de malware, vulnerabilidade e assim por diante) podem enviar e-mails que relatam vários itens de uma só vez. O analisador de e-mail oferece suporte a separadores no e-mail.

    Por exemplo, um detetor de malware pode enviar um relatório por e-mail sobre todos os sistemas da sua rede infectados por um malware específico com informações sobre o malware primeiro, seguido por uma lista dos sistemas afetados.

    Figura 1. Exemplo de e-mail mal-intencionado
    Exemplo de e-mail mal-intencionado
    Neste exemplo, quando Separador de registro está definido em seu Transformação de e-mail . . ele divide o e-mail em quatro seções que são avaliadas separadamente. Isso cria um Incidente de segurança para cada um dos três sistemas afetados.
    Nota:
    A seção do cabeçalho foi detectada, mas não tem nenhum sistema afetado, portanto, ela é usada em todos os três registros e não cria um quarto registro.

    Transformações de campo extraia dados de cada seção. Se algo no cabeçalho ou rodapé do e-mail se aplicar a todos os registros, como hash de malware, nome do malware e tipo neste exemplo, a transformação de campo para eles deverá ser definida Pesquisar valor para um valor que pesquisa no corpo do e-mail No início de uma linha no corpo do e-mail ou Em qualquer lugar no corpo do e-mail .

    Transformação de campo s deve ser definido para pesquisa No início de uma linha na seção de registro ou Seg Para dados definidos em cada seção, como Sistema, Endereço IP ou Status. As opções da seção de registro só estão disponíveis quando há um separador de registro definido na transformação de e-mail.

    Ao analisar um e-mail com um separador definido, os registros são criados somente para seções com pelo menos um pedaço de dados específicos da seção.

    Três registros são criados, embora haja quatro seções definidas. A primeira seção é um cabeçalho e não tem nada específico para apenas um sistema. Se qualquer um dos campos na primeira seção for preenchido (Sistema, IP ou Status), um registro também será criado para essa seção.