Opérations de sécurité Analyse des e-mails

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Générez de nouveaux Opérations de sécurité enregistrements à partir de systèmes de détection externes à l’aide de Analyse des e-mails. Cette fonctionnalité fournit une méthode pour intégrer des informations provenant d’outils externes tels que la détection de programmes malveillants, la détection de vulnérabilité, les pare-feu, la connaissance des menaces, et autres.

    Façon dont les e-mails sont analysés

    Tout système capable d’envoyer un e-mail peut créer Opérations de sécurité des enregistrements, par exemple, incidents de sécurité, demandes, éléments vulnérables, vulnérabilités, observables d’incident de sécurité, méthodes d’attaque, etc.

    Tous les Opérations de sécurité modules d’extension (Réponse aux incidents de sécurité, Renseignements sur les menaces, et Réponse aux vulnérabilités) ont une propriété (email_to) qui définit l’adresse e-mail à laquelle les intégrations externes doivent envoyer des e-mails, afin qu’ils soient analysés par les analyseurs d’e-mails. Reportez-vous à Traitement des e-mails > Propriétés pour plus d’informations.

    L’e-mail envoyé à l’une Opérations de sécurité des adresses e-mail est stocké dans une table d’événements d’e-mail. Ces e-mails sont traités pour déterminer s’ils correspondent à un analyseur d’e-mail.

    Les e-mails qui ont une correspondance sont marqués et les règles de transformation et de duplication créent ou mettent à jour un Opérations de sécurité enregistrement. L’e-mail est lié à cet enregistrement et marqué comme correspondant.

    Les e-mails qui ne correspondent pas sont répertoriés en E-mails sans correspondances tant qu’enregistrement Opérations de sécurité . Ils peuvent être examinés pour aider à créer des analyseurs d’e-mails pour traiter ces e-mails. Une action de retraitement vous permet d’exécuter à nouveau l’e-mail sans correspondance dans les analyseurs. Le journal d’e-mails d’origine est lié à cet enregistrement.

    Les règles de duplication de la transformation d’e-mail permettent de gérer plusieurs e-mails relatifs au même problème. Ces règles définissent ce qui constitue un enregistrement en double et peuvent empêcher la création d’enregistrements en double. Lorsqu’un doublon est détecté, la règle spécifie l’action à entreprendre : aucune action (ne pas créer de nouvel enregistrement), créer le nouvel enregistrement en tant qu’enregistrement enfant de l’enregistrement existant ou mettre à jour l’enregistrement existant. Lors de la mise à jour de la règle de duplication, spécifie les champs de l’enregistrement existant qui sont mis à jour.
    Remarque :
    Un Opérations de sécurité analyseur d’e-mails fonctionne conjointement avec les actions entrantes de la plateforme et ne les remplace pas. Il ne prend pas en charge la définition de valeurs sur les champs indirects, par exemple, sys_journal_field entrées.

    Par défaut, les événements par e-mail sont supprimés au bout de 30 jours.

    Enregistrements multiples

    Les systèmes de détection externes (détecteurs de logiciels malveillants, vulnérabilités, etc.) peuvent envoyer des e-mails qui signalent plusieurs éléments à la fois. L’analyseur d’e-mails prend en charge les séparateurs dans l’e-mail.

    Par exemple, un détecteur de logiciels malveillants peut vous envoyer un rapport par e-mail sur tous les systèmes de votre réseau infectés par un logiciel malveillant particulier avec des informations sur le logiciel malveillant en premier, suivi d’une liste des systèmes touchés.

    Figure 1. Exemple d’e-mail malveillant
    Exemple d’e-mail malveillant
    Dans cet exemple, lorsque le séparateur d’enregistrements est défini dans votre transformation d’e-mailcomme =================, il divise l’e-mail en quatre sections qui sont évaluées séparément. Cela crée un incident de sécurité pour chacun des trois systèmes affectés.
    Remarque :
    La section d’en-tête est détectée, mais aucun système n’est affecté. Elle est donc utilisée dans les trois enregistrements et ne crée pas de quatrième enregistrement.

    Les transformations de champ extraient les données de chaque section. Si quelque chose dans l’en-tête ou le pied de page de l’e-mail s’applique à tous les enregistrements, tels que Hachage de programme malveillant, Nom du programme malveillant et Type dans cet exemple, la transformation de champ pour eux doit définir la valeur Rechercher sur une valeur qui effectue une recherche dans le corps de l’e-mail soit Au début d’une ligne dans le corps de l’e-mail , soit N’importe où dans le corps de l’e-mail.

    Les transformations de champdoivent être définies sur rechercher Au début d’une ligne dans la section des enregistrements ou sur Sec pour les données définies dans chaque section, telles que Système, Adresse IP ou État. Les options de section d’enregistrement ne sont disponibles que lorsqu’un séparateur d’enregistrement est défini dans la transformation d’e-mail.

    Lors de l’analyse d’un e-mail avec un séparateur défini, les enregistrements ne sont créés que pour les sections comportant au moins une donnée spécifique à la section.

    Dans cet exemple, trois enregistrements sont créés, même si quatre sections sont définies. La première section est un en-tête, et il lui manque quelque chose de spécifique à un seul système. Si l’un des champs de la première section était rempli (Système, Adresse IP ou État), un enregistrement serait également créé pour cette section.