メールを送信できる任意のシステムで、セキュリティオペレーション レコードを作成できます。たとえば、セキュリティインシデント、要求、脆弱性一致アイテム、脆弱性、セキュリティインシデント観測事象、攻撃方法などです。

すべての セキュリティオペレーション プラグイン (セキュリティインシデントレスポンス、脅威インテリジェンス、脆弱性対応) には、email_to プロパティがあります。このプロパティは、外部統合がメールパーサーにメールを解析させるときにメールを送信するメールアドレスを定義します。「」を参照してください。 メール処理 > プロパティ 詳細については、を参照してください。

セキュリティオペレーション メールアドレスのいずれかに送信されたメールは、メールイベントテーブルに保存されます。これらのメールが処理され、メールパーサーと一致するかどうかが判断されます。

一致したメールにはフラグが付けられ、変換ルールと重複ルールによって セキュリティオペレーション レコードが作成または更新されます。メールはそのレコードにリンクされ、一致しているとしてフラグが付けられます。

一致しないメールは、[一致しないメール] に セキュリティオペレーション レコードとしてリストされます。これらをレビューすることで、これらのメールを処理するメールパーサーのビルドに役立ちます。再処理アクションによって、パーサーを介して不一致メールを再実行できます。元のメールログはそのレコードにリンクされます。

デフォルトでは、メールイベントは 30 日後に削除されます。

外部検出システム (マルウェア検出、脆弱性など) は、一度に複数のアイテムを報告するメールを送信できます。メールパーサーは、メール内のセパレーターをサポートしています。

たとえば、マルウェア検出では、1 件の特定のマルウェアに感染したネットワーク内のすべてのシステムに関するメールレポートを、最初にマルウェアに関する情報、その後に影響を受けたシステムのリストを記載した 1 通のメールとして送信できます。

[フィールド変換] は、各セクションからデータをプルします。この例の [マルウェアのハッシュ]、[マルウェア名]、[タイプ] など、メールのヘッダーまたはフッターの何かがすべてのレコードに適用される場合、それらのフィールド変換は、[値の検索] をメール本文内で検索する場所を表す値 ([メール本文の行の先頭] または [メール本文の任意の場所]) に設定する必要があります。

[フィールド変換] は、[システム]、[IP アドレス]、[ステータス] などの各セクション内に定義されたデータの、[レコードセクションの行の先頭] または [セクション (Sec)] を検索するように設定する必要があります。レコードセクションオプションは、メール変換にレコードセパレータが定義されている場合のみ使用できます。

セパレータを定義してメールを解析すると、セクション固有のデータを少なくとも 1 つ含むセクションに対してのみレコードが作成されます。

この例では、4 つのセクションが定義されていますが、作成されるレコードは 3 つです。最初のセクションはヘッダーであり、特定のシステム 1 台に固有の情報はありません。最初のセクションにシステム、IP、またはステータスのいずれかのフィールドがあった場合は、そのセクションのレコードも作成されます。