Opérations de sécurité Analyse des e-mails

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Générez de nouveaux Opérations de sécurité enregistrements à partir de systèmes de détection externes à l’aide de Analyse des e-mails. Cette fonctionnalité fournit une méthode d’intégration des informations provenant d’outils externes tels que la détection de programmes malveillants, la détection de vulnérabilité, les pare-feu, les renseignements sur les menaces, etc.

    Comment les e-mails sont analysés

    Tout système capable d’envoyer un e-mail peut créer Opérations de sécurité des enregistrements, par exemple, incidents de sécurité, demandes, éléments vulnérables, vulnérabilités, observables d’incident de sécurité, méthodes d’attaque, etc.

    Tous les Opérations de sécurité modules d’extension (Réponse aux incidents de sécurité, Renseignements sur les menaces, et Réponse aux vulnérabilités) ont une propriété (email_to) qui définit l’adresse e-mail à laquelle les intégrations externes doivent envoyer les e-mails, à analyser par les analyseurs d’e-mails. Reportez-vous à Traitement des e-mails > Propriétés pour plus d’informations.

    L’e-mail envoyé à l’une Opérations de sécurité des adresses e-mail est stocké dans une table d’événements d’e-mail. Ces e-mails sont traités pour déterminer s’ils correspondent à un analyseur d’e-mails.

    Les e-mails qui ont une correspondance sont marqués et les règles de transformation et de duplication créent ou mettent à jour un Opérations de sécurité enregistrement. L’e-mail est lié à cet enregistrement et marqué comme correspondant.

    Les e-mails qui ne correspondent pas sont répertoriés en E-mails sans correspondances tant qu’enregistrement Opérations de sécurité . Ils peuvent être examinés pour aider à créer des analyseurs d’e-mails pour gérer ces e-mails. Une action de retraitement vous permet d’exécuter à nouveau l’e-mail sans correspondance dans les analyseurs. Le journal d’e-mail d’origine est lié à cet enregistrement.

    Les règles de duplication pour la transformation d’e-mail permettent de gérer plusieurs e-mails relatifs au même problème. Ces règles définissent ce qui constitue un enregistrement en double et peuvent empêcher la création d’enregistrements en double. Lorsqu’un doublon est détecté, la règle spécifie l’action à entreprendre : aucune action (ne pas créer un nouvel enregistrement), créer le nouvel enregistrement en tant qu’enregistrement enfant de l’enregistrement existant ou mettre à jour l’enregistrement existant. Lors de la mise à jour de la règle des doublons, spécifie les champs de l’enregistrement existant qui sont mis à jour.
    Remarque :
    Un Opérations de sécurité analyseur d’e-mails fonctionne conjointement avec les actions entrantes de la plateforme et ne les remplace pas. Il ne prend pas en charge la définition de valeurs sur les champs indirects, par exemple, sys_journal_field entrées.

    Par défaut, les événements par e-mail sont supprimés après 30 jours.

    Plusieurs enregistrements

    Les systèmes de détection externes (détecteurs de programmes malveillants, vulnérabilités, etc.) peuvent envoyer des e-mails qui signalent plusieurs éléments à la fois. L’analyseur d’e-mails prend en charge les séparateurs dans l’e-mail.

    Par exemple, un détecteur de logiciels malveillants peut vous envoyer un rapport par e-mail sur tous les systèmes de votre réseau infectés par un logiciel malveillant particulier avec des informations sur le logiciel malveillant en premier, suivi d’une liste des systèmes touchés.

    Figure 1. Exemple d’e-mail malveillant
    Exemple d’e-mail malveillant
    Dans cet exemple, lorsque le séparateur d’enregistrements est défini dans votre transformation d’e-mail comme =================, il divise l’e-mail en quatre sections qui sont évaluées séparément. Cela crée un incident de sécurité pour chacun des trois systèmes affectés.
    Remarque :
    La section d’en-tête est détectée, mais aucun système n’est affecté, elle est donc utilisée dans les trois enregistrements et ne crée pas un quatrième enregistrement.

    Les transformations de champs extraient les données de chaque section. Si quelque chose dans l’en-tête ou le pied de page de l’e-mail s’applique à tous les enregistrements, tel que Hachage de programme malveillant, Nom du logiciel malveillant et Type dans cet exemple, la transformation de champ correspondante doit définir la valeur Rechercher sur une valeur qui effectue une recherche dans le corps de l’e-mail, soit Au début d’une ligne dans le corps de l’e-mail, soit N’importeoù dans le corps de l’e-mail.

    Les transformations de champdoivent être définies sur rechercher Au début d’une ligne dans la section des enregistrements ou sur une seconde pour les données définies dans chaque section, telles que le système, l’adresse IP ou l’état. Les options de section d’enregistrement ne sont disponibles que lorsqu’un séparateur d’enregistrement est défini dans la transformation d’e-mail.

    Lors de l’analyse d’un e-mail avec un séparateur défini, les enregistrements ne sont créés que pour les sections ayant au moins une donnée spécifique à la section.

    Dans cet exemple, trois enregistrements sont créés, même si quatre sections sont définies. La première section est un en-tête, et il manque quelque chose de spécifique à un seul système. Si l’un des champs de la première section était renseigné (Système, Adresse IP ou État), un enregistrement serait également créé pour cette section.