Créer des analyseurs d’e-mails dans Security Operations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Analyse des e-mails crée Security Operations des enregistrements à partir de votre messagerie à des fins de sécurité, de vulnérabilité et d’observables afin d’accélérer la réponse aux menaces et la correction.

    Avant de commencer

    • Configurez des outils de détection externes pour envoyer des e-mails à une adresse e-mail centrale.
    • Définissez l’adresse e-mail dans les Propriétés de Security Operations. Pour plus d'informations, consultez Créer des Security Operations propriétés d’e-mail.
    • Affectez un compte d’utilisateur à cette adresse e-mail et donnez à cet utilisateur des contrôles d’accès de sécurité pour créer et mettre à jour les enregistrements d’événements d’e-mail.
    • Ayez devant vous une copie de l’e-mail pertinent provenant de votre outil de détection externe.
    • Décidez du type d’enregistrement que vous souhaitez créer, un incident de sécurité, un enregistrement de vulnérabilité, une tâche, etc. Ce choix détermine la table que vous sélectionnez.
    Rôle requis : sn_sec_cmn.admin

    Procédure

    1. Accédez à la Tous > Security Operations > Analyse des e-mails.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Remarque :
      Si plusieurs champs sont spécifiés, ils doivent tous correspondre à l’e-mail pour créer un enregistrement.
      Tableau 1. Analyseur d’e-mail
      Champ Description
      Nom Le nom de l’analyseur d’e-mails.
      L'e-mail provient de Si elle est renseignée, seuls les e-mails provenant de cette adresse sont transformés par cet analyseur d’e-mails.
      L'e-mail est destiné à Si elle est renseignée, seuls les e-mails provenant de cette adresse sont transformés par cet analyseur d’e-mails.
      L'objet de l'e-mail contient S’ils sont remplis, seuls les e-mails dont l’objet contient cette phrase sont transformés par cet analyseur d’e-mail.
      Règle de duplication Régit la façon de gérer les e-mails en double pour tous les e-mails traités par cette transformation. Pour plus d'informations, consultez Transformation de données partagées.
      Ordre Dans quel ordre considérer les transformations. La première transformation d’e-mail correspondante est utilisée. En règle générale, vous souhaitez configurer les analyseurs d’e-mails les plus spécifiques dans les numéros les plus bas, avec quelques replis. Attribuez des numéros de commande plus élevés aux analyseurs d’e-mails fourre-tout afin qu’ils s’exécutent si rien d’autre ne correspond. La valeur par défaut est 100. Lorsque tout correspond, l’analyseur d’e-mail le plus spécifique (correspond de, à et objet) est utilisé.
      Table de destination Table dans laquelle vous souhaitez créer des enregistrements.
      Actif Indique si cette transformation est active, en cours d’utilisation ou non active. Si elle n’est pas cochée, aucun e-mail n’est transformé avec ce code.
      Séparateur d’enregistrements Lorsque les e-mails traités par cet analyseur d’e-mails créent plusieurs enregistrements, ce champ contient le séparateur entre les informations de ces enregistrements. Consultez Security Operations Analyse des e-mails pour plus d'informations.
      Description Description de cet analyseur d’e-mails, avec quel outil il fonctionne, objectif, etc.
    4. Lorsque vous avez terminé vos saisies, faites un clic droit dans l’en-tête du formulaire et sélectionnez Enregistrer.
      Un onglet Transformations de champ s’affiche. Cet onglet montre comment les champs individuels de la table de destination sont définis en fonction du contenu de l’e-mail.
      Formulaire Transformations de champs
    5. Pour ajouter des transformations de champ, procédez comme suit.
      1. Dans l’onglet Transformations de champ , cliquez sur Nouveau.
      2. Renseignez les champs du formulaire comme il convient.
      OptionDescription
      Champ Description
      Stocker la valeur dans un champ ou une liste connexe Sélectionnez l’emplacement de recherche de la valeur. Les choix sont les suivants :
      • Stocker la valeur dans un champ du nouvel enregistrement
      • Lier à cette valeur dans une liste connexe
      • Lier à cette valeur, ce qui crée un nouvel enregistrement si un enregistrement correspondant n'existe pas
        Remarque :
        Si la table de destination n’a pas de listes connexes, ce champ n’est pas affiché.
      Champ Sélectionnez le champ à renseigner avec cette valeur.
      Remarque :

      Pour les champs de choix, les correspondances sont établies avec des choix existants à l’aide de l’étiquette ou de la valeur de choix sous-jacente. Si aucune correspondance n’est trouvée, le champ est défini mais aucune nouvelle entrée n’est ajoutée à la liste de choix. Pour plus d'informations, consultez Listes de choix.

      Pour les champs de référence, une entrée n’est définie que lorsqu’une valeur correspondant au nom d’affichage de l’enregistrement ou une sys_id valide est trouvée. Pour plus d'informations, consultez Champs de référence.
      Liste connexe

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, la création d’un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie la liste connexe à laquelle ajouter des informations.
      Champ de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, la création d’un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie le champ dans la table affichée dans la liste connexe. Il est utilisé pour rechercher et trouver un enregistrement existant. Par exemple, si votre liste connexe est celle des CI affectés, ce champ peut contenir le nom ou le nom de domaine complet ou tout autre champ de l’enregistrement CI à utiliser pour rechercher le CI ajouté à la liste des CI affectés .
      Données de relation

      Lorsque la valeur stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe, un enregistrement est créé pour lier cet enregistrement (tel qu’un incident de sécurité) à la valeur (un CI, un observable, etc.). Ce champ spécifie toutes les informations supplémentaires (paires de valeurs et de champs) devant être ajoutées à l’enregistrement de liaison. Par exemple, en ajoutant un observable pour une adresse IP source, spécifiez que cette adresse IP est la source, plutôt que l’adresse IP de destination. Pour plusieurs valeurs, utilisez un séparateur ^, par exemple, type= Source IP^Active=true.
      Données de nouvel enregistrement

      Lorsque la valeur de stockage dans un champ ou une liste connexe est définie sur Lier à cette valeur, un enregistrement est créé alors un nouvel enregistrement s’il n’existe pas d’enregistrement correspondant, si aucun enregistrement associé correspondant à la valeur analysée n’est trouvé. Ce champ spécifie les données statiques à ajouter à cet enregistrement. Pour les CI affectés, si aucun CI correspondant n’est trouvé, un enregistrement CI est créé. Dans ce cas, la valeur trouvée dans l’e-mail est définie sur le champ Valeur dans l’enregistrement CI. Vous pouvez définir des données supplémentaires : une note indiquant pourquoi le CI a été créé, des informations sur le type de CI avec lesquels vous travaillez, etc. Voici un exemple : description=Created by Malware Scanner email parser^type=autodetect.
      Rechercher la valeur Sélectionnez l’emplacement à rechercher dans l’e-mail. Les choix sont les suivants :
      • Au début d'une ligne dans le corps de l'e-mail
      • N'importe où dans le corps de l'e-mail
      • Dans la ligne d'objet de l'e-mail
      • Toujours la valeur statique

      Lorsque vous avez défini un séparateur d’enregistrement, davantage d’options (N’importe où dans la section d’enregistrement et Au début d’une ligne dans la section d’enregistrement) vous permettent d’effectuer une recherche uniquement dans la section actuelle au lieu de l’ensemble du corps de l’e-mail (voir Security Operations Analyse des e-mails pour plus d’informations.

      Les informations qui se trouvent dans un en-tête ou un pied de page, s’appliquant à tous les enregistrements, sont recherchées dans l’ensemble du corps de l’e-mail. Les informations qui diffèrent entre les enregistrements ne sont recherchées que dans la section.
      Séparateur de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, la création d’un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie le séparateur à utiliser pour les listes d’éléments. par exemple, une virgule ou un point-virgule lorsque les données de l’e-mail sont une liste d’adresses IP.
      Préfixe de valeur

      Texte qui précède toujours la valeur placée dans ce champ à extraire.
      Fin de la valeur

      Sélectionnez ce qui indique la fin de la valeur. Vous avez le choix entre : Fin de ligne, Fin de l’e-mail (affiche tout le texte restant dans l’e-mail), Jusqu’à (s’arrête lorsque le texte spécifié est détecté) ou Jusqu’à (s’arrête lorsque le texte spécifié est détecté).
      Suffixe de valeur

      Lorsque la fin de la valeur est définie sur Jusqu’à, ce champ spécifie le texte qui suit toujours la valeur placée dans ce champ.

      Par exemple, si vous recherchez une valeur qui vient après « L’ordinateur affecté est » et avant « . », « AB123 » sera extrait de « Le virus du lapin dément a été détecté. L’ordinateur concerné est AB123. L’heure estimée de l’infection était 15h45 » dans un courriel.
      Transformation de valeur Choisissez l’entrée de transformation de champ à appliquer. Convertit la valeur trouvée dans l’e-mail en une valeur différente, utilisée pour remplir les champs de choix, parfois de référence, et d’autres champs.
      Ordre Ordre dans lequel les transformations de champ s’exécutent, de la plus basse à la plus élevée. Une transformation de champ avec une entrée d’ordre de 100 est tentée en premier. Ce n’est que si cette transformation de champ ne parvient pas à trouver une valeur qu’une transformation de champ d’ordre supérieur (200) sur le même champ s’exécute.
      Transformation d'e-mail Transformation à laquelle appartient cette transformation de champ.
      Table de destination Table de destination de la transformation d’e-mail. Il contient des données informatives provenant de la transformation d’e-mail.
      Actif L’option par défaut est cochée. Lorsque cette option est activée, la transformation de champ est activée. Décochez cette case pour désactiver la transformation de champ.
      1. Cliquez sur Envoyer.
        Le nouvel enregistrement est utilisé pour analyser les informations contenues dans l’e-mail dans un nouvel enregistrement.