Security Operations E-Mail-Analyse

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Generieren Sie neue Security Operations -Datensätze aus externen Erkennungssystemen mit E-Mail-Analyse. Diese Funktion bietet eine Methode zur Integration von Informationen aus externen Tools wie Malware-Erkennung, Schwachstellen-Erkennung, Firewalls, Threat Intelligence und mehr.

    Wie E-Mails analysiert werden

    Jedes System, das eine E-Mail senden kann, kann Security Operations -Datensätze erstellen, z. B. Security Incidents, Anforderungen, angreifbare Elemente, Schwachstellen, erkennbare Elemente von Security Incidents, Angriffsmethoden und vieles mehr.

    Alle Security Operations -Plugins (Security Incident Response, Threat Intelligenceund Vulnerability Response) haben eine Eigenschaft (email_to), die die E-Mail-Adresse definiert, an die externe Integrationen E-Mails senden sollen, damit sie von den E-Mail-Parsern analysiert werden. Siehe E-Mail-Verarbeitung > Eigenschaften , um weitere Informationen zu erhalten.

    E-Mails, die an eine der E-Mail-Adressen Security Operations gesendet werden, werden in einer E-Mail-Ereignistabelle gespeichert. Diese E-Mails werden verarbeitet, um zu bestimmen, ob sie mit einem E-Mail-Parser übereinstimmen.

    E-Mails mit einer Übereinstimmung werden gekennzeichnet, und die Transformations- und Duplizierungsregeln erstellen oder aktualisieren einen Security Operations -Datensatz. Die E-Mail wird mit diesem Datensatz verknüpft und als Übereinstimmunggekennzeichnet.

    E-Mails, die nicht übereinstimmen, werden in Nicht übereinstimmende E-Mails als Datensatz Security Operations aufgeführt. Sie können überprüft werden, um E-Mail-Parser für die Verarbeitung dieser E-Mails zu erstellen. Mit der Aktion Erneut verarbeiten können Sie die nicht abgeglichene E-Mail erneut durch die Parser ausführen. Das ursprüngliche E-Mail-Protokoll ist mit diesem Datensatz verknüpft.

    Die Duplizierungsregeln für die E-Mail-Transformation verwalten mehrere E-Mails, die sich auf dasselbe Problem beziehen. Diese Regeln definieren, was einen doppelten Datensatz ausmacht, und können verhindern, dass doppelte Datensätze erstellt werden. Wenn ein Duplikat erkannt wird, gibt die Regel an, welche Aktion ausgeführt werden soll: keine Aktion (keinen neuen Datensatz erstellen), neuen Datensatz als untergeordneten Datensatz des vorhandenen Datensatzes erstellen oder den vorhandenen Datensatz aktualisieren. Beim Aktualisieren gibt die Duplikatregel an, welche Felder im vorhandenen Datensatz aktualisiert werden.
    Hinweis:
    Ein Security Operations -E-Mail-Parser funktioniert in Verbindung mit eingehenden Plattformaktionen und ersetzt diese nicht. Das Festlegen von Werten für indirekte Felder (z. B. sys_journal_field -Einträge) wird nicht unterstützt.

    Standardmäßig werden E-Mail-Ereignisse nach 30 Tagen gelöscht.

    Mehrere Datensätze

    Externe Erkennungssysteme (Malware-Detektoren, Schwachstellen usw.) können E-Mails senden, die mehrere Elemente gleichzeitig melden. Der E-Mail-Parser unterstützt Trennzeichen innerhalb der E-Mail.

    Beispielsweise könnte Ihnen ein Malware-Detektor einen E-Mail-Bericht über alle Systeme in Ihrem Netzwerk senden, die von einer bestimmten Malware infiziert sind, wobei zuerst Informationen zur Malware angezeigt werden, gefolgt von einer Liste der betroffenen Systeme.

    Abbildung : 1. Beispiel für schädliche E-Mail
    Beispiel für eine schädliche E-Mail
    Wenn in diesem Beispiel das Datensatztrennzeichen in Ihrer E-Mail-Transformationauf ==================================================================================================================================================================================================| Dadurch wird für jedes der drei betroffenen Systeme ein Security Incident erstellt.
    Hinweis:
    Der Headerabschnitt wurde erkannt, weist jedoch keine betroffenen Systeme auf. Daher wird er in allen drei Datensätzen verwendet und erstellt keinen vierten Datensatz.

    Feldtransformationen rufen Daten aus jedem Abschnitt ab. Wenn etwas im Header oder Footer der E-Mail für alle Datensätze gilt, z. B. Malware-Hash, Malware-Name und Typ in diesem Beispiel, sollte die Feldtransformation für sie die Suche nach Wert auf einen Wert festlegen, der innerhalb des E-Mail-Textes sucht, entweder At Beginn einer Zeile im E-Mail-Text oder an einer beliebigen Stelle im E-Mail-Text.

    Feldtransformationenmüssen so festgelegt werden, dass am Anfang einer Zeile innerhalb des Datensatzabschnitts oder Abschnitts nach Daten gesucht wird, die in jedem Abschnitt definiert sind, z. B. System, IP-Adresse oder Status. Die Datensatzabschnittsoptionen sind nur verfügbar, wenn in der E-Mail-Transformation ein Datensatztrennzeichen definiert ist.

    Beim Analysieren einer E-Mail mit definiertem Trennzeichen werden Datensätze nur für Abschnitte erstellt, die mindestens ein abschnittsspezifisches Datenelement enthalten.

    In diesem Beispiel werden drei Datensätze erstellt, obwohl vier Abschnitte definiert sind. Der erste Abschnitt ist ein Header, in dem alles fehlt, was nur für ein System spezifisch ist. Wenn eines der Felder im ersten Abschnitt ausgefüllt würde (System, IP oder Status), wird auch für diesen Abschnitt ein Datensatz erstellt.