이메일을 전송할 수 있는 모든 시스템은 보안 인시던트, 요청, 취약한 항목, 취약성, 보안 인시던트 옵저버블, 공격 방법 등의 기록을 생성할 보안 운영 수 있습니다.

모든 보안 운영 플러그인(보안 인시던트 응답, 위협 인텔리전스취약성 대응및 )에는 이메일 구문 분석기에서 구문 분석할 외부 통합에서 이메일을 보내야 하는 이메일 주소를 정의하는 속성(email_to)이 있습니다. 참조 이메일 처리 > 속성 자세한 내용은.

이메일 주소로 전송 보안 운영 된 이메일은 이메일 이벤트 테이블에 저장됩니다. 이러한 이메일은 이메일 파서와 일치하는지 확인하기 위해 처리됩니다.

일치하는 항목이 있는 이메일에 플래그가 지정되고 변환 및 중복 규칙이 기록을 보안 운영 생성하거나 업데이트합니다. 이메일은 해당 기록에 연결되고 일치하는 것으로 플래그가 지정됩니다.

일치하지 않는 이메일은 기록으로 보안 운영 나열 일치하지 않는 이메일 됩니다. 이러한 이메일을 처리하기 위한 이메일 파서를 빌드하는 데 도움이 되도록 검토할 수 있습니다. 다시 처리 작업을 수행하면 파서를 통해 일치하지 않는 이메일을 다시 실행할 수 있습니다. 원본 이메일 로그가 해당 기록에 연결됩니다.

기본적으로 이메일 이벤트는 30일 후에 삭제됩니다.

외부 탐지 시스템(맬웨어 탐지기, 취약성 등)은 한 번에 여러 항목에 대해 보고하는 이메일을 보낼 수 있습니다. 이메일 파서는 이메일 내에서 구분 기호를 지원합니다.

예를 들어, 맬웨어 탐지기는 먼저 맬웨어에 대한 정보와 함께 네트워크 내의 특정 맬웨어에 감염된 모든 시스템에 대한 이메일 보고서를 보낸 다음 영향을 받는 시스템 목록을 보낼 수 있습니다.

필드 변환 은 각 섹션에서 데이터를 끌어옵니다. 이메일의 머리글 또는 바닥글에 있는 내용이 모든 기록에 적용되는 경우(예에서는 맬웨어 해시, 맬웨어 이름, 유형) 필드 변환에서 검색 값을 이메일 본문 내에서 검색하는 값으로 설정해야 합니다. 이메일 본문의 줄 시작 부분 또는 이메일 본문의 아무 곳에나 있습니다.

필드 변환은 시스템, IP 주소 또는 상태와 같이 각 섹션 내에 정의된 데이터를 기록 섹션 또는 초 내의 줄 시작 부분에 검색하도록 설정되어야 합니다. 기록 섹션 옵션은 이메일 변환 내에 정의된 기록 구분 기호가 있는 경우에만 사용할 수 있습니다.

구분 기호가 정의된 이메일을 구문 분석할 때 하나 이상의 섹션별 데이터가 있는 섹션에 대해서만 기록이 생성됩니다.

이 예에서는 4개의 섹션이 정의되어 있지만 3개의 기록이 생성됩니다. 첫 번째 섹션은 헤더이며 하나의 시스템에만 특정한 내용이 없습니다. 첫 번째 섹션 내의 필드(시스템, IP 또는 상태)가 채워지면 해당 섹션에 대한 기록도 생성됩니다.