Security Operations análise de e-mail

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Gere novos Security Operations registros de sistemas de detecção externos usando Análise de E-mails. Este recurso fornece um método para integrar informações de ferramentas externas, como detecção de malware, detecção de vulnerabilidade, firewalls, inteligência contra ameaças e muito mais.

    Como os e-mails são analisados

    Qualquer sistema que pode enviar um e-mail, pode criar Security Operations registros, por exemplo, incidentes de segurança, solicitações, itens vulneráveis, vulnerabilidades, observáveis de incidente de segurança, métodos de ataque e muito mais.

    Todos os plug-ins [ Security Operations (Security Incident Response, Inteligência contra ameaçase Vulnerability Response) têm uma propriedade (email_to) que define o endereço de e-mail para o qual as integrações externas devem enviar e-mails, a serem analisados pelos analisadores de e-mail. Confira Processamento de E-mails > Propriedades para obter mais informações.

    O e-mail enviado para qualquer um dos Security Operations endereços de e-mail é armazenado em uma tabela de eventos de e-mail. Esses e-mails são processados para determinar se eles correspondem a algum analisador de e-mail.

    Os e-mails que têm uma correspondência são sinalizados e as regras de transformação e duplicação criam ou atualizam um registro Security Operations. O e-mail é vinculado a esse registro e sinalizado como correspondente.

    Os e-mails que não correspondem são listados em E-mails Incompatíveis como um registro Security Operations. Eles podem ser revisados para ajudar a criar analisadores de e-mail para lidar com esses e-mails. Uma ação Reprocessar permite que você execute o e-mail incompatível por meio dos analisadores novamente. O log de e-mail original está vinculado a esse registro.

    As regras de duplicação para a transformação de e-mail gerenciam vários e-mails relacionados ao mesmo problema. Essas regras definem o que torna um registro duplicado e podem impedir que registros duplicados sejam criados. Quando uma duplicata é detectada, a regra especifica qual ação tomar: nenhuma ação (não criar um novo registro), criar o novo registro como um registro secundário do registro existente ou atualizar o registro existente. Ao atualizar a regra duplicada, especifica quais campos no registro existente são atualizados.
    Nota:
    Um analisador de e-mail Security Operations funciona em conjunto com as ações de entrada da plataforma e não as substitui. Ele não oferece suporte à definição de valores em campos indiretos, por exemplo, entradas sys_journal_field.

    Por padrão, os eventos de e-mail são excluídos após 30 dias.

    Vários registros

    Sistemas de detecção externos (detectores de malware, vulnerabilidade e assim por diante) podem enviar e-mails que relatam vários itens de uma só vez. O analisador de e-mail oferece suporte a separadores no e-mail.

    Por exemplo, um detector de malware pode enviar a você um relatório de e-mail sobre todos os sistemas em sua rede infectados por um malware específico com informações sobre o malware primeiro, seguidos por uma lista dos sistemas afetados.

    Figura 1. Exemplo de e-mail malicioso
    Exemplo de e-mail malicioso
    Neste exemplo, quando o Separador de registros é definido na Transformação de e-mailcomo =================, ele divide o e-mail em quatro seções que são avaliadas separadamente. Isso cria um incidente de segurança para cada um dos três sistemas afetados.
    Nota:
    A seção de cabeçalho é detectada, mas não tem nenhum sistema afetado, portanto, ela é usada em todos os três registros e não cria um quarto registro.

    As transformações de campo extraem dados de cada seção. Se algo no cabeçalho ou rodapé do e-mail se aplicar a todos os registros, como Hash de Malware, Nome de Malware e Tipo neste exemplo, a transformação de campo para eles deverá definir o valor de Pesquisar para um valor que pesquisa no corpo do e-mail Em o início de uma linha no corpo do e-mail ou em qualquer lugar no corpo do e-mail.

    As transformações de campodevem ser definidas para pesquisar no início de uma linha na seção de registro ou na seçãode dados definidos em cada seção, como sistema, endereço IP ou status. As opções de seção de registro estão disponíveis somente quando há um separador de registro definido na transformação de e-mail.

    Ao analisar um e-mail com um separador definido, os registros são criados somente para seções com pelo menos uma parte dos dados específicos da seção.

    Neste exemplo, três registros são criados, embora haja quatro seções definidas. A primeira seção é um cabeçalho e não tem nada específico para apenas um sistema. Se algum dos campos na primeira seção estiver preenchido (Sistema, IP ou Status), um registro também será criado para essa seção.