Créer des analyseurs d’e-mails dans Security Operations

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 7 minutes de lecture

    • Analyse des e-mails Crée des Opérations de sécurité enregistrements à partir de votre e-mail pour la sécurité, la vulnérabilité et les observables afin d’accélérer la réponse aux menaces et la correction.

    Avant de commencer

    • Configurez des outils de détection externes pour envoyer des e-mails à une adresse e-mail centrale.
    • Définissez l’adresse e-mail dans les propriétés de Security Operations. Pour plus d'informations, consultez Créer des Opérations de sécurité propriétés d’e-mail.
    • Affectez un compte d’utilisateur à cette adresse e-mail et donnez à cet utilisateur des contrôles d’accès de sécurité pour créer et mettre à jour les enregistrements d’événements d’e-mail.
    • Ayez une copie de l’e-mail concerné de votre outil de détection externe devant vous.
    • Décidez du type d’enregistrement que vous souhaitez créer, un incident de sécurité, un enregistrement de vulnérabilité, une tâche, etc. Ce choix détermine la table que vous sélectionnez.
    Rôle requis : sn_sec_cmn.admin

    Procédure

    1. Accédez à la Tout > Opérations de sécurité > Analyse des e-mails.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Remarque :
      Si plusieurs champs sont spécifiés, tous les champs doivent correspondre à l’e-mail pour créer un enregistrement.
      Tableau 1. Analyseur d’e-mails
      Champ Description
      Nom Le nom de l’analyseur d’e-mails.
      L'e-mail provient de S’ils sont remplis, seuls les e-mails de cette adresse sont transformés par cet analyseur d’e-mails.
      L'e-mail est destiné à S’ils sont remplis, seuls les e-mails de cette adresse sont transformés par cet analyseur d’e-mails.
      L'objet de l'e-mail contient S’ils sont remplis, seuls les e-mails dont l’objet contient cette phrase sont transformés par cet analyseur d’e-mails.
      Règle de duplication Régit la façon de gérer les e-mails en double pour tout e-mail traité par cette transformation. Pour plus d'informations, consultez Transformation des données partagées.
      Ordre Dans quel ordre considérer les transformations. La première transformation d’e-mail correspondante est utilisée. En règle générale, vous souhaitez configurer les analyseurs d’e-mails les plus spécifiques dans les numéros inférieurs, avec un certain secours. Attribuez des numéros de commande plus élevés aux analyseurs d’e-mails fourre-tout afin qu’ils s’exécutent si rien d’autre ne correspond. La valeur par défaut est 100. Lorsque tout correspond, l’analyseur d’e-mails le plus spécifique ( correspondances de, à et objet) est utilisé.
      Table de destination Table dans laquelle vous souhaitez créer des enregistrements.
      Actif Indique si cette transformation est active, en cours d’utilisation ou inactive. Si cette option n’est pas cochée, aucun e-mail n’est transformé avec ce code.
      Séparateur d’enregistrements Lorsque les e-mails traités par cet analyseur d’e-mail créent plusieurs enregistrements, ce champ contient le séparateur entre les informations de ces enregistrements. Consultez Opérations de sécurité Analyse des e-mails pour plus d'informations.
      Description Description de cet analyseur d’e-mails, outil avec lequel il fonctionne, objectif, etc.
    4. Lorsque vous avez terminé vos entrées, faites un clic droit dans l’en-tête du formulaire et sélectionnez Enregistrer.
      Un onglet Transformations de champ s’affiche. Cet onglet montre comment les champs individuels de la table de destination sont définis en fonction du contenu de l’e-mail.
      Formulaire de transformation de champ
    5. Pour ajouter des transformations de champ, effectuez les étapes suivantes.
      1. Dans l’onglet Transformations de champ , cliquez sur Nouveau.
      2. Renseignez les champs du formulaire comme il convient.
      OptionDescription
      Champ Description
      Stocker la valeur dans un champ ou une liste connexe Sélectionnez où trouver la valeur. Les choix sont les suivants :
      • Stocker la valeur dans un champ du nouvel enregistrement
      • Lier à cette valeur dans une liste connexe
      • Lier à cette valeur, ce qui crée un nouvel enregistrement si un enregistrement correspondant n'existe pas
        Remarque :
        Si la table de destination ne possède pas de listes connexes, ce champ ne s’affiche pas.
      Champ Sélectionnez le champ pour compléter cette valeur.
      Remarque :

      Pour les champs de choix, les correspondances sont effectuées avec les choix existants à l’aide de l’étiquette ou de la valeur de choix sous-jacente. Si aucune correspondance n’est trouvée, le champ est défini, mais aucune nouvelle entrée n’est ajoutée à la liste de choix. Pour plus d'informations, consultez Listes de choix.

      Pour les champs de référence, une entrée n’est définie que lorsqu’une valeur correspondant au nom d’affichage de l’enregistrement ou à un sys_id valide est trouvée. Pour plus d'informations, consultez Champs de référence.
      Liste connexe

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, ce champ spécifie la liste connexe à laquelle ajouter des informations, si un enregistrement correspondant n’existe pas.
      Champ de valeur

      Lorsque l’option Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, ce champ spécifie le champ dans la table affichée dans la liste connexe. Il est utilisé pour rechercher et trouver un enregistrement existant. Par exemple, si votre liste connexe est constituée de CI affectés, ce champ peut contenir Nom ou Nom de domaine complet, ou tout autre champ dans l’enregistrement de CI à utiliser pour rechercher le CI ajouté à la liste des CI affectés .
      Données de relation

      Lorsque l’option Stocker la valeur dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe, un enregistrement est créé pour lier cet enregistrement (tel qu’un incident de sécurité) à la valeur (un CI, un observable, etc.). Ce champ spécifie toutes les informations supplémentaires (paires de valeurs et de champs) à ajouter à l’enregistrement de liaison. Par exemple, pour l’ajout d’un observable pour une adresse IP source, spécifiez que cette adresse IP est l’adresse IP source et non l’adresse IP de destination. Pour plusieurs valeurs, utilisez un séparateur ^, par exemple, type= IP source^Active=true.
      Données de nouvel enregistrement

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur, un nouvel enregistrement est créé si aucun enregistrement correspondant n’existe. Si aucun enregistrement connexe correspondant à la valeur analysée n’est trouvé, un enregistrement est créé. Ce champ spécifie les données statiques à ajouter à cet enregistrement. Pour les CI affectés, si aucun CI correspondant n’est trouvé, un enregistrement de CI est créé. Lorsque cela se produit, la valeur trouvée dans l’e-mail est définie sur le champ Valeur dans l’enregistrement CI. Vous pouvez définir des données supplémentaires : une note indiquant la raison de création du CI, des informations sur le type de CI avec lequel vous travaillez, etc. Un exemple serait : description=Créé par Analyseur d’e-mails du scanner de programmes malveillants^type=autodetect.
      Rechercher la valeur Sélectionnez l’emplacement dans l’e-mail à rechercher. Les choix sont les suivants :
      • Au début d'une ligne dans le corps de l'e-mail
      • N'importe où dans le corps de l'e-mail
      • Dans la ligne d'objet de l'e-mail
      • Toujours la valeur statique

      Lorsque vous avez défini un séparateur d’enregistrements, d’autres options (n’importe où dans la sectiondes enregistrements et au début d’une ligne dans la section des enregistrements) vous permettent d’effectuer une recherche uniquement dans la section actuelle et non dans l’ensemble du corps de l’e-mail (voir Opérations de sécurité Analyse des e-mails pour plus d’informations.

      Les informations qui se trouvent dans un en-tête ou un pied de page, s’appliquant à tous les enregistrements, sont recherchées dans l’ensemble du corps de l’e-mail. Les informations qui diffèrent entre les enregistrements ne sont recherchées que dans la section.
      Séparateur de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, ce champ spécifie le séparateur à utiliser pour les listes d’éléments. par exemple, une virgule ou un point-virgule lorsque les données de l’e-mail sont une liste d’adresses IP.
      Préfixe de valeur

      Texte qui précède toujours la valeur placée dans ce champ à extraire.
      Fin de la valeur

      Sélectionnez ce qui indique la fin de la valeur. Les choix incluent : Fin de ligne, Fin de l’e-mail (apporte tout le texte restant dans l’e-mail), ou Jusqu’à (s’arrête lorsqu’il trouve le texte spécifié) ou Jusqu’à (s’arrête lorsqu’il trouve le texte spécifié).
      Suffixe de valeur

      Lorsque la fin de la valeur est définie sur Jusqu’à, ce champ spécifie le texte qui suit toujours la valeur placée dans ce champ.

      Par exemple, la recherche d’une valeur qui vient après « L’ordinateur affecté est » et avant « . » analysera « AB123 » à partir de « Le virus du lapin dément a été trouvé. L’ordinateur concerné est AB123. L’heure estimée de l’infection était de 15h45" dans un e-mail.
      Transformation de valeur Choisissez l’entrée de transformation de champ à appliquer. Convertit la valeur trouvée dans l’e-mail en une valeur différente, utilisée pour remplir les champs de choix, parfois les champs de référence et autres.
      Ordre Ordre dans lequel s’exécutent les transformations de champ, du plus bas au plus haut. Une transformation de champ avec une entrée d’ordre de 100 est tentée en premier. Ce n’est que si cette transformation de champ ne parvient pas à trouver une valeur qu’une transformation de champ d’ordre supérieur (200) sur le même champ s’exécute.
      Transformation d'e-mail Transformation à laquelle appartient la transformation de ce champ.
      Table de destination Table de destination de la transformation d’e-mail. Il contient des données d’information provenant de la transformation d’e-mail.
      Actif La valeur par défaut est cochée. Lorsque cette option est activée, la transformation de champ est activée. Décochez cette case pour désactiver la transformation de champ.
      1. Cliquez sur Envoyer.
        Le nouvel enregistrement est utilisé pour analyser les informations contenues dans l’e-mail dans un nouvel enregistrement.