Lekcja 3: konfigurowanie przykładowego skryptu poczty elektronicznej
Dostępny jest przykładowy skrypt, który ułatwia rozpoczęcie pracy z przychodzącymi wiadomami e-mail z systemów takich jak SIEM, urządzenia sieciowe itp. Aby użyć skryptu, należy utworzyć kopię, a następnie skonfigurować kopiowanie do przetwarzania przychodzących wiadomości e-mail.
Informacje o tym zadaniu
Przykładowy skrypt wykonuje następujące przetwarzanie:
- Sprawdza istniejący incydent, w którym tytuł odzwierciedla temat otrzymanego komunikatu e-mail. Jeśli znajdzie jeden, powiąże wiadomość e-mail z istniejącym incydentem. W przeciwnym razie tworzy nowy incydent o odpowiednim tytule.
- Analizuje tekst wiadomości e-mail dla adresów URL, adresów IP i plików hashes. Po odfiltrowaniu niepoprawnych i wybielających się wartości dodaje pozostałe dane do incydentu jako artefakty.
- Dodaje niewstawione załączniki wiadomości e-mail do incydentu.
Wykonaj następujące kroki.
Procedura
- Przejdź do opcji Ustawienia aplikacji > Zarządzanie przypadkami > Dostosowanie > Skrypty i otwórz skrypt
Sample script: process inbound email. - Utwórz kopię skryptu.
- Z Twojej kopii wyszukaj osobę odpowiedzialną za incydent w wierszu 8 i zmień ją, aby określić preferowanego właściciela incydentu.
- Opcjonalnie z poziomu wiersza 10 z sekcji whitelist można dodać listy nazw dozwolonych adresów IP lub zakresów adresów IP i domen, które nie mają być przetwarzane lub dodawane jako artefakty.
- Zapisz zmodyfikowany skrypt.
Wyniki
Punkt kontrolny lekcji
W tej lekcji użytkownik dowiedział się, w jaki sposób dostosować przykładowy skrypt poczty elektronicznej do przetwarzania przychodzących wiadomości e-mail.
Użytkownik dowiedział się, co następuje:
- Sposób określania osoby odpowiedzialnej za incydent dla nowych incydentów utworzonych przez skrypt.
- Sposób dodawania nazw dozwolonych dla adresów IP i zakresów adresów IP.