该工作流通过自动接收IMAP邮箱邮件,将邮件及其附件上传至安全事件响应平台TheHive,自动生成和管理安全事件,并利用Cortex安全分析引擎对附件及相关指标进行深入的威胁情报分析。这一流程显著降低了人工筛查的压力,提高了对潜在攻击威胁的快速响应和准确识别能力,适用于安全运营中心及企业邮件安全监控。
流程图
工作流名称
主要功能和亮点
该工作流实现了自动化接收IMAP邮箱邮件,将邮件及其附件上传至安全事件响应平台TheHive,自动创建和管理安全事件(Case),并通过集成Cortex安全分析引擎对邮件附件和相关指标(域名、邮箱、IP)进行深度威胁情报分析。分析结果会进一步丰富安全事件数据,辅助安全团队快速甄别和响应潜在攻击威胁。
解决的核心问题
- 自动化处理大量邮件安全威胁,减少人工筛查压力。
- 快速提取邮件中的威胁指标(IOC),并进行多维度安全分析。
- 自动创建和更新安全事件,实现安全事件的高效管理和追踪。
- 将安全分析结果及时反馈到安全事件,提升安全响应速度和准确性。
应用场景
- 安全运营中心(SOC)自动化威胁检测与响应。
- 企业邮件安全威胁监控与事件管理。
- 结合TheHive和Cortex构建的自动化威胁情报处理流程。
- 需要对邮件附件及其关联信息进行安全分析的场景。
主要流程步骤
- 通过IMAP节点自动读取邮箱中的邮件及附件。
- 将邮件信息及附件上传至TheHive,创建对应的Artifact。
- 自动将Artifact提升为安全事件(Case)。
- 查询并等待安全事件准备就绪。
- 获取安全事件中的Observable(可疑指标)列表。
- 对邮件附件执行Cortex分析器,获取威胁情报报告。
- 判断报告中是否包含域名、邮箱、IP等IOC指标。
- 针对不同IOC分别创建Observable,并调用对应的Cortex分析器(例如OTX域名/IP分析器、邮件信誉分析器)。
- 分析结果更新回安全事件,辅助安全团队进行后续调查。
涉及的系统或服务
- IMAP Email:用于邮件接收。
- TheHive:安全事件管理平台,用于创建和更新安全事件及Observable。
- Cortex:安全分析引擎,执行多种威胁分析器(如邮件附件分析、OTX威胁情报查询等)。
- 通过Webhook和等待节点实现流程控制和数据同步。
适用人群或使用价值
- 安全运营中心(SOC)分析师和自动化工程师。
- 企业安全团队希望提升邮件威胁检测和响应效率。
- 需要构建自动化安全事件管理及威胁情报分析流程的组织。
- 通过自动化分析缩短威胁响应时间,提升安全防护能力。