Receive and analyze emails with rules in Sublime Security
该工作流旨在自动化接收并分析用户报告的可疑邮件,特别是带有 .eml 附件的钓鱼邮件。通过 IMAP 邮件触发器捕获新邮件,并将附件传输至安全分析平台进行规则检测,系统会自动分类分析结果并生成详细报告,实时推送至指定的 Slack 频道。此外,若邮件缺少附件,系统也会发出提醒,确保安全团队能迅速响应潜在威胁。
流程图
工作流名称
Receive_and_analyze_emails_with_rules_in_Sublime_Security
主要功能和亮点
该工作流通过 IMAP 邮件触发器自动接收包含 .eml 附件的邮件,尤其针对用户报告的钓鱼邮件进行集中管理与分析。它将邮件附件安全地传输至 Sublime Security 平台进行多规则检测,自动区分匹配和未匹配规则的结果,并将详细的分析报告格式化后推送至指定的 Slack 频道,确保安全团队能够实时获知潜在威胁。若邮件缺少附件,系统也会自动发送通知,提醒相关人员关注。
解决的核心问题
- 自动化捕获用户报告的可疑邮件,避免手动操作带来的延迟和遗漏。
- 利用安全规则精准分析邮件内容,快速识别钓鱼及其他安全威胁。
- 实时将分析结果传递给团队,增强响应速度与协作效率。
- 保障邮件处理流程的安全性和规范性,降低误判风险。
应用场景
- 企业安全运营中心(SecOps)自动化处理钓鱼邮件。
- IT安全团队对用户举报的恶意邮件进行快速甄别与响应。
- 任何需要将邮件安全分析结果实时通报至团队沟通渠道的组织。
主要流程步骤
- 邮件接收:通过 IMAP 触发器监听专用邮箱,捕获新邮件。
- 附件检查:判断邮件是否包含附件,且附件类型为 .eml。
- 数据转换:将邮件附件的二进制数据转换为 Base64 编码格式。
- 安全分析:调用 Sublime Security API 对邮件内容执行激活的检测规则分析。
- 结果分类:通过代码节点将分析结果分为规则匹配和不匹配两类。
- 消息格式化:生成包含匹配规则数量及详细规则名称的报告文本。
- Slack 通知:将格式化的安全分析报告发送至指定的 Slack 频道,若无附件则发送缺失通知。
涉及的系统或服务
- Outlook 邮箱(IMAP):邮件收取。
- Sublime Security:邮件安全检测与规则匹配服务。
- Slack:安全事件报告与团队沟通。
- n8n:自动化工作流协调与执行平台。
适用人群或使用价值
- 企业安全团队和 SecOps 专业人员,提升钓鱼邮件响应效率。
- IT运维和安全分析师,减少手动分析工作量,实现安全自动化。
- 任何需要结合邮件安全分析与即时团队通知的组织,提高邮件威胁管控能力及团队协作效率。