Автоматический разбор подозрительных писем на угрозы

Берёт входящие письма, заводит карточку инцидента, выделяет отправителя, домены и IP и проверяет их репутацию через анализаторы угроз — результаты подшивает в дело.

  • Каждое письмо — готовая карточка инцидента
  • Автопроверка отправителя, доменов и IP по базам угроз
  • Результаты собраны в одном деле
  • Аналитик работает с готовыми данными, а не с нуля
Email Trigger (IMAP)TheHive

Как это работает

Сценарий сам создаёт записи в Email Trigger (IMAP) по данным из sendsay — ручной ввод больше не нужен.

  1. Запуск: Новое письмо на почте
  2. Затем: TheHive
  3. Затем: Создать кейс
  4. Затем: Кейс
  5. Затем: Ожидание
  6. Затем: Наблюдаемый
  7. Затем: Анализатор Email
  8. Затем: Cortex
  9. Проверка: Если
  10. Если да — Обновить кейс: домен
  11. Затем: OTX DOMAIN
  12. Если да — Обновить кейс: email
  13. Затем: Репутация email
  14. Если да — Обновить кейс: IP
  15. Затем: OTX IP

Такой сценарий можно запустить в Scriptera: задача описывается обычными словами, сборка и запуск — на стороне сервиса.