该工作流通过IMAP Email触发器读取电子邮件,然后使用TheHive/Cortex进行安全分析。工作流首先通过IMAP Email节点读取邮件,然后创建TheHive案例,执行邮件分析器,通过Cortex生成分析报告。如果检测到域名、电子邮件或IP地址的IOC(威胁指标),工作流会自动创建相应的可观察对象,并执行额外的分析器如Email Reputation、OTX IP和OTX DOMAIN来评估威胁信誉。
完整工作流包含以下节点:IMAP Email, TheHive, Create Case, Case, Wait, Observable, Analyzer Email, Cortex, IF, Update Case Domain, Update Case Email, Update Case Ip, Email Reputation, OTX IP, OTX DOMAIN。
GitHub链接:https://github.com/V1D1AN/S1EM/wiki/Soar-guide
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)