Configurazione dello script

Per configurare lo script, è necessario aggiungere un proprietario dell'incidente e, facoltativamente, definire una o più whitelist.

I nuovi incidenti hanno bisogno di un proprietario, che è un individuo identificato dal suo indirizzo email o da un nome gruppo. Nello script fornito, questo valore viene lasciato vuoto. Per modificare lo script per aggiungere un utente Resilient come proprietario, individuare e modificare la riga 8 dello script. Ad esempio, aggiungere L1@businessname.com come segue:

# The new incident owner - email address of a user or name of a group and cannot be blank.
# Change this value to reflect who will be the owner of the incident before running the script.
newIncidentOwner = "L1@businessname.com"

Una whitelist è un elenco di elementi di dati affidabili che non devono diventare risorse utente sospette; ad esempio, l'indirizzo IP del tuo server email. Lo script utilizza due categorie di whitelist: Indirizzo IP e dominio URL, come mostrato nella tabella seguente. Queste whitelist vengono configurate modificando i dati nello script.

Nome variabile	Numero riga	Finalità
`ipV4WhiteList`	11	Whitelist IP v4
`ipV6WhiteList`	30	Whitelist IP v6
`domainWhiteList`	51	Whitelist dei domini URL

Inizialmente, le whitelist sono composte da voci commentate che fungono da esempi dei dati che si potrebbe voler escludere dalla considerazione. Le whitelist non hanno alcun effetto a meno che non si annulla il commento delle voci e si crea un elenco grammaticalmente corretto o si aggiungono voci proprie.

Le whitelist di indirizzi IP sono divise in elenchi IPv4 e IPv6 separati. Questi elenchi si applicano agli indirizzi IP richiamati dal modello corrispondente nel corpo del messaggio email. Se un indirizzo IP viene visualizzato in una whitelist, non viene aggiunto come risorsa utente all'incidente.

Esistono due categorie di voci della whitelist IP, CIDR (Classless Inter - Domain Routing) e IPRange. Ad esempio, in IPV4, IBM possiede la rete 9 di classe A. È anche possibile inserire nella whitelist un intervallo IP, come ad esempio 12.0.0.1 - 12.5.5.5. Per aggiungere questi criteri alla whitelist, aggiungere quanto riportato di seguito a ipV4WhiteList: :

  "9.0.0.0/8",
  "12.0.0.1-12.5.5.5"

È anche possibile inserire in whitelist un indirizzo IP esplicito, ad esempio 13.13.13.13. Ciò è specificato da:

"13.13.13.13"

Le whitelist IP v6 funzionano in modo simile. Ad esempio, potresti voler aggiungere "aaaa::/16" alla whitelist di un CIDR V6 . Il seguente esempio mostra come aggiungere queste modifiche alle whitelist IPV4 e IPV6 :

 # Whitelist for IP V4 addresses 
 ipV4WhiteList = WhiteList([
   "9.0.0.0/8",
   "12.0.0.1-12.5.5.5",
   "13.13.13.13"
 ])

 # Whitelist for IP V6 addresses
 ipV6WhiteList = WhiteList([
   "aaaa::/16"
 ])

La whitelist del dominio viene applicata agli URL trovati nel corpo dell'email. Se un dominio whitelist viene rilevato in un potenziale artefatto URL, non viene aggiunto all'incidente. I domini possono essere aggiunti in modo esplicito, come mail.businessname.com, o utilizzando un carattere jolly, come * otherbusinessname.com. Per prima cosa, individuare questa linea:

# Domain whitelist
domainWhiteList = WhiteList([
  #"*.ibm.com"
])

Modificare la riga in:

# Domain whitelist
domainWhiteList = WhiteList([
  "mail.businessname.com",
  "*.otherbusinessname.com"
])