Configurando o script

Para configurar o script, é necessário incluir um proprietário de incidente e, opcionalmente, definir uma ou mais listas de desbloqueio.

Novos incidentes precisam de um proprietário, que é um indivíduo identificado por seu endereço de e-mail ou por um nome de grupo. No script fornecido, esse valor é deixado em branco. Para editar o script para incluir um usuário do Resilient como o proprietário, localize e edite a linha 8 do script. Por exemplo, inclua L1@businessname.com da seguinte forma:
# The new incident owner - email address of a user or name of a group and cannot be blank.
# Change this value to reflect who will be the owner of the incident before running the script.
newIncidentOwner = "L1@businessname.com"

Uma lista de desbloqueio é uma lista de itens de dados confiáveis que não devem se tornar artefatos suspeitos; por exemplo, o endereço IP de seu próprio servidor de e-mail. Há duas categorias de lista de desbloqueio usadas no script: endereço IP e domínio da URL, conforme mostrado na tabela a seguir. Essas listas de desbloqueio são configuradas alterando dados no script.

Nome da Variável Número de Linha Objetivo
ipV4WhiteList 11

Lista de desbloqueio de IP v4
ipV6WhiteList 30

Lista de desbloqueio de IP v6
domainWhiteList 51

Lista de desbloqueio de domínio da URL

Inicialmente, as listas de desbloqueio são compostas de entradas comentadas que servem como exemplos dos dados que talvez você queira excluir da consideração. As listas de desbloqueio não têm efeito, a menos que você remova o comentário das entradas e faça uma lista gramaticamente correta ou inclua suas próprias entradas.

As listas de desbloqueio de endereço IP são divididas em listas IPv4 e IPv6 separadas. Essas listas se aplicam aos endereços IP recuperados por correspondência de padrão no corpo do e-mail. Se um endereço IP aparecer em uma lista de desbloqueio, então ele não será incluído como um artefato no incidente.

Há duas categorias de entrada de lista de desbloqueio de IP, CIDR (Classless Inter-Domain Routing) e IPRange. Por exemplo, no IPV4, a IBM possui a rede 9 de classe A. Talvez você também queira incluir um intervalo de IP na lista de desbloqueio, como 12.0.0.1-12.5.5.5. Para incluir esses critérios na lista de desbloqueio, inclua o seguinte na ipV4WhiteList:
  "9.0.0.0/8",
  "12.0.0.1-12.5.5.5"
Talvez você também queira incluir um endereço IP explícito na lista de desbloqueio, como 13.13.13.13. Isso seria especificado por:
"13.13.13.13"
As listas de desbloqueio de IP v6 funcionam de forma semelhante. Por exemplo, talvez você queira incluir um CIDR V6 "aaaa::/16" na lista de desbloqueio. O exemplo a seguir mostra como incluir essas mudanças nas listas de desbloqueio IPV4 e IPV6:
 # Whitelist for IP V4 addresses 
 ipV4WhiteList = WhiteList([
   "9.0.0.0/8",
   "12.0.0.1-12.5.5.5",
   "13.13.13.13"
 ])

 # Whitelist for IP V6 addresses
 ipV6WhiteList = WhiteList([
   "aaaa::/16"
 ])
A lista de desbloqueio de domínio se aplica a URLs localizadas no corpo do e-mail. Se um domínio incluído na lista de desbloqueio for descoberto em um artefato de URL em potencial, ele não será incluído no incidente. Domínios podem ser incluídos explicitamente, como mail.businessname.com ou usando um curinga, como *.otherbusinessname.com. Primeiro, localize esta linha:
# Domain whitelist
domainWhiteList = WhiteList([
  #"*.ibm.com"
])
Altere a linha para:
# Domain whitelist
domainWhiteList = WhiteList([
  "mail.businessname.com",
  "*.otherbusinessname.com"
])