Workflow n8n

Automatisation Email avec n8n : gestion des alertes de sécurité

Ce workflow n8n est conçu pour automatiser la gestion des alertes de sécurité en traitant les emails entrants. Dans un contexte où la sécurité des informations est primordiale, ce processus permet aux entreprises d'identifier rapidement les menaces potentielles. En utilisant des outils comme IMAP pour lire les emails et TheHive pour créer et gérer des cas, ce workflow offre une solution efficace pour les équipes de sécurité informatique.

Étape 1 : le déclencheur IMAP Email lit les messages entrants.
Étape 2 : les informations extraites sont envoyées à TheHive pour créer un nouveau cas.
Étape 3 : le workflow utilise des analyzers pour évaluer les menaces potentielles, en intégrant des vérifications de réputation d'email et d'IP via Cortex et OTX.
Étape 4 : selon les résultats, des mises à jour sont effectuées sur le cas créé, permettant une gestion proactive des incidents. Ce workflow apporte une réelle valeur ajoutée en réduisant le temps de réponse aux alertes et en améliorant la sécurité des données, ce qui est essentiel pour toute organisation souhaitant protéger ses actifs numériques.

Tags clés :automatisationemailsécuritéTheHiven8n

🎯Pour qui ?🧩Problème résolu 📋Étapes du flux 🛠Guide de personnalisation

Catégorie: Webhook · Tags: automatisation, email, sécurité, TheHive, n8n❤ 0

Workflow n8n email, sécurité, TheHive : vue d'ensemble

Schéma des nœuds et connexions de ce workflow n8n, généré à partir du JSON n8n.

React Flow

Besoin d'aide ?

Workflow n8n email, sécurité, TheHive : détail des nœuds

IMAP Email
Ce noeud lit les emails via le protocole IMAP selon les paramètres spécifiés.
TheHive
Ce noeud crée un nouvel élément dans TheHive avec les informations fournies.
Create Case
Ce noeud permet de créer un cas dans TheHive en utilisant l'identifiant et les champs supplémentaires fournis.
Case
Ce noeud effectue des opérations sur un cas existant dans TheHive en utilisant son identifiant.
Observable
Ce noeud gère les observables associés à un cas dans TheHive en fonction des paramètres fournis.
Analyzer Email
Ce noeud analyse un email en utilisant les paramètres d'analyse spécifiés dans TheHive.
Cortex
Ce noeud interagit avec Cortex pour exécuter des opérations sur un job spécifique.
IF
Ce noeud évalue des conditions et dirige le flux en fonction du résultat.
Update Case Domain
Ce noeud met à jour le domaine d'un cas dans TheHive avec les informations fournies.
Update Case Email
Ce noeud met à jour l'email d'un cas dans TheHive avec les informations fournies.
Update Case Ip
Ce noeud met à jour l'adresse IP d'un cas dans TheHive avec les informations fournies.
Wait
Ce noeud suspend le flux d'exécution pendant une durée spécifiée.
Email Reputation
Ce noeud évalue la réputation d'un email dans TheHive en utilisant les paramètres d'analyse fournis.
OTX IP
Ce noeud interroge OTX pour obtenir des informations sur une adresse IP en utilisant les paramètres d'analyse fournis.
OTX DOMAIN
Ce noeud interroge OTX pour obtenir des informations sur un domaine en utilisant les paramètres d'analyse fournis.

Inscris-toi pour voir l'intégralité du workflow

Inscription gratuite

S'inscrire gratuitement Besoin d'aide ?

{
  "id": 4,
  "name": "Email",
  "nodes": [
    {
      "name": "IMAP Email",
      "type": "n8n-nodes-base.emailReadImap",
      "position": [
        -300,
        200
      ],
      "parameters": {
        "format": "resolved",
        "options": {}
      },
      "credentials": {
        "imap": {
          "id": "5",
          "name": "IMAP account"
        }
      },
      "typeVersion": 1
    },
    {
      "name": "TheHive",
      "type": "n8n-nodes-base.theHive",
      "position": [
        -20,
        200
      ],
      "parameters": {
        "tags": "Email",
        "type": "Email",
        "title": "={{$node[\"IMAP Email\"].binary.attachment_0.fileName}}",
        "source": "Outlook",
        "sourceRef": "={{$node[\"IMAP Email\"].json[\"messageId\"]}}",
        "artifactUi": {
          "artifactValues": [
            {
              "dataType": "file",
              "binaryProperty": "attachment_0"
            }
          ]
        },
        "description": "={{$node[\"IMAP Email\"].binary.attachment_0.fileName}}",
        "additionalFields": {}
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1,
      "alwaysOutputData": true
    },
    {
      "name": "Create Case",
      "type": "n8n-nodes-base.theHive",
      "position": [
        280,
        200
      ],
      "parameters": {
        "id": "={{$node[\"TheHive\"].json[\"_id\"]}}",
        "operation": "promote",
        "additionalFields": {}
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1,
      "alwaysOutputData": true
    },
    {
      "name": "Case",
      "type": "n8n-nodes-base.theHive",
      "position": [
        540,
        200
      ],
      "parameters": {
        "id": "={{$node[\"Create Case\"].json[\"_id\"]}}",
        "resource": "case",
        "operation": "get"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1,
      "alwaysOutputData": true
    },
    {
      "name": "Observable",
      "type": "n8n-nodes-base.theHive",
      "position": [
        1060,
        200
      ],
      "parameters": {
        "caseId": "={{$node[\"Case\"].json[\"_id\"]}}",
        "options": {},
        "resource": "observable",
        "returnAll": true
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1,
      "alwaysOutputData": true
    },
    {
      "name": "Analyzer Email",
      "type": "n8n-nodes-base.theHive",
      "position": [
        1340,
        200
      ],
      "parameters": {
        "id": "={{$node[\"Observable\"].json[\"_id\"]}}",
        "dataType": "file",
        "resource": "observable",
        "analyzers": [
          "24a64a086a410e1c7d7ace74003c4480::CORTEX"
        ],
        "operation": "executeAnalyzer"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "retryOnFail": true,
      "typeVersion": 1,
      "alwaysOutputData": true
    },
    {
      "name": "Cortex",
      "type": "n8n-nodes-base.cortex",
      "position": [
        1560,
        200
      ],
      "parameters": {
        "jobId": "={{$node[\"Analyzer Email\"].json[\"cortexJobId\"]}}",
        "resource": "job",
        "operation": "report"
      },
      "credentials": {
        "cortexApi": {
          "id": "2",
          "name": "Cortex account"
        }
      },
      "typeVersion": 1
    },
    {
      "name": "IF",
      "type": "n8n-nodes-base.if",
      "position": [
        -20,
        600
      ],
      "parameters": {
        "conditions": {
          "number": [
            {
              "value1": "={{$node[\"Cortex\"].json[\"report\"][\"full\"][\"iocs\"][\"domain\"].length}}",
              "operation": "larger"
            },
            {
              "value1": "={{$node[\"Cortex\"].json[\"report\"][\"full\"][\"iocs\"][\"email\"].length}}",
              "operation": "larger"
            },
            {
              "value1": "={{$node[\"Cortex\"].json[\"report\"][\"full\"][\"iocs\"][\"ip\"].length}}",
              "operation": "larger"
            }
          ]
        },
        "combineOperation": "any"
      },
      "typeVersion": 1
    },
    {
      "name": "Update Case Domain",
      "type": "n8n-nodes-base.theHive",
      "position": [
        420,
        480
      ],
      "parameters": {
        "ioc": true,
        "data": "={{$node[\"Cortex\"].json[\"report\"][\"full\"][\"iocs\"][\"domain\"]}}",
        "caseId": "={{$node[\"Case\"].json[\"_id\"]}}",
        "status": "Ok",
        "message": "={{$node[\"Cortex\"].json[\"analyzerName\"]}}",
        "options": {
          "tags": "Domain"
        },
        "dataType": "domain",
        "resource": "observable",
        "operation": "create"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1
    },
    {
      "name": "Update Case Email",
      "type": "n8n-nodes-base.theHive",
      "position": [
        420,
        620
      ],
      "parameters": {
        "ioc": true,
        "data": "={{$node[\"Cortex\"].json[\"report\"][\"full\"][\"iocs\"][\"email\"]}}",
        "caseId": "={{$node[\"Case\"].json[\"_id\"]}}",
        "status": "Ok",
        "message": "={{$node[\"Cortex\"].json[\"analyzerName\"]}}",
        "options": {
          "tags": "Domain"
        },
        "dataType": "mail",
        "resource": "observable",
        "operation": "create"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1
    },
    {
      "name": "Update Case Ip",
      "type": "n8n-nodes-base.theHive",
      "position": [
        420,
        760
      ],
      "parameters": {
        "ioc": true,
        "data": "={{$node[\"Cortex\"].json[\"report\"][\"full\"][\"iocs\"][\"ip\"]}}",
        "caseId": "={{$node[\"Case\"].json[\"_id\"]}}",
        "status": "Ok",
        "message": "={{$node[\"Cortex\"].json[\"analyzerName\"]}}",
        "options": {
          "tags": "Domain"
        },
        "dataType": "ip",
        "resource": "observable",
        "operation": "create"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1
    },
    {
      "name": "Wait",
      "type": "n8n-nodes-base.wait",
      "position": [
        800,
        200
      ],
      "webhookId": "ecada1d5-a671-44fc-906e-c64c6f05e760",
      "parameters": {
        "unit": "seconds",
        "amount": 5
      },
      "typeVersion": 1
    },
    {
      "name": "Email Reputation",
      "type": "n8n-nodes-base.theHive",
      "position": [
        640,
        620
      ],
      "parameters": {
        "id": "={{$node[\"Update Case Email\"].json[\"id\"]}}",
        "dataType": "mail",
        "resource": "observable",
        "analyzers": [
          "9902b4e5c58015184b177de13f2151c7::CORTEX"
        ],
        "operation": "executeAnalyzer"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1
    },
    {
      "name": "OTX IP",
      "type": "n8n-nodes-base.theHive",
      "position": [
        640,
        760
      ],
      "parameters": {
        "id": "={{$node[\"Update Case Ip\"].json[\"id\"]}}",
        "dataType": "ip",
        "resource": "observable",
        "analyzers": [
          "b084bf78d1aea92966b6ef6a4f6193a5::CORTEX"
        ],
        "operation": "executeAnalyzer"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1
    },
    {
      "name": "OTX DOMAIN",
      "type": "n8n-nodes-base.theHive",
      "position": [
        640,
        480
      ],
      "parameters": {
        "id": "={{$node[\"Update Case Domain\"].json[\"id\"]}}",
        "dataType": "domain",
        "resource": "observable",
        "analyzers": [
          "b084bf78d1aea92966b6ef6a4f6193a5::CORTEX"
        ],
        "operation": "executeAnalyzer"
      },
      "credentials": {
        "theHiveApi": {
          "id": "1",
          "name": "The Hive account"
        }
      },
      "typeVersion": 1
    }
  ],
  "active": true,
  "settings": {},
  "connections": {
    "IF": {
      "main": [
        [
          {
            "node": "Update Case Domain",
            "type": "main",
            "index": 0
          },
          {
            "node": "Update Case Email",
            "type": "main",
            "index": 0
          },
          {
            "node": "Update Case Ip",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Case": {
      "main": [
        [
          {
            "node": "Wait",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Wait": {
      "main": [
        [
          {
            "node": "Observable",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Cortex": {
      "main": [
        [
          {
            "node": "IF",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "TheHive": {
      "main": [
        [
          {
            "node": "Create Case",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "IMAP Email": {
      "main": [
        [
          {
            "node": "TheHive",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Observable": {
      "main": [
        [
          {
            "node": "Analyzer Email",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Create Case": {
      "main": [
        [
          {
            "node": "Case",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Analyzer Email": {
      "main": [
        [
          {
            "node": "Cortex",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Update Case Ip": {
      "main": [
        [
          {
            "node": "OTX IP",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Update Case Email": {
      "main": [
        [
          {
            "node": "Email Reputation",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Update Case Domain": {
      "main": [
        [
          {
            "node": "OTX DOMAIN",
            "type": "main",
            "index": 0
          }
        ]
      ]
    }
  }
}

Workflow n8n email, sécurité, TheHive : pour qui est ce workflow ?

Ce workflow s'adresse aux équipes de sécurité informatique, aux entreprises de taille moyenne à grande, ainsi qu'aux professionnels de la cybersécurité souhaitant automatiser la gestion des alertes de sécurité. Un niveau technique intermédiaire est recommandé pour la personnalisation et l'intégration de ce workflow.

Workflow n8n email, sécurité, TheHive : problème résolu

Ce workflow résout le problème de la gestion manuelle des alertes de sécurité par email, qui peut entraîner des retards dans la réponse aux menaces. En automatisant ce processus, il élimine les risques d'erreurs humaines et permet une réaction rapide face aux incidents. Les utilisateurs bénéficient ainsi d'une meilleure visibilité sur les menaces potentielles et d'une gestion plus efficace des cas de sécurité.

Workflow n8n email, sécurité, TheHive : étapes du workflow

Étape 1 : Le déclencheur IMAP Email lit les emails entrants.

Étape 1 : Les données pertinentes sont envoyées à TheHive pour créer un nouveau cas.
Étape 2 : Le workflow vérifie la réputation des emails et des IP via des analyzers.
Étape 3 : Selon les résultats, des mises à jour sont faites sur le cas dans TheHive, incluant des informations sur le domaine et l'email.
Étape 4 : Une attente est intégrée pour gérer le flux d'informations et éviter les surcharges.

Workflow n8n email, sécurité, TheHive : guide de personnalisation

Pour personnaliser ce workflow, commencez par ajuster les paramètres du nœud IMAP Email, notamment l'URL du serveur et les informations d'identification. Vous pouvez également modifier les critères d'analyse dans les nœuds TheHive pour adapter les alertes aux besoins spécifiques de votre organisation. Pensez à sécuriser le flux en intégrant des mesures de contrôle d'accès et en surveillant les performances via des outils de reporting. Enfin, envisagez d'ajouter d'autres intégrations, comme des notifications par SMS ou des alertes sur des plateformes de communication comme Slack.

Autres workflows n8n

Workflows n8n proches par tags : automatisation, email, sécurité, TheHive

L'auteur

Wladimir Delcros

Founder & Growth Engineer @ Uclic

Expert n8n et automatisation. Je conçois des workflows pour industrialiser l'acquisition et le marketing B2B.

Voir le profil →

Partenariat

Vous souhaitez afficher votre site ou vos contenus ici ? Guest posts, backlinks et visibilité sur notre audience. Contactez-nous.

Nous contacter

Sur mesure

Un workflow n8n ou une automatisation custom ?

Nous concevons pour vous des workflows et automatisations adaptés à vos process. Devis gratuit.

Demander un audit gratuit