Integrar EmailV2 con Google SecOps

Versión de integración: 36.0

En este documento se explica cómo integrar EmailV2 con Google Security Operations (Google SecOps).

Casos prácticos

La integración EmailV2 usa las funciones de SecOps de Google para admitir los siguientes casos prácticos:

  • Triaje y notificación de phishing: automatiza el proceso de envío de correos de notificación a los destinatarios, incluidos los usuarios externos, y configura cuadernos de estrategias asíncronos para esperar las respuestas de los usuarios (como la confirmación de un intento de phishing).

  • Enriquecimiento y conservación de datos de incidentes: busca mensajes relacionados en un buzón en función de criterios (como el remitente o el asunto) y guarda todos los archivos adjuntos de correos sospechosos directamente en el muro del caso para realizar análisis forenses y conservar los datos.

  • Gestión y contención de buzones: mueve automáticamente los correos maliciosos o clasificados de la bandeja de entrada a las carpetas de cuarentena o de archivo, o elimina permanentemente los correos que coincidan con filtros específicos (por ejemplo, elimina todas las copias de un correo con malware conocido en varias carpetas).

  • Respuesta en conversaciones y colaboración: envía una respuesta inmediata o una respuesta estructurada en una conversación de correo con la acción Enviar respuesta en conversación. De esta forma, todas las partes implicadas estarán al tanto de las novedades de seguridad pertinentes.

Antes de empezar

Para que la integración de EmailV2 se conecte correctamente a tu servidor de correo, debes asegurarte de que el buzón configurado conceda acceso a aplicaciones de terceros mediante IMAP o SMTP.

Si utilizas una cuenta de Gmail, ten en cuenta las siguientes opciones de acceso:

  1. OAuth 2.0 (recomendado): es el método más seguro, ya que permite que las aplicaciones accedan a los datos de correo mediante tokens sin necesidad de exponer directamente la contraseña. Para obtener más información, consulta el artículo Aplicaciones de terceros y tu cuenta de Google.

  2. Contraseña de aplicación (recomendada para la autenticación de dos factores): código de acceso de 16 dígitos que se usa como sustituto de la contraseña para aplicaciones de terceros cuando la verificación en dos pasos está habilitada. Para obtener más información, consulta el artículo Iniciar sesión con contraseñas de aplicación.

  3. Aplicaciones poco seguras (obsoleta): esta opción antigua permite el acceso a aplicaciones que no cumplen los estándares de seguridad más recientes de Google. Para obtener más información, consulta el artículo Aplicaciones poco seguras y la cuenta de Google.

Acceso de red a IMAP/SMTP

Para acceder al correo recibido y procesarlo mediante IMAP, así como para enviar correo saliente mediante SMTP, se necesita acceso a la red con las credenciales de la cuenta configurada.

Requisitos de red

En la siguiente tabla se detalla el acceso a la red necesario para que la integración se comunique con el servidor de correo:

Función Puerto predeterminado Dirección Protocolo
Comunicación del servidor de correo Multivalores Saliente IMAP/SMTP

Parámetros de integración

La integración de EmailV2 requiere los siguientes parámetros:

Parámetro Descripción
IMAP - Use SSL

Opcional.

Si se selecciona esta opción, la acción habilita la comunicación segura (SSL/TLS) al conectarse al servidor IMAP.

Esta opción está habilitada de forma predeterminada.
SMTP - Use Authentication

Opcional.

Si se selecciona, la acción habilita la autenticación para la conexión SMTP.

Esto es obligatorio cuando el servidor SMTP no está en una configuración de "relay abierto" y requiere credenciales para enviar correos salientes.

Esta opción está habilitada de forma predeterminada.
Sender's Address

Obligatorio.

La dirección de correo del buzón que usa la integración para enviar y recibir mensajes.
Sender's Display Name

Obligatorio.

El nombre que aparece como remitente cuando la integración envía correos.
SMTP Server Address

Opcional.

El nombre de host DNS o la dirección IP del servidor SMTP que se usa para enviar correos, como smtp.hmail.com.
SMTP Port

Opcional.

El número de puerto que se usa para conectarse al servidor SMTP, como 565.
IMAP Server Address

Opcional.

El nombre de host o la dirección IP de DNS del servidor IMAP necesario para recuperar los correos recibidos, como imap.hmail.com.
IMAP Port

Opcional.

El número de puerto que se usa para conectarse al servidor IMAP, como 995.
Username

Obligatorio.

Nombre de usuario necesario para autenticarse en el servidor de correo.
Password

Obligatorio.

La contraseña necesaria para autenticarse en el servidor de correo.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Eliminar el correo electrónico

Usa la acción Eliminar correo para quitar de la bandeja de correo los correos que coincidan con los criterios de búsqueda especificados. Puedes usar esta acción para eliminar el primer correo que coincida o todos los correos que coincidan.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Eliminar correo requiere los siguientes parámetros:

Parámetro Descripción
Folder Name

Obligatorio.

Lista separada por comas de las carpetas de buzón en las que la acción busca correos.
Message IDs

Opcional.

Lista separada por comas de IDs de mensajes específicos que se van a buscar y eliminar.

Si se proporciona, esta lista anula los valores de Subject Filter, Sender Filter y Recipient Filter.
Subject Filter

Opcional.

Asunto que se usa para acotar la búsqueda de correos que coincidan.
Sender Filter

Opcional.

Dirección de un remitente que se usa para buscar correos coincidentes.
Recipient Filter

Opcional.

Dirección de un destinatario que se usa para buscar correos coincidentes.
Days Back

Opcional.

El periodo (en días) en el que la acción busca correos para eliminarlos.

El periodo se calcula con una granularidad diaria.

Si usas el valor 0, la búsqueda se limitará a los correos recibidos solo durante el día actual.

El valor predeterminado es 0.
Delete all matching emails

Opcional.

Si se selecciona esta opción, la acción elimina todos los correos que coincidan con los criterios especificados. De lo contrario, solo se eliminará la primera coincidencia.

Esta opción está inhabilitada de forma predeterminada.

Resultados de la acción

La acción Eliminar correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Eliminar correo:

{
    "deleted_emails": {
        "email_1_deleted": {
            "message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
            "deleted_from_folder": "Inbox",
            "subject": "Suspicious Login Alert - Deleted",
            "sender": "noreply@system.com",
            "timestamp": "2025-11-20T14:30:00Z"
        },
        "email_2_deleted": {
            "message_id": "<u1v2w3x4y5z6a7b8c9d0e1f2g3h4i5j6k7l8m9n0@mail.example.com>",
            "deleted_from_folder": "Spam",
            "subject": "Phishing Offer",
            "sender": "scam@badsite.net",
            "timestamp": "2025-11-15T09:15:00Z"
        }
    }
}
Mensajes de salida

La acción Eliminar correo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

NUMBER_OF_DELETED_EMAILS email(s) were deleted successfully

Failed to find emails for deletion!

 La acción se ha realizado correctamente.

Error deleting emails ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Eliminar correo:

Nombre del resultado del script Valor
is_success true o false

DownloadEmailAttachments

Usa la acción Descargar archivos adjuntos de correo para recuperar los archivos adjuntos de correos específicos y guardarlos en una ruta designada del servidor de Google SecOps.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Descargar archivos adjuntos de correo requiere los siguientes parámetros:

Parámetro Descripción
Folder Name

Obligatorio.

Lista separada por comas de las carpetas de buzón en las que la acción busca el correo.

El valor predeterminado es Inbox.
Download Path

Obligatorio.

La ruta del servidor de Google SecOps en la que se guardan los archivos adjuntos descargados.
Message IDs

Opcional.

Lista separada por comas de los IDs de los mensajes de los que se van a descargar los archivos adjuntos.
Subject filter

Opcional.

Un asunto que se usa para acotar la búsqueda del correo.

Resultados de la acción

La acción Descargar archivos adjuntos de correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Descargar archivos adjuntos de correo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Downloaded NUMBER_OF_ATTACHMENTS attachments. ATTACHMENT_PATHS

 La acción se ha realizado correctamente.

failed to download email attachments, the error is: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Descargar archivos adjuntos de correo:

Nombre del resultado del script Valor
attachments_local_paths Cadena de rutas completas separadas por comas de los archivos adjuntos guardados.

Reenviar correo

Usa la acción Reenviar correo para enviar un correo que ya tengas, incluido el contenido de la conversación anterior, a nuevos destinatarios. Para ello, proporciona el ID de mensaje único del correo original.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Reenviar correo requiere los siguientes parámetros:

Parámetro Descripción
Folder Name

Obligatorio.

Las carpetas del buzón en las que se encuentra el correo original.

  • Proporciona una lista separada por comas si vas a comprobar varias carpetas.
  • El nombre de la carpeta debe coincidir exactamente con el de la carpeta IMAP.
  • Si el nombre de la carpeta contiene espacios, debe incluirse entre comillas dobles.

El valor predeterminado es Inbox.
Message ID of the email to forward

Obligatorio.

El message_id único del correo que reenvía la acción.
Recipients

Obligatorio.

Lista separada por comas de las direcciones de correo principales de los nuevos destinatarios.
CC

Opcional.

Lista de direcciones de correo separadas por comas que se incluirán en el campo CC.
BCC

Opcional.

Lista de direcciones de correo separadas por comas que se incluirán en el campo CCO.
Subject

Obligatorio.

El asunto del correo reenviado.
Content

Opcional.

Contenido adicional que se incluirá en el cuerpo del correo reenviado.
Return message id for the forwarded email

Opcional.

Si se selecciona esta opción, la acción devuelve el ID de mensaje único del correo recién reenviado en el resultado JSON.

Esta opción está inhabilitada de forma predeterminada.
Attachment Paths

Opcional.

Lista separada por comas de las rutas de los archivos del servidor para los archivos adjuntos adicionales.

Resultados de la acción

La acción Reenviar correo proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Reenviar correo:

{
   "Date"
   "message_id"
   "Recipient"
}
Mensajes de salida

La acción Reenviar correo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Email was forwarded successfully.

Mail was forwarded successfully. Mail message ID is: MESSAGE_ID

 La acción se ha realizado correctamente.

Failed to forward the email! The Error is ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Reenviar correo:

Nombre del resultado del script Valor
is_success true o false

Mover correo a carpeta

Usa la acción Mover correo a carpeta para transferir correos de una carpeta de origen especificada a otra carpeta de destino de la bandeja de entrada.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Mover correo a carpeta requiere los siguientes parámetros:

Parámetro Descripción
Source Folder Name

Obligatorio.

Nombre de la carpeta de origen desde la que se mueven los correos.
Destination Folder Name

Obligatorio.

Nombre de la carpeta de destino a la que se mueven los correos.
Message IDs

Opcional.

Lista de IDs de mensajes específicos separados por comas que se van a buscar y mover.

Si se proporciona, esta lista anula Subject Filter.
Subject Filter

Opcional.

Asunto que se usa para acotar la búsqueda de correos que coincidan.
Only Unread

Opcional.

Si se selecciona esta opción, la búsqueda se limita a los correos no leídos.

Esta opción está inhabilitada de forma predeterminada.

Resultados de la acción

La acción Mover correo a carpeta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran los resultados JSON recibidos al usar la acción Mover correo a carpeta:

{
    "emails": {
        "email_1": {
            "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1@mail.example.com>",
            "received": "Mon, 24 Nov 2025 10:00:00 +0000",
            "sender": "security-alert@example.com",
            "recipients": "user@example.com",
            "subject": "Phishing Alert: Urgent Action Required",
            "plaintext_body": "Original alert content...",
            "moved_from_folder": "Inbox",
            "moved_to_folder": "Quarantine"
        },
        "email_2": {
            "message_id": "<a5b6c7d8e9f01g2h3i4j5k6l7m8n9o0p1q2r3s4t@mail.example.com>",
            "received": "Sun, 23 Nov 2025 14:30:00 +0000",
            "sender": "noreply@system.com",
            "recipients": "user@example.com",
            "subject": "System Update Notification",
            "plaintext_body": "System update successful...",
            "moved_from_folder": "Inbox",
            "moved_to_folder": "Archive"
        }
    }
}
Mensajes de salida

La acción Mover correo a carpeta puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

NUMBER_OF_MOVED_EMAILS mails were successfully moved from SOURCE_FOLDER a DESTINATION_FOLDER

No mails were found matching the search criteria!

 La acción se ha realizado correctamente.

Error search emails: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Mover correo a carpeta:

Nombre del resultado del script Valor
is_success true o false

Ping

Usa la acción Ping para probar la conectividad con Email V2.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully connected to the email server server with the provided connection parameters!

 La acción se ha realizado correctamente.

Failed to connect to the IMAP server! Error is ERROR_REASON

Failed to connect to the SMTP server! Error is ERROR_REASON

SMTP (or IMAP) configuration is needed to execute action. Please configure STMP (or IMAP) on integration configuration page in Marketplace.

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script Valor
is_success true o false

Guardar archivos adjuntos de correo en una incidencia

Usa la acción Guardar archivos adjuntos de correo en caso para recuperar y guardar automáticamente los archivos adjuntos de correos específicos del buzón directamente en el muro del caso actual.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Guardar archivos adjuntos de correo en caso requiere los siguientes parámetros:

Parámetro Descripción
Folder Name

Obligatorio.

Lista separada por comas de las carpetas de buzón en las que la acción busca el correo.
Message ID

Opcional.

ID de mensaje único del correo del que se van a descargar los archivos adjuntos.
Attachment To Save

Opcional.

El nombre específico del archivo adjunto que se va a guardar.

Si no se proporciona ningún valor, la acción guarda todos los archivos adjuntos del correo en el muro del caso.

Resultados de la acción

La acción Guardar archivos adjuntos de correo en caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran los resultados JSON que se reciben al usar la acción Guardar archivos adjuntos de correo en caso:

{
    "saved_attachments_from_email": {
        "message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
        "subject": "Email with Malicious Attachment",
        "sender": "external@suspicious.com",
        "attachments_saved": [
            {
                "file_name": "Invoice_Q3_2025.pdf",
                "file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
                "saved_to_case_wall": "True"
            },
            {
                "file_name": "Report_Data.docx",
                "file_hash_md5": "b3e0c1a9f8d7c6b5a4e3d2c1b0a9f8e7",
                "saved_to_case_wall": "True"
            }
        ]
    }
}
Mensajes de salida

La acción Guardar archivos adjuntos de correo en caso puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully saved the following attachments from the email MESSAGE_ID: MESSAGE_INFO

 La acción se ha realizado correctamente.

Failed to save the email attachments to the case, the error is: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Guardar archivos adjuntos de correo en caso:

Nombre del resultado del script Valor
is_success true o false

Buscar correo

Usa la acción Buscar correo para encontrar correos específicos en el buzón configurado mediante varios criterios de filtrado.

La acción obtiene detalles sobre los mensajes coincidentes en un archivo JSON, que se puede usar para realizar análisis automáticos o manuales posteriores.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Buscar correo requiere los siguientes parámetros:

Parámetro Descripción
Folder Name

Obligatorio.

Lista separada por comas de las carpetas de buzón en las que la acción busca correos.

El valor predeterminado es Inbox.
Subject Filter

Opcional.

Asunto que se usa para acotar la búsqueda de correos que coincidan.
Sender Filter

Opcional.

Dirección de un remitente que se usa para buscar correos coincidentes.
Recipient Filter

Opcional.

Dirección de un destinatario que se usa para buscar correos coincidentes.
Time frame (minutes)

Obligatorio.

El periodo (en minutos) en el que la búsqueda busca correos.

El valor predeterminado es 60.
Only Unread

Opcional.

Si se selecciona esta opción, la búsqueda solo devolverá los correos no leídos.

Inhabilitado de forma predeterminada
Max Emails To Return

Obligatorio.

Número máximo de correos que devuelve la acción como resultado.

El valor predeterminado es 100.

Resultados de la acción

La acción Buscar correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Buscar correo:

{
    "emails": {
        "email_1": {
            "message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user1@example.com,user2@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "pdfdocument.pdf",
            "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        },
        "email_2": {
            "message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user3@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "photo.jpg",        "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
            "attachmment_2": "word_document.docx",
            "attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        }
    }
}
Mensajes de salida

La acción Buscar correo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Search found NUMBER_OF_FOUND_EMAILS emails based on the provided search criteria

Search didn't found any matching emails

 La acción se ha realizado correctamente.

Search didn't completed successfully due to error: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Buscar correo:

Nombre del resultado del script Valor
is_success true o false

Enviar correo electrónico

Usa la acción Enviar correo para enviar correos desde el buzón configurado a varios destinatarios.

Esta acción devuelve de forma opcional el ID del mensaje, que puede usar la acción Esperar correo de usuario para monitorizar las respuestas de los usuarios y controlar la ejecución del cuaderno de estrategias.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Enviar correo requiere los siguientes parámetros:

Parámetro Descripción
Recipients

Obligatorio.

Las direcciones de correo principales del destinatario.

Si introduces varias, deben estar separadas por comas.
CC

Opcional.

Las direcciones de correo que se incluirán en el campo de copia (CC).

Si introduces varias, deben estar separadas por comas.
Bcc

Opcional.

Las direcciones de correo que se incluirán en el campo de copia oculta (Cco).

Si introduces varias, deben estar separadas por comas.
Subject

Obligatorio.

El asunto del mensaje de correo.
Content

Obligatorio.

El contenido del cuerpo del mensaje de correo.
Return message id for the sent email

Opcional.

Si se selecciona esta opción, la acción devuelve el ID de mensaje único en el resultado JSON.

La acción Esperar correo de usuario puede usar este ID para monitorizar las respuestas.

Esta opción está inhabilitada de forma predeterminada.
Attachments Paths

Opcional.

Lista separada por comas de rutas de archivo absolutas en el servidor para los archivos adjuntos.

Resultados de la acción

La acción Enviar correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Enviar correo:

{
    "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
Mensajes de salida

La acción Enviar correo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Mail sent successfully.

Mail sent successfully. Mail message ID is: MESSAGE_ID

 La acción se ha realizado correctamente.

Execution Failed: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enviar correo:

Nombre del resultado del script Valor
is_success true o false

Send Thread Reply

Usa la acción Send Thread Reply ("Enviar respuesta a conversación") para enviar un mensaje nuevo como respuesta en una conversación de correo con el ID del mensaje original.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Enviar respuesta de conversación requiere los siguientes parámetros:

Parámetro Descripción
Message ID

Obligatorio.

ID único del mensaje al que se envía la respuesta.
Folder Name

Obligatorio.

Lista separada por comas de las carpetas del buzón en las que la acción busca el correo original.

El nombre de la carpeta debe coincidir exactamente con el de la carpeta IMAP. Si el nombre contiene espacios, debe incluirse entre comillas dobles (por ejemplo, "[Gmail]/All Mail").

El valor predeterminado es Inbox.
Content

Obligatorio.

El contenido del cuerpo del mensaje de respuesta.
Attachment Paths

Opcional.

Lista separada por comas de las rutas de los archivos del servidor que se incluirán como archivos adjuntos en la respuesta.
Reply All

Opcional.

Si se selecciona esta opción, la respuesta se envía a todos los destinatarios del hilo de correo original.

Este parámetro tiene prioridad sobre Reply To.

Esta opción está habilitada de forma predeterminada.
Reply To

Opcional.

Lista separada por comas de direcciones de correo específicas que recibirán la respuesta.

Si Reply All está inhabilitado y no se proporciona ningún valor, la respuesta se envía únicamente al remitente del correo original.

Resultados de la acción

La acción Enviar respuesta de conversación proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran los resultados JSON que se reciben al usar la acción Enviar respuesta de conversación:

{
    "message_id": "<162556278608.14165.480701790user@example>",
    "recipients": "test@example.com"
}
Mensajes de salida

La acción Enviar respuesta de conversación puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully sent reply to the message with ID MESSAGE_ID in Exchange.

 La acción se ha realizado correctamente.

Error executing action "Send Thread Reply". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Enviar respuesta de conversación:

Nombre del resultado del script Valor
is_success true o false

Esperar correo del usuario

Usa la acción Esperar correo del usuario para pausar la ejecución del cuaderno de estrategias y monitorizar un buzón para ver si hay una respuesta a un mensaje enviado anteriormente con la acción Enviar correo.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Esperar correo del usuario requiere los siguientes parámetros:

Parámetro Descripción
Email Message_id

Obligatorio.

El ID de mensaje único del correo enviado del que la acción hace un seguimiento de las respuestas.

Si el mensaje se ha enviado mediante la acción Enviar correo, selecciona SendEmail.JSONResult.message_id como marcador de posición.
Email Date

Obligatorio.

Marca de tiempo que indica cuándo se envió el correo original. La acción usa este valor para calcular el periodo de respuesta.

Si el mensaje se envió mediante la acción Enviar correo, usa el marcador de posición SendEmail.JSONResult.email_date.
Email Recipients

Obligatorio.

Lista separada por comas de las direcciones de correo de los destinatarios de los que la acción espera una respuesta.

Si el mensaje se envió mediante la acción Enviar correo, usa el marcador de posición SendEmail.JSONResult.email_date.
Wait stage timeout (minutes)

Opcional.

Duración (en minutos) que la acción espera una respuesta antes de marcar la fase de espera como agotada.

El valor predeterminado es 1440.
Wait for all recipients to reply?

Opcional.

Si se selecciona esta opción, el manual espera las respuestas de todos los destinatarios para continuar. De lo contrario, continúa después de recibir la primera respuesta.

Esta opción está habilitada de forma predeterminada.
Wait stage exclude pattern

Opcional.

Un patrón de expresión regular que se usa para excluir respuestas específicas (como mensajes automáticos de ausencia de la oficina) para que no se consideren respuestas válidas.
Folder to check for reply

Opcional.

Lista separada por comas de las carpetas del buzón en las que la acción busca la respuesta del usuario.

Este parámetro distingue entre mayúsculas y minúsculas.

El valor predeterminado es Inbox.
Fetch Response Attachments

Opcional.

Si se selecciona esta opción, los archivos adjuntos incluidos en la respuesta del destinatario se guardarán como archivos adjuntos del resultado de la acción.

Esta opción está inhabilitada de forma predeterminada.

Resultados de la acción

La acción Esperar correo del usuario proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestran los resultados JSON recibidos al usar la acción Esperar correo del usuario:

{
    "Responses":
    {[
     "user1@example.com": "Approved",
     "user2@example.com": "",
     "user3@example.com": ""
     ]}
}
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Esperar correo del usuario:

Nombre del resultado del script Valor
is_success true o false

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).

Conector de correo IMAP genérico

Usa el conector de correo IMAP genérico para conectarte periódicamente a un correo IMAP y comprobar si hay correos nuevos en un buzón específico. El conector procesa los correos nuevos casi en tiempo real y los traduce en alertas y casos contextualizados en la plataforma Google SecOps.

Limitaciones y problemas conocidos

  1. Archivos adjuntos de Outlook (.eml): es posible que el conector no procese los archivos adjuntos convertidos al formato .eml por Microsoft Outlook si faltan encabezados críticos. Google SecOps seguirá creando una alerta para el correo, pero sin un evento basado en el archivo adjunto. En el siguiente registro se indica este problema:

    Error Code 1: Encountered an email object with missing headers. Please
visit documentation portal for more details.

  2. Faltan nombres de archivo: cuando se procesan archivos adjuntos de correo que no tienen un nombre de archivo en los encabezados del correo, el conector asigna un nombre de archivo de marcador de posición único: Undefined_{UUID}.eml. De esta forma, el archivo adjunto aparece como un evento en Google SecOps.

Reenvío de casos por correo electrónico

Google SecOps se comunica con el servidor de correo para buscar e ingerir correos, y los reenvía a la plataforma para traducirlos y contextualizarlos en tiempo casi real como alertas de seguridad.

Reglas de conectores

  • El conector usa SSL/TLS para asegurar la comunicación cifrada con el servidor de correo.
  • El conector admite la conexión al servidor de correo mediante un proxy para el tráfico IMAP e IMAPS.
  • El conector permite buscar correos en varias carpetas de buzón. El parámetro Folder acepta una lista de nombres de carpetas separados por comas y que distinguen entre mayúsculas y minúsculas.
  • El conector admite la codificación Unicode, lo que le permite procesar correos enviados en idiomas distintos del inglés.

Entradas de conectores

El conector de correo IMAP genérico requiere los siguientes parámetros:

Parámetro Descripción
Default Environment

Opcional.

Nombre del entorno al que se asignan las alertas insertadas.
Run Every

Opcional.

La frecuencia con la que se ejecuta el conector para comprobar si hay correos nuevos.

El valor predeterminado es 00:00:10:00 (10 minutos).
Product Field Name

Obligatorio.

Nombre del campo en el que se almacena el nombre del producto.

El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada.

El valor predeterminado es Product Name.
Event Field Name

Obligatorio.

Nombre del campo que determina el nombre del evento (subtipo).

El valor predeterminado es event_name_mail_type.
Additional headers to extract from emails

Opcional.

Lista separada por comas de los campos de encabezado personalizados que se extraerán del mensaje de correo durante el procesamiento del conector.
Script Timeout (Seconds)

Obligatorio.

El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual.

El valor predeterminado es 60.
IMAP Server Address

Obligatorio.

La dirección IP o el nombre de host DNS del servidor IMAP al que conectarse.
IMAP Port

Obligatorio.

El número de puerto que se usa para conectarse al servidor IMAP.
Username

Obligatorio.

Nombre de usuario del buzón del que el conector extrae correos, como user@example.com.
Password

Obligatorio.

La contraseña del buzón de correo que se usa para extraer los correos.
Folder to check for emails

Obligatorio.

Lista de carpetas de buzón separadas por comas en las que el conector busca correos.

Este parámetro distingue entre mayúsculas y minúsculas.

El valor predeterminado es Inbox.
Server Time Zone

Opcional.

La zona horaria configurada en el servidor de correo.

El valor predeterminado es UTC.
Environment Regex Pattern

Opcional.

Un patrón de expresión regular que se usa para manipular los datos del campo de evento y extraer el nombre del entorno.
IMAP USE SSL

Opcional.

Si se selecciona esta opción, el conector utiliza SSL/TLS para establecer una conexión IMAP segura con el servidor de correo.

Esta opción está habilitada de forma predeterminada.
Unread Emails Only

Opcional.

Si se selecciona esta opción, el conector solo extraerá los correos no leídos.

Esta opción está habilitada de forma predeterminada.
Mark Emails as Read

Opcional.

Si se selecciona esta opción, los correos se marcan como leídos después de que el conector los haya extraído correctamente.

Esta opción está habilitada de forma predeterminada.
Attach Original EML

Opcional.

Si se selecciona esta opción, el mensaje original se adjuntará a la alerta creada como archivo .eml.

Esta opción está inhabilitada de forma predeterminada.
Regex expressions to handle forwarded emails

Opcional.

Cadena JSON de una línea que contiene patrones de expresiones regulares para extraer los campos de asunto, remitente y destinatario originales de los correos reenviados.
Exclusion Body Regex

Opcional.

Un patrón de expresión regular que se usa para excluir correos de la ingesta si el contenido del cuerpo coincide con el patrón, como ([N|n]ewsletter)|([O|o]ut of office).
Exclusion Subject Regex

Opcional.

Patrón de expresión regular que se usa para excluir correos de la ingestión si el asunto coincide con el patrón, como ([N|n]ewsletter)|([O|o]ut of office).
Offset Time In Days

Obligatorio.

Número máximo de días hacia atrás desde los que el conector obtiene el correo (ventana de tiempo máxima).

Este valor también sirve como alternativa para la ejecución inicial o si la marca de tiempo del conector caduca, lo que asegura que las alertas se ingieran durante el periodo inhabilitado.

El valor predeterminado es 5.
Max Emails Per Cycle

Obligatorio.

Número máximo de correos que procesa el conector en un solo ciclo de sondeo.

El valor predeterminado es 10.
Proxy Server Address

Opcional.

Dirección del servidor proxy que se va a usar.
Proxy Username

Opcional.

Nombre de usuario para la autenticación del servidor proxy.
Proxy Password

Opcional.

La contraseña para la autenticación del servidor proxy.
Create a Separate Siemplify Alert per Attached Mail File?

Opcional.

Si se selecciona esta opción, el conector crea una alerta independiente para cada archivo de correo adjunto que se encuentre en un mensaje.

Esto resulta útil cuando la asignación de eventos se configura para crear entidades a partir de archivos de correo adjuntos.

Esta opción está inhabilitada de forma predeterminada.
Original Received Mail Prefix

Opcional.

Un prefijo (como orig) añadido a las claves extraídas (para, de, asunto, etc.) del correo original recibido en el buzón monitorizado.

El valor predeterminado es orig.
Attached Mail File Prefix

Opcional.

Prefijo (como attach) añadido a las claves extraídas (para, de, asunto, etc.) de los archivos de correo adjuntos que se encuentran en el correo.

El valor predeterminado es attach.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.