EmailV2 in Google SecOps einbinden

Integrationsversion: 36.0

In diesem Dokument wird beschrieben, wie Sie EmailV2 in Google Security Operations (Google SecOps) einbinden.

Anwendungsfälle

Bei der EmailV2-Integration werden die Google SecOps-Funktionen verwendet, um die folgenden Anwendungsfälle zu unterstützen:

  • Erstbeurteilung und Benachrichtigung bei Phishing: Automatisieren Sie den Prozess des Sendens von Benachrichtigungs-E‑Mails an Empfänger, einschließlich externer Nutzer, und richten Sie asynchrone Playbooks ein, um auf Nutzerantworten zu warten, z. B. die Bestätigung eines Phishing-Versuchs.

  • Anreicherung und Aufbewahrung von Vorfalldaten: Suchen Sie in einem Postfach anhand von Kriterien wie Absender oder Betreff nach zugehörigen Nachrichten und speichern Sie alle Dateianhänge aus verdächtigen E‑Mails direkt in der Fallübersicht zur forensischen Analyse und Datenaufbewahrung.

  • Postfachverwaltung und Eindämmung: Schädliche oder priorisierte E‑Mails werden automatisch aus dem Posteingang in Quarantäne- oder Archivordner verschoben oder E‑Mails, die bestimmten Filtern entsprechen, werden endgültig gelöscht (z. B. alle Kopien einer bekannten Malware-E‑Mail in mehreren Ordnern).

  • Antworten in Threads und Zusammenarbeit: Senden Sie mit der Aktion „Thread-Antwort senden“ eine sofortige Antwort oder eine strukturierte Antwort in einem vorhandenen E‑Mail-Thread. So werden alle erforderlichen Parteien mit relevanten Sicherheitsupdates auf dem Laufenden gehalten.

Hinweise

Damit die EmailV2-Integration erfolgreich eine Verbindung zu Ihrem Mailserver herstellen kann, müssen Sie dafür sorgen, dass das konfigurierte Postfach den Zugriff auf Drittanbieteranwendungen über IMAP/SMTP gewährt.

Wenn Sie ein Gmail-Konto verwenden, beachten Sie die folgenden Zugriffsoptionen:

  1. OAuth 2.0 (empfohlen): Die sicherste Methode, mit der Anwendungen über Tokens auf Maildaten zugreifen können, ohne dass Passwörter direkt offengelegt werden müssen. Weitere Informationen finden Sie unter Drittanbieter-Apps und Ihr Google-Konto.

  2. App-Passwort (empfohlen für die 2‑Faktor-Authentifizierung): Ein 16‑stelliger Sicherheitscode, der als Passwort-Ersatz für Drittanbieteranwendungen verwendet wird, wenn die 2‑Faktor-Authentifizierung aktiviert ist. Weitere Informationen finden Sie im Hilfeartikel Mit App-Passwörtern anmelden.

  3. Weniger sichere Apps (eingestellt): Mit dieser Legacy-Option können Apps, die nicht den neuesten Sicherheitsstandards von Google entsprechen, auf Ihr Konto zugreifen. Weitere Informationen finden Sie unter Der Zugriff auf Ihr Google-Konto durch weniger sichere Apps.

Netzwerkzugriff auf IMAP/SMTP

Für den Zugriff auf und die Verarbeitung von empfangenen E-Mails über IMAP und das Senden von ausgehenden E-Mails über SMTP ist Netzwerkzugriff mit den konfigurierten Kontoanmeldedaten erforderlich.

Netzwerkanforderungen

In der folgenden Tabelle wird der für die Kommunikation der Integration mit dem Mailserver erforderliche Netzwerkzugriff beschrieben:

Funktion Standardport Richtung Protokoll
Mailserverkommunikation Mehrere Werte Ausgehend IMAP/SMTP

Integrationsparameter

Für die EmailV2-Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
IMAP - Use SSL

Optional.

Wenn diese Option ausgewählt ist, wird bei der Verbindung zum IMAP-Server eine sichere Kommunikation (SSL/TLS) aktiviert.

Standardmäßig aktiviert.
SMTP - Use Authentication

Optional.

Wenn diese Option ausgewählt ist, wird die Authentifizierung für die SMTP-Verbindung aktiviert.

Dies ist erforderlich, wenn der SMTP-Server nicht als „offenes Relay“ konfiguriert ist und Anmeldedaten zum Senden ausgehender E‑Mails benötigt.

Standardmäßig aktiviert.
Sender's Address

Erforderlich.

Die E-Mail-Adresse des Postfachs, das von der Integration zum Senden und Empfangen von Nachrichten verwendet wird.
Sender's Display Name

Erforderlich.

Der Name, der als Absender angezeigt wird, wenn die Integration E‑Mails sendet.
SMTP Server Address

Optional.

Der DNS-Hostname oder die IP-Adresse des zum Senden von E-Mails verwendeten SMTP-Servers, z. B. smtp.hmail.com.
SMTP Port

Optional.

Die Portnummer, die für die Verbindung mit dem SMTP-Server verwendet wird, z. B. 565.
IMAP Server Address

Optional.

Der DNS-Hostname oder die IP-Adresse des IMAP-Servers, der zum Abrufen empfangener E‑Mails erforderlich ist, z. B. imap.hmail.com.
IMAP Port

Optional.

Die Portnummer, die für die Verbindung mit dem IMAP-Server verwendet wird, z. B. 995.
Username

Erforderlich.

Der Nutzername, der für die Authentifizierung beim Mailserver erforderlich ist.
Password

Erforderlich.

Das Passwort, das für die Authentifizierung beim Mailserver erforderlich ist.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

E-Mails löschen

Mit der Aktion E-Mail löschen können Sie E-Mails aus dem Postfach entfernen, die bestimmten Suchkriterien entsprechen. Mit dieser Aktion können Sie entweder die erste übereinstimmende E‑Mail oder alle übereinstimmenden E‑Mails löschen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail löschen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Folder Name

Erforderlich.

Eine durch Kommas getrennte Liste der Postfachordner, in denen die Aktion nach E‑Mails sucht.
Message IDs

Optional.

Eine durch Kommas getrennte Liste mit bestimmten Nachrichten-IDs, nach denen gesucht und die gelöscht werden sollen.

Falls angegeben, überschreibt diese Liste die Subject Filter, Sender Filter und Recipient Filter.
Subject Filter

Optional.

Ein Betreff, mit dem die Suche nach übereinstimmenden E‑Mails eingeschränkt wird.
Sender Filter

Optional.

Die Adresse eines Absenders, die zum Suchen nach übereinstimmenden E‑Mails verwendet wird.
Recipient Filter

Optional.

Die Adresse eines Empfängers, die zum Suchen nach übereinstimmenden E-Mails verwendet wird.
Days Back

Optional.

Der Zeitraum (in Tagen), in dem die Aktion nach zu löschenden E‑Mails sucht.

Der Zeitraum wird mit Tagesgranularität berechnet.

Wenn Sie den Wert 0 verwenden, wird die Suche auf E‑Mails beschränkt, die nur am aktuellen Tag empfangen wurden.

Der Standardwert ist 0.
Delete all matching emails

Optional.

Wenn diese Option ausgewählt ist, werden alle E-Mails gelöscht, die den angegebenen Kriterien entsprechen. Andernfalls wird nur die erste Übereinstimmung gelöscht.

Standardmäßig deaktiviert.

Aktionsausgaben

Die Aktion E‑Mail löschen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion E-Mail löschen empfangen werden:

{
    "deleted_emails": {
        "email_1_deleted": {
            "message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
            "deleted_from_folder": "Inbox",
            "subject": "Suspicious Login Alert - Deleted",
            "sender": "noreply@system.com",
            "timestamp": "2025-11-20T14:30:00Z"
        },
        "email_2_deleted": {
            "message_id": "<u1v2w3x4y5z6a7b8c9d0e1f2g3h4i5j6k7l8m9n0@mail.example.com>",
            "deleted_from_folder": "Spam",
            "subject": "Phishing Offer",
            "sender": "scam@badsite.net",
            "timestamp": "2025-11-15T09:15:00Z"
        }
    }
}
Ausgabenachrichten

Die Aktion E-Mail löschen kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

NUMBER_OF_DELETED_EMAILS email(s) were deleted successfully

Failed to find emails for deletion!

 Die Aktion wurde erfolgreich ausgeführt.

Error deleting emails ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion E-Mail löschen verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

DownloadEmailAttachments

Mit der Aktion E‑Mail-Anhänge herunterladen können Sie Anhänge aus bestimmten E‑Mails abrufen und in einem bestimmten Pfad auf dem Google SecOps-Server speichern.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail-Anhänge herunterladen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Folder Name

Erforderlich.

Eine durch Kommas getrennte Liste der Postfachordner, in denen die Aktion nach der E‑Mail sucht.

Der Standardwert ist Inbox.
Download Path

Erforderlich.

Der Pfad auf dem Google SecOps-Server, unter dem die heruntergeladenen Anhänge gespeichert werden.
Message IDs

Optional.

Eine durch Kommas getrennte Liste von Nachrichten-IDs, aus denen Anhänge heruntergeladen werden sollen.
Subject filter

Optional.

Eine Betreffzeile, mit der die Suche nach der E‑Mail eingegrenzt wird.

Aktionsausgaben

Die Aktion E‑Mail-Anhänge herunterladen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion E-Mail-Anhänge herunterladen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Downloaded NUMBER_OF_ATTACHMENTS attachments. ATTACHMENT_PATHS

 Die Aktion wurde erfolgreich ausgeführt.

failed to download email attachments, the error is: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion E-Mail-Anhänge herunterladen verwendet wird:

Name des Scriptergebnisses Wert
attachments_local_paths Ein String mit durch Kommas getrennten vollständigen Pfaden zu den gespeicherten Anhängen.

E‑Mail weiterleiten

Mit der Aktion E‑Mail weiterleiten können Sie eine vorhandene E‑Mail, einschließlich des vorherigen Threadinhalts, an neue Empfänger senden. Dazu müssen Sie die eindeutige Nachrichten-ID der ursprünglichen E‑Mail angeben.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail weiterleiten sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Folder Name

Erforderlich.

Die Postfachordner, in denen sich die ursprüngliche E‑Mail befindet.

  • Geben Sie eine durch Kommas getrennte Liste an, wenn Sie mehrere Ordner prüfen.
  • Der Ordnername muss exakt mit dem IMAP-Ordner übereinstimmen.
  • Wenn der Ordnername Leerzeichen enthält, muss er in doppelte Anführungszeichen gesetzt werden.

Der Standardwert ist Inbox.
Message ID of the email to forward

Erforderlich.

Die eindeutige message_id der vorhandenen E‑Mail, an die die Aktion weitergeleitet wird.
Recipients

Erforderlich.

Eine durch Kommas getrennte Liste der primären E-Mail-Adressen der neuen Empfänger.
CC

Optional.

Eine durch Kommas getrennte Liste von E‑Mail-Adressen, die im Feld „Cc“ enthalten sein sollen.
BCC

Optional.

Eine durch Kommas getrennte Liste von E‑Mail-Adressen, die im Feld „BCC“ enthalten sein sollen.
Subject

Erforderlich.

Der Betreff der weitergeleiteten E‑Mail.
Content

Optional.

Zusätzlicher Text, der in die weitergeleitete E‑Mail eingefügt werden soll.
Return message id for the forwarded email

Optional.

Wenn diese Option ausgewählt ist, gibt die Aktion die eindeutige Nachrichten-ID der neu weitergeleiteten E‑Mail im JSON-Ergebnis zurück.

Standardmäßig deaktiviert.
Attachment Paths

Optional.

Eine durch Kommas getrennte Liste von Dateipfaden auf dem Server für zusätzliche Anhänge.

Aktionsausgaben

Die Aktion E‑Mail weiterleiten liefert die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion E‑Mail weiterleiten empfangen werden:

{
   "Date"
   "message_id"
   "Recipient"
}
Ausgabenachrichten

Die Aktion E‑Mail weiterleiten kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Email was forwarded successfully.

Mail was forwarded successfully. Mail message ID is: MESSAGE_ID

 Die Aktion wurde erfolgreich ausgeführt.

Failed to forward the email! The Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion E‑Mail weiterleiten verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

E‑Mail in Ordner verschieben

Mit der Aktion E-Mail in Ordner verschieben können Sie E-Mails aus einem angegebenen Quellordner in einen anderen Zielordner im Postfach übertragen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E-Mail in Ordner verschieben sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Source Folder Name

Erforderlich.

Der Name des Quellordners, aus dem die E‑Mails verschoben werden.
Destination Folder Name

Erforderlich.

Der Name des Zielordners, in den die E‑Mails verschoben werden.
Message IDs

Optional.

Eine durch Kommas getrennte Liste mit bestimmten Nachrichten-IDs, nach denen gesucht und die verschoben werden sollen.

Wenn angegeben, wird Subject Filter durch diese Liste überschrieben.
Subject Filter

Optional.

Ein Betreff, mit dem die Suche nach übereinstimmenden E‑Mails eingeschränkt wird.
Only Unread

Optional.

Wenn diese Option ausgewählt ist, werden die Suchergebnisse auf ungelesene E‑Mails beschränkt.

Standardmäßig deaktiviert.

Aktionsausgaben

Die Aktion E‑Mail in Ordner verschieben bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion E-Mail in Ordner verschieben empfangen werden:

{
    "emails": {
        "email_1": {
            "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1@mail.example.com>",
            "received": "Mon, 24 Nov 2025 10:00:00 +0000",
            "sender": "security-alert@example.com",
            "recipients": "user@example.com",
            "subject": "Phishing Alert: Urgent Action Required",
            "plaintext_body": "Original alert content...",
            "moved_from_folder": "Inbox",
            "moved_to_folder": "Quarantine"
        },
        "email_2": {
            "message_id": "<a5b6c7d8e9f01g2h3i4j5k6l7m8n9o0p1q2r3s4t@mail.example.com>",
            "received": "Sun, 23 Nov 2025 14:30:00 +0000",
            "sender": "noreply@system.com",
            "recipients": "user@example.com",
            "subject": "System Update Notification",
            "plaintext_body": "System update successful...",
            "moved_from_folder": "Inbox",
            "moved_to_folder": "Archive"
        }
    }
}
Ausgabenachrichten

Die Aktion E‑Mail in Ordner verschieben kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

NUMBER_OF_MOVED_EMAILS mails were successfully moved from SOURCE_FOLDER bis DESTINATION_FOLDER

No mails were found matching the search criteria!

 Die Aktion wurde erfolgreich ausgeführt.

Error search emails: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion E-Mail in Ordner verschieben verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Email V2 zu testen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the email server server with the provided connection parameters!

 Die Aktion wurde erfolgreich ausgeführt.

Failed to connect to the IMAP server! Error is ERROR_REASON

Failed to connect to the SMTP server! Error is ERROR_REASON

SMTP (or IMAP) configuration is needed to execute action. Please configure STMP (or IMAP) on integration configuration page in Marketplace.

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

E-Mail-Anhänge in Anfragen speichern

Mit der Aktion E‑Mail-Anhänge im Kundenvorgang speichern können Sie Anhänge aus bestimmten E‑Mails im Postfach abrufen und automatisch in der Fallwand des aktuellen Kundenvorgangs speichern.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail-Anhänge im Kundenserviceticket speichern sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Folder Name

Erforderlich.

Eine durch Kommas getrennte Liste der Postfachordner, in denen die Aktion nach der E‑Mail sucht.
Message ID

Optional.

Die eindeutige Nachrichten-ID der E‑Mail, aus der Anhänge heruntergeladen werden sollen.
Attachment To Save

Optional.

Der spezifische Name des Anhangs, der gespeichert wird.

Wenn kein Wert angegeben ist, werden alle Anhänge aus der E‑Mail in der Fallwand gespeichert.

Aktionsausgaben

Die Aktion E‑Mail-Anhänge im Kundenserviceticket speichern bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion E-Mail-Anhänge im Kundenvorgang speichern empfangen werden:

{
    "saved_attachments_from_email": {
        "message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
        "subject": "Email with Malicious Attachment",
        "sender": "external@suspicious.com",
        "attachments_saved": [
            {
                "file_name": "Invoice_Q3_2025.pdf",
                "file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
                "saved_to_case_wall": "True"
            },
            {
                "file_name": "Report_Data.docx",
                "file_hash_md5": "b3e0c1a9f8d7c6b5a4e3d2c1b0a9f8e7",
                "saved_to_case_wall": "True"
            }
        ]
    }
}
Ausgabenachrichten

Die Aktion Save Email Attachments to Case (E‑Mail-Anhänge im Kundenserviceticket speichern) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully saved the following attachments from the email MESSAGE_ID: MESSAGE_INFO

 Die Aktion wurde erfolgreich ausgeführt.

Failed to save the email attachments to the case, the error is: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Save Email Attachments to Case (E-Mail-Anhänge im Fall speichern) verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

E-Mail suchen

Mit der Aktion E‑Mail suchen können Sie anhand verschiedener Filterkriterien nach bestimmten E‑Mails im konfigurierten Postfach suchen.

Die Aktion ruft Details zu den übereinstimmenden Nachrichten in einer JSON-Datei ab, die für die nachfolgende automatisierte oder manuelle Analyse verwendet werden kann.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail suchen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Folder Name

Erforderlich.

Eine durch Kommas getrennte Liste der Postfachordner, in denen die Aktion nach E‑Mails sucht.

Der Standardwert ist Inbox.
Subject Filter

Optional.

Ein Betreff, mit dem die Suche nach übereinstimmenden E‑Mails eingeschränkt wird.
Sender Filter

Optional.

Die Adresse eines Absenders, die zum Suchen nach übereinstimmenden E‑Mails verwendet wird.
Recipient Filter

Optional.

Die Adresse eines Empfängers, die zum Suchen nach übereinstimmenden E-Mails verwendet wird.
Time frame (minutes)

Erforderlich.

Der Zeitraum (in Minuten), in dem die Suche nach E‑Mails zurückblickt.

Der Standardwert ist 60.
Only Unread

Optional.

Wenn diese Option ausgewählt ist, werden bei der Suche nur ungelesene E‑Mails abgerufen.

Standardmäßig deaktiviert
Max Emails To Return

Erforderlich.

Die maximale Anzahl von E‑Mails, die von der Aktion als Ergebnis zurückgegeben werden.

Der Standardwert ist 100.

Aktionsausgaben

Die Aktion E‑Mail suchen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion E‑Mail suchen empfangen werden:

{
    "emails": {
        "email_1": {
            "message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user1@example.com,user2@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "pdfdocument.pdf",
            "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        },
        "email_2": {
            "message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user3@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "photo.jpg",        "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
            "attachmment_2": "word_document.docx",
            "attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        }
    }
}
Ausgabenachrichten

Die Aktion E‑Mail suchen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Search found NUMBER_OF_FOUND_EMAILS emails based on the provided search criteria

Search didn't found any matching emails

 Die Aktion wurde erfolgreich ausgeführt.

Search didn't completed successfully due to error: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion E-Mail suchen aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

E-Mail senden

Mit der Aktion E-Mail senden können Sie E-Mails vom konfigurierten Postfach an mehrere Empfänger senden.

Bei dieser Aktion wird optional die Nachrichten-ID zurückgegeben, die dann von der Aktion Auf E-Mail vom Nutzer warten verwendet werden kann, um Nutzerantworten zu verfolgen und die Playbook-Ausführung zu steuern.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail senden sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Recipients

Erforderlich.

Die primären E-Mail-Adressen der Empfänger.

Trennen Sie mehrere Adressen durch Kommas.
CC

Optional.

Die E‑Mail-Adressen, die im Feld „Cc“ enthalten sein sollen.

Trennen Sie mehrere Adressen durch Kommas.
Bcc

Optional.

Die E‑Mail-Adressen, die im Feld „Bcc“ (Blind Carbon Copy) enthalten sein sollen.

Trennen Sie mehrere Adressen durch Kommas.
Subject

Erforderlich.

Die Betreffzeile der E‑Mail.
Content

Erforderlich.

Der Inhalt des E‑Mail-Texts.
Return message id for the sent email

Optional.

Wenn diese Option ausgewählt ist, gibt die Aktion die eindeutige Nachrichten-ID im JSON-Ergebnis zurück.

Diese ID kann von der Aktion Auf E-Mail vom Nutzer warten verwendet werden, um Antworten zu verfolgen.

Standardmäßig deaktiviert.
Attachments Paths

Optional.

Eine durch Kommas getrennte Liste mit absoluten Dateipfaden auf dem Server für Anhänge.

Aktionsausgaben

Die Aktion E‑Mail senden bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion E-Mail senden empfangen werden:

{
    "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
Ausgabenachrichten

Die Aktion E‑Mail senden kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Mail sent successfully.

Mail sent successfully. Mail message ID is: MESSAGE_ID

 Die Aktion wurde erfolgreich ausgeführt.

Execution Failed: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion E-Mail senden verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Antwort auf Unterhaltung senden

Mit der Aktion Send Thread Reply (Antwort in Unterhaltung senden) können Sie eine neue Nachricht als Antwort in einem vorhandenen E‑Mail-Unterhaltungsthread senden. Dazu verwenden Sie die ursprüngliche Nachrichten-ID.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Antwort auf Thread senden sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Message ID

Erforderlich.

Die eindeutige ID der Nachricht, auf die geantwortet wird.
Folder Name

Erforderlich.

Eine durch Kommas getrennte Liste der Postfachordner, in denen die Aktion nach der ursprünglichen E‑Mail sucht.

Der Ordnername muss exakt mit dem IMAP-Ordner übereinstimmen. Wenn der Name Leerzeichen enthält, muss er in doppelte Anführungszeichen gesetzt werden, z. B. „[Gmail]/Alle E-Mails“.

Der Standardwert ist Inbox.
Content

Erforderlich.

Der Inhalt der Antwortnachricht.
Attachment Paths

Optional.

Eine durch Kommas getrennte Liste von Dateipfaden auf dem Server für Anhänge, die in die Antwort aufgenommen werden sollen.
Reply All

Optional.

Wenn diese Option ausgewählt ist, wird die Antwort an alle Empfänger der ursprünglichen E‑Mail-Konversation gesendet.

Dieser Parameter hat Vorrang vor Reply To.

Standardmäßig aktiviert.
Reply To

Optional.

Eine kommagetrennte Liste mit bestimmten E-Mail-Adressen, an die die Antwort gesendet werden soll.

Wenn Reply All deaktiviert ist und kein Wert angegeben wird, wird die Antwort nur an den Absender der ursprünglichen E‑Mail gesendet.

Aktionsausgaben

Die Aktion Antwort auf Thread senden bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Send Thread Reply (Antwort auf Thread senden) empfangen werden:

{
    "message_id": "<162556278608.14165.480701790user@example>",
    "recipients": "test@example.com"
}
Ausgabenachrichten

Die Aktion Send Thread Reply (Antwort auf Thread senden) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully sent reply to the message with ID MESSAGE_ID in Exchange.

 Die Aktion wurde erfolgreich ausgeführt.

Error executing action "Send Thread Reply". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Send Thread Reply (Antwort auf Thread senden) verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Auf E‑Mail vom Nutzer warten

Mit der Aktion Auf E-Mail vom Nutzer warten können Sie die Ausführung des Playbooks pausieren und ein Postfach auf eine Antwort auf eine Nachricht überwachen, die zuvor mit der Aktion E-Mail senden gesendet wurde.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Auf E-Mail vom Nutzer warten sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Email Message_id

Erforderlich.

Die eindeutige Nachrichten-ID der gesendeten E‑Mail, für die die Aktion Antworten erfasst.

Wenn die Nachricht mit der Aktion „E-Mail senden“ gesendet wurde, wählen Sie SendEmail.JSONResult.message_id als Platzhalter aus.
Email Date

Erforderlich.

Der Zeitstempel, der angibt, wann die ursprüngliche E‑Mail gesendet wurde. Die Aktion verwendet diesen Wert, um das Antwortzeitfenster zu berechnen.

Wenn die Nachricht mit der Aktion „E-Mail senden“ gesendet wurde, verwenden Sie den Platzhalter SendEmail.JSONResult.email_date.
Email Recipients

Erforderlich.

Eine durch Kommas getrennte Liste der E‑Mail-Adressen der Empfänger, von denen die Aktion auf eine Antwort wartet.

Wenn die Nachricht mit der Aktion „E-Mail senden“ gesendet wurde, verwenden Sie den Platzhalter SendEmail.JSONResult.email_date.
Wait stage timeout (minutes)

Optional.

Die Dauer (in Minuten), die die Aktion auf eine Antwort wartet, bevor die Wartephase als Zeitüberschreitung markiert wird.

Der Standardwert ist 1440.
Wait for all recipients to reply?

Optional.

Wenn diese Option ausgewählt ist, wartet das Playbook auf Antworten von allen Empfängern, bevor es fortgesetzt wird. Andernfalls wird es fortgesetzt, nachdem die erste Antwort eingegangen ist.

Standardmäßig aktiviert.
Wait stage exclude pattern

Optional.

Ein Muster für reguläre Ausdrücke, mit dem bestimmte Antworten (z. B. automatische Abwesenheitsnachrichten) ausgeschlossen werden, damit sie nicht als gültige Antworten berücksichtigt werden.
Folder to check for reply

Optional.

Eine durch Kommas getrennte Liste der Posteingangsordner, in denen nach der Antwort des Nutzers gesucht wird.

Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden.

Der Standardwert ist Inbox.
Fetch Response Attachments

Optional.

Wenn diese Option ausgewählt ist, werden alle Anhänge, die in der Antwort des Empfängers enthalten sind, als Anhänge für das Aktionsergebnis gespeichert.

Standardmäßig deaktiviert.

Aktionsausgaben

Die Aktion Auf E-Mail vom Nutzer warten bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Wait for Email From User (Auf E-Mail vom Nutzer warten) empfangen werden:

{
    "Responses":
    {[
     "user1@example.com": "Approved",
     "user2@example.com": "",
     "user3@example.com": ""
     ]}
}
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Auf E-Mail vom Nutzer warten verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Generischer IMAP-E‑Mail-Connector

Verwenden Sie den Generic IMAP Email Connector, um regelmäßig eine Verbindung zu einem IMAP-Postfach herzustellen und ein bestimmtes Postfach auf neue E‑Mails zu prüfen. Der Connector verarbeitet neue E‑Mails nahezu in Echtzeit und wandelt sie in kontextbezogene Benachrichtigungen und Fälle auf der Google SecOps-Plattform um.

Bekannte Probleme und Beschränkungen

  1. Outlook-Anhänge (.eml): Der Connector verarbeitet möglicherweise keine Anhänge, die von Microsoft Outlook in das EML-Format konvertiert wurden, wenn wichtige Kopfzeilen fehlen. Google SecOps erstellt weiterhin eine Benachrichtigung für die E‑Mail, jedoch ohne ein Ereignis basierend auf dem Anhang. Das folgende Log weist auf dieses Problem hin:

    Error Code 1: Encountered an email object with missing headers. Please
visit documentation portal for more details.

  2. Fehlende Dateinamen: Wenn angehängte E-Mail-Dateien verarbeitet werden, denen in den E-Mail-Headern ein Dateiname fehlt, weist der Connector einen eindeutigen Platzhalterdateinamen zu: Undefined_{UUID}.eml. So kann der Anhang als Ereignis in Google SecOps angezeigt werden.

E‑Mail-Fallweiterleitung

Google SecOps kommuniziert mit dem E‑Mail-Server, um nach E‑Mails zu suchen und sie aufzunehmen. Die E‑Mails werden an die Plattform weitergeleitet, um sie nahezu in Echtzeit zu übersetzen und als Sicherheitswarnungen in den Kontext zu setzen.

Connector-Regeln

  • Der Connector verwendet SSL/TLS, um eine verschlüsselte Kommunikation mit dem E‑Mail-Server zu gewährleisten.
  • Der Connector unterstützt die Verbindung zum E-Mail-Server über einen Proxy für IMAP- und IMAPS-Traffic.
  • Mit dem Connector können E‑Mails in mehreren Postfachordnern gesucht werden. Für den Parameter Folder kann eine durch Kommas getrennte Liste von Ordnernamen angegeben werden, bei der die Groß-/Kleinschreibung beachtet werden muss.
  • Der Connector unterstützt die Unicode-Codierung und kann daher E-Mails verarbeiten, die in anderen Sprachen als Englisch gesendet werden.

Connector-Eingaben

Für den Generic IMAP Email Connector sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Default Environment

Optional.

Der Name der Umgebung, der aufgenommene Benachrichtigungen zugewiesen werden.
Run Every

Optional.

Die Häufigkeit, mit der der Connector ausgeführt wird, um nach neuen E‑Mails zu suchen.

Der Standardwert ist 00:00:10:00 (10 Minuten).
Product Field Name

Erforderlich.

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst.

Der Standardwert ist Product Name.
Event Field Name

Erforderlich.

Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.

Der Standardwert ist event_name_mail_type.
Additional headers to extract from emails

Optional.

Eine durch Kommas getrennte Liste von benutzerdefinierten Headerfeldern, die während der Connector-Verarbeitung aus der E‑Mail-Nachricht extrahiert werden sollen.
Script Timeout (Seconds)

Erforderlich.

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.

Der Standardwert ist 60.
IMAP Server Address

Erforderlich.

Die IP-Adresse oder der DNS-Hostname des IMAP-Servers, zu dem eine Verbindung hergestellt werden soll.
IMAP Port

Erforderlich.

Die Portnummer für die Verbindung mit dem IMAP-Server.
Username

Erforderlich.

Der Nutzername für das Postfach, aus dem der Connector E-Mails abruft, z. B. user@example.com.
Password

Erforderlich.

Das Passwort für das Postfach, aus dem E‑Mails abgerufen werden.
Folder to check for emails

Erforderlich.

Eine durch Kommas getrennte Liste von Postfachordnern, in denen der Connector nach E‑Mails sucht.

Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden.

Der Standardwert ist Inbox.
Server Time Zone

Optional.

Die im Mailserver konfigurierte Zeitzone.

Der Standardwert ist UTC.
Environment Regex Pattern

Optional.

Ein Muster für reguläre Ausdrücke, mit dem die Daten des Ereignisfelds bearbeitet und der Name der Umgebung extrahiert werden kann.
IMAP USE SSL

Optional.

Wenn diese Option ausgewählt ist, verwendet der Connector SSL/TLS, um eine sichere IMAP-Verbindung zum Mailserver herzustellen.

Standardmäßig aktiviert.
Unread Emails Only

Optional.

Wenn diese Option ausgewählt ist, werden nur ungelesene E‑Mails vom Connector abgerufen.

Standardmäßig aktiviert.
Mark Emails as Read

Optional.

Wenn diese Option ausgewählt ist, werden E‑Mails als gelesen markiert, nachdem sie vom Connector abgerufen wurden.

Standardmäßig aktiviert.
Attach Original EML

Optional.

Wenn diese Option ausgewählt ist, wird die ursprüngliche Nachricht als EML-Datei an die erstellte Benachrichtigung angehängt.

Standardmäßig deaktiviert.
Regex expressions to handle forwarded emails

Optional.

Ein einzeiliger JSON-String mit regulären Ausdrucksmustern zum Extrahieren der Felder „Originalbetreff“, „Absender“ und „Empfänger“ aus weitergeleiteten E-Mails.
Exclusion Body Regex

Optional.

Ein Muster für reguläre Ausdrücke, mit dem E-Mails von der Aufnahme ausgeschlossen werden, wenn der Inhalt des E-Mail-Bodys mit dem Muster übereinstimmt, z. B. ([N|n]ewsletter)|([O|o]ut of office).
Exclusion Subject Regex

Optional.

Ein Muster für einen regulären Ausdruck, mit dem E-Mails von der Aufnahme ausgeschlossen werden, wenn die Betreffzeile dem Muster entspricht, z. B. ([N|n]ewsletter)|([O|o]ut of office).
Offset Time In Days

Erforderlich.

Die maximale Anzahl von Tagen, für die der Connector E-Mails abruft (maximaler Zeitraum).

Dieser Wert dient auch als Fallback für den ersten Lauf oder wenn der Connector-Zeitstempel abläuft. So wird sichergestellt, dass Benachrichtigungen für den deaktivierten Zeitraum erfasst werden.

Der Standardwert ist 5.
Max Emails Per Cycle

Erforderlich.

Die maximale Anzahl von E-Mails, die der Connector in einem einzelnen Polling-Zyklus verarbeitet.

Der Standardwert ist 10.
Proxy Server Address

Optional.

Die Adresse des zu verwendenden Proxyservers.
Proxy Username

Optional.

Der Nutzername für die Authentifizierung beim Proxyserver.
Proxy Password

Optional.

Das Passwort für die Authentifizierung des Proxyservers.
Create a Separate Siemplify Alert per Attached Mail File?

Optional.

Wenn diese Option ausgewählt ist, wird für jede angehängte E‑Mail-Datei in einer Nachricht eine separate Benachrichtigung erstellt.

Das ist nützlich, wenn die Ereigniszuordnung so eingestellt ist, dass Entitäten aus angehängten E‑Mail-Dateien erstellt werden.

Standardmäßig deaktiviert.
Original Received Mail Prefix

Optional.

Ein Präfix (z. B. orig), das den extrahierten Schlüsseln (An, Von, Betreff usw.) aus der Original-E-Mail hinzugefügt wird, die im überwachten Postfach empfangen wurde.

Der Standardwert ist orig.
Attached Mail File Prefix

Optional.

Ein Präfix (z. B. attach), das extrahierten Schlüsseln (An, Von, Betreff usw.) aus angehängten Maildateien in der E‑Mail hinzugefügt wird.

Der Standardwert ist attach.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten