Cette page a été traduite par l'API Cloud Translation.

Intégrer EmailV2 à Google SecOps

Version de l'intégration : 36.0

Ce document explique comment intégrer EmailV2 à Google Security Operations (Google SecOps).

Cas d'utilisation

L'intégration EmailV2 utilise les fonctionnalités Google SecOps pour prendre en charge les cas d'utilisation suivants :

Tri et notification des tentatives d'hameçonnage : automatisez l'envoi d'e-mails de notification aux destinataires, y compris les utilisateurs externes, et configurez des playbooks asynchrones pour attendre les réponses des utilisateurs (par exemple, la confirmation d'une tentative d'hameçonnage).
Enrichissement et conservation des données d'incident : recherchez les messages associés dans une boîte aux lettres en fonction de critères (comme l'expéditeur ou l'objet) et enregistrez toutes les pièces jointes des e-mails suspects directement sur le mur de l'affaire pour l'analyse forensique et la conservation des données.
Gestion et confinement des boîtes aux lettres : déplacez automatiquement les e-mails malveillants ou triés de la boîte de réception vers des dossiers de quarantaine ou d'archivage, ou supprimez définitivement les e-mails qui correspondent à des filtres spécifiques (par exemple, en supprimant toutes les copies d'un e-mail contenant un logiciel malveillant connu dans plusieurs dossiers).
Réponse et collaboration dans un fil de discussion : envoyez une réponse immédiate ou structurée dans un fil de discussion existant à l'aide de l'action "Envoyer une réponse dans le fil de discussion". Vous vous assurez ainsi que toutes les parties concernées sont tenues informées des mises à jour de sécurité pertinentes.

Avant de commencer

Pour que l'intégration EmailV2 puisse se connecter correctement à votre serveur de messagerie, vous devez vous assurer que la boîte aux lettres configurée autorise l'accès aux applications tierces à l'aide d'IMAP/SMTP.

Si vous utilisez un compte Gmail, notez les options d'accès suivantes :

OAuth 2.0 (recommandé) : méthode la plus sécurisée, qui permet aux applications d'accéder aux données de messagerie à l'aide de jetons sans avoir à exposer directement les mots de passe. Pour en savoir plus, consultez Applications tierces et votre compte Google.
Mot de passe d'application (recommandé pour l'A2F) : code secret à 16 chiffres utilisé comme substitut de mot de passe pour les applications tierces lorsque la validation en deux étapes est activée. Pour en savoir plus, consultez Se connecter avec des mots de passe d'application.
Applications moins sécurisées (obsolète) : cette ancienne option permet l'accès aux applications qui ne respectent pas les dernières normes de sécurité de Google. Pour en savoir plus, consultez Les applications moins sécurisées et votre compte Google.

Important : Utilisez cette option avec la plus grande prudence, car elle rend votre compte moins sécurisé.

Accès réseau à IMAP/SMTP

Pour accéder aux e-mails reçus et les traiter à l'aide d'IMAP, et pour envoyer des e-mails sortants à l'aide de SMTP, vous devez disposer d'un accès au réseau à l'aide des identifiants de compte configurés.

Configuration réseau requise

Le tableau suivant détaille l'accès réseau requis pour que l'intégration puisse communiquer avec le serveur de messagerie :

Fonction	Port par défaut	Direction	Protocole
Communication avec le serveur de messagerie	Valeurs multiples	Sortant	IMAP/SMTP

Paramètres d'intégration

L'intégration EmailV2 nécessite les paramètres suivants :

Paramètre	Description
`IMAP - Use SSL`	Facultatif. Si cette option est sélectionnée, l'action permet une communication sécurisée (SSL/TLS) lors de la connexion au serveur IMAP. Cette option est activée par défaut.
`SMTP - Use Authentication`	Facultatif. Si cette option est sélectionnée, l'action permet l'authentification pour la connexion SMTP. Cette option est obligatoire lorsque le serveur SMTP n'est pas configuré en "relais ouvert" et qu'il nécessite des identifiants pour envoyer des e-mails sortants. Cette option est activée par défaut.
`Sender's Address`	Obligatoire. Adresse e-mail de la boîte aux lettres utilisée par l'intégration pour envoyer et recevoir des messages.
`Sender's Display Name`	Obligatoire. Nom de l'expéditeur qui s'affiche lorsque l'intégration envoie des e-mails.
`SMTP Server Address`	Facultatif. Nom d'hôte DNS ou adresse IP du serveur SMTP utilisé pour envoyer des e-mails, par exemple `smtp.hmail.com`.
`SMTP Port`	Facultatif. Numéro de port utilisé pour se connecter au serveur SMTP, tel que `565`.
`IMAP Server Address`	Facultatif. Nom d'hôte DNS ou adresse IP du serveur IMAP requis pour récupérer les e-mails reçus, par exemple `imap.hmail.com`.
`IMAP Port`	Facultatif. Numéro de port utilisé pour se connecter au serveur IMAP, par exemple `995`.
`Username`	Obligatoire. Nom d'utilisateur requis pour l'authentification auprès du serveur de messagerie.
`Password`	Obligatoire. Mot de passe requis pour l'authentification auprès du serveur de messagerie.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Supprimer des messages

Utilisez l'action Supprimer l'e-mail pour supprimer de la boîte aux lettres les e-mails qui correspondent aux critères de recherche spécifiés. Vous pouvez utiliser cette action pour supprimer le premier e-mail correspondant trouvé ou tous les e-mails correspondants.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Supprimer l'e-mail nécessite les paramètres suivants :

Paramètre	Description
`Folder Name`	Obligatoire. Liste des dossiers de boîte aux lettres dans lesquels l'action recherche des e-mails, séparés par une virgule.
`Message IDs`	Facultatif. Liste d'ID de messages spécifiques à rechercher et à supprimer, séparés par une virgule. Si elle est fournie, cette liste remplace `Subject Filter`, `Sender Filter` et `Recipient Filter`.
`Subject Filter`	Facultatif. Objet utilisé pour affiner la recherche d'e-mails correspondants.
`Sender Filter`	Facultatif. Adresse d'un expéditeur utilisée pour rechercher les e-mails correspondants.
`Recipient Filter`	Facultatif. Adresse d'un destinataire utilisée pour rechercher les e-mails correspondants.
`Days Back`	Facultatif. Période (en jours) pendant laquelle l'action recherche les e-mails à supprimer. La période est calculée avec une précision au jour près. Si vous utilisez la valeur `0`, la recherche est limitée aux e-mails reçus le jour même. La valeur par défaut est `0`.
`Delete all matching emails`	Facultatif. Si cette option est sélectionnée, l'action supprime tous les e-mails qui correspondent aux critères spécifiés. Sinon, elle ne supprime que la première correspondance. Désactivé par défaut

Sorties d'action

L'action Supprimer l'e-mail fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Supprimer l'e-mail :

{
    "deleted_emails": {
        "email_1_deleted": {
            "message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
            "deleted_from_folder": "Inbox",
            "subject": "Suspicious Login Alert - Deleted",
            "sender": "noreply@system.com",
            "timestamp": "2025-11-20T14:30:00Z"
        },
        "email_2_deleted": {
            "message_id": "<u1v2w3x4y5z6a7b8c9d0e1f2g3h4i5j6k7l8m9n0@mail.example.com>",
            "deleted_from_folder": "Spam",
            "subject": "Phishing Offer",
            "sender": "scam@badsite.net",
            "timestamp": "2025-11-15T09:15:00Z"
        }
    }
}

Messages de sortie

L'action Supprimer l'e-mail peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Message de sortie	Description du message
`NUMBER_OF_DELETED_EMAILS email(s) were deleted successfully` `Failed to find emails for deletion!`	L'action a réussi.
`Error deleting emails ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

NUMBER_OF_DELETED_EMAILS email(s) were deleted successfully

Failed to find emails for deletion!

L'action a réussi.

Error deleting emails ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer l'e-mail :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

DownloadEmailAttachments

Utilisez l'action Télécharger les pièces jointes des e-mails pour récupérer les pièces jointes de certains e-mails et les enregistrer dans un chemin d'accès désigné sur le serveur Google SecOps.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Télécharger les pièces jointes des e-mails nécessite les paramètres suivants :

Paramètre	Description
`Folder Name`	Obligatoire. Liste des dossiers de la boîte aux lettres dans lesquels l'action recherche l'e-mail, séparés par une virgule. La valeur par défaut est `Inbox`.
`Download Path`	Obligatoire. Chemin d'accès sur le serveur Google SecOps où les pièces jointes téléchargées sont enregistrées.
`Message IDs`	Facultatif. Liste d'ID de messages à partir desquels télécharger les pièces jointes, séparés par une virgule.
`Subject filter`	Facultatif. Objet utilisé pour affiner la recherche de l'e-mail.

Sorties d'action

L'action Télécharger les pièces jointes des e-mails fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Télécharger les pièces jointes des e-mails peut renvoyer les messages de résultat suivants :

Message de sortie Description du message

Message de sortie	Description du message
`Downloaded NUMBER_OF_ATTACHMENTS attachments. ATTACHMENT_PATHS`	L'action a réussi.
`failed to download email attachments, the error is: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Downloaded NUMBER_OF_ATTACHMENTS attachments. ATTACHMENT_PATHS

L'action a réussi.

failed to download email attachments, the error is: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Télécharger les pièces jointes des e-mails :

Nom du résultat du script	Valeur
`attachments_local_paths`	Chaîne de chemins d'accès complets aux pièces jointes enregistrées, séparés par une virgule.

Transférer un e-mail

Utilisez l'action Transférer un e-mail pour envoyer un e-mail existant, y compris le contenu de son fil de discussion précédent, à de nouveaux destinataires en fournissant l'ID de message unique de l'e-mail d'origine.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Transférer un e-mail nécessite les paramètres suivants :

Paramètre	Description
`Folder Name`	Obligatoire. Dossiers de la boîte aux lettres dans lesquels se trouve l'e-mail d'origine. Si vous vérifiez plusieurs dossiers, fournissez une liste d'éléments séparés par une virgule. Le nom du dossier doit correspondre exactement au dossier IMAP. Si le nom du dossier contient des espaces, il doit être placé entre guillemets doubles. La valeur par défaut est `Inbox`.
`Message ID of the email to forward`	Obligatoire. `message_id` unique de l'e-mail existant que l'action transfère.
`Recipients`	Obligatoire. Liste des adresses e-mail principales des nouveaux destinataires, séparées par une virgule.
`CC`	Facultatif. Liste d'adresses e-mail à inclure dans le champ "Cc", séparées par une virgule.
`BCC`	Facultatif. Liste d'adresses e-mail à inclure dans le champ "Cci", séparées par une virgule.
`Subject`	Obligatoire. Objet de l'e-mail transféré.
`Content`	Facultatif. Contenu supplémentaire à inclure dans le corps de l'e-mail transféré.
`Return message id for the forwarded email`	Facultatif. Si cette option est sélectionnée, l'action renvoie l'ID unique du message de l'e-mail transféré dans le résultat JSON. Désactivé par défaut
`Attachment Paths`	Facultatif. Liste de chemins d'accès aux fichiers sur le serveur pour les pièces jointes supplémentaires, séparés par une virgule.

Sorties d'action

L'action Transférer l'e-mail fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Transférer l'e-mail :

{
   "Date"
   "message_id"
   "Recipient"
}

Messages de sortie

L'action Transférer l'e-mail peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Message de sortie	Description du message
`Email was forwarded successfully.` `Mail was forwarded successfully. Mail message ID is: MESSAGE_ID`	L'action a réussi.
`Failed to forward the email! The Error is ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Email was forwarded successfully.

Mail was forwarded successfully. Mail message ID is: MESSAGE_ID

L'action a réussi.

Failed to forward the email! The Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Transférer l'e-mail :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Déplacer un e-mail vers un dossier

Utilisez l'action Déplacer l'e-mail vers un dossier pour transférer des e-mails d'un dossier source spécifié vers un autre dossier de destination dans la boîte aux lettres.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Déplacer l'e-mail vers un dossier nécessite les paramètres suivants :

Paramètre	Description
`Source Folder Name`	Obligatoire. Nom du dossier source à partir duquel les e-mails sont déplacés.
`Destination Folder Name`	Obligatoire. Nom du dossier de destination vers lequel les e-mails sont déplacés.
`Message IDs`	Facultatif. Liste d'ID de messages spécifiques à rechercher et à déplacer, séparés par une virgule. Si elle est fournie, cette liste remplace `Subject Filter`.
`Subject Filter`	Facultatif. Objet utilisé pour affiner la recherche d'e-mails correspondants.
`Only Unread`	Facultatif. Si cette option est sélectionnée, la recherche limite les résultats aux e-mails non lus. Désactivé par défaut

Sorties d'action

L'action Déplacer l'e-mail vers le dossier fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Déplacer l'e-mail vers le dossier :

{
    "emails": {
        "email_1": {
            "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1@mail.example.com>",
            "received": "Mon, 24 Nov 2025 10:00:00 +0000",
            "sender": "security-alert@example.com",
            "recipients": "user@example.com",
            "subject": "Phishing Alert: Urgent Action Required",
            "plaintext_body": "Original alert content...",
            "moved_from_folder": "Inbox",
            "moved_to_folder": "Quarantine"
        },
        "email_2": {
            "message_id": "<a5b6c7d8e9f01g2h3i4j5k6l7m8n9o0p1q2r3s4t@mail.example.com>",
            "received": "Sun, 23 Nov 2025 14:30:00 +0000",
            "sender": "noreply@system.com",
            "recipients": "user@example.com",
            "subject": "System Update Notification",
            "plaintext_body": "System update successful...",
            "moved_from_folder": "Inbox",
            "moved_to_folder": "Archive"
        }
    }
}

Messages de sortie

L'action Déplacer l'e-mail vers le dossier peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Message de sortie	Description du message
`NUMBER_OF_MOVED_EMAILS mails were successfully moved from` `SOURCE_FOLDER` à `DESTINATION_FOLDER` `No mails were found matching the search criteria!`	L'action a réussi.
`Error search emails: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

NUMBER_OF_MOVED_EMAILS mails were successfully moved from SOURCE_FOLDER à DESTINATION_FOLDER

No mails were found matching the search criteria!

L'action a réussi.

Error search emails: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Déplacer l'e-mail vers un dossier :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Ping

Utilisez l'action Ping pour tester la connectivité à Email V2.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Non disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message de sortie Description du message

Message de sortie	Description du message
`Successfully connected to the email server server with the provided connection parameters!`	L'action a réussi.
`Failed to connect to the IMAP server! Error is ERROR_REASON` `Failed to connect to the SMTP server! Error is ERROR_REASON` `SMTP (or IMAP) configuration is needed to execute action. Please configure STMP (or IMAP) on integration configuration page in Marketplace.`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully connected to the email server server with the provided connection parameters!

L'action a réussi.

Failed to connect to the IMAP server! Error is ERROR_REASON

Failed to connect to the SMTP server! Error is ERROR_REASON

SMTP (or IMAP) configuration is needed to execute action. Please configure STMP (or IMAP) on integration configuration page in Marketplace.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Enregistrer les pièces jointes d'e-mails dans une demande

Utilisez l'action Enregistrer les pièces jointes des e-mails dans la demande pour récupérer et enregistrer automatiquement les pièces jointes de certains e-mails de la boîte aux lettres directement sur le mur de la demande en cours.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Enregistrer les pièces jointes des e-mails dans la demande nécessite les paramètres suivants :

Paramètre Description

Paramètre	Description
`Folder Name`	Obligatoire. Liste des dossiers de boîte aux lettres dans lesquels l'action recherche l'e-mail, séparés par une virgule.
`Message ID`	Facultatif. ID unique du message de l'e-mail à partir duquel télécharger les pièces jointes.
`Attachment To Save`	Facultatif. Nom spécifique de la pièce jointe en cours d'enregistrement. Si aucune valeur n'est fournie, l'action enregistre toutes les pièces jointes de l'e-mail dans le mur de la demande.

Folder Name

Obligatoire.

Liste des dossiers de boîte aux lettres dans lesquels l'action recherche l'e-mail, séparés par une virgule.

Message ID

Facultatif.

ID unique du message de l'e-mail à partir duquel télécharger les pièces jointes.

Attachment To Save

Facultatif.

Nom spécifique de la pièce jointe en cours d'enregistrement.

Si aucune valeur n'est fournie, l'action enregistre toutes les pièces jointes de l'e-mail dans le mur de la demande.

Sorties d'action

L'action Enregistrer les pièces jointes des e-mails dans la demande fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Enregistrer les pièces jointes des e-mails dans la demande :

{
    "saved_attachments_from_email": {
        "message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
        "subject": "Email with Malicious Attachment",
        "sender": "external@suspicious.com",
        "attachments_saved": [
            {
                "file_name": "Invoice_Q3_2025.pdf",
                "file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
                "saved_to_case_wall": "True"
            },
            {
                "file_name": "Report_Data.docx",
                "file_hash_md5": "b3e0c1a9f8d7c6b5a4e3d2c1b0a9f8e7",
                "saved_to_case_wall": "True"
            }
        ]
    }
}

Messages de sortie

L'action Enregistrer les pièces jointes des e-mails dans la demande peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Message de sortie	Description du message
`Successfully saved the following attachments from the email MESSAGE_ID: MESSAGE_INFO`	L'action a réussi.
`Failed to save the email attachments to the case, the error is: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully saved the following attachments from the email MESSAGE_ID: MESSAGE_INFO

L'action a réussi.

Failed to save the email attachments to the case, the error is: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enregistrer les pièces jointes des e-mails dans la demande :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Rechercher dans les e-mails

Utilisez l'action Rechercher un e-mail pour trouver des e-mails spécifiques dans la boîte aux lettres configurée à l'aide de différents critères de filtrage.

L'action récupère les détails des messages correspondants dans un fichier JSON, qui peut être utilisé pour une analyse automatisée ou manuelle ultérieure.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Rechercher un e-mail nécessite les paramètres suivants :

Paramètre	Description
`Folder Name`	Obligatoire. Liste des dossiers de boîte aux lettres dans lesquels l'action recherche des e-mails, séparés par une virgule. La valeur par défaut est `Inbox`.
`Subject Filter`	Facultatif. Objet utilisé pour affiner la recherche d'e-mails correspondants.
`Sender Filter`	Facultatif. Adresse d'un expéditeur utilisée pour rechercher les e-mails correspondants.
`Recipient Filter`	Facultatif. Adresse d'un destinataire utilisée pour rechercher les e-mails correspondants.
`Time frame (minutes)`	Obligatoire. Période (en minutes) pendant laquelle la recherche remonte pour trouver des e-mails. La valeur par défaut est `60`.
`Only Unread`	Facultatif. Si cette option est sélectionnée, la recherche ne récupère que les e-mails non lus. Ils sont désactivés par défaut
`Max Emails To Return`	Obligatoire. Nombre maximal d'e-mails renvoyés par l'action. La valeur par défaut est `100`.

Sorties d'action

L'action Rechercher un e-mail fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Rechercher un e-mail :

{
    "emails": {
        "email_1": {
            "message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user1@example.com,user2@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "pdfdocument.pdf",
            "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        },
        "email_2": {
            "message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user3@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "photo.jpg",        "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
            "attachmment_2": "word_document.docx",
            "attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        }
    }
}

Messages de sortie

L'action Rechercher un e-mail peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Message de sortie	Description du message
`Search found NUMBER_OF_FOUND_EMAILS emails based on the provided search criteria` `Search didn't found any matching emails`	L'action a réussi.
`Search didn't completed successfully due to error: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Search found NUMBER_OF_FOUND_EMAILS emails based on the provided search criteria

Search didn't found any matching emails

L'action a réussi.

Search didn't completed successfully due to error: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Rechercher un e-mail :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Envoyer un e-mail

Utilisez l'action Envoyer un e-mail pour envoyer des e-mails depuis la boîte aux lettres configurée à plusieurs destinataires.

Cette action renvoie éventuellement l'ID du message, qui peut ensuite être utilisé par l'action Attendre un e-mail de l'utilisateur pour suivre les réponses des utilisateurs et contrôler l'exécution du playbook.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Envoyer un e-mail nécessite les paramètres suivants :

Paramètre	Description
`Recipients`	Obligatoire. Adresses e-mail des destinataires principaux. Veillez à séparer ces adresses par une virgule.
`CC`	Facultatif. Adresses e-mail à inclure dans le champ "Copie carbone" (Cc). Veillez à séparer ces adresses par une virgule.
`Bcc`	Facultatif. Adresses e-mail à inclure dans le champ "Cci" (copie cachée invisible). Veillez à séparer ces adresses par une virgule.
`Subject`	Obligatoire. Objet de l'e-mail.
`Content`	Obligatoire. Contenu du corps de l'e-mail.
`Return message id for the sent email`	Facultatif. Si cette option est sélectionnée, l'action renvoie l'ID unique du message dans le résultat JSON. Cet ID peut être utilisé par l'action Attendre un e-mail de l'utilisateur pour suivre les réponses. Désactivé par défaut
`Attachments Paths`	Facultatif. Liste de chemins d'accès absolus aux fichiers sur le serveur pour les pièces jointes, séparés par une virgule.

Sorties d'action

L'action Envoyer un e-mail fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Envoyer un e-mail :

{
    "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}

Messages de sortie

L'action Envoyer un e-mail peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Message de sortie	Description du message
`Mail sent successfully.` `Mail sent successfully. Mail message ID is: MESSAGE_ID`	L'action a réussi.
`Execution Failed: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Mail sent successfully.

Mail sent successfully. Mail message ID is: MESSAGE_ID

L'action a réussi.

Execution Failed: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer un e-mail :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Envoyer une réponse dans le fil de discussion

Utilisez l'action Envoyer une réponse dans le fil de discussion pour envoyer un nouveau message en réponse dans un fil de discussion existant à l'aide de l'ID du message d'origine.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Envoyer une réponse dans le fil de discussion nécessite les paramètres suivants :

Paramètre	Description
`Message ID`	Obligatoire. ID unique du message auquel la réponse est envoyée.
`Folder Name`	Obligatoire. Liste des dossiers de la boîte aux lettres dans lesquels l'action recherche l'e-mail d'origine, séparés par une virgule. Le nom du dossier doit correspondre exactement au dossier IMAP. Si le nom contient des espaces, il doit être placé entre guillemets doubles (par exemple, "[Gmail]/Tous les messages"). La valeur par défaut est `Inbox`.
`Content`	Obligatoire. Contenu du corps du message de réponse.
`Attachment Paths`	Facultatif. Liste de chemins d'accès aux fichiers sur le serveur pour les pièces jointes à inclure dans la réponse, séparés par une virgule.
`Reply All`	Facultatif. Si cette option est sélectionnée, la réponse est envoyée à tous les destinataires du fil de discussion de l'e-mail d'origine. Ce paramètre est prioritaire sur `Reply To`. Cette option est activée par défaut.
`Reply To`	Facultatif. Liste d'adresses e-mail spécifiques séparées par une virgule pour recevoir la réponse. Si `Reply All` est désactivé et qu'aucune valeur n'est fournie, la réponse n'est envoyée qu'à l'expéditeur de l'e-mail d'origine.

Sorties d'action

L'action Envoyer une réponse au fil de discussion fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Envoyer une réponse au fil de discussion :

{
    "message_id": "<162556278608.14165.480701790user@example>",
    "recipients": "test@example.com"
}

Messages de sortie

L'action Envoyer une réponse au fil de discussion peut renvoyer les messages de résultat suivants :

Message de sortie Description du message

Message de sortie	Description du message
`Successfully sent reply to the message with ID MESSAGE_ID in Exchange.`	L'action a réussi.
`Error executing action "Send Thread Reply". Reason: ERROR_REASON`	Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Successfully sent reply to the message with ID MESSAGE_ID in Exchange.

L'action a réussi.

Error executing action "Send Thread Reply". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer une réponse au thread :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Attendre un e-mail de l'utilisateur

Utilisez l'action Attendre un e-mail de l'utilisateur pour suspendre l'exécution du playbook et surveiller une boîte aux lettres afin de détecter une réponse à un message précédemment envoyé par l'action Envoyer un e-mail.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Attendre un e-mail de l'utilisateur nécessite les paramètres suivants :

Paramètre	Description
`Email Message_id`	Obligatoire. ID unique du message de l'e-mail envoyé pour lequel l'action suit les réponses. Si le message a été envoyé à l'aide de l'action "Envoyer un e-mail", veuillez sélectionner `SendEmail.JSONResult.message_id` comme espace réservé.
`Email Date`	Obligatoire. Code temporel indiquant la date et l'heure d'envoi de l'e-mail d'origine. L'action utilise cette valeur pour calculer la fenêtre de réponse. Si le message a été envoyé à l'aide de l'action "Envoyer un e-mail", utilisez le code de substitution `SendEmail.JSONResult.email_date`.
`Email Recipients`	Obligatoire. Liste d'adresses e-mail des destinataires, séparées par une virgule, pour lesquelles l'action attend une réponse. Si le message a été envoyé à l'aide de l'action "Envoyer un e-mail", utilisez le code de substitution `SendEmail.JSONResult.email_date`.
`Wait stage timeout (minutes)`	Facultatif. Durée (en minutes) pendant laquelle l'action attend une réponse avant de marquer l'étape d'attente comme expirée. La valeur par défaut est `1440`.
`Wait for all recipients to reply?`	Facultatif. Si cette option est sélectionnée, le playbook attend les réponses de tous les destinataires pour continuer. Sinon, il continue après avoir reçu la première réponse. Cette option est activée par défaut.
`Wait stage exclude pattern`	Facultatif. Modèle d'expression régulière utilisé pour exclure des réponses spécifiques (telles que les messages d'absence automatisés) afin qu'elles ne soient pas considérées comme des réponses valides.
`Folder to check for reply`	Facultatif. Liste des dossiers de boîte aux lettres dans lesquels l'action recherche la réponse de l'utilisateur, séparés par une virgule. Ce paramètre est sensible à la casse. La valeur par défaut est `Inbox`.
`Fetch Response Attachments`	Facultatif. Si cette option est sélectionnée, toutes les pièces jointes incluses dans la réponse du destinataire sont enregistrées en tant que pièces jointes pour le résultat de l'action. Désactivé par défaut

Sorties d'action

L'action Attendre un e-mail de l'utilisateur fournit les sorties suivantes :

Type de sortie de l'action	Disponibilité
Pièce jointe au mur des cas	Non disponible
Lien vers le mur des cas	Non disponible
Tableau du mur des cas	Non disponible
Table d'enrichissement	Non disponible
Résultat JSON	Disponible
Messages de sortie	Disponible
Résultat du script	Disponible

Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Attendre un e-mail de l'utilisateur :

{
    "Responses":
    {[
     "user1@example.com": "Approved",
     "user2@example.com": "",
     "user3@example.com": ""
     ]}
}

Résultat du script

Le tableau suivant indique la valeur du résultat du script lorsque vous utilisez l'action Attendre un e-mail de l'utilisateur :

Nom du résultat du script	Valeur
`is_success`	`true` ou `false`

Connecteurs

Pour savoir comment configurer des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur de messagerie IMAP générique

Utilisez le connecteur de messagerie IMAP générique pour vous connecter régulièrement à une messagerie IMAP afin de vérifier si de nouveaux e-mails ont été reçus dans une boîte aux lettres spécifique. Le connecteur traite les nouveaux e-mails en quasi-temps réel, en les traduisant en alertes et demandes contextualisées sur la plate-forme Google SecOps.

Limites et problèmes connus

Pièces jointes Outlook (.eml) : il est possible que le connecteur ne traite pas les pièces jointes converties au format .eml par Microsoft Outlook si des en-têtes essentiels sont manquants. Google SecOps crée toujours une alerte pour l'e-mail, mais sans événement basé sur la pièce jointe. Le journal suivant indique ce problème :
```
Error Code 1: Encountered an email object with missing headers. Please
visit documentation portal for more details.
```
Noms de fichiers manquants : lors du traitement des fichiers de courrier joints qui ne comportent pas de nom de fichier dans les en-têtes d'e-mail, le connecteur attribue un nom de fichier unique et générique : Undefined_{UUID}.eml. Cela permet à la pièce jointe d'apparaître en tant qu'événement dans Google SecOps.

Transfert de demandes par e-mail

Google SecOps communique avec le serveur de messagerie pour rechercher et ingérer les e-mails, puis les transfère vers la plate-forme pour les traduire et les contextualiser en temps quasi réel sous forme d'alertes de sécurité.

Règles de connecteur

Le connecteur utilise SSL/TLS pour assurer une communication chiffrée avec le serveur de messagerie.
Le connecteur permet de se connecter au serveur de messagerie à l'aide d'un proxy pour le trafic IMAP et IMAPS.
Le connecteur permet de rechercher des e-mails dans plusieurs dossiers de boîte aux lettres. Le paramètre Folder accepte une liste de noms de dossiers séparés par une virgule et sensibles à la casse.
Le connecteur est compatible avec l'encodage Unicode, ce qui lui permet de traiter les e-mails envoyés dans d'autres langues que l'anglais.

Entrées du connecteur

Le connecteur de messagerie IMAP générique nécessite les paramètres suivants :

Paramètre	Description
`Default Environment`	Facultatif. Nom de l'environnement auquel les alertes ingérées sont attribuées.
`Run Every`	Facultatif. Fréquence à laquelle le connecteur s'exécute pour rechercher de nouveaux e-mails. La valeur par défaut est `00:00:10:00` (10 minutes).
`Product Field Name`	Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée à partir du code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est `Product Name`.
`Event Field Name`	Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est `event_name_mail_type`.
`Additional headers to extract from emails`	Facultatif. Liste de champs d'en-tête personnalisés séparés par une virgule à extraire du message électronique lors du traitement du connecteur.
`Script Timeout (Seconds)`	Obligatoire. Délai avant expiration, en secondes, du processus Python qui exécute le script actuel. La valeur par défaut est `60`.
`IMAP Server Address`	Obligatoire. Adresse IP ou nom d'hôte DNS du serveur IMAP auquel se connecter.
`IMAP Port`	Obligatoire. Numéro de port utilisé pour se connecter au serveur IMAP.
`Username`	Obligatoire. Nom d'utilisateur de la boîte aux lettres à partir de laquelle le connecteur extrait les e-mails, par exemple `user@example.com`.
`Password`	Obligatoire. Mot de passe de la boîte aux lettres utilisée pour extraire les e-mails.
`Folder to check for emails`	Obligatoire. Liste des dossiers de boîte aux lettres dans lesquels le connecteur recherche des e-mails, séparés par une virgule. Ce paramètre est sensible à la casse. La valeur par défaut est `Inbox`.
`Server Time Zone`	Facultatif. Fuseau horaire configuré sur le serveur de messagerie. La valeur par défaut est `UTC`.
`Environment Regex Pattern`	Facultatif. Modèle d'expression régulière utilisé pour manipuler les données du champ d'événement et extraire le nom de l'environnement.
`IMAP USE SSL`	Facultatif. Si cette option est sélectionnée, le connecteur utilise SSL/TLS pour établir une connexion IMAP sécurisée au serveur de messagerie. Cette option est activée par défaut.
`Unread Emails Only`	Facultatif. Si cette option est sélectionnée, le connecteur n'extrait que les e-mails non lus. Cette option est activée par défaut.
`Mark Emails as Read`	Facultatif. Si cette option est sélectionnée, les e-mails sont marqués comme lus une fois qu'ils ont été extraits par le connecteur. Cette option est activée par défaut.
`Attach Original EML`	Facultatif. Si cette option est sélectionnée, le message d'origine est joint à l'alerte créée en tant que fichier .eml. Désactivé par défaut
`Regex expressions to handle forwarded emails`	Facultatif. Chaîne JSON sur une seule ligne contenant des modèles d'expression régulière permettant d'extraire les champs d'origine "Objet", "Expéditeur" et "Destinataire" des e-mails transférés.
`Exclusion Body Regex`	Facultatif. Modèle d'expression régulière utilisé pour exclure les e-mails de l'ingestion si le contenu du corps correspond au modèle, tel que `([N\|n]ewsletter)\|([O\|o]ut of office)`.
`Exclusion Subject Regex`	Facultatif. Modèle d'expression régulière utilisé pour exclure les e-mails de l'ingestion si l'objet correspond au modèle, par exemple `([N\|n]ewsletter)\|([O\|o]ut of office)`.
`Offset Time In Days`	Obligatoire. Nombre maximal de jours en arrière à partir desquels le connecteur récupère les e-mails (période maximale). Cette valeur sert également de solution de repli pour la première exécution ou si le code temporel du connecteur expire, ce qui garantit que les alertes sont ingérées pendant la période désactivée. La valeur par défaut est `5`.
`Max Emails Per Cycle`	Obligatoire. Nombre maximal d'e-mails traités par le connecteur lors d'un cycle d'interrogation unique. La valeur par défaut est `10`.
`Proxy Server Address`	Facultatif. Adresse du serveur proxy à utiliser.
`Proxy Username`	Facultatif. Nom d'utilisateur pour l'authentification du serveur proxy.
`Proxy Password`	Facultatif. Mot de passe pour l'authentification du serveur proxy.
`Create a Separate Siemplify Alert per Attached Mail File?`	Facultatif. Si cette option est sélectionnée, le connecteur crée une alerte distincte pour chaque fichier joint trouvé dans un message. Cela s'avère utile lorsque le mappage d'événements est défini pour créer des entités à partir de fichiers d'e-mails joints. Désactivé par défaut
`Original Received Mail Prefix`	Facultatif. Préfixe (tel que `orig`) ajouté aux clés extraites (à, de, objet, etc.) de l'e-mail d'origine reçu dans la boîte aux lettres surveillée. La valeur par défaut est `orig`.
`Attached Mail File Prefix`	Facultatif. Préfixe (tel que `attach`) ajouté aux clés extraites (à, de, objet, etc.) à partir des fichiers de courrier joints trouvés dans l'e-mail. La valeur par défaut est `attach`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.