EmailV2 を Google SecOps と統合する
統合バージョン: 36.0
このドキュメントでは、EmailV2 を Google Security Operations(Google SecOps)と統合する方法について説明します。
ユースケース
EmailV2 インテグレーションは、Google SecOps の機能を使用して、次のユースケースをサポートします。
フィッシングのトリアージと通知: 外部ユーザーを含む受信者に通知メールを送信し、ユーザーの応答(フィッシング試行の確認など)を待つ非同期プレイブックを設定するプロセスを自動化します。
インシデント データの拡充と保持: 基準(送信者や件名など)に基づいてメールボックスで関連するメッセージを検索し、不審なメールのすべての添付ファイルをケースウォールに直接保存して、フォレンジック分析とデータ保持を行います。
メールボックスの管理と封じ込め: 悪意のあるメールやトリアージされたメールを受信トレイから検疫フォルダまたはアーカイブ フォルダに自動的に移動したり、特定のフィルタに一致するメールを完全に削除したりします(既知のマルウェア メールを複数のフォルダからすべてのコピーを削除するなど)。
スレッド化された返信とコラボレーション: [スレッドで返信] アクションを使用して、既存のメール スレッド内で即時返信または構造化された返信を送信し、関連するセキュリティ アップデートを必要なすべての関係者に確実に通知します。
始める前に
EmailV2 統合がメールサーバーに正常に接続できるようにするには、構成されたメールボックスで IMAP/SMTP を使用してサードパーティ アプリケーションへのアクセスが許可されていることを確認する必要があります。
Gmail アカウントを使用している場合は、次のアクセス オプションに注意してください。
OAuth 2.0(推奨): 最も安全な方法です。アプリケーションは、パスワードを直接公開することなく、トークンを使用してメールデータにアクセスできます。詳しくは、サードパーティ製アプリと Google アカウントをご覧ください。
アプリ パスワード(2FA に推奨): 2 段階認証プロセスが有効になっている場合に、サードパーティ製アプリケーションのパスワードの代わりに使用される 16 桁のパスコード。詳しくは、アプリ パスワードでログインするをご覧ください。
安全性の低いアプリ(非推奨): この従来のオプションでは、Google の最新のセキュリティ標準を満たしていないアプリからのアクセスを許可します。詳しくは、安全性の低いアプリと Google アカウントをご覧ください。
IMAP / SMTP へのネットワーク アクセス
IMAP を使用して受信メールにアクセスして処理し、SMTP を使用して送信メールを送信するには、構成されたアカウント認証情報を使用したネットワーク アクセスが必要です。
ネットワークの要件
次の表に、統合がメールサーバーと通信するために必要なネットワーク アクセスの詳細を示します。
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| メールサーバーの通信 | 複数値 | 送信 | IMAP / SMTP |
統合のパラメータ
EmailV2 統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
IMAP - Use SSL |
省略可。 選択すると、IMAP サーバーに接続する際に安全な通信(SSL/TLS)が有効になります。 デフォルトで有効になっています。 |
SMTP - Use Authentication |
省略可。 選択すると、SMTP 接続の認証が有効になります。 SMTP サーバーが「オープン リレー」構成ではなく、送信メールの送信に認証情報が必要な場合、これは必須です。 デフォルトで有効になっています。 |
Sender's Address |
必須。 統合でメッセージの送受信に使用されるメールボックスのメールアドレス。 |
Sender's Display Name |
必須。 インテグレーションがメールを送信するときに送信者として表示される名前。 |
SMTP Server Address |
省略可。 メールの送信に使用される SMTP サーバーの DNS ホスト名または IP アドレス( |
SMTP Port |
省略可。 SMTP サーバーへの接続に使用するポート番号( |
IMAP Server Address |
省略可。 受信メールの取得に必要な IMAP サーバーの DNS ホスト名または IP アドレス( |
IMAP Port |
省略可。 IMAP サーバーへの接続に使用するポート番号( |
Username |
必須。 メールサーバーでの認証に必要なユーザー名。 |
Password |
必須。 メールサーバーでの認証に必要なパスワード。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
メールを削除する
メールの削除アクションを使用して、指定した検索条件に一致するメールをメールボックスから削除します。このアクションを使用すると、最初に一致したメールを削除するか、一致したすべてのメールを削除できます。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[メールを削除] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Folder Name |
必須。 アクションによってメールが検索されるメールボックス フォルダのカンマ区切りリスト。 |
Message IDs |
省略可。 検索して削除する特定のメッセージ ID のカンマ区切りのリスト。 指定した場合、このリストは |
Subject Filter |
省略可。 一致するメールの検索を絞り込むために使用される件名。 |
Sender Filter |
省略可。 一致するメールの検索に使用される送信者のアドレス。 |
Recipient Filter |
省略可。 一致するメールの検索に使用される受信者のアドレス。 |
Days Back |
省略可。 削除するメールを検索する期間(日数)。 期間は日単位で計算されます。
デフォルト値は |
Delete all matching emails |
省略可。 選択すると、指定した条件に一致するすべてのメールが削除されます。選択しないと、最初に一致したメールのみが削除されます。 デフォルトでは無効にされています。 |
アクションの出力
[Delete Email] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[メールを削除] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"deleted_emails": {
"email_1_deleted": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"deleted_from_folder": "Inbox",
"subject": "Suspicious Login Alert - Deleted",
"sender": "noreply@system.com",
"timestamp": "2025-11-20T14:30:00Z"
},
"email_2_deleted": {
"message_id": "<u1v2w3x4y5z6a7b8c9d0e1f2g3h4i5j6k7l8m9n0@mail.example.com>",
"deleted_from_folder": "Spam",
"subject": "Phishing Offer",
"sender": "scam@badsite.net",
"timestamp": "2025-11-15T09:15:00Z"
}
}
}
出力メッセージ
[Delete Email] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[メールを削除] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
DownloadEmailAttachments
メールの添付ファイルをダウンロード アクションを使用して、特定のメールから添付ファイルを取得し、Google SecOps サーバー上の指定されたパスに保存します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Download Email Attachments] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Folder Name |
必須。 アクションによってメールが検索されるメールボックス フォルダのカンマ区切りリスト。 デフォルト値は |
Download Path |
必須。 ダウンロードした添付ファイルが保存される Google SecOps サーバー上のパス。 |
Message IDs |
省略可。 アタッチメントをダウンロードするメッセージ ID のカンマ区切りのリスト。 |
Subject filter |
省略可。 メールの検索を絞り込むために使用される件名。 |
アクションの出力
[Download Email Attachments] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
メールの添付ファイルをダウンロード アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[メールの添付ファイルをダウンロード] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
attachments_local_paths |
保存された添付ファイルへのカンマ区切りのフルパスの文字列。 |
メールを転送する
[メールを転送] アクションを使用して、元のメールの一意のメッセージ ID を指定することで、以前のスレッドの内容を含む既存のメールを新しい受信者に送信します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[メールを転送] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Folder Name |
必須。 元のメールが保存されているメールボックス フォルダ。
デフォルト値は |
Message ID of the email to forward |
必須。 アクションが転送する既存のメールの一意の |
Recipients |
必須。 新しい受信者のメインのメールアドレスのカンマ区切りリスト。 |
CC |
省略可。 CC 欄に含めるメールアドレスのカンマ区切りのリスト。 |
BCC |
省略可。 BCC 欄に含めるメールアドレスのカンマ区切りリスト。 |
Subject |
必須。 転送されたメールの件名。 |
Content |
省略可。 転送メールに含める追加の本文コンテンツ。 |
Return message id for the forwarded email |
省略可。 選択すると、アクションによって新たに転送されたメールの一意のメッセージ ID が JSON の結果で返されます。 デフォルトでは無効にされています。 |
Attachment Paths |
省略可。 追加の添付ファイルのサーバー上のファイルパスのカンマ区切りリスト。 |
アクションの出力
[メールを転送] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[メールを転送] アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"Date"
"message_id"
"Recipient"
}
出力メッセージ
[メールを転送] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[メールを転送] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
メールをフォルダに移動する
[メールをフォルダに移動] アクションを使用して、指定したソースフォルダからメールボックス内の別の宛先フォルダにメールを転送します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[メールをフォルダに移動] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Source Folder Name |
必須。 メールの移動元となるソースフォルダの名前。 |
Destination Folder Name |
必須。 メールの移動先フォルダの名前。 |
Message IDs |
省略可。 検索して移動する特定のメッセージ ID のカンマ区切りのリスト。 指定されている場合、このリストは |
Subject Filter |
省略可。 一致するメールの検索を絞り込むために使用される件名。 |
Only Unread |
省略可。 オンにすると、検索結果が未読メールのみに絞り込まれます。 デフォルトでは無効にされています。 |
アクションの出力
[メールをフォルダに移動] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[メールをフォルダに移動] アクションを使用したときに受信される JSON 結果の出力を示しています。
{
"emails": {
"email_1": {
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1@mail.example.com>",
"received": "Mon, 24 Nov 2025 10:00:00 +0000",
"sender": "security-alert@example.com",
"recipients": "user@example.com",
"subject": "Phishing Alert: Urgent Action Required",
"plaintext_body": "Original alert content...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Quarantine"
},
"email_2": {
"message_id": "<a5b6c7d8e9f01g2h3i4j5k6l7m8n9o0p1q2r3s4t@mail.example.com>",
"received": "Sun, 23 Nov 2025 14:30:00 +0000",
"sender": "noreply@system.com",
"recipients": "user@example.com",
"subject": "System Update Notification",
"plaintext_body": "System update successful...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Archive"
}
}
}
出力メッセージ
[メールをフォルダに移動] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[メールをフォルダに移動] アクションを使用した場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
Ping
Ping アクションを使用して、Email V2 への接続をテストします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
なし
アクションの出力
Ping アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
メールの添付ファイルをケースに保存する
[Save Email Attachments to Case] アクションを使用すると、メールボックス内の特定のメールの添付ファイルを取得して、現在のケースのケースウォールに自動的に保存できます。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Save Email Attachments to Case] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Folder Name |
必須。 アクションによってメールが検索されるメールボックス フォルダのカンマ区切りリスト。 |
Message ID |
省略可。 添付ファイルをダウンロードするメールの一意のメッセージ ID。 |
Attachment To Save |
省略可。 保存する添付ファイルの具体的な名前。 値が指定されていない場合、アクションはメールのすべての添付ファイルをケースウォールに保存します。 |
アクションの出力
[Save Email Attachments to Case] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Save Email Attachments to Case] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"saved_attachments_from_email": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"subject": "Email with Malicious Attachment",
"sender": "external@suspicious.com",
"attachments_saved": [
{
"file_name": "Invoice_Q3_2025.pdf",
"file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"saved_to_case_wall": "True"
},
{
"file_name": "Report_Data.docx",
"file_hash_md5": "b3e0c1a9f8d7c6b5a4e3d2c1b0a9f8e7",
"saved_to_case_wall": "True"
}
]
}
}
出力メッセージ
[Save Email Attachments to Case] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[Save Email Attachments to Case] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
メールを検索する
メールを検索アクションを使用すると、さまざまなフィルタリング条件を使用して、構成されたメールボックス内の特定のメールを検索できます。
このアクションは、一致するメッセージの詳細を JSON ファイルで取得します。このファイルは、後続の自動分析または手動分析に使用できます。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[メールを検索] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Folder Name |
必須。 アクションによってメールが検索されるメールボックス フォルダのカンマ区切りリスト。 デフォルト値は |
Subject Filter |
省略可。 一致するメールの検索を絞り込むために使用される件名。 |
Sender Filter |
省略可。 一致するメールの検索に使用される送信者のアドレス。 |
Recipient Filter |
省略可。 一致するメールの検索に使用される受信者のアドレス。 |
Time frame (minutes) |
必須。 メールを検索する期間(分単位)。 デフォルト値は |
Only Unread |
省略可。 オンにすると、未読メールのみが検索されます。 デフォルトで無効 |
Max Emails To Return |
必須。 アクションが結果として返すメールの最大数。 デフォルト値は |
アクションの出力
[メールを検索] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、メールを検索アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"emails": {
"email_1": {
"message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user1@example.com,user2@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "pdfdocument.pdf",
"attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
},
"email_2": {
"message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user3@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "photo.jpg", "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"attachmment_2": "word_document.docx",
"attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
}
}
}
出力メッセージ
[メールを検索] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、メールを検索アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
メールを送信する
[Send Email] アクションを使用して、構成済みのメールボックスから複数の受信者にメールを送信します。
このアクションは、必要に応じてメッセージ ID を返します。このメッセージ ID は、ユーザーのメールを待機アクションでユーザーの応答を追跡し、プレイブックの実行を制御するために使用できます。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[メールを送信] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Recipients |
必須。 メインの受信者のメールアドレス。 複数のアドレスを指定する場合は、カンマで区切る必要があります。 |
CC |
省略可。 カーボンコピー(CC)欄に含めるメールアドレス。 複数のアドレスを指定する場合は、カンマで区切る必要があります。 |
Bcc |
省略可。 ブラインド カーボンコピー(Bcc)フィールドに含めるメールアドレス。 複数のアドレスを指定する場合は、カンマで区切る必要があります。 |
Subject |
必須。 メール メッセージの件名。 |
Content |
必須。 メール メッセージの本文コンテンツ。 |
Return message id for the sent email |
省略可。 選択すると、アクションによって一意のメッセージ ID が JSON の結果で返されます。 この ID は、 デフォルトでは無効にされています。 |
Attachments Paths |
省略可。 添付ファイルのサーバー上の絶対ファイルパスのカンマ区切りリスト。 |
アクションの出力
[メールを送信] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[メールを送信] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
出力メッセージ
[メールを送信] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、メールを送信アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
スレッド返信を送信する
[スレッドの返信を送信] アクションを使用して、元のメッセージ ID を使用して既存のメール スレッド内で新しいメッセージを返信として送信します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[スレッドの返信を送信] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Message ID |
必須。 返信が送信されるメッセージの一意の ID。 |
Folder Name |
必須。 アクションが元のメールを検索するメールボックス フォルダのカンマ区切りリスト。 フォルダ名は IMAP フォルダと完全に一致している必要があります。名前にスペースが含まれている場合は、二重引用符で囲む必要があります(例: "[Gmail]/All Mail")。 デフォルト値は |
Content |
必須。 返信メッセージの本文コンテンツ。 |
Attachment Paths |
省略可。 返信に含める添付ファイルのサーバー上のファイルパスのカンマ区切りのリスト。 |
Reply All |
省略可。 選択すると、元のメール スレッドのすべての受信者に返信が送信されます。 このパラメータは デフォルトで有効になっています。 |
Reply To |
省略可。 返信を受信する特定のメールアドレスのカンマ区切りのリスト。
|
アクションの出力
[スレッドの返信を送信] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[スレッドの返信を送信] アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"message_id": "<162556278608.14165.480701790user@example>",
"recipients": "test@example.com"
}
出力メッセージ
スレッドの返信を送信アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[スレッドの返信を送信] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
Wait for Email From User
ユーザーからのメールを待つアクションを使用して、ハンドブックの実行を一時停止し、メールを送信アクションによって以前に送信されたメッセージへの返信についてメールボックスをモニタリングします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[ユーザーからのメールを待機] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Email Message_id |
必須。 アクションが返信をトラッキングする送信メールの一意のメッセージ ID。 メール送信アクションを使用してメッセージが送信された場合は、プレースホルダとして |
Email Date |
必須。 元のメールが送信された時刻を示すタイムスタンプ。アクションはこの値を使用して返信ウィンドウを計算します。 メール送信アクションを使用してメッセージが送信された場合は、プレースホルダ |
Email Recipients |
必須。 アクションが返信を待機する受信者のメールアドレスのカンマ区切りリスト。 メール送信アクションを使用してメッセージが送信された場合は、プレースホルダ |
Wait stage timeout (minutes) |
省略可。 アクションが返信を待つ時間(分単位)。この時間を超えると、待機ステージがタイムアウトとしてマークされます。 デフォルト値は |
Wait for all recipients to reply? |
省略可。 選択した場合、ハンドブックはすべての受信者からの返信を待ってから続行します。選択しない場合、最初の返信を受信した後に続行します。 デフォルトで有効になっています。 |
Wait stage exclude pattern |
省略可。 特定の返信(自動の不在メッセージなど)を有効なレスポンスと見なさないようにするために使用される正規表現パターン。 |
Folder to check for reply |
省略可。 アクションがユーザーの返信を検索するメールボックス フォルダのカンマ区切りのリスト。 このパラメータでは大文字と小文字が区別されます。 デフォルト値は |
Fetch Response Attachments |
省略可。 選択すると、受信者の返信に含まれる添付ファイルは、アクション結果の添付ファイルとして保存されます。 デフォルトでは無効にされています。 |
アクションの出力
[ユーザーからのメールを待機] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Wait for Email From User] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"Responses":
{[
"user1@example.com": "Approved",
"user2@example.com": "",
"user3@example.com": ""
]}
}
スクリプトの結果
次の表に、[ユーザーのメールを待機] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
コネクタ
Google SecOps でコネクタを構成する方法については、データを取り込む(コネクタ)をご覧ください。
一般的な IMAP メール コネクタ
汎用 IMAP メール コネクタを使用して IMAP メールに定期的に接続し、指定したメールボックスで新着メールを確認します。コネクタは新しいメールをほぼリアルタイムで処理し、Google SecOps プラットフォーム内のコンテキスト化されたアラートとケースに変換します。
既知の問題と制限事項
Outlook の添付ファイル(.eml): 重要なヘッダーが欠落している場合、Microsoft Outlook によって .eml 形式に変換された添付ファイルがコネクタで処理されないことがあります。Google SecOps は、メールのアラートを生成しますが、添付ファイルに基づくイベントは生成しません。次のログは、この問題を示しています。
Error Code 1: Encountered an email object with missing headers. Please visit documentation portal for more details.ファイル名がない: メール ヘッダーにファイル名がない添付メールファイルを処理する場合、コネクタは一意のプレースホルダ ファイル名
Undefined_{UUID}.emlを割り当て、添付ファイルが Google SecOps のイベントとして表示されるようにします。
メールのケース転送
Google SecOps はメールサーバーと通信してメールを検索して取り込み、セキュリティ アラートとしてほぼリアルタイムで翻訳とコンテキスト化を行うためにプラットフォームに転送します。
コネクタ ルール
- コネクタは SSL/TLS を使用して、メールサーバーとの暗号化された通信を確保します。
- コネクタは、IMAP トラフィックと IMAPS トラフィックの両方でプロキシを使用したメールサーバーへの接続をサポートしています。
- コネクタを使用すると、複数のメールボックス フォルダでメールを検索できます。
Folderパラメータには、フォルダ名のカンマ区切りのリスト(大文字と小文字が区別されます)を指定します。 - このコネクタは Unicode エンコードをサポートしているため、英語以外の言語で送信されたメールを処理できます。
コネクタの入力
汎用 IMAP メール コネクタには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Default Environment |
省略可。 取り込まれたアラートが割り当てられる環境の名前。 |
Run Every |
省略可。 コネクタが実行されて新着メールを確認する頻度。 デフォルト値は |
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 デフォルト値は |
Additional headers to extract from emails |
省略可。 コネクタ処理中にメール メッセージから抽出するカスタム ヘッダー フィールドのカンマ区切りのリスト。 |
Script Timeout (Seconds) |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
IMAP Server Address |
必須。 接続先の IMAP サーバーの IP アドレスまたは DNS ホスト名。 |
IMAP Port |
必須。 IMAP サーバーへの接続に使用されるポート番号。 |
Username |
必須。 コネクタがメールを取得するメールボックスのユーザー名( |
Password |
必須。 メールの pull に使用されるメールボックスのパスワード。 |
Folder to check for emails |
必須。 コネクタがメールを検索するメールボックス フォルダのカンマ区切りリスト。 このパラメータでは大文字と小文字が区別されます。 デフォルト値は |
Server Time Zone |
省略可。 メールサーバーで構成されているタイムゾーン。 デフォルト値は |
Environment Regex Pattern |
省略可。 イベント フィールド データを操作して環境名を抽出するために使用される正規表現パターン。 |
IMAP USE SSL |
省略可。 選択すると、コネクタは SSL/TLS を使用してメールサーバーへの安全な IMAP 接続を確立します。 デフォルトで有効になっています。 |
Unread Emails Only |
省略可。 このオプションを選択すると、コネクタは未読のメールのみを取得します。 デフォルトで有効になっています。 |
Mark Emails as Read |
省略可。 選択すると、コネクタによって正常に取得されたメールは既読としてマークされます。 デフォルトで有効になっています。 |
Attach Original EML |
省略可。 選択すると、元のメッセージが .eml ファイルとして作成されたアラートに添付されます。 デフォルトでは無効にされています。 |
Regex expressions to handle forwarded emails |
省略可。 転送されたメールから元の件名、送信者、受信者のフィールドを抽出する正規表現パターンを含む JSON 1 行文字列。 |
Exclusion Body Regex |
省略可。 本文の内容がパターン( |
Exclusion Subject Regex |
省略可。 件名がパターン( |
Offset Time In Days |
必須。 コネクタがメールを取得する最大日数(最大時間枠)。 この値は、初回実行時やコネクタのタイムスタンプが期限切れになった場合のフォールバックとしても機能し、無効期間中にアラートが取り込まれるようにします。 デフォルト値は |
Max Emails Per Cycle |
必須。 コネクタが 1 回のポーリング サイクルで処理するメールの最大数。 デフォルト値は |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 プロキシ サーバーの認証に使用するユーザー名。 |
Proxy Password |
省略可。 プロキシ サーバーの認証に使用するパスワード。 |
Create a Separate Siemplify Alert per Attached Mail File? |
省略可。 選択すると、コネクタはメッセージ内で見つかった添付メールファイルごとに個別の警告を作成します。 これは、イベント マッピングが添付メールファイルからエンティティを作成するように設定されている場合に便利です。 デフォルトでは無効にされています。 |
Original Received Mail Prefix |
省略可。 監視対象メールボックスで受信した元のメールから抽出されたキー(宛先、差出人、件名など)に追加されるプレフィックス( デフォルト値は |
Attached Mail File Prefix |
省略可。 メール内の添付ファイルから抽出されたキー(宛先、差出人、件名など)に追加されるプレフィックス( デフォルト値は |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。