将 EmailV2 与 Google SecOps 集成
集成版本:36.0
本文档介绍了如何将 EmailV2 与 Google Security Operations (Google SecOps) 集成。
使用场景
EmailV2 集成使用 Google SecOps 功能来支持以下使用情形:
钓鱼式攻击分流和通知:自动执行向收件人(包括外部用户)发送通知电子邮件的过程,并设置异步剧本以等待用户响应(例如确认钓鱼式攻击)。
事件数据丰富和保留:根据条件(例如发件人或主题)搜索邮箱中的相关邮件,并将可疑电子邮件中的所有文件附件直接保存到支持取证分析和数据保留的案件墙中。
邮箱管理和隔离:自动将恶意电子邮件或经过分级的电子邮件从收件箱移至隔离区或归档文件夹,或者永久删除符合特定过滤条件的电子邮件(例如,删除多个文件夹中已知恶意软件电子邮件的所有副本)。
话题式回复和协作:使用“发送话题式回复”操作在现有电子邮件对话串中发送即时回复或结构化回复,确保所有必要方都能及时了解相关的安全更新。
准备工作
为了使 EmailV2 集成成功连接到您的邮件服务器,您必须确保配置的邮箱允许第三方应用使用 IMAP/SMTP 进行访问。
如果您使用的是 Gmail 账号,请注意以下访问选项:
OAuth 2.0(推荐):最安全的方法,允许应用使用令牌访问邮件数据,而无需直接暴露密码。如需了解详情,请参阅第三方应用和您的 Google 账号。
应用专用密码(建议用于双重身份验证):一种 16 位数的密码,在启用两步验证后,可作为第三方应用的密码替代方案。如需了解详情,请参阅使用应用专用密码登录。
安全性较低的应用(已弃用):此旧版选项允许不符合 Google 最新安全标准的应用访问您的账号。如需了解详情,请参阅安全性较低的应用和您的 Google 账号。
对 IMAP/SMTP 的网络访问权限
使用 IMAP 访问和处理收到的电子邮件以及使用 SMTP 发送电子邮件需要使用配置的账号凭据进行网络访问。
网络要求
下表详细说明了集成与邮件服务器通信所需的网络访问权限:
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| 邮件服务器通信 | 多值 | 出站 | IMAP/SMTP |
集成参数
EmailV2 集成需要以下参数:
| 参数 | 说明 |
|---|---|
IMAP - Use SSL |
可选。 如果选中此选项,则在连接到 IMAP 服务器时,该操作会启用安全通信 (SSL/TLS)。 默认处于启用状态。 |
SMTP - Use Authentication |
可选。 如果选择此操作,则会为 SMTP 连接启用身份验证。 如果 SMTP 服务器未处于“开放中继”配置中,并且需要凭据才能发送出站电子邮件,则必须提供此参数。 默认处于启用状态。 |
Sender's Address |
必填。 集成用于发送和接收消息的邮箱的电子邮件地址。 |
Sender's Display Name |
必填。 集成服务发送电子邮件时显示的发件人名称。 |
SMTP Server Address |
可选。 用于发送电子邮件的 SMTP 服务器的 DNS 主机名或 IP 地址,例如 |
SMTP Port |
可选。 用于连接到 SMTP 服务器的端口号,例如 |
IMAP Server Address |
可选。 用于检索收到的电子邮件的 IMAP 服务器的 DNS 主机名或 IP 地址,例如 |
IMAP Port |
可选。 用于连接到 IMAP 服务器的端口号,例如 |
Username |
必填。 用于向邮件服务器进行身份验证的必需用户名。 |
Password |
必填。 用于向邮件服务器进行身份验证的密码。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
删除电子邮件
使用删除电子邮件操作可从邮箱中移除符合指定搜索条件的电子邮件。您可以利用此操作删除找到的第一个匹配电子邮件,也可以删除所有匹配的电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
删除电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Folder Name |
必填。 以英文逗号分隔的邮箱文件夹列表,用于指定相应操作在其中搜索电子邮件。 |
Message IDs |
可选。 要搜索和删除的特定消息 ID 的英文逗号分隔列表。 如果提供,此列表会替换 |
Subject Filter |
可选。 用于缩小搜索范围的主题行,以便找到匹配的电子邮件。 |
Sender Filter |
可选。 用于搜索匹配电子邮件的发件人地址。 |
Recipient Filter |
可选。 用于搜索匹配电子邮件的收件人地址。 |
Days Back |
可选。 操作搜索要删除的电子邮件的时间窗口(以天为单位)。 时间范围按天计算。 使用值 默认值为 |
Delete all matching emails |
可选。 如果选中,该操作会删除符合指定条件的所有电子邮件;否则,只会删除第一个匹配项。 默认情况下,该环境处于停用状态。 |
操作输出
删除电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用删除电子邮件操作时收到的 JSON 结果输出:
{
"deleted_emails": {
"email_1_deleted": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"deleted_from_folder": "Inbox",
"subject": "Suspicious Login Alert - Deleted",
"sender": "noreply@system.com",
"timestamp": "2025-11-20T14:30:00Z"
},
"email_2_deleted": {
"message_id": "<u1v2w3x4y5z6a7b8c9d0e1f2g3h4i5j6k7l8m9n0@mail.example.com>",
"deleted_from_folder": "Spam",
"subject": "Phishing Offer",
"sender": "scam@badsite.net",
"timestamp": "2025-11-15T09:15:00Z"
}
}
}
输出消息
删除电子邮件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用删除电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
DownloadEmailAttachments
使用下载电子邮件附件操作从特定电子邮件中检索附件,并将其保存到 Google SecOps 服务器上的指定路径。
此操作不适用于 Google SecOps 实体。
操作输入
下载电子邮件附件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Folder Name |
必填。 以英文逗号分隔的邮箱文件夹列表,用于指定操作在其中搜索电子邮件。 默认值为 |
Download Path |
必填。 Google SecOps 服务器上保存下载的附件的路径。 |
Message IDs |
可选。 以英文逗号分隔的邮件 ID 列表,用于下载附件。 |
Subject filter |
可选。 用于缩小电子邮件搜索范围的主题行。 |
操作输出
下载电子邮件附件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
下载电子邮件附件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用下载电子邮件附件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
attachments_local_paths |
以英文逗号分隔的已保存附件的完整路径字符串。 |
转发电子邮件
使用转发电子邮件操作,通过提供原始电子邮件的唯一消息 ID,将现有电子邮件(包括其之前的对话串内容)发送给新收件人。
此操作不适用于 Google SecOps 实体。
操作输入
转发电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Folder Name |
必填。 原始电子邮件所在的邮箱文件夹。
默认值为 |
Message ID of the email to forward |
必填。 相应操作转发的现有电子邮件的唯一 |
Recipients |
必填。 以英文逗号分隔的新收件人的主要电子邮件地址列表。 |
CC |
可选。 要包含在“抄送”字段中的电子邮件地址的英文逗号分隔列表。 |
BCC |
可选。 要包含在“密送”字段中的电子邮件地址的英文逗号分隔列表。 |
Subject |
必填。 转发电子邮件的主题行。 |
Content |
可选。 要包含在转发电子邮件中的其他正文内容。 |
Return message id for the forwarded email |
可选。 如果选择此项,相应操作会在 JSON 结果中返回新转发的电子邮件的唯一消息 ID。 默认情况下,该环境处于停用状态。 |
Attachment Paths |
可选。 服务器上其他附件的文件路径的列表(以英文逗号分隔)。 |
操作输出
转发电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用转发电子邮件操作时收到的 JSON 结果输出:
{
"Date"
"message_id"
"Recipient"
}
输出消息
转发电子邮件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用转发电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
将电子邮件移至文件夹
使用将电子邮件移至文件夹操作可将电子邮件从指定的源文件夹转移到邮箱中的其他目标文件夹。
此操作不适用于 Google SecOps 实体。
操作输入
将电子邮件移至文件夹操作需要以下参数:
| 参数 | 说明 |
|---|---|
Source Folder Name |
必填。 电子邮件的源文件夹的名称。 |
Destination Folder Name |
必填。 电子邮件移至的目标文件夹的名称。 |
Message IDs |
可选。 以英文逗号分隔的特定消息 ID 列表,用于搜索和移动消息。 如果提供,此列表会替换 |
Subject Filter |
可选。 用于缩小搜索范围的主题行,以便找到匹配的电子邮件。 |
Only Unread |
可选。 如果选中此选项,搜索结果将仅限于未读电子邮件。 默认情况下,该环境处于停用状态。 |
操作输出
将电子邮件移至文件夹操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用将电子邮件移至文件夹操作时收到的 JSON 结果输出:
{
"emails": {
"email_1": {
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1@mail.example.com>",
"received": "Mon, 24 Nov 2025 10:00:00 +0000",
"sender": "security-alert@example.com",
"recipients": "user@example.com",
"subject": "Phishing Alert: Urgent Action Required",
"plaintext_body": "Original alert content...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Quarantine"
},
"email_2": {
"message_id": "<a5b6c7d8e9f01g2h3i4j5k6l7m8n9o0p1q2r3s4t@mail.example.com>",
"received": "Sun, 23 Nov 2025 14:30:00 +0000",
"sender": "noreply@system.com",
"recipients": "user@example.com",
"subject": "System Update Notification",
"plaintext_body": "System update successful...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Archive"
}
}
}
输出消息
将电子邮件移至文件夹操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将电子邮件移至文件夹操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
Ping
使用 Ping 操作测试与电子邮件 V2 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
将电子邮件附件保存到支持请求
使用将电子邮件附件保存到支持请求操作,可直接从邮箱中检索特定电子邮件的附件,并自动将其保存到当前支持请求的“支持请求墙”中。
此操作不适用于 Google SecOps 实体。
操作输入
将电子邮件附件保存到支持请求操作需要以下参数:
| 参数 | 说明 |
|---|---|
Folder Name |
必填。 以英文逗号分隔的邮箱文件夹列表,用于指定操作在其中搜索电子邮件。 |
Message ID |
可选。 要从中下载附件的电子邮件的唯一邮件 ID。 |
Attachment To Save |
可选。 要保存的附件的具体名称。 如果未提供值,则该操作会将电子邮件中的所有附件保存到支持请求墙。 |
操作输出
将电子邮件附件保存到支持服务工单操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用将电子邮件附件保存到支持请求操作时收到的 JSON 结果输出:
{
"saved_attachments_from_email": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"subject": "Email with Malicious Attachment",
"sender": "external@suspicious.com",
"attachments_saved": [
{
"file_name": "Invoice_Q3_2025.pdf",
"file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"saved_to_case_wall": "True"
},
{
"file_name": "Report_Data.docx",
"file_hash_md5": "b3e0c1a9f8d7c6b5a4e3d2c1b0a9f8e7",
"saved_to_case_wall": "True"
}
]
}
}
输出消息
将电子邮件附件保存到支持请求操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将电子邮件附件保存到支持请求操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
搜索电子邮件
使用搜索电子邮件操作,通过各种过滤条件在已配置的邮箱中查找特定电子邮件。
此操作会检索 JSON 文件中匹配消息的详细信息,这些信息可用于后续的自动或手动分析。
此操作不适用于 Google SecOps 实体。
操作输入
搜索电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Folder Name |
必填。 以英文逗号分隔的邮箱文件夹列表,用于指定相应操作在其中搜索电子邮件。 默认值为 |
Subject Filter |
可选。 用于缩小搜索范围的主题行,以便找到匹配的电子邮件。 |
Sender Filter |
可选。 用于搜索匹配电子邮件的发件人地址。 |
Recipient Filter |
可选。 用于搜索匹配电子邮件的收件人地址。 |
Time frame (minutes) |
必填。 搜索回溯电子邮件的时间窗口(以分钟为单位)。 默认值为 |
Only Unread |
可选。 如果选中,搜索只会检索未读电子邮件。 默认处于停用状态 |
Max Emails To Return |
必填。 操作返回的电子邮件数量上限。 默认值为 |
操作输出
搜索电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用搜索电子邮件操作时收到的 JSON 结果输出:
{
"emails": {
"email_1": {
"message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user1@example.com,user2@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "pdfdocument.pdf",
"attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
},
"email_2": {
"message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user3@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "photo.jpg", "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"attachmment_2": "word_document.docx",
"attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
}
}
}
输出消息
搜索电子邮件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用搜索电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
发送电子邮件
使用发送电子邮件操作可将电子邮件从配置的邮箱发送给多个收件人。
此操作可以选择性地返回邮件 ID,然后“等待用户发送的电子邮件”操作可以使用该 ID 来跟踪用户回复并控制剧本执行。
此操作不适用于 Google SecOps 实体。
操作输入
发送电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Recipients |
必填。 主要收件人的电子邮件地址。 多个地址之间必须以英文逗号分隔。 |
CC |
可选。 要包含在“抄送”字段中的电子邮件地址。 多个地址之间必须以英文逗号分隔。 |
Bcc |
可选。 要包含在“密件抄送”字段中的电子邮件地址。 多个地址之间必须以英文逗号分隔。 |
Subject |
必填。 电子邮件的主题行。 |
Content |
必填。 电子邮件的正文内容。 |
Return message id for the sent email |
可选。 如果选择此项,相应操作会在 JSON 结果中返回唯一的消息 ID。 “等待用户发送电子邮件”操作可以使用此 ID 来跟踪响应。 默认情况下,该环境处于停用状态。 |
Attachments Paths |
可选。 以英文逗号分隔的附件服务器绝对文件路径列表。 |
操作输出
发送电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用发送电子邮件操作时收到的 JSON 结果输出:
{
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
输出消息
发送电子邮件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用发送电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
发送消息串回复
使用 Send Thread Reply 操作,通过原始消息 ID 在现有电子邮件会话中发送新消息作为回复。
此操作不适用于 Google SecOps 实体。
操作输入
发送消息串回复操作需要以下参数:
| 参数 | 说明 |
|---|---|
Message ID |
必填。 要回复的消息的唯一 ID。 |
Folder Name |
必填。 以英文逗号分隔的邮箱文件夹列表,用于指定操作在其中搜索原始电子邮件。 文件夹名称必须与 IMAP 文件夹完全一致。如果名称包含空格,则必须用英文双引号括起来(例如“[Gmail]/所有邮件”)。 默认值为 |
Content |
必填。 回复消息的正文内容。 |
Attachment Paths |
可选。 以英文逗号分隔的服务器上要包含在回复中的附件的文件路径列表。 |
Reply All |
可选。 如果选中,则回复会发送给原始电子邮件会话的所有收件人。 此参数的优先级高于 默认处于启用状态。 |
Reply To |
可选。 以英文逗号分隔的特定电子邮件地址列表,用于接收回复。 如果 |
操作输出
发送线程回复操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用发送消息串回复操作时收到的 JSON 结果输出:
{
"message_id": "<162556278608.14165.480701790user@example>",
"recipients": "test@example.com"
}
输出消息
发送线程回复操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用发送线程回复操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
等待用户发送电子邮件
使用等待用户发送电子邮件操作可暂停 playbook 的执行,并监控邮箱中是否有对之前通过发送电子邮件操作发送的邮件的回复。
此操作不适用于 Google SecOps 实体。
操作输入
等待用户发送电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Email Message_id |
必填。 已发送电子邮件的唯一消息 ID,用于跟踪操作的回复。 如果邮件是使用“发送电子邮件”操作发送的,请选择 |
Email Date |
必填。 指示原始电子邮件发送时间的时间戳。该操作使用此值来计算回复窗口。 如果邮件是使用“发送电子邮件”操作发送的,请使用占位符 |
Email Recipients |
必填。 以英文逗号分隔的收件人电子邮件地址列表,相应操作会等待这些收件人的回复。 如果邮件是使用“发送电子邮件”操作发送的,请使用占位符 |
Wait stage timeout (minutes) |
可选。 相应操作在等待回复时超时之前等待的时间(以分钟为单位)。 默认值为 |
Wait for all recipients to reply? |
可选。 如果选中此选项,playbook 会等待所有收件人的回复,然后再继续;否则,它会在收到第一条回复后继续。 默认处于启用状态。 |
Wait stage exclude pattern |
可选。 用于排除特定回复(例如自动的“不在办公室”消息)而不将其视为有效回复的正则表达式模式。 |
Folder to check for reply |
可选。 以英文逗号分隔的邮箱文件夹列表,用于指定操作在其中搜索用户的回复。 此参数区分大小写。 默认值为 |
Fetch Response Attachments |
可选。 如果选中,则收件人回复中包含的任何附件都会保存为操作结果的附件。 默认情况下,该环境处于停用状态。 |
操作输出
等待用户发送电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用等待用户发送电子邮件操作时收到的 JSON 结果输出:
{
"Responses":
{[
"user1@example.com": "Approved",
"user2@example.com": "",
"user3@example.com": ""
]}
}
脚本结果
下表列出了使用等待用户发送的电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
通用 IMAP 电子邮件连接器
使用通用 IMAP 电子邮件连接器定期连接到 IMAP 邮件,以检查指定邮箱中是否有新电子邮件。该连接器会近乎实时地处理新电子邮件,并将其转换为 Google SecOps 平台中的情境化提醒和支持请求。
已知问题和限制
Outlook 附件 (.eml):如果缺少关键标头,连接器可能无法处理由 Microsoft Outlook 转换为 .eml 格式的附件。Google SecOps 仍会针对该电子邮件创建提醒,但不会创建基于附件的事件。以下日志表明存在此问题:
Error Code 1: Encountered an email object with missing headers. Please visit documentation portal for more details.缺少文件名:在处理电子邮件标头中缺少文件名的附加邮件文件时,连接器会分配一个唯一的占位文件名:
Undefined_{UUID}.eml,从而使附件在 Google SecOps 中显示为事件。
电子邮件支持请求转发
Google SecOps 会与电子邮件服务器通信,以搜索和注入电子邮件,然后将这些电子邮件转发到平台,以便近乎实时地翻译和关联上下文,从而生成安全提醒。
连接器规则
- 连接器使用 SSL/TLS 来确保与电子邮件服务器的通信经过加密。
- 该连接器支持使用代理连接到邮件服务器,以处理 IMAP 和 IMAPS 流量。
- 该连接器支持在多个邮箱文件夹中搜索电子邮件。
Folder参数接受以英文逗号分隔且区分大小写的文件夹名称列表。 - 该连接器支持 Unicode 编码,因此能够处理以英语以外的语言发送的电子邮件。
连接器输入源
通用 IMAP 电子邮件连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Default Environment |
可选。 接收到的提醒所分配到的环境的名称。 |
Run Every |
可选。 连接器运行以检查新电子邮件的频率。 默认值为 |
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为从代码引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Additional headers to extract from emails |
可选。 在连接器处理期间要从电子邮件中提取的自定义标头字段的英文逗号分隔列表。 |
Script Timeout (Seconds) |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
IMAP Server Address |
必填。 要连接的 IMAP 服务器的 IP 地址或 DNS 主机名。 |
IMAP Port |
必填。 用于连接到 IMAP 服务器的端口号。 |
Username |
必填。 连接器从中提取电子邮件的邮箱的用户名,例如 |
Password |
必填。 用于提取电子邮件的邮箱的密码。 |
Folder to check for emails |
必填。 以英文逗号分隔的邮箱文件夹列表,连接器会在这些文件夹中搜索电子邮件。 此参数区分大小写。 默认值为 |
Server Time Zone |
可选。 邮件服务器中配置的时区。 默认值为 |
Environment Regex Pattern |
可选。 用于处理事件字段数据并提取环境名称的正则表达式模式。 |
IMAP USE SSL |
可选。 如果选中此选项,连接器将使用 SSL/TLS 与邮件服务器建立安全的 IMAP 连接。 默认处于启用状态。 |
Unread Emails Only |
可选。 如果选中此选项,连接器将仅提取未读电子邮件。 默认处于启用状态。 |
Mark Emails as Read |
可选。 如果选择此选项,连接器成功提取电子邮件后,电子邮件会被标记为已读。 默认处于启用状态。 |
Attach Original EML |
可选。 如果选中此复选框,系统会将原始邮件以 .eml 文件的形式附加到创建的提醒中。 默认情况下,该环境处于停用状态。 |
Regex expressions to handle forwarded emails |
可选。 一个 JSON 单行字符串,包含用于从转发的电子邮件中提取原始主题、发件人和收件人字段的正则表达式模式。 |
Exclusion Body Regex |
可选。 一种正则表达式模式,用于在电子邮件正文内容与该模式匹配时,将电子邮件排除在提取范围之外,例如 |
Exclusion Subject Regex |
可选。 一种正则表达式模式,用于在电子邮件的主题行与该模式匹配时,排除相应电子邮件,使其不被提取,例如 |
Offset Time In Days |
必填。 连接器向后提取邮件的最大天数(最大时间窗口)。 此值还可作为初始运行或连接器时间戳过期时的后备值,确保在停用期间提取提醒。 默认值为 |
Max Emails Per Cycle |
必填。 连接器在单个轮询周期内处理的电子邮件数量上限。 默认值为 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于代理服务器身份验证的用户名。 |
Proxy Password |
可选。 用于代理服务器身份验证的密码。 |
Create a Separate Siemplify Alert per Attached Mail File? |
可选。 如果选择此选项,连接器会为邮件中找到的每个附加电子邮件文件分别创建一条提醒。 当事件映射设置为从附加的电子邮件文件创建实体时,此属性非常有用。 默认情况下,该环境处于停用状态。 |
Original Received Mail Prefix |
可选。 添加到从受监控邮箱中收到的原始电子邮件提取的键(收件人、发件人、主题等)的前缀(例如 默认值为 |
Attached Mail File Prefix |
可选。 添加到从电子邮件中找到的附加邮件文件中提取的键(收件人、发件人、主题等)的前缀(例如 默认值为 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。