整合 EmailV2 與 Google SecOps
整合版本:36.0
本文說明如何將 EmailV2 與 Google Security Operations (Google SecOps) 整合。
用途
EmailV2 整合功能會使用 Google SecOps 功能,支援下列用途:
網路釣魚分流和通知:自動向收件者 (包括外部使用者) 傳送通知電子郵件,並設定非同步劇本,等待使用者回覆 (例如確認網路釣魚嘗試)。
事件資料擴充和保留:根據條件 (例如寄件者或主旨) 搜尋信箱中的相關訊息,並將可疑電子郵件中的所有檔案附件直接儲存到案件牆,以進行鑑識分析和資料保留。
信箱管理和控管:自動將收件匣中的惡意或分類電子郵件移至隔離區或封存資料夾,或永久刪除符合特定篩選條件的電子郵件 (例如刪除多個資料夾中已知惡意軟體電子郵件的所有副本)。
討論串式回覆和協作:使用「傳送討論串回覆」動作,在現有電子郵件討論串中立即回覆或傳送結構化回覆,確保所有必要人員都能掌握相關安全更新。
事前準備
如要啟用 EmailV2 整合功能,並順利連線至郵件伺服器,請務必確認設定的信箱已透過 IMAP/SMTP 授予第三方應用程式存取權。
如果您使用 Gmail 帳戶,請注意下列存取選項:
OAuth 2.0 (建議使用):最安全的方法,可讓應用程式使用憑證存取郵件資料,不必直接公開密碼。詳情請參閱「第三方應用程式和您的 Google 帳戶」。
應用程式密碼 (建議用於雙重驗證):啟用兩步驟驗證後,第三方應用程式會使用 16 位數的密碼做為密碼替代方案。詳情請參閱「使用應用程式密碼登入帳戶」。
低安全性應用程式 (已淘汰):這個舊版選項可讓不符合 Google 最新安全標準的應用程式存取帳戶。詳情請參閱「低安全性應用程式和您的 Google 帳戶」。
IMAP/SMTP 網路存取權
如要使用 IMAP 存取及處理收到的電子郵件,並使用 SMTP 傳送外寄電子郵件,必須使用設定的帳戶憑證存取網路。
網路需求
下表詳細列出整合功能與郵件伺服器通訊時所需的網路存取權:
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| 郵件伺服器通訊 | 多個值 | 傳出 | IMAP/SMTP |
整合參數
整合 EmailV2 需要下列參數:
| 參數 | 說明 |
|---|---|
IMAP - Use SSL |
選填。 選取後,系統會在連線至 IMAP 伺服器時啟用安全通訊 (SSL/TLS)。 (預設為啟用)。 |
SMTP - Use Authentication |
選填。 如果選取這個選項,動作會啟用 SMTP 連線的驗證。 如果 SMTP 伺服器不在「開放式轉發」設定中,且需要憑證才能傳送外寄電子郵件,則必須執行這項操作。 (預設為啟用)。 |
Sender's Address |
必填。 整合功能用來傳送及接收訊息的信箱電子郵件地址。 |
Sender's Display Name |
必填。 整合服務傳送電子郵件時顯示的寄件者名稱。 |
SMTP Server Address |
選填。 用於傳送電子郵件的 SMTP 伺服器 DNS 主機名稱或 IP 位址,例如 |
SMTP Port |
選填。 用來連線至 SMTP 伺服器的通訊埠編號,例如 |
IMAP Server Address |
選填。 擷取收到的電子郵件時,必須使用 IMAP 伺服器的 DNS 主機名稱或 IP 位址,例如 |
IMAP Port |
選填。 用來連線至 IMAP 伺服器的通訊埠編號,例如 |
Username |
必填。 與郵件伺服器進行驗證時所需的使用者名稱。 |
Password |
必填。 進行郵件伺服器驗證時要使用的密碼。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
刪除電子郵件
使用「刪除電子郵件」動作,從信箱中移除符合指定搜尋條件的電子郵件。您可以利用這項動作刪除第一個相符的電子郵件,或是刪除所有相符的電子郵件。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「刪除電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Folder Name |
必填。 以半形逗號分隔的信箱資料夾清單,動作會在此搜尋電子郵件。 |
Message IDs |
選填。 以半形逗號分隔的特定郵件 ID 清單,用於搜尋及刪除郵件。 如果提供這份清單,系統會覆寫 |
Subject Filter |
選填。 用於縮小搜尋範圍,找出相符的電子郵件。 |
Sender Filter |
選填。 用來搜尋相符電子郵件的寄件者地址。 |
Recipient Filter |
選填。 用於搜尋相符電子郵件的收件者地址。 |
Days Back |
選填。 動作搜尋要刪除的電子郵件時,所用的時間範圍 (以天為單位)。 時間範圍的精細程度為天。 使用 預設值為 |
Delete all matching emails |
選填。 如果選取這個選項,系統會刪除符合指定條件的所有電子郵件;否則只會刪除第一個符合條件的電子郵件。 預設為停用。 |
動作輸出內容
「刪除電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「刪除電子郵件」動作時收到的 JSON 結果輸出內容:
{
"deleted_emails": {
"email_1_deleted": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"deleted_from_folder": "Inbox",
"subject": "Suspicious Login Alert - Deleted",
"sender": "noreply@system.com",
"timestamp": "2025-11-20T14:30:00Z"
},
"email_2_deleted": {
"message_id": "<u1v2w3x4y5z6a7b8c9d0e1f2g3h4i5j6k7l8m9n0@mail.example.com>",
"deleted_from_folder": "Spam",
"subject": "Phishing Offer",
"sender": "scam@badsite.net",
"timestamp": "2025-11-15T09:15:00Z"
}
}
}
輸出訊息
「Delete Email」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「刪除電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
DownloadEmailAttachments
使用「Download Email Attachments」(下載電子郵件附件) 動作,從特定電子郵件擷取附件,並儲存至 Google SecOps 伺服器上的指定路徑。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「下載電子郵件附件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Folder Name |
必填。 以半形逗號分隔的信箱資料夾清單,動作會在此搜尋電子郵件。 預設值為 |
Download Path |
必填。 下載的附件在 Google SecOps 伺服器上的儲存路徑。 |
Message IDs |
選填。 以半形逗號分隔的郵件 ID 清單,用於下載附件。 |
Subject filter |
選填。 用於縮小電子郵件搜尋範圍的主旨行。 |
動作輸出內容
「下載電子郵件附件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「下載電子郵件附件」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「下載電子郵件附件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
attachments_local_paths |
以半形逗號分隔的已儲存附件完整路徑字串。 |
轉寄電子郵件
使用「轉寄電子郵件」動作,提供原始電子郵件的專屬郵件 ID,即可將現有電子郵件 (包括先前的討論串內容) 傳送給新的收件者。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「轉寄電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Folder Name |
必填。 原始電子郵件所在的信箱資料夾。
預設值為 |
Message ID of the email to forward |
必填。 動作轉寄的現有電子郵件專屬 |
Recipients |
必填。 以半形逗號分隔的新收件者主要電子郵件地址清單。 |
CC |
選填。 以半形逗號分隔的電子郵件地址清單,這些地址會顯示在「副本」欄位中。 |
BCC |
選填。 以半形逗號分隔的電子郵件地址清單,這些地址會顯示在「密件副本」欄位中。 |
Subject |
必填。 轉寄電子郵件的主旨行。 |
Content |
選填。 要加入轉寄電子郵件的其他內文。 |
Return message id for the forwarded email |
選填。 如果選取這個選項,動作會在 JSON 結果中傳回新轉寄電子郵件的專屬郵件 ID。 預設為停用。 |
Attachment Paths |
選填。 以半形逗號分隔的伺服器檔案路徑清單,用於其他附件。 |
動作輸出內容
「轉寄電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「轉寄電子郵件」動作時收到的 JSON 結果輸出內容:
{
"Date"
"message_id"
"Recipient"
}
輸出訊息
「轉寄電子郵件」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「轉寄電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
將電子郵件移至資料夾
使用「將電子郵件移至資料夾」動作,將電子郵件從指定來源資料夾轉移至信箱中的其他目的地資料夾。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「將電子郵件移至資料夾」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Source Folder Name |
必填。 要從中移動電子郵件的來源資料夾名稱。 |
Destination Folder Name |
必填。 要將電子郵件移至哪個目的地資料夾。 |
Message IDs |
選填。 以半形逗號分隔的特定郵件 ID 清單,用於搜尋及移動郵件。 如有提供,這份清單會覆寫 |
Subject Filter |
選填。 用於縮小搜尋範圍,找出相符的電子郵件。 |
Only Unread |
選填。 選取此選項後,搜尋結果只會顯示未讀郵件。 預設為停用。 |
動作輸出內容
「將電子郵件移至資料夾」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「將電子郵件移至資料夾」動作時收到的 JSON 結果輸出內容:
{
"emails": {
"email_1": {
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1@mail.example.com>",
"received": "Mon, 24 Nov 2025 10:00:00 +0000",
"sender": "security-alert@example.com",
"recipients": "user@example.com",
"subject": "Phishing Alert: Urgent Action Required",
"plaintext_body": "Original alert content...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Quarantine"
},
"email_2": {
"message_id": "<a5b6c7d8e9f01g2h3i4j5k6l7m8n9o0p1q2r3s4t@mail.example.com>",
"received": "Sun, 23 Nov 2025 14:30:00 +0000",
"sender": "noreply@system.com",
"recipients": "user@example.com",
"subject": "System Update Notification",
"plaintext_body": "System update successful...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Archive"
}
}
}
輸出訊息
「將電子郵件移至資料夾」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「將電子郵件移至資料夾」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
乒乓
使用「Ping」動作測試與 Email V2 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
將電子郵件附件儲存到案件
使用「Save Email Attachments to Case」(將電子郵件附件儲存至案件) 動作,即可直接從信箱中擷取特定電子郵件的附件,並自動儲存至目前案件的案件牆。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「將電子郵件附件儲存至案件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Folder Name |
必填。 以半形逗號分隔的信箱資料夾清單,動作會在此搜尋電子郵件。 |
Message ID |
選填。 要下載附件的電子郵件專屬訊息 ID。 |
Attachment To Save |
選填。 要儲存的附件名稱。 如果未提供任何值,系統會將電子郵件中的所有附件儲存至案件牆。 |
動作輸出內容
「Save Email Attachments to Case」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Save Email Attachments to Case」(將電子郵件附件儲存至案件) 動作時收到的 JSON 結果輸出內容:
{
"saved_attachments_from_email": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"subject": "Email with Malicious Attachment",
"sender": "external@suspicious.com",
"attachments_saved": [
{
"file_name": "Invoice_Q3_2025.pdf",
"file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"saved_to_case_wall": "True"
},
{
"file_name": "Report_Data.docx",
"file_hash_md5": "b3e0c1a9f8d7c6b5a4e3d2c1b0a9f8e7",
"saved_to_case_wall": "True"
}
]
}
}
輸出訊息
「Save Email Attachments to Case」(將電子郵件附件儲存至案件) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Save Email Attachments to Case」(將電子郵件附件儲存至案件) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
搜尋電子郵件
使用「搜尋電子郵件」動作,透過各種篩選條件,在已設定的信箱中尋找特定電子郵件。
這項動作會以 JSON 檔案的形式擷取相符訊息的詳細資料,供後續自動或手動分析使用。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「搜尋電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Folder Name |
必填。 以半形逗號分隔的信箱資料夾清單,動作會在此搜尋電子郵件。 預設值為 |
Subject Filter |
選填。 用於縮小搜尋範圍,找出相符的電子郵件。 |
Sender Filter |
選填。 用來搜尋相符電子郵件的寄件者地址。 |
Recipient Filter |
選填。 用於搜尋相符電子郵件的收件者地址。 |
Time frame (minutes) |
必填。 搜尋電子郵件的時間範圍 (以分鐘為單位)。 預設值為 |
Only Unread |
選填。 選取此選項後,搜尋結果只會顯示未讀電子郵件。 預設為停用 |
Max Emails To Return |
必填。 動作傳回的電子郵件數量上限。 預設值為 |
動作輸出內容
「搜尋電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「搜尋電子郵件」動作時收到的 JSON 結果輸出內容:
{
"emails": {
"email_1": {
"message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user1@example.com,user2@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "pdfdocument.pdf",
"attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
},
"email_2": {
"message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user3@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "photo.jpg", "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"attachmment_2": "word_document.docx",
"attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
}
}
}
輸出訊息
「搜尋電子郵件」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「搜尋電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
傳送電子郵件
使用「傳送電子郵件」動作,從設定的信箱傳送電子郵件給多位收件者。
這項動作會視需要傳回郵件 ID,然後「等待使用者回覆電子郵件」動作就能使用該 ID 追蹤使用者回覆,並控管劇本執行作業。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「傳送電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Recipients |
必填。 主要收件者的電子郵件地址。 各個地址之間必須以半形逗號分隔。 |
CC |
選填。 要加入副本 (CC) 欄位的電子郵件地址。 各個地址之間必須以半形逗號分隔。 |
Bcc |
選填。 要加入密件副本 (Bcc) 欄位的電子郵件地址。 各個地址之間必須以半形逗號分隔。 |
Subject |
必填。 電子郵件主旨行。 |
Content |
必填。 電子郵件訊息的內文內容。 |
Return message id for the sent email |
選填。 如果選取這個選項,動作會在 JSON 結果中傳回專屬訊息 ID。 「等待使用者回覆電子郵件」 預設為停用。 |
Attachments Paths |
選填。 以半形逗號分隔的附件伺服器絕對檔案路徑清單。 |
動作輸出內容
「傳送電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「傳送電子郵件」動作時收到的 JSON 結果輸出內容:
{
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
輸出訊息
「傳送電子郵件」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「傳送電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
傳送討論串回覆
使用「傳送對話串回覆」動作,即可使用原始郵件 ID,在現有電子郵件對話串中傳送新訊息做為回覆。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「傳送回覆給討論串」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Message ID |
必填。 回覆訊息的專屬 ID。 |
Folder Name |
必填。 以半形逗號分隔的信箱資料夾清單,動作會在此搜尋原始電子郵件。 資料夾名稱必須與 IMAP 資料夾完全相符。如果名稱含有空格,則必須以雙引號括住 (例如「[Gmail]/所有郵件」)。 預設值為 |
Content |
必填。 回覆訊息的內文內容。 |
Attachment Paths |
選填。 以半形逗號分隔的伺服器檔案路徑清單,列出要加入回覆的附件。 |
Reply All |
選填。 如果選取這個選項,系統會將回覆傳送給原始電子郵件討論串的所有收件者。 這項參數的優先順序高於 (預設為啟用)。 |
Reply To |
選填。 以半形逗號分隔的特定電子郵件地址清單,用於接收回覆。 如果停用 |
動作輸出內容
「傳送討論串回覆」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「傳送回覆給討論串」動作時收到的 JSON 結果輸出內容:
{
"message_id": "<162556278608.14165.480701790user@example>",
"recipients": "test@example.com"
}
輸出訊息
「傳送討論串回覆」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「傳送討論串回覆」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
等待使用者回信
使用「等待使用者回覆電子郵件」動作暫停應對手冊的執行作業,並監控信箱,等待先前透過「傳送電子郵件」動作傳送的郵件收到回覆。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「等待使用者傳送電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Email Message_id |
必填。 系統會追蹤動作的回覆,並為傳送的電子郵件指派專屬訊息 ID。 如果郵件是透過「傳送電子郵件」動作傳送,請選取 |
Email Date |
必填。 表示原始電子郵件傳送時間的時間戳記。這項動作會使用這個值計算回覆時間範圍。 如果郵件是透過「傳送電子郵件」動作傳送,請使用預留位置 |
Email Recipients |
必填。 以半形逗號分隔的收件者電子郵件地址清單,動作會等待這些地址回覆。 如果郵件是透過「傳送電子郵件」動作傳送,請使用預留位置 |
Wait stage timeout (minutes) |
選填。 動作等待回覆的時間長度 (以分鐘為單位),超過這個時間後,等待階段就會標示為逾時。 預設值為 |
Wait for all recipients to reply? |
選填。 如果選取這個選項,應對手冊會等待所有收件者回覆後再繼續;否則,只要收到第一封回覆就會繼續。 (預設為啟用)。 |
Wait stage exclude pattern |
選填。 用於排除特定回覆 (例如自動顯示的「不在辦公室」訊息) 的規則運算式模式,避免系統將這些回覆視為有效回覆。 |
Folder to check for reply |
選填。 請以逗號分隔清單的形式列出郵箱資料夾,動作會在此搜尋使用者的回覆。 這個參數會區分大小寫。 預設值為 |
Fetch Response Attachments |
選填。 如果選取這個選項,系統會將收件者回覆中包含的任何附件,儲存為動作結果的附件。 預設為停用。 |
動作輸出內容
「等待使用者傳送電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Wait for Email From User」(等待使用者來信) 動作時收到的 JSON 結果輸出內容:
{
"Responses":
{[
"user1@example.com": "Approved",
"user2@example.com": "",
"user3@example.com": ""
]}
}
指令碼結果
下表列出使用「Wait for Email From User」(等待使用者傳送電子郵件) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
通用 IMAP 電子郵件連接器
使用一般 IMAP 電子郵件連接器定期連線至 IMAP 郵件,檢查指定信箱是否有新郵件。這個連結器會近乎即時地處理新郵件,並在 Google SecOps 平台中將郵件轉換為情境式快訊和案件。
已知問題和限制
Outlook 附件 (.eml):如果缺少重要標頭,連接器可能無法處理 Microsoft Outlook 轉換為 .eml 格式的附件。Google SecOps 仍會為該電子郵件建立快訊,但不會根據附件建立事件。下列記錄指出這個問題:
Error Code 1: Encountered an email object with missing headers. Please visit documentation portal for more details.缺少檔案名稱:處理電子郵件標頭中缺少檔案名稱的郵件附件時,連接器會指派專屬的預留位置檔案名稱:
Undefined_{UUID}.eml,讓附件顯示為 Google SecOps 中的事件。
轉寄電子郵件案件
Google SecOps 會與電子郵件伺服器通訊,搜尋及擷取電子郵件,並將這些郵件轉送至平台,近乎即時地翻譯及情境化處理,做為安全警示。
連接器規則
- 連接器會使用 SSL/TLS,確保與電子郵件伺服器之間的通訊經過加密。
- 連接器支援使用 Proxy 連線至郵件伺服器,處理 IMAP 和 IMAPS 流量。
- 這個連接器可搜尋多個信箱資料夾中的電子郵件。
Folder參數接受以半形逗號分隔的資料夾名稱清單,且會區分大小寫。 - 連接器支援 Unicode 編碼,因此可以處理以英文以外語言傳送的電子郵件。
連接器輸入內容
一般 IMAP 電子郵件連接器需要下列參數:
| 參數 | 說明 |
|---|---|
Default Environment |
選填。 要指派已擷取快訊的環境名稱。 |
Run Every |
選填。 連接器檢查新電子郵件的頻率。 預設值為 |
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Additional headers to extract from emails |
選填。 以半形逗號分隔的自訂標頭欄位清單,可在連接器處理期間從電子郵件訊息中擷取。 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
IMAP Server Address |
必填。 要連線的 IMAP 伺服器 IP 位址或 DNS 主機名稱。 |
IMAP Port |
必填。 用來連線至 IMAP 伺服器的通訊埠號碼。 |
Username |
必填。 連接器從中提取電子郵件的信箱使用者名稱,例如 |
Password |
必填。 用於提取電子郵件的信箱密碼。 |
Folder to check for emails |
必填。 以半形逗號分隔的信箱資料夾清單,連接器會在此搜尋電子郵件。 這個參數會區分大小寫。 預設值為 |
Server Time Zone |
選填。 郵件伺服器中設定的時區。 預設值為 |
Environment Regex Pattern |
選填。 用來操控事件欄位資料並擷取環境名稱的規則運算式模式。 |
IMAP USE SSL |
選填。 如果選取這個選項,連接器會使用 SSL/TLS 與郵件伺服器建立安全的 IMAP 連線。 (預設為啟用)。 |
Unread Emails Only |
選填。 如果選取這個選項,連接器只會擷取未讀取的電子郵件。 (預設為啟用)。 |
Mark Emails as Read |
選填。 如果選取這個選項,連接器成功擷取電子郵件後,系統會將這些郵件標示為已讀。 (預設為啟用)。 |
Attach Original EML |
選填。 如果選取這個選項,系統會將原始郵件以 .eml 檔案的形式附加至建立的快訊。 預設為停用。 |
Regex expressions to handle forwarded emails |
選填。 JSON 單行字串,內含規則運算式模式,可從轉寄的電子郵件中擷取原始主旨、寄件者和收件者欄位。 |
Exclusion Body Regex |
選填。 規則運算式模式,用於在郵件內文符合模式時,排除郵件,例如 |
Exclusion Subject Regex |
選填。 如果主旨行符合模式 (例如 |
Offset Time In Days |
必填。 連接器可擷取郵件的最長天數 (時間範圍上限)。 這個值也會做為初始執行或連接器時間戳記過期的備援,確保系統會擷取停用期間的快訊。 預設值為 |
Max Emails Per Cycle |
必填。 連接器在單一輪詢週期中處理的電子郵件數量上限。 預設值為 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 Proxy 伺服器驗證的使用者名稱。 |
Proxy Password |
選填。 Proxy 伺服器驗證的密碼。 |
Create a Separate Siemplify Alert per Attached Mail File? |
選填。 如果選取這個選項,連接器會為郵件中找到的每個電子郵件附件建立個別快訊。 如果事件對應設定為從附加的電子郵件檔案建立實體,這項功能就非常實用。 預設為停用。 |
Original Received Mail Prefix |
選填。 從受監控的信箱收到的原始電子郵件中,擷取的鍵值 (例如「收件者」、「寄件者」、「主旨」等) 會加上前置字元 (例如 預設值為 |
Attached Mail File Prefix |
選填。 附加郵件檔案中擷取的鍵 (收件者、寄件者、主旨等) 前置字串 (例如 預設值為 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。