E‑Mail V2

Integrationsversion: 35.0

Vorbereitung

Das in diesem Abschnitt beschriebene Beispiel basiert auf Gmail, das mehrere Optionen für den Zugriff auf die Postfachdaten aus Drittanbieteranwendungen bietet:

  1. Sicherer App-Zugriff, standardmäßig aktiviert, bei dem man sich in einem Google-Konto anmelden kann, ohne das Passwort preiszugeben. Außerdem kann man sehen, auf welche Daten die Drittanbieter-App Zugriff hat.

    Wie sicherere Apps zum Schutz Ihres Kontos beitragen

  2. App-Passwort Ein App-Passwort ist ein 16-stelliger Sicherheitscode, mit dem die Drittanbieter-App auf das Gmail-Postfach zugreifen kann. App-Passwörter können nur für Konten verwendet werden, bei denen die 2‑Faktor-Authentifizierung aktiviert ist.

    Mit App-Passwörtern anmelden

  3. Weniger sichere Apps sind in der Regel Drittanbieter-Apps, die aus irgendeinem Grund nicht den Sicherheitsstandards von Google entsprechen. Wenn diese Option nicht aktiviert ist, werden Zugriffsversuche von Drittanbieter-Apps, die nicht den Google-Sicherheitsstandards entsprechen, auf das Gmail-Postfach blockiert. Wenn diese Option aktiviert ist, ist das Gmail-Konto weniger sicher. Sie sollte daher mit Vorsicht verwendet werden.

    Wie sicherere Apps zum Schutz Ihres Kontos beitragen

Netzwerkzugriff auf IMAP/SMTP

Der Zugriff auf E‑Mails über IMAP und das Senden von E‑Mails über SMTP erfolgt über ein konfiguriertes Konto.

Konfigurationsdetails: Konto: Zugriff für weniger sichere Apps aktivieren.

Funktion Standardport Richtung Protokoll
API Mehrfachwerte Ausgehend IMAP/SMTP

Email V2-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Instanzname String Nein Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung String Nein Beschreibung der Instanz.
Adresse des Absenders String user@example.com Ja E-Mail-Adresse, die in der Integration verwendet werden soll, um E-Mails zu senden und empfangene E-Mails für diese E-Mail-Adresse (Postfach) zu verarbeiten
Anzeigename des Absenders String Ja Anzeigename des Absenders.
SMTP-Serveradresse String smtp.hmail.com Noch nicht konfiguriert DNS-Hostname oder IP-Adresse des SMTP-Servers, zu dem eine Verbindung hergestellt werden soll. Die SMTP-Serverkonfiguration wird zum Senden von E-Mails verwendet.
SMTP-Port Ganzzahl 565 Noch nicht konfiguriert Der Port des SMTP-Servers, mit dem eine Verbindung hergestellt werden soll.
IMAP-Serveradresse String imap.hmail.com Noch nicht konfiguriert Hostname oder IP-Adresse des IMAP-Servers, zu dem eine Verbindung hergestellt werden soll. IMAP wird in Aktionen verwendet, die mit empfangenen E‑Mails im Postfach arbeiten.
IMAP-Port Ganzzahl 993 Noch nicht konfiguriert Der Port des IMAP-Servers, mit dem eine Verbindung hergestellt werden soll.
Nutzername String Ja Nutzername für die Authentifizierung auf dem Mailserver
Passwort Passwort Ja Ein Passwort zur Authentifizierung auf einem E‑Mail-Server
SMTP – SSL verwenden Kästchen Aktiviert Nein Option zum Aktivieren von SSL/TLS für die SMTP-Verbindung.
IMAP – SSL verwenden Kästchen Aktiviert Nein Option zum Aktivieren von SSL/TLS für die IMAP-Verbindung.
SMTP – Authentifizierung verwenden Kästchen Aktiviert Nein

Option zum Aktivieren der Authentifizierung für die SMTP-Verbindung.

Wird verwendet, wenn der SMTP-Server nicht in der Konfiguration „Offenes Relay“ funktioniert und eine Authentifizierung zum Senden von E-Mails erforderlich ist.
Remote ausführen Kästchen Deaktiviert Nein Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angeklickt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Bei Bedarf können Sie später Änderungen vornehmen. Nach der Konfiguration können die Instanzen in Playbooks verwendet werden. Ausführliche Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Ping

Testen Sie die Verbindung zum E‑Mail-Server mit den Parametern, die auf der Seite mit der Integrationskonfiguration angegeben sind.

Anwendungsfälle

Testen Sie die Verbindung zu den IMAP- und SMTP-Mailservern mit den Konfigurationsparametern aus den Integrationseinstellungen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Bei Erfolg:Gib „Successfully connected to the email server with the provided connection parameters!“ (Erfolgreiche Verbindung zum E‑Mail-Server mit den angegebenen Verbindungsparametern) aus.
  • Wenn IMAP nicht erfolgreich ist:Gib „Fehler beim Verbindungsaufbau mit dem IMAP-Server. Fehler: {0}".format(exception.stacktrace)
  • Wenn SMTP nicht erfolgreich ist:print "Failed to connect to the SMTP server! Fehler: {0}".format(exception.stacktrace)
  • Wenn sowohl SMTP als auch IMAP fehlschlagen:Geben Sie beide Fehler für SMTP und IMAP aus.
  • Wenn weder SMTP noch IMAP konfiguriert sind, sollte der Ping einen Fehler zurückgeben.
  • Sowohl für SMTP als auch für IMAP sollte mit dem Ping eine separate Prüfung mit einer separaten Nachricht durchgeführt werden.
  • Wenn mindestens SMTP oder IMAP konfiguriert ist: Der Ping sollte „Erfolgreich“ zurückgeben und angeben, dass die konfigurierte Funktion (IMAP oder SMTP) getestet wurde und der nicht konfigurierte Teil übersprungen wurde.
 Allgemein

E-Mail senden

Mit dieser Aktion können Sie E-Mails von einem einzelnen Postfach an eine Reihe zufälliger Empfänger senden. Nutzer werden möglicherweise über das Ergebnis solcher Warnungen durch die entsprechenden Warnungen informiert, die von Google SecOps oder Nutzern generiert werden. Die Aktion kann die E‑Mail-Nachrichten-ID zurückgeben, damit Sie die Nachrichten-ID verwenden können, um die Antwort des Nutzernamens auf diese E‑Mail in der Aktion „Auf Nutzer-E‑Mail warten“ zu überwachen. Damit wird dem Nutzer eine Playbook-Frage gestellt und das Playbook entsprechend der Antwort des Nutzers ausgeführt.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Empfänger String Ja E-Mail-Adresse des Empfängers. Mehrere Adressen können durch Kommas getrennt werden.
CC String Nein Cc-E-Mail-Adresse. Mehrere Adressen können durch Kommas getrennt werden.
Bcc String Nein Bcc-E‑Mail-Adresse. Mehrere Adressen können durch Kommas getrennt werden.
Betreff String Ja Der Betreff der E‑Mail.
Inhalt String Ja Der Inhalt der E‑Mail.
Pfade für Anhänge String Nein Durch Kommas getrennte Liste der Dateipfade von Anhängen, die auf dem Server gespeichert sind und der E-Mail hinzugefügt werden sollen.
Gibt die Nachrichten-ID für die gesendete E‑Mail zurück. Kästchen Deaktiviert Nein Wenn diese Option ausgewählt ist, gibt die Aktion die Nachrichten-ID für die gesendete E‑Mail im technischen JSON-Ergebnis zurück. Diese Nachrichten-ID kann für die Aktion „Auf E-Mail vom Nutzer warten“ verwendet werden, um die Nutzerantwort zu verarbeiten.

Anwendungsfälle

Benachrichtigungs-E-Mail an die Liste der Empfänger senden.

Workflow für Anwendungsfall

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Die Aktion gibt das technische JSON-Ergebnis des Mail-Objekts zurück.

Wenn „Nachrichten-ID für die gesendete E-Mail zurückgeben“ aktiviert ist, gibt die Aktion message_id für die gesendete E-Mail im technischen JSON-Ergebnis zurück. Wenn die „Return message ID for the sent email“ nicht festgelegt ist, muss die message_id für die gesendete E‑Mail nicht zurückgegeben werden.

{
    "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Wenn die E‑Mail erfolgreich gesendet wurde: „Die E‑Mail wurde gesendet.“
  • Wenn die E‑Mail erfolgreich gesendet wurde und „Return message ID for the sent email“ (Nachrichten-ID für die gesendete E‑Mail zurückgeben) aktiviert ist: „Mail sent successfully. Die ID der E-Mail-Nachricht lautet: {0}".format(message_id)
  • Wenn Fehler: „Fehler beim Senden der E‑Mail! Der Fehler ist {0}".format(exception.stacktrace)
 Allgemein

E‑Mail weiterleiten

E‑Mail einschließlich vorheriger Nachrichten weiterleiten Die message_id der weiterzuleitenden E-Mail muss als Aktions-Eingabeparameter angegeben werden.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Nachrichten-ID der weiterzuleitenden E‑Mail String Ja Der Wert „message_id“ der E‑Mail, die weitergeleitet werden soll.
Ordnername String Posteingang Nein

Postfachordner, in dem nach E-Mails gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen.

Sie können auch bestimmte Ordner für E‑Mails festlegen, z. B. „[Gmail]/Alle E‑Mails“, um in allen Ordnern des Gmail-Postfachs zu suchen. Außerdem sollte der Ordnername genau mit dem IMAP-Ordner übereinstimmen. Wenn ein Ordnername Leerzeichen enthält, muss er in doppelte Anführungszeichen gesetzt werden.
Empfänger CSV Ja Beliebige kommagetrennte Liste mit E‑Mail-Adressen für die E‑Mail-Empfänger.
CC CSV Nein Eine beliebige durch Kommas getrennte Liste von E‑Mail-Adressen, die in das Feld „Cc“ der E‑Mail eingefügt werden sollen.
BCC CSV Nein BCC-E‑Mail-Adresse. Mehrere Adressen können durch Kommas getrennt werden.
Betreff String Ja Der Betreff der E‑Mail
Inhalt String Nein Der E‑Mail-Text.
Anhangspfade String Nein Durch Kommas getrennte Liste der Dateipfade von Anhängen, die auf dem Server gespeichert sind und der E-Mail hinzugefügt werden sollen.
Gibt die Nachrichten-ID für die weitergeleitete E‑Mail zurück. Kästchen Deaktiviert Nein Wenn diese Option ausgewählt ist, gibt die Aktion die Nachrichten-ID für die weitergeleitete E-Mail im technischen Ergebnis im JSON-Format zurück.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
   Date
   message_id
   Recipient
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Wenn die E-Mail erfolgreich weitergeleitet wurde: „Die E-Mail wurde erfolgreich weitergeleitet.“

Wenn die E‑Mail erfolgreich weitergeleitet wurde und „Rückgabe der Nachrichten‑ID für die weitergeleitete E‑Mail“ aktiviert ist: „Die E‑Mail wurde erfolgreich weitergeleitet. Die ID der E‑Mail-Nachricht lautet: {0}".format(message_id)

If error: print "Failed to forward the email! Der Fehler ist {0}".format(exception.stacktrace)

 Allgemein

Auf E‑Mail vom Nutzer warten

Warten Sie auf die Antwort des Nutzers auf eine E‑Mail, die mit der Aktion „E‑Mail senden“ gesendet wurde.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Nachrichten-ID, für die Antworten geprüft werden sollen String Ja Für die Aktion muss eine Nachrichten-ID als Eingabe verwendet werden, damit nachvollzogen werden kann, auf welche E‑Mail geantwortet wurde.
Auf Antworten aller Empfänger warten? Kästchen Aktiviert Nein Wenn es mehrere Empfänger gibt, kann mit dem Parameter festgelegt werden, ob die Aktion auf Antworten von allen Empfängern warten soll, bevor sie fortgesetzt wird, oder ob sie auf die erste Antwort warten soll.
Wie lange soll auf die Antwort des Empfängers gewartet werden (in Minuten)? Ganzzahl 1440 Ja Wie lange in Minuten auf die Antwort des Nutzers gewartet werden soll, bevor die Anfrage als Zeitüberschreitung markiert wird.
Ausschlussmuster für die Wartephase String Nein Regulärer Ausdruck zum Ausschließen bestimmter Antworten aus der Wartephase. Funktioniert mit dem Textkörper der E‑Mail. So können Sie beispielsweise automatische Abwesenheitsnotizen ausschließen, damit sie nicht als Antwort des Empfängers gewertet werden, und stattdessen auf die tatsächliche Antwort des Nutzers warten.
Ordner, in dem nach Antworten gesucht werden soll String Posteingang Nein Mit diesem Parameter kann der E-Mail-Ordner des Postfachs angegeben werden (das Postfach, das zum Senden der E-Mail mit der Frage verwendet wurde), in dem nach der Antwort des Nutzers gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen. Beim Parameter wird zwischen Groß- und Kleinschreibung unterschieden.
Antwortanhänge abrufen Kästchen Deaktiviert Nein Wenn diese Option ausgewählt ist und der Empfänger mit einem Anhang antwortet, wird die Antwort des Empfängers abgerufen und als Anhang für das Aktionsergebnis hinzugefügt.

Anwendungsfälle

Warten Sie auf die Antwort des Nutzers auf die zuvor gesendete E‑Mail über die Aktion „E‑Mail senden“.

Sobald eine Antwort gefunden wurde, analysieren Sie sie im Playbook und führen Sie gegebenenfalls zusätzliche Schritte aus.

Anwendungsfallworkflow

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
    "Responses":
    {[
     "user1@example.com": "Approved",
     "user2@example.com": "",
     "user3@example.com": ""
     ]}
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Wenn die E‑Mail erfolgreich gesendet wurde: „Die E‑Mail wurde gesendet.“
  • Wenn die E‑Mail erfolgreich gesendet wurde und „Nachrichten-ID für die gesendete E‑Mail zurückgeben“ aktiviert ist: „E‑Mail wurde gesendet. Die ID der E-Mail-Nachricht lautet: {0}".format(message_id)
  • Wenn Fehler: „Fehler beim Senden der E‑Mail! Der Fehler ist {0}".format(exception.stacktrace)
 Allgemein

E-Mail suchen

Mit verschiedenen Suchkriterien nach bestimmten E‑Mails im Postfach suchen Mit dem Vorgang werden Details zu allen Elementen in einer JSON-Datei im Postfach abgerufen. Die Daten können anschließend für automatische oder manuelle Analysen verwendet werden.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Ordnername String Posteingang Ja Postfachordner, in dem nach E-Mails gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen.
Betrefffeld String Nein Filterbedingung: Geben Sie an, nach welchem Betreff in E-Mails gesucht werden soll.
Absenderfilter String Nein Geben Sie in der Filterbedingung an, wer der Absender der erforderlichen E‑Mails sein soll.
Empfängerfilter String Nein Filterbedingung: Geben Sie an, wer Empfänger der erforderlichen E‑Mails sein soll.
Zeitrahmen (Minuten) String Nein Geben Sie mit der Filterbedingung an, in welchem Zeitraum in Minuten nach E-Mails gesucht werden soll.
Nur ungelesen Kästchen Deaktiviert Nein Filterbedingung: Geben Sie an, ob nur nach ungelesenen E‑Mails gesucht werden soll.
Maximale Anzahl zurückzugebender E‑Mails Ganzzahl 100 Ja Maximale Anzahl der E‑Mails, die als Aktionsergebnis zurückgegeben werden sollen.

Anwendungsfälle

Suchen Sie nach verdächtigen E‑Mails, um zu sehen, ob die E‑Mail oder ähnliche E‑Mails zuvor von anderen Nutzern im überwachten Postfach zur Überprüfung empfangen wurden.

Anwendungsfallworkflow

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Die Aktion sollte für jede gefundene E-Mail ein technisches Ergebnis im JSON-Format für ein Mail-Objekt zurückgeben. Wenn keine E-Mails gefunden wurden, kehren Sie zu „null“ zurück.

{
    "emails": {
        "email_1": {
            "message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user1@example.com,user2@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "pdfdocument.pdf",
            "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        },
        "email_2": {
            "message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user3@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "photo.jpg",        "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
            "attachmment_2": "word_document.docx",
            "attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        }
    }
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Bei Erfolg: „Search found {0} emails based on the provided search criteria“.format(count([email_ids])) ausgeben
  • Wenn nichts gefunden wurde: „Bei der Suche wurden keine passenden E‑Mails gefunden“ ausgeben
  • If error: print "Search didn't completed successfully due to error: {0}".format(exception.stacktrace)
 Allgemein

E‑Mail in Ordner verschieben

Verschieben Sie eine oder mehrere E‑Mails aus dem Quell-E‑Mail-Ordner in einen anderen Ordner im Postfach.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Name des Quellordners String Ja Quellordner, aus dem E‑Mails verschoben werden sollen.
Name des Zielordners String Ja Zielordner, in den E‑Mails verschoben werden sollen.
Nachrichten-IDs String Nein Geben Sie die E-Mail-Adressen an, nach denen gesucht werden soll. Sollte durch Kommas getrennte mehrere Nachrichten-IDs akzeptieren. Wenn eine Nachrichten-ID angegeben wird, wird der Betreff-Filter ignoriert.
Betrefffeld String Nein Filterbedingung: Geben Sie an, nach welchem Betreff in E-Mails gesucht werden soll.
Nur ungelesen Kästchen Deaktiviert Nein Filterbedingung: Geben Sie an, ob nur nach ungelesenen E‑Mails gesucht werden soll.

Anwendungsfälle

E‑Mail, die im Playbook verarbeitet wurde, in den Archivordner verschieben:

Anwendungsfallworkflow

So verschieben Sie E‑Mails, die als verdächtig eingestuft wurden, aus dem Posteingang in den Spamordner:

Anwendungsfallworkflow

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Die Aktion sollte für jede gefundene und verschobene E-Mail ein technisches Ergebnis im JSON-Format für das Mail-Objekt zurückgeben. Wenn keine E‑Mail-Adressen gefunden wurden, wird null zurückgegeben.

Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Bei Erfolg (E‑Mails wurden anhand der Suchkriterien gefunden, Verschiebevorgang erfolgreich): Meldung ausgeben: „{0} E‑Mails wurden erfolgreich von {1} nach {2} verschoben“. format(emails_count, srs_folder, dst_folder)
  • Wenn keine E‑Mails gefunden wurden, gib „No mails were found matching the search criteria!“ (Es wurden keine E‑Mails gefunden, die den Suchkriterien entsprechen) aus.
  • if error: print "Error search emails: {0}".format(exception.stacktrace)
 Allgemein

E-Mails löschen

Löschen Sie eine oder mehrere E‑Mails aus dem Postfach, die den Suchkriterien entsprechen. Das Löschen kann für die erste E‑Mail erfolgen, die den Suchkriterien entspricht, oder für alle entsprechenden E‑Mails.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Ordnername String Ja Postfachordner, in dem nach E-Mails gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen.
Nachrichten-IDs String Nein Geben Sie die E-Mail-Adressen an, nach denen gesucht werden soll. Sollte eine durch Kommas getrennte Liste von Nachrichten-IDs akzeptieren, nach denen gesucht werden soll. Wenn eine Nachrichten-ID angegeben wird, werden Filter für Betreff, Absender und Empfänger ignoriert.
Betrefffeld String Nein Filterbedingung: Geben Sie den Betreff an, nach dem in E-Mails gesucht werden soll.
Absenderfilter String Nein Geben Sie in der Filterbedingung an, wer der Absender der erforderlichen E‑Mails sein soll.
Empfängerfilter String Nein Filterbedingung: Geben Sie an, wer Empfänger der erforderlichen E‑Mails sein soll.
Alle übereinstimmenden E‑Mails löschen Kästchen Deaktiviert Nein Geben Sie an, ob durch die Aktion alle E‑Mails, die den Kriterien entsprechen, aus dem Postfach gelöscht werden sollen oder nur die erste Übereinstimmung.
Tage zurück String 0 Nein Filterbedingung. Geben Sie an, in welchem Zeitraum (in Tagen) nach zu löschenden E-Mails gesucht werden soll. Hinweis: Die Aktion funktioniert nur mit dem Detaillierungsgrad „Tage“. 0 bedeutet, dass nach E-Mails von heute gesucht wird.

Anwendungsfälle

Benachrichtigungs-E-Mail an eine Liste von Empfängern senden:

Anwendungsfallworkflow

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Mail-Objekt

Die Aktion sollte für jede gefundene und gelöschte E-Mail ein technisches Ergebnis im JSON-Format für das Mail-Objekt zurückgeben. Wenn keine E-Mails gefunden wurden, kehren Sie zu „null“ zurück.

Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Bei Erfolg (E-Mails wurden anhand der Suchkriterien gefunden, Löschvorgang war erfolgreich): Gib die Meldung „{0} E-Mail(s) wurden gelöscht“ aus.format(email_count).
  • Wenn keine E‑Mails zum Löschen gefunden wurden: „Failed to find emails for deletion!“ (Es wurden keine E‑Mails zum Löschen gefunden.)
  • if error : print "Error deleting emails {0}".format(exception.stacktrace)
 Allgemein

E-Mail-Anhänge in Anfragen speichern

E-Mail-Anhänge aus E-Mails, die im überwachten Postfach gespeichert sind, in der Fallübersicht speichern.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Ordnername String Ja Postfachordner, in dem nach E-Mails gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen.
Nachrichten-ID String Nein Nachrichten-ID, um eine E‑Mail zu finden, aus der Anhänge heruntergeladen werden sollen.
Name des Anhangs String Nein Wenn der Parameter nicht angegeben ist, werden alle E-Mail-Anhänge in der Kundenvorgangswand gespeichert. Wenn der Parameter angegeben ist, wird nur die übereinstimmende Anlage in der Fallwand gespeichert.

Anwendungsfälle

Speichern Sie die E‑Mail-Anhänge, die als schädlich eingestuft wurden, in der Fallübersicht. Dies ist aufgrund von Unternehmensstandards oder ‑verfahren und aufgrund der behördlichen Anforderungen zur Datenaufbewahrung erforderlich.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis

Mail-Objekt

Die Aktion sollte ein technisches Ergebnis im JSON-Format für das E-Mail-Objekt für die E-Mail zurückgeben, aus der Anhänge gespeichert wurden.

Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Bei Erfolg: „Die folgenden Anhänge aus der E-Mail {0} wurden gespeichert: {1}“.format(message_id, attachments list).
  • Bei Fehler: „Failed to save the email attachments to the case, the error is: {0}“.format(exception.stacktrace) ausgeben
 Allgemein

E‑Mail-Anhänge herunterladen

E‑Mail-Anhänge aus E‑Mails in einen bestimmten Pfad auf dem Google SecOps-Server herunterladen.

Parameter

Parameter Typ Standardwert Ist obligatorisch Beschreibung
Ordnername String Posteingang Ja Postfachordner, in dem nach E-Mails gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen.
Downloadpfad String Ja Speichert den Nachrichtenanhang im angegebenen Downloadpfad.
Nachrichten-ID String Nein Anhänge aus einer bestimmten E‑Mail mit ihrer ID herunterladen Beispiel: example@mail.gmail.com
Betrefffeld-Filter String Nein Filterbedingung, um E‑Mails nach einem bestimmten Betreff zu suchen.

Anwendungsfälle

Anhänge aus E‑Mails herunterladen

Wenn die E‑Mail schädlich aussieht und die Dateihashes für E‑Mail-Anhänge in VirusTotal noch nicht bewertet wurden, laden Sie die E‑Mail-Anhänge zur Analyse in die Sandbox-Umgebung hoch.

Anwendungsfallworkflow

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Beispiel
attachments_local_paths Das Skriptergebnis gibt einen String mit durch Komma getrennten vollständigen Pfaden zu den gespeicherten Anhängen zurück.
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*
  • Bei Erfolg: „{0} Anhänge heruntergeladen. \n\nDateien:\n{1}".format(len(attachments_local_paths), "\n".join(attachments_local_paths)".
  • Wenn Fehler: „failed to download email attachments, the error is: {0}“.format(exception.stacktrace) ausgeben
 Allgemein

Antwort auf Unterhaltung senden

Senden Sie eine Nachricht als Antwort auf die E‑Mail-Konversation.

Parameter

Name Standardwert Pflichtfeld Beschreibung
Nachrichten-ID Ja Geben Sie die ID der Nachricht an, auf die Sie antworten möchten.
Ordnername Posteingang Ja Geben Sie eine durch Kommas getrennte Liste von Postfachordnern an, in denen nach E-Mails gesucht werden soll. Hinweis: Sie können e‑mail-spezifische Ordner festlegen, z. B. „[Gmail]/Alle E‑Mails“, um in allen Ordnern des Gmail-Postfachs zu suchen. Außerdem muss der Ordnername genau mit dem IMAP-Ordner übereinstimmen. Wenn der Ordnername Leerzeichen enthält, muss er in doppelte Anführungszeichen gesetzt werden.
Inhalt Ja Geben Sie den Inhalt der Antwort an.
Anhangspfade Nein Geben Sie eine durch Kommas getrennte Liste der Dateipfade von Anhängen an, die auf dem Server gespeichert sind und der E-Mail hinzugefügt werden sollen.
Allen antworten Wahr Nein Wenn diese Option aktiviert ist, wird eine Antwort an alle Empfänger der ursprünglichen E‑Mail gesendet. Hinweis: Dieser Parameter hat Vorrang vor dem Parameter „Antworten an“.
Antwort an Geben Sie eine durch Kommas getrennte Liste der E‑Mail-Adressen an, an die Sie diese Antwort senden möchten. Wenn nichts angegeben ist und „Allen antworten“ deaktiviert ist, wird nur eine Antwort an den Absender der E‑Mail gesendet. Wenn „Allen antworten“ aktiviert ist, wird dieser Parameter von der Aktion ignoriert.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
JSON-Ergebnis
{
    "message_id": "<162556278608.14165.480701790user@example>",
    "recipients": "test@example.com"
}
Fall-Repository
Case Erfolg Fehler Meldung
Erfolgreich Ja Nein Die Antwort wurde erfolgreich an die Nachricht mit der ID {message ID} in Exchange gesendet.
Schwerwiegender Fehler, ungültige Anmeldedaten, API-Stammverzeichnis Nein Ja Fehler beim Ausführen der Aktion „Antwort auf Thread senden“. Grund: {error traceback}

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Generischer IMAP-E‑Mail-Connector

Der Connector stellt regelmäßig eine Verbindung zum Mailserver her, um nach neuen E‑Mails in einem bestimmten Postfach zu suchen. Wenn ein neuer Connector vorhanden ist, wird eine E-Mail gesendet und eine neue Benachrichtigung erstellt, die von Google SecOps mit Informationen aus dieser E-Mail ergänzt wird.

In diesem Thema wird der Mechanismus und die Konfiguration beschrieben, mit denen Google SecOps eine Verbindung zu IMAP/SMTP-E-Mails herstellt und diese integriert. Außerdem werden unterstützte Arbeitsabläufe und Aktionen auf der Plattform beschrieben. In diesem Thema geht es um die Kommunikation mit Servern, die IMAP unterstützen, z. B. Gmail, Outlook.com und Yahoo!. E-Mail:

Bekannte Probleme und Beschränkungen

  1. Die offizielle Python-Bibliothek für E-Mails unterstützt bestimmte Anhänge nicht, die mit der Microsoft Outlook-Anwendung gesendet werden. Das liegt daran, dass Outlook .msg-Dateien in .eml-Dateien konvertiert. Dadurch fehlen beim Extrahieren der konvertierten .eml-Dateien erforderliche Header. Der Connector fängt den Fehler ab und hinterlässt den folgenden Log:

    Error Code 1: Encountered an email object with missing headers. Please
visit documentation portal for more details.

    Google SecOps erstellt weiterhin eine Benachrichtigung für die E‑Mail, sie enthält jedoch kein Google SecOps-Ereignis, das auf diesem Anhang basiert.

  2. Wenn im Generic IMAP Email Connector E‑Mails mit angehängten Mail-Dateien verarbeitet werden und der ursprüngliche E‑Mail-Anhang keinen Dateinamen im Content-Disposition-Header oder in einem anderen Header enthält, wird der folgende Dateiname für den Anhang zugewiesen, damit er erfolgreich als Ereignis in Google SecOps angezeigt werden kann: Undefined_{UUID}.eml.

E‑Mail-Fall weiterleiten

Google SecOps kommuniziert mit einem E-Mail-Server, um E-Mails nahezu in Echtzeit zu durchsuchen und sie zur Übersetzung und Kontextualisierung als Warnungen für Fälle weiterzuleiten.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Standardumgebung String Nein Wählen Sie die gewünschte Umgebung aus. Beispiel: „Kunde 1“.
Ausführung alle Ganzzahl 00:00:10:00 Nein Wählen Sie die Uhrzeit aus, zu der die Verbindung hergestellt werden soll. Beispiel: „jeden Tag“.
Produktfeldname String device_product Ja Der Framework-Parameter muss für jeden Connector festgelegt werden. Beschreibt den Namen des Felds, in dem der Produktname gespeichert ist.
Name des Ereignisfelds String event_name_mail_type Ja Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird.
Zusätzliche Header, die aus E‑Mails extrahiert werden sollen String Nein Extrahieren Sie den zusätzlichen Header aus der E‑Mail.
Zeitlimit für Script (Sekunden) Ganzzahl 60 Ja Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
IMAP-Serveradresse IP_OR_HOST Ja IMAP-Serveradresse, mit der eine Verbindung hergestellt werden soll.
IMAP-Port Ganzzahl Ja IMAP-Port, mit dem eine Verbindung hergestellt werden soll.
Nutzername String Ja Nutzername für das Postfach, aus dem E-Mails abgerufen werden sollen, z. B. user@example.com.
Passwort Passwort Ja Das Passwort für das E‑Mail-Postfach, aus dem E‑Mails abgerufen werden sollen.
Ordner, in dem nach E-Mails gesucht werden soll String Posteingang Ja Mit diesem Parameter kann der E-Mail-Ordner im Postfach angegeben werden, in dem nach den E-Mails gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen. Beim Parameter wird zwischen Groß- und Kleinschreibung unterschieden.
Serverzeitzone String UTC Nein Die auf dem Server konfigurierte Zeitzone, z. B. UTC, 2. Asien/Jerusalem).
Regex-Muster für Umgebung String Nein Falls definiert, wird die Umgebung vom Connector aus dem angegebenen Ereignisfeld extrahiert. Sie können die Felddaten mit dem Feld „Muster für regulären Ausdruck“ bearbeiten, um einen bestimmten String zu extrahieren.
IMAP USE SSL Kästchen Aktiviert Nein Gibt an, ob bei der Verbindung SSL verwendet werden soll.
Nur ungelesene E‑Mails Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, werden nur ungelesene E‑Mails abgerufen.
E‑Mails als gelesen markieren Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, werden E‑Mails nach dem Abrufen als gelesen markiert.
Original-EML anhängen Kästchen Deaktiviert Nein Wenn diese Option aktiviert ist, wird die ursprüngliche Nachricht als EML-Datei angehängt.
Reguläre Ausdrücke für die Verarbeitung weitergeleiteter E-Mails String Nein Mit diesem Parameter kann ein einzeiliger JSON-String angegeben werden, um weitergeleitete E‑Mails zu verarbeiten. So kann in der weitergeleiteten E‑Mail nach den Feldern „Betreff“, „Von“ und „An“ der ursprünglichen E‑Mail gesucht werden.
Regex für Ausschlusskörper String Nein E-Mails ausschließen, deren Text mit dem angegebenen regulären Ausdruck übereinstimmt. Beispiel: ([N|n]ewsletter)|([O|o]ut of office) findet alle E‑Mails, die die Keywords „Newsletter“ oder „Abwesenheit“ enthalten.
Regex für Ausschluss-Thema String Nein E‑Mails ausschließen, deren Betreff mit dem angegebenen Betreff übereinstimmt. Mit ([N|n]ewsletter)|([O|o]ut of office) werden beispielsweise alle E‑Mails gefunden, die die Keywords „Newsletter“ oder „Abwesenheit“ enthalten.
Zeitversatz in Tagen Ganzzahl 5 Ja

Maximale Anzahl von Tagen, seit denen E‑Mails abgerufen werden sollen.
Maximale Anzahl von E‑Mails pro Zyklus Ganzzahl 10 Ja Maximale Anzahl von E-Mails, die in einem Zyklus abgerufen werden sollen.
Proxyserveradresse IP_OR_HOST Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.
Separate Siemplify-Benachrichtigung für jede angehängte E-Mail-Datei erstellen? Kästchen Deaktiviert Nein Falls aktiviert, erstellt der Connector mehrere Benachrichtigungen, eine für jede angehängte E-Mail-Datei. Dieses Verhalten kann nützlich sein, wenn E‑Mails mit mehreren angehängten E‑Mail-Dateien verarbeitet werden und die Google SecOps-Ereigniszuordnung so festgelegt ist, dass Entitäten aus einer angehängten E‑Mail-Datei erstellt werden.
Präfix der ursprünglichen empfangenen E‑Mail String orig Nein Präfix, das den extrahierten Schlüsseln (An, Von, Betreff usw.) aus der Original-E‑Mail hinzugefügt werden soll, die im überwachten Postfach empfangen wurde.
Präfix für angehängte E-Mail-Datei String anhängen Nein Präfix, das den extrahierten Schlüsseln (An, Von, Betreff usw.) aus der angehängten Maildatei hinzugefügt werden soll, die mit der E-Mail im überwachten Postfach empfangen wurde.

Fügen Sie im Bereich „Dynamische Liste“ die folgende Regel hinzu, um bestimmte Werte aus der E‑Mail mit dem regulären Ausdruck im folgenden Format zu extrahieren: Desire display name: matching regex.

Wenn Sie beispielsweise URLs aus der E‑Mail extrahieren möchten, fügen Sie Folgendes ein:

urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+

Anwendungsfälle

Ein bestimmtes Postfach wird auf neue E‑Mails überwacht, die als Benachrichtigungen auf dem Google SecOps-Server aufgenommen werden.

Beispiel für einen Anwendungsfall

Connector-Regeln

  • Der Connector unterstützt verschlüsselte Kommunikation für die Kommunikation mit E‑Mail-Servern (SSL/TLS).

  • Der Connector unterstützt die Verbindung zum E-Mail-Server über einen Proxy für IMAP- und IMAPS-Traffic.

  • Der Connector hat einen Parameter, mit dem der E-Mail-Ordner des Postfachs angegeben wird, in dem nach E-Mails gesucht werden soll. Der Parameter akzeptiert eine durch Kommas getrennte Liste von Ordnern, in denen die Nutzerantwort geprüft werden soll. Beim Parameter wird zwischen Groß- und Kleinschreibung unterschieden.

  • Der Connector unterstützt die Unicode-Codierung für E-Mails, die als Endnutzerkommunikation verarbeitet werden und in einer anderen Sprache als Englisch verfasst sein können.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten