Integrar o EmailV2 ao Google SecOps
Versão da integração: 36.0
Este documento explica como integrar o EmailV2 ao Google Security Operations (Google SecOps).
Casos de uso
A integração EmailV2 usa os recursos do Google SecOps para oferecer suporte aos seguintes casos de uso:
Triagem e notificação de phishing: automatize o processo de envio de e-mails de notificação para destinatários, incluindo usuários externos, e configure playbooks assíncronos para aguardar respostas do usuário, como a confirmação de uma tentativa de phishing.
Enriquecimento e retenção de dados de incidentes: pesquise em uma caixa de correio mensagens relacionadas com base em critérios (como remetente ou assunto) e salve todos os anexos de arquivos de e-mails suspeitos diretamente na página do caso para análise forense e retenção de dados.
Gerenciamento e contenção de caixas de correio: move automaticamente e-mails maliciosos ou triados da caixa de entrada para pastas de quarentena ou de arquivo, ou exclui permanentemente e-mails que correspondem a filtros específicos (como excluir todas as cópias de um e-mail de malware conhecido em várias pastas).
Resposta e colaboração em conversas: envie uma resposta imediata ou estruturada em uma conversa por e-mail usando a ação "Enviar resposta na conversa". Assim, todas as partes necessárias ficam atualizadas sobre as atualizações de segurança relevantes.
Antes de começar
Para que a integração EmailV2 se conecte ao seu servidor de e-mail, verifique se a caixa de correio configurada concede acesso a aplicativos de terceiros usando IMAP/SMTP.
Se você estiver usando uma conta do Gmail, observe as seguintes opções de acesso:
OAuth 2.0 (recomendado): o método mais seguro, que permite que os aplicativos acessem dados de e-mail usando tokens sem exigir a exposição direta da senha. Para mais detalhes, consulte Apps de terceiros e sua Conta do Google.
Senha de app (recomendada para 2FA): um código de acesso de 16 dígitos usado como substituto de senha para aplicativos de terceiros quando a verificação em duas etapas está ativada. Para mais detalhes, consulte Fazer login com senhas de app.
Apps menos seguros (descontinuado): essa opção legada permite o acesso de apps que não atendem aos padrões de segurança mais recentes do Google. Para mais detalhes, consulte Apps menos seguros e a Conta do Google.
Acesso de rede a IMAP/SMTP
Para acessar e processar e-mails recebidos usando IMAP e enviar e-mails usando SMTP, é necessário acesso à rede com as credenciais da conta configurada.
Requisitos de rede
A tabela a seguir detalha o acesso à rede necessário para que a integração se comunique com o servidor de e-mail:
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| Comunicação do servidor de e-mail | Multivalores | Saída | IMAP/SMTP |
Parâmetros de integração
A integração EmailV2 exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IMAP - Use SSL |
Opcional. Se selecionada, a ação ativa a comunicação segura (SSL/TLS) ao se conectar ao servidor IMAP. Ativado por padrão. |
SMTP - Use Authentication |
Opcional. Se selecionada, a ação ativa a autenticação para a conexão SMTP. Isso é necessário quando o servidor SMTP não está em uma configuração de "relay aberto" e exige credenciais para enviar e-mails. Ativado por padrão. |
Sender's Address |
Obrigatório. O endereço de e-mail da caixa de correio usada pela integração para enviar e receber mensagens. |
Sender's Display Name |
Obrigatório. O nome que aparece como remetente quando a integração envia e-mails. |
SMTP Server Address |
Opcional. O nome do host DNS ou o endereço IP do servidor SMTP usado para enviar e-mails, como |
SMTP Port |
Opcional. O número da porta usado para se conectar ao servidor SMTP, como
|
IMAP Server Address |
Opcional. O nome do host DNS ou o endereço IP do servidor IMAP necessário para recuperar
e-mails recebidos, como |
IMAP Port |
Opcional. O número da porta usado para se conectar ao servidor IMAP, como
|
Username |
Obrigatório. O nome de usuário necessário para autenticação com o servidor de e-mail. |
Password |
Obrigatório. A senha necessária para autenticação com o servidor de e-mail. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Excluir e-mails
Use a ação Excluir e-mail para remover da caixa de correio os e-mails que correspondem aos critérios de pesquisa especificados. Você pode usar essa ação para excluir o primeiro e-mail correspondente encontrado ou todos os e-mails correspondentes.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Excluir e-mail exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Folder Name |
Obrigatório. Uma lista separada por vírgulas das pastas da caixa de correio em que a ação pesquisa e-mails. |
Message IDs |
Opcional. Uma lista separada por vírgulas de IDs de mensagens específicos para pesquisar e excluir. Se fornecida, essa lista vai substituir |
Subject Filter |
Opcional. Uma linha de assunto usada para restringir a pesquisa de e-mails correspondentes. |
Sender Filter |
Opcional. O endereço de um remetente usado para pesquisar e-mails correspondentes. |
Recipient Filter |
Opcional. O endereço de um destinatário usado para pesquisar e-mails correspondentes. |
Days Back |
Opcional. O período (em dias) em que a ação procura e-mails para excluir. O período é calculado com granularidade diária. Usar um valor de O valor padrão é |
Delete all matching emails |
Opcional. Se selecionada, a ação exclui todos os e-mails que correspondem aos critérios especificados. Caso contrário, ela exclui apenas a primeira correspondência. Essa configuração está desativada por padrão. |
Saídas de ação
A ação Excluir e-mail fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Excluir e-mail:
{
"deleted_emails": {
"email_1_deleted": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"deleted_from_folder": "Inbox",
"subject": "Suspicious Login Alert - Deleted",
"sender": "noreply@system.com",
"timestamp": "2025-11-20T14:30:00Z"
},
"email_2_deleted": {
"message_id": "<u1v2w3x4y5z6a7b8c9d0e1f2g3h4i5j6k7l8m9n0@mail.example.com>",
"deleted_from_folder": "Spam",
"subject": "Phishing Offer",
"sender": "scam@badsite.net",
"timestamp": "2025-11-15T09:15:00Z"
}
}
}
Mensagens de saída
A ação Excluir e-mail pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Excluir e-mail:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
DownloadEmailAttachments
Use a ação Fazer o download de anexos de e-mail para recuperar anexos de e-mails específicos e salvá-los em um caminho designado no servidor do Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Baixar anexos de e-mail exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Folder Name |
Obrigatório. Uma lista separada por vírgulas das pastas da caixa de correio em que a ação pesquisa o e-mail. O valor padrão é |
Download Path |
Obrigatório. O caminho no servidor do Google SecOps em que os anexos baixados são salvos. |
Message IDs |
Opcional. Uma lista separada por vírgulas de IDs de mensagens de que os anexos serão baixados. |
Subject filter |
Opcional. Uma linha de assunto usada para restringir a pesquisa do e-mail. |
Saídas de ação
A ação Baixar anexos de e-mail fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Baixar anexos de e-mail pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Fazer o download dos anexos de e-mail:
| Nome do resultado do script | Valor |
|---|---|
attachments_local_paths |
Uma string de caminhos completos separados por vírgulas para os anexos salvos. |
Encaminhar e-mail
Use a ação Encaminhar e-mail para enviar um e-mail atual, incluindo o conteúdo da conversa anterior, para novos destinatários. Para isso, forneça o ID da mensagem exclusivo do e-mail original.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Encaminhar e-mail exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Folder Name |
Obrigatório. As pastas da caixa de correio em que o e-mail original está localizado.
O valor padrão é |
Message ID of the email to forward |
Obrigatório. O |
Recipients |
Obrigatório. Uma lista separada por vírgulas dos principais endereços de e-mail dos novos destinatários. |
CC |
Opcional. Uma lista separada por vírgulas de endereços de e-mail para incluir no campo "Cc". |
BCC |
Opcional. Uma lista de endereços de e-mail separados por vírgulas para incluir no campo "Cco". |
Subject |
Obrigatório. A linha de assunto do e-mail encaminhado. |
Content |
Opcional. Conteúdo adicional do corpo a ser incluído no e-mail encaminhado. |
Return message id for the forwarded email |
Opcional. Se selecionada, a ação vai retornar o ID exclusivo da mensagem do e-mail encaminhado no resultado JSON. Essa configuração está desativada por padrão. |
Attachment Paths |
Opcional. Uma lista separada por vírgulas de caminhos de arquivos no servidor para anexos extras. |
Saídas de ação
A ação Encaminhar e-mail fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Encaminhar e-mail:
{
"Date"
"message_id"
"Recipient"
}
Mensagens de saída
A ação Encaminhar e-mail pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Encaminhar e-mail:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Mover e-mail para pasta
Use a ação Mover e-mail para pasta para transferir e-mails de uma pasta de origem especificada para outra de destino na caixa de correio.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Mover e-mail para a pasta exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Source Folder Name |
Obrigatório. O nome da pasta de origem de onde os e-mails são movidos. |
Destination Folder Name |
Obrigatório. O nome da pasta de destino para onde os e-mails são movidos. |
Message IDs |
Opcional. Uma lista separada por vírgulas de IDs de mensagens específicas para pesquisar e mover. Se fornecida, essa lista substitui |
Subject Filter |
Opcional. Uma linha de assunto usada para restringir a pesquisa de e-mails correspondentes. |
Only Unread |
Opcional. Se selecionada, a pesquisa restringe os resultados apenas a e-mails não lidos. Essa configuração está desativada por padrão. |
Saídas de ação
A ação Mover e-mail para a pasta oferece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Mover e-mail para a pasta:
{
"emails": {
"email_1": {
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1@mail.example.com>",
"received": "Mon, 24 Nov 2025 10:00:00 +0000",
"sender": "security-alert@example.com",
"recipients": "user@example.com",
"subject": "Phishing Alert: Urgent Action Required",
"plaintext_body": "Original alert content...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Quarantine"
},
"email_2": {
"message_id": "<a5b6c7d8e9f01g2h3i4j5k6l7m8n9o0p1q2r3s4t@mail.example.com>",
"received": "Sun, 23 Nov 2025 14:30:00 +0000",
"sender": "noreply@system.com",
"recipients": "user@example.com",
"subject": "System Update Notification",
"plaintext_body": "System update successful...",
"moved_from_folder": "Inbox",
"moved_to_folder": "Archive"
}
}
}
Mensagens de saída
A ação Mover e-mail para a pasta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mover e-mail para a pasta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Ping
Use a ação Ping para testar a conectividade com o Email V2.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Salvar anexos de e-mail no caso
Use a ação Salvar anexos de e-mail no caso para recuperar e salvar automaticamente os anexos de e-mails específicos na caixa de correio diretamente na página do caso atual.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Salvar anexos de e-mail no caso exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Folder Name |
Obrigatório. Uma lista separada por vírgulas das pastas da caixa de correio em que a ação pesquisa o e-mail. |
Message ID |
Opcional. O ID da mensagem exclusivo do e-mail de onde os anexos serão baixados. |
Attachment To Save |
Opcional. O nome específico do anexo que está sendo salvo. Se nenhum valor for fornecido, a ação vai salvar todos os anexos do e-mail no mural de casos. |
Saídas de ação
A ação Salvar anexos de e-mail no caso fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Salvar anexos de e-mail no caso:
{
"saved_attachments_from_email": {
"message_id": "<a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0@mail.example.com>",
"subject": "Email with Malicious Attachment",
"sender": "external@suspicious.com",
"attachments_saved": [
{
"file_name": "Invoice_Q3_2025.pdf",
"file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"saved_to_case_wall": "True"
},
{
"file_name": "Report_Data.docx",
"file_hash_md5": "b3e0c1a9f8d7c6b5a4e3d2c1b0a9f8e7",
"saved_to_case_wall": "True"
}
]
}
}
Mensagens de saída
A ação Salvar anexos de e-mail no caso pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Salvar anexos de e-mail no caso:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Pesquisar e-mail
Use a ação Pesquisar e-mail para encontrar e-mails específicos na caixa de correio configurada usando vários critérios de filtragem.
A ação recupera detalhes sobre as mensagens correspondentes em um arquivo JSON, que pode ser usado para análises automatizadas ou manuais subsequentes.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar e-mail exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Folder Name |
Obrigatório. Uma lista separada por vírgulas das pastas da caixa de correio em que a ação pesquisa e-mails. O valor padrão é |
Subject Filter |
Opcional. Uma linha de assunto usada para restringir a pesquisa de e-mails correspondentes. |
Sender Filter |
Opcional. O endereço de um remetente usado para pesquisar e-mails correspondentes. |
Recipient Filter |
Opcional. O endereço de um destinatário usado para pesquisar e-mails correspondentes. |
Time frame (minutes) |
Obrigatório. O período (em minutos) em que a pesquisa procura e-mails. O valor padrão é |
Only Unread |
Opcional. Se selecionada, a pesquisa recupera apenas e-mails não lidos. Desativado por padrão |
Max Emails To Return |
Obrigatório. O número máximo de e-mails que a ação retorna como resultado. O valor padrão é |
Saídas de ação
A ação Pesquisar e-mail fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Pesquisar e-mail:
{
"emails": {
"email_1": {
"message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user1@example.com,user2@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "pdfdocument.pdf",
"attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
},
"email_2": {
"message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user3@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "photo.jpg", "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"attachmment_2": "word_document.docx",
"attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
}
}
}
Mensagens de saída
A ação Pesquisar e-mail pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar e-mail:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enviar e-mail
Use a ação Enviar e-mail para enviar e-mails da caixa de correio configurada para vários destinatários.
Essa ação retorna opcionalmente o ID da mensagem, que pode ser usado pela ação Aguardar e-mail do usuário para rastrear respostas do usuário e controlar a execução do playbook.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enviar e-mail exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Recipients |
Obrigatório. Os endereços de e-mail dos destinatários principais. Vários endereços precisam ser separados por vírgulas. |
CC |
Opcional. Os endereços de e-mail a serem incluídos no campo "Com cópia" (Cc). Vários endereços precisam ser separados por vírgulas. |
Bcc |
Opcional. Os endereços de e-mail a serem incluídos no campo "Cópia oculta com carbono" (Cco). Vários endereços precisam ser separados por vírgulas. |
Subject |
Obrigatório. A linha de assunto da mensagem de e-mail. |
Content |
Obrigatório. O conteúdo do corpo da mensagem de e-mail. |
Return message id for the sent email |
Opcional. Se selecionada, a ação vai retornar o ID exclusivo da mensagem no resultado JSON. Esse ID pode ser usado pela ação
Essa configuração está desativada por padrão. |
Attachments Paths |
Opcional. Uma lista separada por vírgulas de caminhos absolutos de arquivos no servidor para anexos. |
Saídas de ação
A ação Enviar e-mail fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Enviar e-mail:
{
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
Mensagens de saída
A ação Enviar e-mail pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar e-mail:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enviar resposta na conversa
Use a ação Enviar resposta na conversa para enviar uma nova mensagem como resposta em uma conversa de e-mail usando o ID da mensagem original.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enviar resposta de conversa exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Message ID |
Obrigatório. O ID exclusivo da mensagem a que a resposta é enviada. |
Folder Name |
Obrigatório. Uma lista separada por vírgulas das pastas da caixa de correio em que a ação pesquisa o e-mail original. O nome da pasta precisa corresponder exatamente à pasta IMAP. Se o nome tiver espaços, ele precisará ser colocado entre aspas duplas (como "[Gmail]/Todos os e-mails"). O valor padrão é |
Content |
Obrigatório. O conteúdo do corpo da mensagem de resposta. |
Attachment Paths |
Opcional. Uma lista separada por vírgulas de caminhos de arquivos no servidor para anexos a serem incluídos na resposta. |
Reply All |
Opcional. Se selecionada, a resposta será enviada para todos os destinatários da conversa por e-mail original. Esse parâmetro tem prioridade sobre Ativado por padrão. |
Reply To |
Opcional. Uma lista separada por vírgulas de endereços de e-mail específicos para receber a resposta. Se |
Saídas de ação
A ação Enviar resposta da conversa fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Enviar resposta da conversa:
{
"message_id": "<162556278608.14165.480701790user@example>",
"recipients": "test@example.com"
}
Mensagens de saída
A ação Enviar resposta da conversa pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar resposta da conversa:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Aguardar e-mail do usuário
Use a ação Aguardar e-mail do usuário para pausar a execução do playbook e monitorar uma caixa de correio em busca de uma resposta a uma mensagem enviada anteriormente pela ação Enviar e-mail.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Aguardar e-mail do usuário exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Email Message_id |
Obrigatório. O ID exclusivo da mensagem do e-mail enviado para o qual a ação rastreia respostas. Se a mensagem foi enviada usando a ação "Enviar e-mail", selecione
|
Email Date |
Obrigatório. O carimbo de data/hora que indica quando o e-mail original foi enviado. A ação usa esse valor para calcular a janela de resposta. Se a mensagem foi enviada usando a ação "Enviar e-mail", use o marcador de posição |
Email Recipients |
Obrigatório. Uma lista separada por vírgulas de endereços de e-mail dos destinatários de quem a ação aguarda uma resposta. Se a mensagem foi enviada usando a ação "Enviar e-mail", use o marcador de posição |
Wait stage timeout (minutes) |
Opcional. A duração (em minutos) que a ação aguarda uma resposta antes de marcar o estágio de espera como tempo limite excedido. O valor padrão é |
Wait for all recipients to reply? |
Opcional. Se essa opção for selecionada, o playbook vai aguardar as respostas de todos os destinatários para continuar. Caso contrário, ele vai prosseguir depois de receber a primeira resposta. Ativado por padrão. |
Wait stage exclude pattern |
Opcional. Um padrão de expressão regular usado para excluir respostas específicas (como mensagens automáticas de ausência do trabalho) e evitar que elas sejam consideradas válidas. |
Folder to check for reply |
Opcional. Uma lista separada por vírgulas das pastas da caixa de correio em que a ação procura a resposta do usuário. Esse parâmetro diferencia maiúsculas de minúsculas. O valor padrão é |
Fetch Response Attachments |
Opcional. Se selecionada, todos os anexos incluídos na resposta do destinatário serão salvos como anexos do resultado da ação. Essa configuração está desativada por padrão. |
Saídas de ação
A ação Aguardar e-mail do usuário fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Aguardar e-mail do usuário:
{
"Responses":
{[
"user1@example.com": "Approved",
"user2@example.com": "",
"user3@example.com": ""
]}
}
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Aguardar e-mail do usuário:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Conectores
Para saber mais sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector de e-mail IMAP genérico
Use o Conector de e-mail IMAP genérico para se conectar periodicamente a um e-mail IMAP e verificar se há novas mensagens em uma caixa de e-mails específica. O conector processa novos e-mails quase em tempo real, traduzindo-os em alertas e casos contextualizados na plataforma Google SecOps.
Limitações e problemas conhecidos
Anexos do Outlook (.eml): o conector pode não processar anexos convertidos para o formato .eml pelo Microsoft Outlook se estiverem faltando cabeçalhos críticos. O Google SecOps ainda cria um alerta para o e-mail, mas sem um evento com base no anexo. O registro a seguir indica esse problema:
Error Code 1: Encountered an email object with missing headers. Please visit documentation portal for more details.Nomes de arquivos ausentes: ao processar arquivos de e-mail anexados que não têm um nome nos cabeçalhos, o conector atribui um nome de arquivo de marcador de posição exclusivo:
Undefined_{UUID}.eml. Assim, o anexo aparece como um evento no Google SecOps.
Encaminhamento de casos por e-mail
O Google SecOps se comunica com o servidor de e-mail para pesquisar e ingerir e-mails, encaminhando-os para a plataforma para tradução e contextualização quase em tempo real como alertas de segurança.
Regras de conector
- O conector usa SSL/TLS para garantir a comunicação criptografada com o servidor de e-mail.
- O conector aceita a conexão com o servidor de e-mail usando um proxy para tráfego IMAP e IMAPS.
- O conector permite pesquisar e-mails em várias pastas da caixa de correio. O parâmetro
Folderaceita uma lista de nomes de pastas separada por vírgulas e que diferencia maiúsculas de minúsculas. - O conector é compatível com a codificação Unicode, o que permite processar e-mails enviados em idiomas diferentes do inglês.
Entradas do conector
O conector de e-mail IMAP genérico exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Default Environment |
Opcional. O nome do ambiente a que os alertas ingeridos são atribuídos. |
Run Every |
Opcional. A frequência com que o conector é executado para verificar novos e-mails. O valor padrão é |
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Additional headers to extract from emails |
Opcional. Uma lista separada por vírgulas de campos de cabeçalho personalizados a serem extraídos da mensagem de e-mail durante o processamento do conector. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
IMAP Server Address |
Obrigatório. O endereço IP ou o nome do host DNS do servidor IMAP a que se conectar. |
IMAP Port |
Obrigatório. O número da porta usado para se conectar ao servidor IMAP. |
Username |
Obrigatório. O nome de usuário da caixa de correio de onde o conector extrai e-mails, como |
Password |
Obrigatório. A senha da caixa de correio usada para extrair e-mails. |
Folder to check for emails |
Obrigatório. Uma lista separada por vírgulas de pastas de caixa de correio em que o conector pesquisa e-mails. Esse parâmetro diferencia maiúsculas de minúsculas. O valor padrão é |
Server Time Zone |
Opcional. O fuso horário configurado no servidor de e-mail. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular usado para manipular os dados do campo de evento e extrair o nome do ambiente. |
IMAP USE SSL |
Opcional. Se selecionado, o conector usa SSL/TLS para estabelecer uma conexão IMAP segura com o servidor de e-mail. Ativado por padrão. |
Unread Emails Only |
Opcional. Se selecionado, o conector extrai apenas e-mails não lidos. Ativado por padrão. |
Mark Emails as Read |
Opcional. Se selecionado, os e-mails serão marcados como lidos depois de serem extraídos pelo conector. Ativado por padrão. |
Attach Original EML |
Opcional. Se selecionada, a mensagem original será anexada ao alerta criado como um arquivo .eml. Essa configuração está desativada por padrão. |
Regex expressions to handle forwarded emails |
Opcional. Uma string JSON de uma linha que contém padrões de expressão regular para extrair os campos de assunto, remetente e destinatário originais de e-mails encaminhados. |
Exclusion Body Regex |
Opcional. Um padrão de expressão regular usado para excluir e-mails da ingestão se o conteúdo do corpo corresponder ao padrão, como |
Exclusion Subject Regex |
Opcional. Um padrão de expressão regular usado para excluir e-mails da ingestão se a
linha de assunto corresponder ao padrão, como
|
Offset Time In Days |
Obrigatório. O número máximo de dias que o conector busca e-mails (período máximo). Esse valor também serve como substituto para a execução inicial ou se o carimbo de data/hora do conector expirar, garantindo que os alertas sejam ingeridos durante o período desativado. O valor padrão é |
Max Emails Per Cycle |
Obrigatório. O número máximo de e-mails que o conector processa em um único ciclo de polling. O valor padrão é |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário para autenticação do servidor proxy. |
Proxy Password |
Opcional. A senha para autenticação do servidor proxy. |
Create a Separate Siemplify Alert per Attached Mail File? |
Opcional. Se selecionado, o conector cria um alerta separado para cada arquivo de e-mail anexado encontrado em uma mensagem. Isso é útil quando o mapeamento de eventos está definido para criar entidades de arquivos de e-mail anexados. Essa configuração está desativada por padrão. |
Original Received Mail Prefix |
Opcional. Um prefixo (como O valor padrão é |
Attached Mail File Prefix |
Opcional. Um prefixo (como O valor padrão é |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.