邮件 V2
集成版本:35.0
前提条件
本部分中描述的示例基于 Gmail,该服务提供了多种选项来允许第三方应用访问邮箱数据:
安全性更高的应用访问权限(默认启用),用户无需泄露密码即可登录 Google 账号,并可查看第三方应用将有权访问哪些数据等。
应用专用密码。应用专用密码是一个 16 位数的密码,可授权第三方应用访问 Gmail 邮箱。只有已开启两步验证功能的账号才可使用应用专用密码。
安全性较低的应用通常是指因某种原因而未遵循 Google 安全标准的第三方应用。如果未启用此选项,则系统会阻止不遵循 Google 安全标准的第三方应用尝试访问 Gmail 邮箱。 启用此选项会降低 Gmail 账号的安全性,因此应谨慎使用此选项。
对 IMAP/SMTP 的网络访问权限
使用 IMAP 访问邮件和使用 SMTP 发送邮件是通过已配置的账号完成的。
配置详情:账号:开启安全性较低的应用的访问权限。
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| API | 多值 | 出站 | IMAP/SMTP |
在 Google Security Operations 中配置电子邮件 V2 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| 发件人的地址 | 字符串 | user@example.com | 是 | 集成中使用的电子邮件地址,用于发送电子邮件和处理此电子邮件地址(邮箱)收到的电子邮件 |
| 发件人的显示名称 | 字符串 | 不适用 | 是 | 发件人的显示名称。 |
| SMTP 服务器地址 | 字符串 | smtp.hmail.com | 尚未配置 | 要连接的 SMTP 服务器 DNS 主机名或 IP 地址。SMTP 服务器配置用于发送电子邮件。 |
| SMTP 端口 | 整数 | 565 | 尚未配置 | 要连接的 SMTP 服务器端口。 |
| IMAP 服务器地址 | 字符串 | imap.hmail.com | 尚未配置 | 要连接的 IMAP 服务器主机名或 IP 地址。IMAP 用于处理邮箱中收到的电子邮件的操作。 |
| IMAP 端口 | 整数 | 993 | 尚未配置 | 要连接的 IMAP 服务器端口。 |
| 用户名 | 字符串 | 不适用 | 是 | 用于在邮件服务器上进行身份验证的用户名 |
| 密码 | 密码 | 不适用 | 是 | 用于向电子邮件服务器进行身份验证的密码 |
| SMTP - 使用 SSL | 复选框 | 勾选 | 否 | 用于为 SMTP 连接启用 SSL/TLS 的选项。 |
| IMAP - 使用 SSL | 复选框 | 勾选 | 否 | 用于为 IMAP 连接启用 SSL/TLS 的选项。 |
| SMTP - 使用身份验证 | 复选框 | 勾选 | 否 | 用于为 SMTP 连接启用身份验证的选项。 当 SMTP 服务器未以“开放中继”配置运行,并且需要身份验证才能发送电子邮件时使用。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
如果需要,您可以在稍后阶段进行更改。配置完成后,即可在 playbook 中使用实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
Ping
使用集成配置页面上提供的参数测试与电子邮件服务器的连接。
使用场景
使用集成设置中的配置参数测试与 IMAP 和 SMTP 邮件服务器的连接。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
发送电子邮件
您可以通过此操作从单个邮箱向多个随机收件人发送电子邮件。用户可能会收到 Google SecOps 或用户生成的相应提醒,从而获知此类提醒的结果。该操作可以返回电子邮件 ID,以便您能够使用该 ID 在“等待用户电子邮件”操作中监控相应电子邮件的用户名响应。用于向用户提出 playbook 问题,并根据用户的回答操作 playbook。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 收件人 | 字符串 | 不适用 | 是 | 收件人电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| CC | 字符串 | 不适用 | 否 | 抄送电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| 密送 | 字符串 | 不适用 | 否 | 密送电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| 主题 | 字符串 | 不适用 | 是 | 电子邮件的主题。 |
| 内容 | 字符串 | 不适用 | 是 | 电子邮件的正文。 |
| 附件路径 | 字符串 | 不适用 | 否 | 以英文逗号分隔的附件文件路径列表,这些附件存储在服务器上,用于添加到电子邮件中。 |
| 已发送电子邮件的返回消息 ID | 复选框 | 尚未核查 | 否 | 如果选中,操作会在技术 JSON 结果中返回已发送电子邮件的邮件 ID。此消息 ID 可用于“等待用户发送电子邮件”操作,以处理用户回复。 |
使用场景
向收件人列表发送通知电子邮件。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
操作会返回邮件对象的技术 JSON 结果。
如果启用了“为已发送的电子邮件返回消息 ID”,则该操作会在技术 JSON 结果中为已发送的电子邮件返回 message_id。如果未设置“返回已发送电子邮件的邮件 ID”,则无需为已发送的电子邮件返回 message_id。
{
"message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
转发电子邮件
转发电子邮件,包括之前的邮件。需要将要转发的电子邮件的 message_id 作为操作输入参数提供。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要转发的电子邮件的邮件 ID | 字符串 | 不适用 | 是 | 要转发的电子邮件的 message_id 值。 |
| 文件夹名称 | 字符串 | 收件箱 | 否 | 用于搜索电子邮件的邮箱文件夹。参数还应接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。 请注意,您可以设置特定于邮件的文件夹,例如“[Gmail]/所有邮件”,以便在 Gmail 邮箱的所有文件夹中进行搜索。此外,文件夹名称应与 IMAP 文件夹完全一致。如果文件夹名称包含空格,则必须用英文双引号括起来。 |
| 收件人 | CSV | 不适用 | 是 | 电子邮件收件人的任意电子邮件地址列表(以英文逗号分隔)。 |
| CC | CSV | 不适用 | 否 | 要放入电子邮件的“抄送”字段中的任意以英文逗号分隔的电子邮件地址列表。 |
| 密送 | CSV | 不适用 | 否 | 密送电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| 主题 | 字符串 | 不适用 | 是 | 电子邮件主题部分 |
| 内容 | 字符串 | 不适用 | 否 | 电子邮件正文部分。 |
| 附件路径 | 字符串 | 不适用 | 否 | 以英文逗号分隔的附件文件路径列表,这些附件存储在服务器上,用于添加到电子邮件中。 |
| 转发的电子邮件的返回消息 ID | 复选框 | 尚未核查 | 否 | 如果选择此选项,操作会在 JSON 技术结果中返回转发电子邮件的消息 ID。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
Date
message_id
Recipient
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果电子邮件转发成功:“电子邮件已成功转发。” 如果电子邮件已成功转发,并且“返回转发电子邮件的邮件 ID”已启用:“邮件已成功转发。邮件 ID 为:{0}".format(message_id) 如果出现错误:打印“Failed to forward the email! 错误为 {0}".format(exception.stacktrace) |
常规 |
等待用户发送电子邮件
等待用户根据使用“发送电子邮件”操作发送的电子邮件做出回复。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要检查回复的消息 ID | 字符串 | 不适用 | 是 | 操作应将消息 ID 作为输入,以了解应针对哪封电子邮件跟踪响应。 |
| 等待所有收件人回复? | 复选框 | 勾选 | 否 | 如果存在多个收件人,则可以使用参数来定义操作应等待所有收件人的回复才能继续,还是应等待第一个回复才能继续。 |
| 等待收件人回复的时长(分钟) | 整数 | 1440 | 是 | 等待用户回复的超时时间(以分钟为单位)。 |
| 等待阶段排除模式 | 字符串 | 不适用 | 否 | 用于从等待阶段排除特定回复的正则表达式。适用于电子邮件的正文部分。例如,排除自动“外出”电子邮件,使其不被视为收件人回复,而是等待实际的用户回复。 |
| 用于检查回复的文件夹 | 字符串 | 收件箱 | 否 | 此参数可用于指定邮箱电子邮件文件夹(用于发送包含问题的电子邮件的邮箱),以便在该文件夹中搜索用户回复。 参数还应接受以逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。参数区分大小写。 |
| 提取响应附件 | 复选框 | 尚未核查 | 否 | 如果选中,则在收件人回复并附上附件时,提取收件人回复并将其添加为操作结果的附件。 |
使用场景
等待用户回复之前通过“发送电子邮件”操作发送的电子邮件。
找到响应后,在剧本中分析响应,并根据需要运行其他步骤。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"Responses":
{[
"user1@example.com": "Approved",
"user2@example.com": "",
"user3@example.com": ""
]}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
搜索电子邮件
根据给定的各种搜索条件搜索特定邮箱的电子邮件。操作会恢复邮箱中 JSON 文件内所有内容的详细信息。随后,这些数据可用于自动或手动分析。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件夹名称 | 字符串 | 收件箱 | 是 | 用于搜索电子邮件的邮箱文件夹。参数还应接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。 |
| 主题过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定要搜索的电子邮件主题。 |
| 发件人过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定所需电子邮件的发送者。 |
| 收件人过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定谁应成为所需电子邮件的收件人。 |
| 时间范围(分钟) | 字符串 | 不适用 | 否 | 过滤条件,用于指定搜索应在多长时间(以分钟为单位)内查找电子邮件。 |
| 仅限未读 | 复选框 | 尚未核查 | 否 | 过滤条件,用于指定搜索是否应仅查找未读电子邮件。 |
| 要返回的电子邮件数量上限 | 整数 | 100 | 是 | 作为操作结果返回的电子邮件数量上限。 |
使用场景
搜索可疑电子邮件,查看受监控邮箱中的其他用户之前是否收到过该电子邮件或类似电子邮件以供检查。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
操作应针对找到的每封电子邮件返回一个电子邮件对象 JSON 技术结果。 如果未找到任何电子邮件,则返回“null”。
{
"emails": {
"email_1": {
"message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user1@example.com,user2@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "pdfdocument.pdf",
"attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
},
"email_2": {
"message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
"received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
"sender": "user@test.example",
"recipients": "user3@example.com",
"subject": "Cool offer",
"plaintext_body": "Hi, ...",
"attachmment_1": "photo.jpg", "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
"attachmment_2": "word_document.docx",
"attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
将电子邮件移至文件夹
将一封或多封电子邮件从源电子邮件文件夹移至邮箱中的另一个文件夹。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 源文件夹名称 | 字符串 | 不适用 | 是 | 要从中移动电子邮件的源文件夹。 |
| 目标文件夹名称 | 字符串 | 不适用 | 是 | 要将电子邮件移至的目标文件夹。 |
| 消息 ID | 字符串 | 不适用 | 否 | 过滤条件,用于指定要查找的电子邮件的电子邮件 ID。应接受以英文逗号分隔的多个消息 ID。如果提供了消息 ID,则忽略主题过滤条件。 |
| 主题过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定要搜索的电子邮件主题。 |
| 仅限未读 | 复选框 | 尚未核查 | 否 | 过滤条件,用于指定搜索是否应仅查找未读电子邮件。 |
使用场景
将在 playbook 中处理的电子邮件移至“归档”文件夹:
将系统判定为可疑的电子邮件从收件箱移至“垃圾邮件”文件夹:
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
操作应针对找到并移动的每封电子邮件返回一个邮件对象 JSON 技术结果。如果未找到任何电子邮件地址,则返回 null。
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
删除电子邮件
从邮箱中删除符合搜索条件的一封或多封电子邮件。 您可以删除符合搜索条件的第一个电子邮件,也可以删除所有符合条件的电子邮件。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件夹名称 | 字符串 | 不适用 | 是 | 用于搜索电子邮件的邮箱文件夹。参数还应接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。 |
| 消息 ID | 字符串 | 不适用 | 否 | 过滤条件,用于指定要查找的电子邮件的电子邮件 ID。应接受以英文逗号分隔的消息 ID 列表以供搜索。如果提供了消息 ID,则系统会忽略主题、发件人和收件人过滤器。 |
| 主题过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定要搜索的电子邮件的主题。 |
| 发件人过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定所需电子邮件的发送者。 |
| 收件人过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定谁应成为所需电子邮件的收件人。 |
| 删除所有匹配的电子邮件 | 复选框 | 尚未核查 | 否 | 过滤条件,用于指定操作应从邮箱中删除符合条件的所有电子邮件,还是仅删除第一个匹配项。 |
| 天数 | 字符串 | 0 | 否 | 过滤条件,用于指定操作应在多长时间内(以天为单位)查找要删除的电子邮件。注意 - 操作仅以天为粒度。0 表示系统将搜索今天的邮件。 |
使用场景
向收件人列表发送通知电子邮件。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
邮件对象
操作应针对找到并删除的每封电子邮件返回一个邮件对象 JSON 技术结果。如果未找到任何电子邮件,则返回到“null”。
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
将电子邮件附件保存到支持请求
将受监控邮箱中存储的电子邮件中的电子邮件附件保存到“案例墙”。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件夹名称 | 字符串 | 不适用 | 是 | 用于搜索电子邮件的邮箱文件夹。参数还应接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。 |
| 邮件 ID | 字符串 | 不适用 | 否 | 要查找的电子邮件的 ID,以便下载附件。 |
| 附件名称 | 字符串 | 不适用 | 否 | 如果未指定参数,则将所有电子邮件附件保存到支持请求墙。 如果指定了参数,则仅将匹配的附件保存到支持请求墙。 |
使用场景
出于公司标准或程序以及法规要求的考虑,请将发现的恶意电子邮件附件保存到支持请求墙中,以供日后保留数据。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
邮件对象
操作应返回保存附件的电子邮件的邮件对象 JSON 技术结果。
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
下载电子邮件附件
将电子邮件中的电子邮件附件下载到 Google SecOps 服务器上的特定路径。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件夹名称 | 字符串 | 收件箱 | 是 | 用于搜索电子邮件的邮箱文件夹。参数还应接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。 |
| 下载路径 | 字符串 | 不适用 | 是 | 将邮件附件保存到指定的下载路径。 |
| 邮件 ID | 字符串 | 不适用 | 否 | 使用特定电子邮件的 ID 下载其中的附件。例如 example@mail.gmail.com。 |
| 主题过滤条件 | 字符串 | 不适用 | 否 | 按特定主题搜索电子邮件的过滤条件。 |
使用场景
下载电子邮件中的附件。
如果电子邮件看起来可疑,并且 VirusTotal 中尚未对电子邮件附件的文件哈希进行评分,请将电子邮件附件上传到沙盒环境以进行分析。
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 示例 |
|---|---|
| attachments_local_paths | 脚本结果返回以英文逗号分隔的已保存附件的完整路径字符串。 |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* |
|
常规 |
发送消息串回复
以回复电子邮件会话串的形式发送消息。
参数
| 名称 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|
| 邮件 ID | 是 | 指定您要回复的消息的 ID。 | |
| 文件夹名称 | 收件箱 | 是 | 指定以英文逗号分隔的邮箱文件夹列表,操作应在其中搜索电子邮件。注意:您可以设置特定于邮件的文件夹,例如“[Gmail]/所有邮件”,以便在 Gmail 邮箱的所有文件夹中进行搜索。 此外,文件夹名称应与 IMAP 文件夹完全一致。如果文件夹名称包含空格,则必须用双引号将其括起来。 |
| 内容 | 是 | 指定回复的内容。 | |
| 附件路径 | 否 | 指定以逗号分隔的附件文件路径列表,这些附件存储在服务器上,用于添加到电子邮件中。 | |
| 回复全部 | 正确 | 否 | 如果启用,操作将向与原始电子邮件相关的所有收件人发送回复。注意:此参数的优先级高于“回复至”参数。 |
| 回复地址 | 指定您要向其发送此回复的电子邮件地址列表(以英文逗号分隔)。 如果未提供任何内容,并且“全部回复”处于停用状态,则操作只会向电子邮件的发件人发送回复。如果启用了“全部回复”,操作将忽略此参数。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"message_id": "<162556278608.14165.480701790user@example>",
"recipients": "test@example.com"
}
案例墙
| 格 | 成功 | 失败 | 消息 |
|---|---|---|---|
| 成功 | 是 | 否 | 已成功在 Exchange 中回复 ID 为 {message ID} 的消息。 |
| 严重错误、凭据无效、API 根 | 否 | 是 | 执行操作“发送帖子回复”时出错。原因:{error traceback} |
连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
通用 IMAP 电子邮件连接器
连接器会定期连接到邮件服务器,以检查特定邮箱中是否有新电子邮件。如果存在新的连接器,系统会发送一封电子邮件并创建一条新提醒,Google SecOps 会将此电子邮件中的信息添加到该提醒中。
本主题介绍了 Google SecOps 连接和集成到 IMAP/SMTP 电子邮件的机制和配置,以及平台内支持的工作流程和采取的操作。本主题是指与支持 IMAP 的服务器(例如 Gmail、Outlook.com 和 Yahoo!)进行通信。邮件。
已知问题和限制
官方电子邮件 Python 库不支持通过 Microsoft Outlook 应用发送的特定附件。这是因为 Outlook 将 .msg 转换为 .eml,导致在提取转换后的 .eml 时缺少必要的标头。连接器将捕获该错误并留下以下日志:
Error Code 1: Encountered an email object with missing headers. Please visit documentation portal for more details.Google SecOps 仍会针对该电子邮件创建提醒,但不会包含基于此附件的 Google SecOps 事件。
在通用 IMAP 电子邮件连接器中,处理附有邮件文件的电子邮件时,如果原始电子邮件附件的 Content-Disposition 标头或任何其他标头中不包含文件名,系统将分配以下附件文件名,以便该附件成功显示为 Google SecOps 中的事件:
Undefined_{UUID}.eml。
电子邮件支持请求转发
Google SecOps 将与电子邮件服务器通信,以近乎实时地搜索电子邮件,并转发这些电子邮件以进行翻译和情境化处理,作为案例的提醒。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 默认环境 | 字符串 | 不适用 | 否 | 选择所需的环境。例如,“客户一”。 |
| 运行频率 | 整数 | 00:00:10:00 | 否 | 选择运行连接的时间。例如,“每天”。 |
| 商品字段名称 | 字符串 | device_product | 是 | 必须为每个连接器设置框架参数。描述存储商品名称的字段的名称。 |
| 事件字段名称 | 字符串 | event_name_mail_type | 是 | 用于确定事件名称(子类型)的字段名称。 |
| 要从电子邮件中提取的其他标头 | 字符串 | 不适用 | 否 | 从电子邮件中提取其他标头。 |
| 脚本超时(秒) | 整数 | 60 | 是 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| IMAP 服务器地址 | IP_OR_HOST | 不适用 | 是 | 要连接的 IMAP 服务器地址。 |
| IMAP 端口 | 整数 | 不适用 | 是 | 要连接的 IMAP 端口。 |
| 用户名 | 字符串 | 不适用 | 是 | 要从中提取电子邮件的邮箱的用户名,例如 user@example.com。 |
| 密码 | 密码 | 不适用 | 是 | 用于从中提取电子邮件的电子邮件邮箱的密码。 |
| 要检查电子邮件的文件夹 | 字符串 | 收件箱 | 是 | 此参数可用于指定邮箱中要搜索电子邮件的电子邮件文件夹。参数还应接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。参数区分大小写。 |
| 服务器时区 | 字符串 | UTC | 否 | 服务器中配置的时区,例如(1. 世界协调时间,2. Asia/Jerusalem)。 |
| 环境正则表达式模式 | 字符串 | 不适用 | 否 | 如果已定义,连接器会从指定的事件字段中提取环境。您可以使用正则表达式模式字段来处理字段数据,以提取特定字符串。 |
| IMAP 使用 SSL | 复选框 | 勾选 | 否 | 指示是否在连接中使用 SSL。 |
| 仅限未读电子邮件 | 复选框 | 勾选 | 否 | 如果选中,则仅提取未读邮件。 |
| 将电子邮件标记为已读 | 复选框 | 勾选 | 否 | 如果选中,则在提取邮件后将其标记为已读。 |
| 附加原始 EML | 复选框 | 尚未核查 | 否 | 如果选中,则以 eml 文件格式附加原始邮件。 |
| 用于处理转发电子邮件的正则表达式 | 字符串 | 不适用 | 否 | 此参数可用于指定 JSON 单行字符串,以处理转发的电子邮件 - 在转发的电子邮件中搜索原始电子邮件的主题、发件人和收件人字段。 |
| 排除正文正则表达式 | 字符串 | 不适用 | 否 | 排除正文与指定正则表达式匹配的电子邮件。例如,([N|n]ewsletter)|([O|o]ut of office) 会查找包含“简报”或“不在办公室”关键字的所有电子邮件。 |
| 排除对象正则表达式 | 字符串 | 不适用 | 否 | 排除主题与指定内容匹配的电子邮件。例如,([N|n]ewsletter)|([O|o]ut of office) 会查找包含“Newsletter”或“Out of office”关键字的所有电子邮件。 |
| 以天为单位的偏移时间 | 整数 | 5 | 是 | 自指定日期起提取邮件的最长天数。 |
| 每个周期的电子邮件数量上限 | 整数 | 10 | 是 | 一个周期内拉取的邮件数量上限。 |
| 代理服务器地址 | IP_OR_HOST | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
| 为每个附加的邮件文件创建单独的 Siemplify 提醒? | 复选框 | 尚未核查 | 否 | 如果启用,连接器将创建多个提醒,每个附加的电子邮件文件对应 1 个提醒。如果电子邮件附有多个电子邮件文件,并且 Google SecOps 事件映射设置为根据附加的电子邮件文件创建实体,那么此行为会很有用。 |
| 原始已收邮件前缀 | 字符串 | orig | 否 | 要添加到从受监控邮箱中收到的原始电子邮件提取的键(收件人、发件人、主题等)的前缀。 |
| 附加的邮件文件前缀 | 字符串 | 挂接 | 否 | 要添加到从附加的邮件文件(通过电子邮件在受监控的邮箱中收到的)中提取的键(收件人、发件人、主题等)的前缀。 |
在动态列表区域中,添加以下规则,以便使用以下格式的正则表达式从电子邮件中提取特定值:Desire display name: matching regex。
例如,如需从电子邮件中提取网址,请插入以下内容:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
使用场景
监控特定邮箱中的新电子邮件,以便将这些电子邮件作为提醒提取到 Google SecOps 服务器。
连接器规则
该连接器支持电子邮件服务器通信的加密通信 (SSL/TLS)。
该连接器支持使用代理连接到邮件服务器,以处理 IMAP 和 IMAPS 流量。
连接器有一个参数,用于指定要搜索电子邮件的邮箱电子邮件文件夹。该参数接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户响应。该参数区分大小写。
连接器支持将作为最终用户通信处理的电子邮件的 Unicode 编码,这些电子邮件可能采用非英语语言。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。