電子郵件 V2

整合版本:35.0

必要條件

本節所述範例以 Gmail 為基礎,提供多種選項,可讓第三方應用程式存取信箱資料:

  1. 更安全的應用程式存取權 (預設啟用):使用者可登入 Google 帳戶,不必公開密碼,還能查看第三方應用程式可存取的資料等等。

    高安全性應用程式如何協助保護您的帳戶

  2. 應用程式密碼。應用程式密碼是一組 16 位數的密碼,可讓第三方應用程式存取 Gmail 信箱。只有啟用兩步驟驗證的帳戶才能使用應用程式密碼。

    使用應用程式密碼登入

  3. 「低安全性應用程式」通常是指因故未遵循 Google 安全性標準的第三方應用程式。如果未啟用這項選項,系統會封鎖不符合 Google 安全標準的第三方應用程式,使其無法存取 Gmail 信箱。啟用這個選項會降低 Gmail 帳戶的安全性,因此請謹慎使用。

    低安全性應用程式和您的 Google 帳戶

IMAP/SMTP 網路存取權

使用 IMAP 存取郵件及使用 SMTP 傳送郵件時,需要使用已設定的帳戶。

設定詳細資料:帳戶:開啟低安全性應用程式存取權。

函式 預設通訊埠 方向 通訊協定
API 多個值 傳出 IMAP/SMTP

在 Google Security Operations 中設定 Email V2 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合:

參數顯示名稱 類型 預設值 為必填項目 說明
執行個體名稱 字串 不適用 您要設定整合的執行個體名稱。
說明 字串 不適用 執行個體的說明。
寄件者地址 字串 user@example.com 用於整合的電子郵件地址,可傳送電子郵件,以及處理這個電子郵件地址 (信箱) 收到的郵件
寄件者顯示名稱 字串 不適用 寄件者的顯示名稱。
SMTP 伺服器位址 字串 smtp.hmail.com 尚未設定 要連線的 SMTP 伺服器 DNS 主機名稱或 IP 位址。SMTP 伺服器設定用於傳送電子郵件。
SMTP 連接埠 整數 565 尚未設定 要連線的 SMTP 伺服器通訊埠。
IMAP 伺服器位址 字串 imap.hmail.com 尚未設定 要連線的 IMAP 伺服器主機名稱或 IP 位址。IMAP 用於處理信箱中收到的電子郵件。
IMAP 連接埠 整數 993 尚未設定 要連線的 IMAP 伺服器通訊埠。
使用者名稱 字串 不適用 郵件伺服器驗證時要使用的使用者名稱
密碼 密碼 不適用 用於電子郵件伺服器驗證的密碼
SMTP - 使用 SSL 核取方塊 已勾選 可為 SMTP 連線啟用 SSL/TLS。
IMAP - 使用 SSL 核取方塊 已勾選 可為 IMAP 連線啟用 SSL/TLS。
SMTP - 使用驗證 核取方塊 已勾選

啟用 SMTP 連線驗證的選項。

如果 SMTP 伺服器無法在「開放式轉發」設定中運作,且需要驗證才能傳送電子郵件,請使用這個選項。
遠端執行 核取方塊 已取消勾選 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選項,供您選取遠端使用者 (服務專員)。

如有需要,您之後可以變更。設定完成後,即可在應對手冊中使用執行個體。如要詳細瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

乒乓

使用整合設定頁面提供的參數,測試電子郵件伺服器的連線。

用途

使用整合設定中的設定參數,測試與 IMAP 和 SMTP 郵件伺服器的連線。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果成功:列印「Successfully connected to the email server with the provided connection parameters!」(已使用提供的連線參數成功連線至電子郵件伺服器!)
  • If not successful IMAP: print "Failed to connect to the IMAP server! Error is {0}".format(exception.stacktrace)
  • 如果 SMTP 未成功: print "Failed to connect to the SMTP server! Error is {0}".format(exception.stacktrace)
  • 如果 SMTP 和 IMAP 均失敗:列印 SMTP 和 IMAP 的錯誤
  • 如果 SMTP 和 IMAP 都未設定 - ping 應會傳回錯誤。
  • 對於 SMTP 和 IMAP,Ping 應使用不同的訊息分別進行檢查
  • 如果已設定至少 SMTP 或 IMAP - Ping 應會傳回成功訊息,表示已測試設定 (IMAP 或 SMTP),並略過未設定的部分。
 一般

傳送電子郵件

您可能會透過單一信箱傳送電子郵件給多位隨機收件者。使用者可能會收到 Google SecOps 或使用者產生的相關快訊,得知這類快訊的結果。這項動作可以傳回電子郵件 ID,讓您在「等待使用者電子郵件」動作中,使用郵件 ID 監控這封電子郵件的使用者名稱回應。用於向使用者詢問劇本問題,並根據使用者的回答操作劇本。

參數

參數 類型 預設值 為必填項目 說明
收件者 字串 不適用 收件者電子郵件地址。如有多個地址,請以半形逗號分隔。
CC 字串 不適用 副本電子郵件地址。如有多個地址,請以半形逗號分隔。
密件副本 字串 不適用 密件副本電子郵件地址。如有多個地址,請以半形逗號分隔。
主旨 字串 不適用 電子郵件主旨。
內容 字串 不適用 電子郵件內文。
附件路徑 字串 不適用 以半形逗號分隔的附件檔案路徑清單,這些附件儲存在伺服器上,可新增至電子郵件。
傳送電子郵件的回傳訊息 ID 核取方塊 已取消勾選 如果選取這個選項,動作會在技術 JSON 結果中傳回所傳送電子郵件的郵件 ID。這個郵件 ID 可用於「等待使用者回覆電子郵件」動作,處理使用者回覆。

用途

傳送通知電子郵件給收件者清單。

使用案例工作流程

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果

動作會傳回郵件物件的技術 JSON 結果。

如果啟用「傳回所傳送電子郵件的郵件 ID」,這項動作會在技術 JSON 結果中,傳回所傳送電子郵件的 message_id。如果未設定「傳送電子郵件的回傳訊息 ID」,則不必回傳傳送電子郵件的 message_id

{
    "message_id": "<4f1e50e8f4027d187a2385a39b83cde46e5b53c1-10013525-100078757@example.com>"
}
案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果電子郵件傳送成功:「郵件傳送成功。」
  • 如果電子郵件傳送成功,且「Return message ID for the sent email」(傳回已傳送電子郵件的郵件 ID) 已啟用:「Mail sent successfully. Mail message ID is: {0}".format(message_id)
  • If error: print "Failed to send email! The Error is {0}".format(exception.stacktrace)
 一般

轉寄電子郵件

轉寄電子郵件,並附上先前的訊息。必須以動作輸入參數的形式提供要轉寄的電子郵件 Message_id。

參數

參數顯示名稱 類型 預設值 為必填項目 說明
要轉寄的電子郵件訊息 ID 字串 不適用 要轉寄的電子郵件訊息 ID 值。
資料夾名稱 字串 收件匣

要搜尋電子郵件的信箱資料夾。參數也應接受以半形逗號分隔的資料夾清單,以便檢查多個資料夾中的使用者回覆。

請注意,您可以設定郵件專屬資料夾,例如「[Gmail]/所有郵件」,在 Gmail 信箱的所有資料夾中搜尋。此外,資料夾名稱應與 IMAP 資料夾完全相符。如果資料夾名稱包含空格,則必須以雙引號括住。
收件者 CSV 不適用 以半形逗號分隔的任意電子郵件地址清單,做為電子郵件收件者。
CC CSV 不適用 以半形逗號分隔的任意電子郵件地址清單,會放在電子郵件的副本欄位中。
密件副本 CSV 不適用 密件副本電子郵件地址。如有多個地址,請以半形逗號分隔。
主旨 字串 不適用 電子郵件主旨部分
內容 字串 不適用 電子郵件內文部分。
附件路徑 字串 不適用 以半形逗號分隔的附件檔案路徑清單,這些附件儲存在伺服器上,可新增至電子郵件。
傳回轉寄電子郵件的訊息 ID 核取方塊 已取消勾選 如果選取這個選項,動作會以 JSON 技術結果的形式,傳回轉寄電子郵件的郵件 ID。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果
{
   Date
   message_id
   Recipient
}
案件總覽
結果類型 值 / 說明 類型
輸出訊息*

如果電子郵件轉寄成功:「電子郵件已成功轉寄。」

如果電子郵件轉寄成功,且已啟用「Return message ID for the forwarded email」(傳送轉寄電子郵件的郵件 ID):「Mail was forwarded successfully. Mail message ID is: {0}".format(message_id)

If error: print "Failed to forward the email! The Error is {0}".format(exception.stacktrace)

 一般

等待使用者回信

等待使用者回覆透過「傳送電子郵件」動作傳送的電子郵件。

參數

參數 類型 預設值 為必填項目 說明
要查看回覆的訊息 ID 字串 不適用 動作應將訊息 ID 做為輸入內容,瞭解要追蹤哪封電子郵件的回覆。
要等待所有收件者回覆嗎? 核取方塊 已勾選 如果有多位收件者,您可以使用參數定義動作應等待所有收件者的回覆再繼續,還是等待第一位收件者的回覆即可繼續。
等待收件者回覆的時間長度 (分鐘) 整數 1440 等待使用者回覆的時間 (以分鐘為單位),超過這個時間就會標示為逾時。
等待階段排除格式 字串 不適用 排除特定回覆的規則運算式,適用於電子郵件內文。舉例來說,您可以排除自動傳送的「不在辦公室」電子郵件,不要將這類郵件視為收件者的回覆,而是等待使用者實際回覆。
要檢查回覆的資料夾 字串 收件匣 這個參數可用於指定信箱電子郵件資料夾 (用於傳送含問題電子郵件的信箱),以便在該資料夾中搜尋使用者回覆。 參數也應接受以半形逗號分隔的資料夾清單,以便檢查多個資料夾中的使用者回覆。參數會區分大小寫。
擷取回覆附件 核取方塊 已取消勾選 如果選取這個選項,且收件者回覆時附上附件,請擷取收件者的回覆,並將其新增為動作結果的附件。

用途

等待使用者回覆先前透過「傳送電子郵件」動作傳送的電子郵件。

找到回應後,請在劇本中分析回應,並視需要執行其他步驟。

使用案例工作流程

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果
{
    "Responses":
    {[
     "user1@example.com": "Approved",
     "user2@example.com": "",
     "user3@example.com": ""
     ]}
}
案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果電子郵件傳送成功:「郵件傳送成功。」
  • 如果電子郵件傳送成功,且已啟用「Return message ID for the sent email」(傳送電子郵件時傳回郵件 ID):「Mail sent successfully. Mail message ID is: {0}".format(message_id)
  • If error: print "Failed to send email! The Error is {0}".format(exception.stacktrace)
 一般

搜尋電子郵件

使用各種搜尋條件,搜尋特定信箱的電子郵件。這項作業會復原信箱中所有內容的詳細資料 (JSON 檔案)。這些資料隨後可用於自動或手動分析。

參數

參數 類型 預設值 為必填項目 說明
資料夾名稱 字串 收件匣 要搜尋電子郵件的信箱資料夾。參數也應接受以半形逗號分隔的資料夾清單,以便檢查多個資料夾中的使用者回覆。
主旨篩選器 字串 不適用 篩選條件:指定要搜尋電子郵件的主旨。
寄件者篩選器 字串 不適用 篩選條件:指定必要電子郵件的寄件者。
收件者篩選器 字串 不適用 篩選條件:指定應接收必要電子郵件的對象。
時間範圍 (分鐘) 字串 不適用 篩選條件:指定搜尋電子郵件的時間範圍 (以分鐘為單位)。
僅限未讀 核取方塊 已取消勾選 篩選條件,指定搜尋是否只應尋找未讀取的電子郵件。
要傳回的電子郵件數量上限 整數 100 要以動作結果形式傳回的電子郵件數量上限。

用途

搜尋可疑電子郵件,查看受監控信箱中的其他使用者是否曾收到這類電子郵件,並送交檢查。

使用案例工作流程

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果

動作應針對每個找到的電子郵件,傳回郵件物件 JSON 技術結果。 如果找不到任何電子郵件,請傳回「null」。

{
    "emails": {
        "email_1": {
            "message id": "<CAJP=A_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Mon, 26 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user1@example.com,user2@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "pdfdocument.pdf",
            "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        },
        "email_2": {
            "message id": "<WEAA=D_uGkttoWc1eahvP43rWVEsdk77nMu1FomhgRjRSmySLLg@mail.example.com>",
            "received": "Wen, 21 Aug 2019 03:20:13 -0700 (PDT)",
            "sender": "user@test.example",
            "recipients": "user3@example.com",
            "subject": "Cool offer",
            "plaintext_body": "Hi, ...",
            "attachmment_1": "photo.jpg",        "attachment_1_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82",
            "attachmment_2": "word_document.docx",
            "attachment_2_file_hash_md5": "3bd4a36cc0ed0bfc12ae5e2ece929e82"
        }
    }
}
案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果成功:print "Search found {0} emails based on the provided search criteria".format(count([email_ids]))
  • 如果找不到任何內容:列印「Search didn't found any matching emails」(搜尋結果找不到任何相符的電子郵件)
  • If error: print "Search didn't completed successfully due to error: {0}".format(exception.stacktrace)
 一般

將電子郵件移至資料夾

將一或多封電子郵件從來源電子郵件資料夾移至信箱中的其他資料夾。

參數

參數 類型 預設值 為必填項目 說明
來源資料夾名稱 字串 不適用 要從中移動電子郵件的來源資料夾。
目的地資料夾名稱 字串 不適用 要將電子郵件移至哪個資料夾。
郵件 ID 字串 不適用 篩選條件,指定要尋找的電子郵件 ID。應接受以半形逗號分隔的多個訊息 ID。如果提供郵件 ID,系統會忽略主旨篩選器。
主旨篩選器 字串 不適用 篩選條件:指定要搜尋電子郵件的主旨。
僅限未讀 核取方塊 已取消勾選 篩選條件,指定搜尋是否只應尋找未讀取的電子郵件。

用途

將應對手冊中處理的電子郵件移至封存資料夾:

使用案例工作流程

將系統判定為可疑的電子郵件從收件匣移至垃圾郵件資料夾:

使用案例工作流程

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果

對於找到並移動的每封電子郵件,動作應傳回郵件物件 JSON 技術結果。如果找不到任何電子郵件,則傳回 null

案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果成功 (搜尋條件找到電子郵件,且移動作業成功):列印訊息:「{0} 封郵件已成功從 {1} 移至 {2}」。format(emails_count, srs_folder, dst_folder)
  • 如果找不到任何電子郵件:列印「No mails were found matching the search criteria!」(找不到符合搜尋條件的郵件!)
  • if error: print "Error search emails: {0}".format(exception.stacktrace)
 一般

刪除電子郵件

從符合搜尋條件的信箱中刪除一或多封電子郵件。 您可以刪除符合搜尋條件的第一封電子郵件,也可以刪除所有符合條件的電子郵件。

參數

參數 類型 預設值 為必填項目 說明
資料夾名稱 字串 不適用 要搜尋電子郵件的信箱資料夾。參數也應接受以半形逗號分隔的資料夾清單,以便檢查多個資料夾中的使用者回覆。
郵件 ID 字串 不適用 篩選條件,指定要尋找的電子郵件 ID。應接受以半形逗號分隔的郵件 ID 清單,以供搜尋。如果提供郵件 ID,系統會忽略主旨、寄件者和收件者篩選器。
主旨篩選器 字串 不適用 篩選條件,指定要搜尋的電子郵件主旨。
寄件者篩選器 字串 不適用 篩選條件:指定必要電子郵件的寄件者。
收件者篩選器 字串 不適用 篩選條件:指定應接收必要電子郵件的對象。
刪除所有相符的電子郵件 核取方塊 已取消勾選 篩選條件:指定動作應從信箱中刪除所有符合條件的電子郵件,還是只刪除第一個符合條件的電子郵件。
天數 字串 0 篩選條件,指定動作應在多少天內尋找要刪除的電子郵件。注意 - 動作只能以天為單位。0 代表系統會搜尋今天的郵件。

用途

傳送通知電子郵件給收件者清單。

使用案例工作流程

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果

郵件物件

動作應針對每個找到並刪除的電子郵件,傳回郵件物件 JSON 技術結果。如果找不到任何電子郵件,請傳回「null」。

案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果成功 (搜尋條件找到電子郵件,刪除作業也成功):列印「{0} 封電子郵件已成功刪除」訊息。format(email_count)
  • 如果找不到要刪除的電子郵件:「Failed to find emails for deletion!」(找不到要刪除的電子郵件!)
  • if error : print "Error deleting emails {0}".format(exception.stacktrace)
 一般

將電子郵件附件儲存到案件

將受監控信箱中儲存的電子郵件附件儲存至案件牆。

參數

參數 類型 預設值 為必填項目 說明
資料夾名稱 字串 不適用 要搜尋電子郵件的信箱資料夾。參數也應接受以半形逗號分隔的資料夾清單,以便檢查多個資料夾中的使用者回覆。
郵件 ID 字串 不適用 郵件 ID,用於尋找要下載附件的電子郵件。
附件名稱 字串 不適用 如果未指定參數,則將所有電子郵件附件儲存至案件牆。 如果指定參數,則只會將相符的附件儲存到案件牆。

用途

為符合公司標準或程序,以及法規要求,請將發現含有惡意內容的電子郵件附件儲存到案件牆,以利資料保留。

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果

郵件物件

動作應傳回電子郵件的郵件物件 JSON 技術結果,並從中儲存附件。

案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果成功:「Successfully saved the following attachments from the email {0}: {1}".format(message_id, attachments list)」。
  • If error: print "Failed to save the email attachments to the case, the error is: {0}".format(exception.stacktrace)
 一般

下載電子郵件附件

將電子郵件附件從電子郵件下載到 Google SecOps 伺服器上的特定路徑。

參數

參數 類型 預設值 為必填項目 說明
資料夾名稱 字串 收件匣 要搜尋電子郵件的信箱資料夾。參數也應接受以半形逗號分隔的資料夾清單,以便檢查多個資料夾中的使用者回覆。
下載路徑 字串 不適用 將郵件附件儲存至指定下載路徑。
郵件 ID 字串 不適用 使用 ID 從特定電子郵件下載附件。例如 example@mail.gmail.com
主體篩選器 字串 不適用 篩選條件:依特定主旨搜尋電子郵件。

用途

下載電子郵件中的附件。

如果電子郵件看起來有惡意內容,且 VirusTotal 尚未評估電子郵件附件的檔案雜湊,請將電子郵件附件上傳至沙箱環境進行分析。

使用案例工作流程

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 示例
attachments_local_paths 指令碼結果會傳回以半形逗號分隔的字串,內含已儲存附件的完整路徑。
案件總覽
結果類型 值 / 說明 類型
輸出訊息*
  • 如果成功:「已下載 {0} 個附件。\n\n 檔案:\n{1}".format(len(attachments_local_paths), "\n".join(attachments_local_paths)".
  • If error: print "failed to download email attachments, the error is: {0}".format(exception.stacktrace)
 一般

傳送討論串回覆

回覆電子郵件討論串中的訊息。

參數

名稱 預設值 是否為必要項目 說明
郵件 ID 指定要回覆的訊息 ID。
資料夾名稱 收件匣 請指定以半形逗號分隔的信箱資料夾清單,動作應在這些資料夾中搜尋電子郵件。注意:您可以設定特定郵件資料夾,例如「[Gmail]/All Mail」,在 Gmail 信箱的所有資料夾中搜尋。 此外,資料夾名稱應與 IMAP 資料夾完全相符。如果資料夾名稱包含空格,則必須以雙引號括住。
內容 指定回覆內容。
附件路徑 指定以半形逗號分隔的附件檔案路徑清單,這些附件儲存在伺服器上,可新增至電子郵件。
回覆所有人 如果啟用這項設定,系統會回覆原始電子郵件的所有收件者。注意:這個參數的優先順序高於「回覆給」參數。
回覆 指定要傳送這封回覆郵件的電子郵件地址清單 (以半形逗號分隔)。 如果未提供任何內容,且「全部回覆」已停用,動作只會回覆電子郵件的寄件者。如果啟用「全部回覆」,動作會忽略這個參數。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果
指令碼結果名稱 價值選項 示例
is_success True/False is_success:False
JSON 結果
{
    "message_id": "<162556278608.14165.480701790user@example>",
    "recipients": "test@example.com"
}
案件總覽
充電盒 成功 失敗 訊息
成功 已成功將回覆傳送至 Exchange 中 ID 為 {message ID} 的郵件。
嚴重錯誤、憑證無效、API 根目錄 執行「傳送討論串回覆」動作時發生錯誤。原因:{error traceback}

連接器

如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器

通用 IMAP 電子郵件連線器

連接器會定期連線至郵件伺服器,檢查特定信箱是否有新郵件。如果出現新的連接器,系統會傳送電子郵件並建立新的快訊,Google SecOps 會將這封電子郵件中的資訊新增至快訊。

本主題說明 Google Security Operations 連線及整合 IMAP/SMTP 電子郵件的機制和設定,以及平台支援的工作流程和採取的動作。本主題是指與支援 IMAP 的伺服器通訊,例如 Gmail、Outlook.com 和 Yahoo!。。

已知問題和限制

  1. 電子郵件的官方 Python 程式庫不支援透過 Microsoft Outlook 應用程式傳送的特定附件。這是因為 Outlook 會將 .msg 轉換為 .eml,導致在擷取轉換後的 .eml 時,缺少必要的標頭。連接器會擷取錯誤,並留下下列記錄:

    Error Code 1: Encountered an email object with missing headers. Please
visit documentation portal for more details.

    Google SecOps 仍會為該電子郵件建立快訊,但不會根據這個附件建立 Google SecOps 事件。

  2. 在「Generic IMAP Email Connector」中處理附有郵件檔案的電子郵件時,如果原始電子郵件附件的 Content-Disposition 標頭或任何其他標頭中未包含檔案名稱,系統會指派以下附件檔案名稱,以便在 Google SecOps 中順利顯示為事件:Undefined_{UUID}.eml

轉寄電子郵件案件

Google SecOps 會與電子郵件伺服器通訊,近乎即時地搜尋電子郵件,並轉送這些郵件以進行翻譯和情境化,做為案件的快訊。

連接器參數

請使用下列參數設定連接器:

參數顯示名稱 類型 預設值 為必填項目 說明
預設環境 字串 不適用 選取所需環境。例如「Customer One」。
執行頻率 整數 00:00:10:00 選取連線的執行時間。例如「每天」。
產品欄位名稱 字串 device_product 每個連結器都必須設定架構參數。說明儲存產品名稱的欄位名稱。
事件欄位名稱 字串 event_name_mail_type 用於判斷事件名稱 (子類型) 的欄位名稱。
要從電子郵件擷取的其他標頭 字串 不適用 從電子郵件中擷取其他標頭。
指令碼逾時 (秒) 整數 60 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。
IMAP 伺服器位址 IP_OR_HOST 不適用 要連線的 IMAP 伺服器位址。
IMAP 連接埠 整數 不適用 要連線的 IMAP 通訊埠。
使用者名稱 字串 不適用 要從中提取電子郵件的信箱使用者名稱,例如 user@example.com
密碼 密碼 不適用 用來擷取電子郵件的電子郵件信箱密碼。
要檢查電子郵件的資料夾 字串 收件匣 這個參數可用於指定信箱中的電子郵件資料夾,以便搜尋電子郵件。參數也應接受以半形逗號分隔的資料夾清單,以便檢查多個資料夾中的使用者回應。參數會區分大小寫。
伺服器時區 字串 世界標準時間 伺服器中設定的時區,例如 (1. UTC,2. Asia/Jerusalem)。
環境規則運算式模式 字串 不適用 如果已定義,連接器會從指定的事件欄位擷取環境。您可以使用規則運算式模式欄位來操控欄位資料,擷取特定字串。
IMAP USE SSL 核取方塊 已勾選 指出連線是否要使用 SSL。
僅限未讀取的電子郵件 核取方塊 已勾選 如果勾選這個選項,系統只會擷取未讀取的郵件。
將電子郵件標示為已讀 核取方塊 已勾選 如果勾選這個選項,系統會在擷取郵件後將郵件標示為已讀。
附加原始 EML 檔案 核取方塊 已取消勾選 如果勾選這個核取方塊,系統會將原始郵件附加為 eml 檔案。
處理轉寄電子郵件的規則運算式 字串 不適用 這個參數可用於指定 JSON 單行字串,以處理轉寄的電子郵件,在轉寄的電子郵件中搜尋原始電子郵件的主旨、寄件者和收件者欄位。
排除主體規則運算式 字串 不適用 排除內文符合指定規則運算式的電子郵件。舉例來說,([N|n]ewsletter)|([O|o]ut of office) 會找出所有含有「電子報」或「不在辦公室」關鍵字的電子郵件。
排除主體規則運算式 字串 不適用 排除主旨符合指定條件的電子郵件。舉例來說,([N|n]ewsletter)|([O|o]ut of office) 會找出包含「電子報」或「不在辦公室」關鍵字的所有電子郵件。
偏移時間 (天) 整數 5

自此日期起擷取郵件的天數上限。
每個週期的電子郵件數量上限 整數 10 單一週期內可擷取的郵件數量上限。
Proxy 伺服器位址 IP_OR_HOST 不適用 要使用的 Proxy 伺服器位址。
Proxy 使用者名稱 字串 不適用 用於驗證的 Proxy 使用者名稱。
Proxy 密碼 密碼 不適用 用於驗證的 Proxy 密碼。
為每個附加郵件檔案建立個別的 Siemplify 快訊? 核取方塊 已取消勾選 如果啟用這項功能,連接器會為每個附加的電子郵件檔案建立 1 個快訊。如果處理的電子郵件附有多個電子郵件檔案,且 Google SecOps 事件對應設定為從附加的電子郵件檔案建立實體,這項行為就非常實用。
原始收件郵件前置字元 字串 orig 要新增至從原始郵件 (在受監控的信箱中收到) 擷取的鍵 (收件者、寄件者、主旨等) 的前置字元。
附加郵件檔案前置字串 字串 連接 要從附加的郵件檔案中擷取的鍵 (收件者、寄件者、主旨等) 前置字串,該檔案是從受監控的信箱中收到的電子郵件。

在動態清單區域中,新增下列規則,以便使用下列格式的規則運算式,從電子郵件中擷取特定值:Desire display name: matching regex

舉例來說,如要從電子郵件中擷取網址,請插入下列內容:

urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+

用途

監控特定信箱是否有新郵件,並將這些郵件做為快訊,擷取至 Google SecOps 伺服器。

應用實例

連接器規則

  • 連接器支援電子郵件伺服器通訊的加密通訊 (SSL/TLS)。

  • 連接器支援使用 Proxy 連線至郵件伺服器,處理 IMAP 和 IMAPS 流量。

  • 連接器有一個參數,可指定要搜尋電子郵件的信箱電子郵件資料夾。這個參數接受以半形逗號分隔的資料夾清單,可檢查多個資料夾中的使用者回覆。參數須區分大小寫。

  • 連接器支援以 Unicode 編碼處理電子郵件,這些郵件可能是以英文以外的語言撰寫,屬於使用者通訊內容。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。