Integrationsversion: 27.0
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine Kopie des vollständigen Quellcodes dieser Integration aus dem Storage-Bucket herunterladen.
Vorbereitung
Das in diesem Dokument enthaltene Beispiel basiert auf Gmail, da es sich um den beliebtesten E‑Mail-Server handelt. Gmail bietet mehrere Optionen für den Zugriff auf die Postfachdaten über Drittanbieteranwendungen:
Sicherer App-Zugriff, standardmäßig aktiviert, bei dem man sich in einem Google-Konto anmelden kann, ohne das Passwort preiszugeben. Außerdem kann man sehen, auf welche Daten die Drittanbieter-App Zugriff hat.
App-Passwort Ein App-Passwort ist ein 16-stelliger Sicherheitscode, mit dem die Drittanbieter-App auf das Gmail-Postfach zugreifen kann. App-Passwörter können nur für Konten verwendet werden, bei denen die 2‑Faktor-Authentifizierung aktiviert ist.
Die Option Weniger sichere Apps ist in der Regel für Drittanbieter-Apps vorgesehen, die aus irgendeinem Grund nicht den Google-Sicherheitsstandards entsprechen. Wenn diese Option nicht aktiviert ist, werden Zugriffsversuche von Drittanbieter-Apps, die nicht den Sicherheitsstandards von Google entsprechen, auf das Gmail-Postfach blockiert. Wenn Sie diese Option aktivieren, wird das Gmail-Konto weniger sicher. Sie sollte daher mit Vorsicht verwendet werden.
Netzwerkzugriff auf IMAP/SMTP
Wenn Sie mit einem konfigurierten Konto über IMAP auf E-Mails zugreifen und E-Mails über SMTP senden möchten, gehen Sie zu Konfigurationsdetails > Konto > Zugriff für weniger sichere Apps aktivieren.
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | IMAP/SMTP |
E-Mail in Google Security Operations einbinden
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
E‑Mail-Anhänge herunterladen
E‑Mail-Anhänge herunterladen
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Downloadpfad | String | – | Ja | Speichert den Nachrichtenanhang im angegebenen Downloadpfad. |
| Nachrichten-ID | String | – | Nein | Anhänge aus einer bestimmten E‑Mail mit ihrer ID herunterladen Beispiel: example@mail.gmail.com |
| Betrefffeld-Filter | String | – | Nein | Filterbedingung, um E‑Mails nach einem bestimmten Betreff zu suchen. |
| E-Mail-UID | String | – | Nein | UUID, nach der gefiltert werden soll. |
| Nur ungelesen | Kästchen | – | Nein | Wenn diese Option aktiviert ist, werden nur die ungelesenen E‑Mails aus dem Postfach abgerufen. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Beispiel |
|---|---|
| attachments_local_paths | Das Skriptergebnis gibt einen String mit durch Kommas getrennten vollständigen Pfaden zu den gespeicherten Anhängen zurück. |
EML-Datei für E-Mail abrufen
EML-Informationen für E-Mail-Nachrichten abrufen.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Nachrichten-ID | String | – | Nein | Anhänge aus einer bestimmten E‑Mail mit ihrer ID herunterladen Beispiel: example@mail.gmail.com |
| Base64-Codierung | String | wahr | Nein | Filterbedingung, um E‑Mails nach einem bestimmten Betreff zu suchen. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Beispiel |
|---|---|
| eml_base64 | – |
Ping
Testen Sie die Verbindung zum E‑Mail-Server mit den Parametern, die auf der Seite mit der Integrationskonfiguration angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_succeed | Wahr/falsch | is_succeed:False |
E-Mail senden
Mit dieser Aktion können Sie E-Mails von einem einzelnen Postfach an eine Reihe zufälliger Empfänger senden. Nutzer werden möglicherweise über das Ergebnis solcher Warnungen durch die entsprechenden Warnungen informiert, die von Google SecOps oder Nutzern generiert werden. Die Aktion kann die E‑Mail-Nachrichten-ID zurückgeben, damit Sie die Nachrichten-ID verwenden können, um die Antwort des Nutzernamens auf diese E‑Mail in der Aktion „Auf Nutzer-E‑Mail warten“ zu überwachen. Damit wird dem Nutzer eine Playbook-Frage gestellt und das Playbook entsprechend der Antwort des Nutzers ausgeführt.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Empfänger | String | – | Ja | E-Mail-Adresse des Empfängers. Mehrere Adressen können durch Kommas getrennt werden. |
| CC | String | – | Nein | Cc-E-Mail-Adresse. Mehrere Adressen können durch Kommas getrennt werden. |
| Bcc | String | – | Nein | Bcc-E‑Mail-Adresse. Mehrere Adressen können durch Kommas getrennt werden. |
| Betreff | String | – | Ja | Der Betreff der E‑Mail. |
| Inhalt | String | – | Ja | Der Inhalt der E‑Mail. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
E‑Mail senden und warten
Bei dieser Aktion wird das angegebene Postfach regelmäßig nach der eindeutigen E-Mail-Adresse eines Nutzers durchsucht. Die Funktion kann mit der Funktion „E‑Mail senden“ und der Option „Nachricht‑ID prüfen“ für den Parameter „E‑Mail senden“ verwendet werden. So können Sie in den Playbooks eine Anfrage an den Empfänger senden und warten, bis er die Frage beantwortet hat. Im Google SecOps-Workflow des Playbooks kann die Verzweigung auf dem Feedback des Nutzers basieren.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Empfänger | String | – | Ja | E-Mail-Adresse des Empfängers. Mehrere Adressen können durch Kommas getrennt werden. |
| CC | String | – | Nein | Cc-E-Mail-Adresse. Mehrere Adressen können durch Kommas getrennt werden. |
| Bcc | String | – | Nein | Bcc-E‑Mail-Adresse. Mehrere Adressen können durch Kommas getrennt werden. |
| Betreff | String | – | Ja | Der Betreff der E‑Mail. |
| Inhalt | String | – | Ja | Der Inhalt der E‑Mail. |
| Regex für Ausschluss-Thema | String | – | Nein | E‑Mails, die Sie erhalten haben, anhand des (Betreff-)Felds mit dem eingefügten regulären Ausdruck ausschließen und auf die nächste E‑Mail warten. |
| Regex für Ausschlusskörper | String | – | Nein | E‑Mails, die empfangen wurden, anhand des eingefügten regulären Ausdrucks (Textkörper) ausschließen und auf die nächste E‑Mail warten. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
Connectors
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
E-Mail-Connector
Der Connector stellt regelmäßig eine Verbindung zum Mailserver her, um nach neuen E‑Mails in einem bestimmten Postfach zu suchen. Wenn ein neuer Connector vorhanden ist, wird eine E-Mail gesendet und eine neue Benachrichtigung erstellt, die von Google SecOps mit Informationen aus dieser E-Mail ergänzt wird.
In diesem Thema wird der Mechanismus und die Konfiguration beschrieben, mit denen Google SecOps eine Verbindung zu IMAP/SMTP-E-Mails herstellt und diese integriert. Außerdem werden unterstützte Arbeitsabläufe und Aktionen auf der Plattform beschrieben. In diesem Thema geht es um die Kommunikation mit Servern, die IMAP unterstützen, z. B. Gmail, Outlook.com und Yahoo!. E-Mail:
E-Mail-Fallweiterleitung an Google SecOps
Google SecOps kommuniziert mit einem E-Mail-Server, um E-Mails nahezu in Echtzeit zu durchsuchen und sie zur Übersetzung und Kontextualisierung als Warnungen für Fälle weiterzuleiten.
Connector-Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Produktfeldname | String | device_product | Framework-Parameter, der für jeden Connector festgelegt werden muss. Beschreibt den Namen des Felds, in dem der Produktname gespeichert ist. |
| Name des Ereignisfelds | String | event_name | Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 60 | Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| – | E-Mail-Adresse des zu überwachenden Postfachs. | ||
| IMAP-Serveradresse | IP_OR_HOST | – | IMAP-Serveradresse, mit der eine Verbindung hergestellt werden soll. |
| IMAP-Port | Ganzzahl | – | IMAP-Port, mit dem eine Verbindung hergestellt werden soll. |
| Nutzername | String | – | Nutzername für das Postfach, aus dem E-Mails abgerufen werden sollen, z. B. user@example.com. |
| Passwort | Passwort | – | Das Passwort für das E‑Mail-Postfach, aus dem E‑Mails abgerufen werden sollen. |
| Ordner, in dem nach E-Mails gesucht werden soll | String | Posteingang | Mit diesem Parameter kann der E-Mail-Ordner im Postfach angegeben werden, in dem nach den E-Mails gesucht werden soll. Der Parameter sollte auch eine durch Kommas getrennte Liste von Ordnern akzeptieren, um die Nutzerantwort in mehreren Ordnern zu prüfen. Beim Parameter wird zwischen Groß- und Kleinschreibung unterschieden. |
| Serverzeitzone | String | UTC | Die auf dem Server konfigurierte Zeitzone, z. B. UTC, 2. Asien/Jerusalem). |
| Regex-Muster für Umgebung | String | – | Falls definiert, wird die Umgebung vom Connector aus dem angegebenen Ereignisfeld extrahiert. Sie können die Felddaten mit dem Feld „Muster für regulären Ausdruck“ bearbeiten, um einen bestimmten String zu extrahieren. |
| IMAP USE SSL | Kästchen | Aktiviert | Gibt an, ob bei der Verbindung SSL verwendet werden soll. |
| Nur ungelesene E‑Mails | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, werden nur ungelesene E‑Mails abgerufen. |
| E‑Mails als gelesen markieren | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, werden E‑Mails nach dem Abrufen als gelesen markiert. |
| Original-EML anhängen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, wird die ursprüngliche Nachricht als EML-Datei angehängt. |
| Reguläre Ausdrücke für die Verarbeitung weitergeleiteter E-Mails | String | N | Mit diesem Parameter kann ein einzeiliger JSON-String angegeben werden, um weitergeleitete E‑Mails zu verarbeiten. So kann in der weitergeleiteten E‑Mail nach den Feldern „Betreff“, „Von“ und „An“ der ursprünglichen E‑Mail gesucht werden. |
| Zeitversatz in Tagen | Ganzzahl | 5 | Maximale Anzahl von Tagen, seit denen E‑Mails abgerufen werden sollen. Beispiel 3: |
| Maximale Anzahl von E‑Mails pro Zyklus | Ganzzahl | 10 | Maximale Anzahl von E-Mails, die in einem Zyklus abgerufen werden sollen. |
| Proxyserveradresse | IP_OR_HOST | – | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Das Proxy-Passwort für die Authentifizierung. |
Fügen Sie im Bereich „Dynamische Liste“ die folgende Regel hinzu, um bestimmte Werte aus der E‑Mail mit dem regulären Ausdruck im folgenden Format zu extrahieren: Display name: matching regular expression.
Wenn Sie beispielsweise URLs aus der E‑Mail extrahieren möchten, geben Sie die folgende Regel ein:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
Anwendungsfälle
Ein bestimmtes Postfach wird auf neue E‑Mails überwacht, die als Benachrichtigungen auf dem Google SecOps-Server aufgenommen werden.
Connector-Regeln
Der Connector unterstützt verschlüsselte Kommunikation für die Kommunikation mit E‑Mail-Servern (SSL/TLS).
Der Connector unterstützt die Verbindung zum E-Mail-Server über einen Proxy für IMAP- und IMAPS-Traffic.
Der Connector hat einen Parameter, mit dem der E-Mail-Ordner des Postfachs angegeben wird, in dem nach den E-Mails gesucht werden soll. Der Parameter akzeptiert eine durch Kommas getrennte Liste von Ordnern, in denen die Nutzerantwort geprüft werden soll. Beim Parameter wird zwischen Groß- und Kleinschreibung unterschieden.
Der Connector unterstützt die Unicode-Codierung für die E-Mails, die als Endnutzerkommunikation verarbeitet werden und in einer anderen Sprache als Englisch sein können.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten