Correo electrónico
Versión de integración: 27.0
Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia del código fuente completo de esta integración desde el bucket de almacenamiento.
Requisitos previos
El ejemplo que se proporciona en este documento se basa en Gmail, ya que es el servidor de correo electrónico más popular. Gmail ofrece varias opciones para acceder a los datos del buzón desde aplicaciones de terceros:
Acceso a apps más seguro, habilitado de forma predeterminada, en el que se puede acceder a una Cuenta de Google sin exponer la contraseña y ver a qué datos tendrá acceso la app de terceros, entre otras cosas.
Contraseña de la aplicación. Una contraseña de la aplicación es un código de 16 dígitos que le otorga a la app de terceros acceso al buzón de Gmail. Las contraseñas de aplicaciones solo se pueden usar con cuentas que tengan activada la Verificación en 2 pasos.
Las apps menos seguras suelen ser apps de terceros que no siguen los estándares de seguridad de Google por algún motivo. Si esta opción no está habilitada, se bloquearán los intentos de acceso a la bandeja de entrada de Gmail por parte de apps de terceros que no cumplan con los estándares de seguridad de Google. Habilitar esta opción hace que la cuenta de Gmail sea menos segura, por lo que se debe usar con precaución.
Acceso a la red a IMAP/SMTP
Para usar una cuenta configurada para acceder al correo con IMAP y enviar correos con SMTP, ve a Detalles de configuración > Cuenta > Activa el acceso para apps menos seguras.
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | IMAP/SMTP |
Integra el correo electrónico con Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Descargar archivos adjuntos de correos electrónicos
Descargar archivos adjuntos de correos electrónicos
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Ruta de descarga | String | N/A | Sí | Guarda el archivo adjunto del mensaje en la ruta de descarga especificada. |
| ID de mensaje | String | N/A | No | Descarga archivos adjuntos de un correo electrónico específico con su ID. Por ejemplo, example@mail.gmail.com. |
| Filtro de asunto | String | N/A | No | Condición de filtro para buscar correos electrónicos por asunto específico. |
| UID de correo electrónico | String | N/A | No | Es el UUID por el que se filtrará. |
| Solo no leídos | Casilla de verificación | N/A | No | Si está marcada, solo se recuperan los correos electrónicos no leídos del buzón. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Ejemplo |
|---|---|
| attachments_local_paths | El resultado de la secuencia de comandos devuelve una cadena de rutas de acceso completas separadas por comas a los archivos adjuntos guardados. |
Obtén el archivo EML de Mail
Recupera la información EML del mensaje de correo electrónico.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de mensaje | String | N/A | No | Descarga archivos adjuntos de un correo electrónico específico con su ID. Por ejemplo, example@mail.gmail.com. |
| Codifica en Base64 | String | verdadero | No | Condición de filtro para buscar correos electrónicos por asunto específico. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Ejemplo |
|---|---|
| eml_base64 | N/A |
Ping
Prueba la conectividad con el servidor de correo electrónico con los parámetros proporcionados en la página de configuración de la integración.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Enviar correo electrónico
Con esta acción, puedes enviar correos electrónicos desde un solo buzón a una cantidad de destinatarios aleatorios. Los usuarios pueden recibir alertas sobre el resultado de dichas alertas generadas por Google SecOps o por los usuarios respectivos. La acción puede devolver el ID del mensaje de correo electrónico para que puedas usarlo y supervisar la respuesta del nombre de usuario de este correo electrónico en la acción "Wait for User E-mail". Se usa para hacerle al usuario una pregunta de la guía y operar en la guía según la respuesta del usuario.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Destinatarios | String | N/A | Sí | Es la dirección de correo electrónico del destinatario. Si hay varias direcciones, sepáralas con comas. |
| CC | String | N/A | No | Dirección de correo electrónico de Cc. Si hay varias direcciones, sepáralas con comas. |
| Cco | String | N/A | No | Dirección de correo electrónico de Cco. Si hay varias direcciones, sepáralas con comas. |
| Asunto | String | N/A | Sí | Es el asunto del correo electrónico. |
| Contenido | String | N/A | Sí | Es el cuerpo del correo electrónico. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Enviar correo electrónico y esperar
Esta acción busca periódicamente en el buzón de correo especificado el correo electrónico único de un usuario. La función se puede usar con la función "Enviar correo electrónico" y la opción "Verificar ID de mensaje" para el parámetro "enviar correo electrónico", lo que te ayuda a tener una preferencia en los playbooks para enviar una solicitud al receptor y esperar hasta que el destinatario haya respondido la pregunta. El flujo de trabajo de SecOps de Google del manual puede usar bifurcaciones según los comentarios del usuario.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Destinatarios | String | N/A | Sí | Es la dirección de correo electrónico del destinatario. Si hay varias direcciones, sepáralas con comas. |
| CC | String | N/A | No | Dirección de correo electrónico de Cc. Si hay varias direcciones, sepáralas con comas. |
| Cco | String | N/A | No | Dirección de correo electrónico de Cco. Si hay varias direcciones, sepáralas con comas. |
| Asunto | String | N/A | Sí | Es el asunto del correo electrónico. |
| Contenido | String | N/A | Sí | Es el cuerpo del correo electrónico. |
| Regex del asunto de exclusión | String | N/A | No | Excluye los correos electrónicos recibidos por expresión regular insertada (asunto) y espera el siguiente correo electrónico. |
| Regex del cuerpo de exclusión | String | N/A | No | Excluye los correos recibidos por la expresión regular insertada (cuerpo) y espera el siguiente correo. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
Conectores
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Conector de correo electrónico
El conector se conecta al servidor de correo periódicamente para verificar si hay correos electrónicos nuevos en un buzón específico. Si hay un conector nuevo, se enviará un correo electrónico y se creará una alerta nueva, que Google SecOps agregará con la información de este correo electrónico.
En este tema, se ilustran el mecanismo y la configuración por los que Google SecOps se conecta y se integra al correo electrónico IMAP/SMTP, junto con los flujos de trabajo y las acciones admitidos que se realizan dentro de la plataforma. En este tema, se hace referencia a la comunicación con servidores que admiten IMAP, como Gmail, Outlook.com y Yahoo!. Correo electrónico.
Reenvío de casos por correo electrónico a Google SecOps
Google SecOps se comunica con un servidor de correo electrónico para buscar correos electrónicos casi en tiempo real y reenviarlos para que se traduzcan y contextualicen como alertas para los casos.
Parámetros del conector
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre del campo del producto | String | device_product | Es un parámetro del framework que se debe establecer para cada conector. Describe el nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo del evento | String | event_name | Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 60 | Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Correo electrónico | Correo electrónico | N/A | Dirección de correo electrónico del buzón que se supervisará. |
| Dirección del servidor IMAP | IP_OR_HOST | N/A | Dirección del servidor IMAP al que se conectará. |
| Puerto IMAP | Número entero | N/A | Es el puerto IMAP al que se conectará. |
| Nombre de usuario | String | N/A | Nombre de usuario del buzón de correo electrónico del que se extraerán los correos electrónicos, por ejemplo, user@example.com. |
| Contraseña | Contraseña | N/A | Contraseña del buzón de correo electrónico del que se extraerán los correos electrónicos. |
| Carpeta en la que se buscarán correos electrónicos | String | Recibidos | El parámetro se puede usar para especificar la carpeta de correo electrónico del buzón en la que se buscarán los correos electrónicos. El parámetro también debe aceptar una lista de carpetas separadas por comas para verificar la respuesta del usuario en varias carpetas. El parámetro distingue mayúsculas de minúsculas. |
| Zona horaria del servidor | String | UTC | Es la zona horaria configurada en el servidor. Por ejemplo, 1. UTC, 2. Asia/Jerusalem). |
| Patrón de expresión regular del entorno | String | N/A | Si se define, el conector extrae el entorno del campo de evento especificado. Puedes manipular los datos del campo con el campo de patrón de expresión regular para extraer una cadena específica. |
| USAR SSL DE IMAP | Casilla de verificación | Marcado | Indica si se debe usar SSL en la conexión. |
| Solo correos electrónicos no leídos | Casilla de verificación | Marcado | Si se marca esta opción, solo se extraerán los correos electrónicos no leídos. |
| Marcar correos electrónicos como leídos | Casilla de verificación | Marcado | Si se marca esta opción, los correos se marcarán como leídos después de recuperarlos. |
| Adjuntar EML original | Casilla de verificación | Desmarcado | Si se marca, se adjuntará el mensaje original como archivo eml. |
| Expresiones de regex para controlar los correos electrónicos reenviados | String | N | El parámetro se puede usar para especificar una cadena de una sola línea en formato JSON para controlar los correos electrónicos reenviados, y buscar los campos de asunto, remitente y destinatario del correo electrónico original en el correo electrónico reenviado. |
| Tiempo de compensación en días | Número entero | 5 | Cantidad máxima de días desde los que se recuperarán correos. Ejemplo: 3. |
| Cantidad máxima de correos electrónicos por ciclo | Número entero | 10 | Es la cantidad máxima de correos electrónicos que se pueden extraer en un ciclo. |
| Dirección del servidor proxy | IP_OR_HOST | N/A | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | Contraseña del proxy para la autenticación. |
En el área de la lista dinámica, agrega la siguiente regla para extraer valores específicos del correo electrónico con la expresión regular en el siguiente formato: Display name: matching regular expression.
Por ejemplo, para extraer URLs del correo electrónico, ingresa la siguiente regla:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
Casos de uso
Supervisa un buzón de correo electrónico específico en busca de correos electrónicos nuevos para su incorporación al servidor de Google SecOps como alertas.
Reglas del conector
El conector admite comunicaciones encriptadas para las comunicaciones del servidor de correo electrónico (SSL/TLS).
El conector admite la conexión al servidor de correo electrónico a través de un proxy para el tráfico de IMAP y IMAPS.
El conector tiene un parámetro para especificar la carpeta de correo electrónico del buzón en la que se buscarán los correos electrónicos. El parámetro acepta una lista de carpetas separadas por comas para verificar la respuesta del usuario en varias carpetas. El parámetro distingue mayúsculas de minúsculas.
El conector admite la codificación Unicode para los correos electrónicos que se procesan como comunicaciones con el usuario final, que podrían estar en un idioma distinto del inglés.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.