Version de l'intégration : 27.0
Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie du code source complet de cette intégration à partir du bucket de stockage.
Prérequis
L'exemple fourni dans ce document est basé sur Gmail, qui est le serveur de messagerie le plus populaire. Gmail propose plusieurs options pour accéder aux données de la boîte aux lettres depuis des applications tierces :
L'accès aux applications plus sécurisé, activé par défaut, permet de se connecter à un compte Google sans exposer le mot de passe, de voir les données auxquelles l'application tierce aura accès, et plus encore.
Comment des applications plus sécurisées contribuent à protéger votre compte
Mot de passe d'application Un mot de passe d'application est un code secret à 16 chiffres qui permet à l'application tierce d'accéder à la boîte aux lettres Gmail. Les mots de passe d'application ne peuvent être utilisés qu'avec les comptes pour lesquels la validation en deux étapes est activée.
L'option Applications moins sécurisées concerne généralement les applications tierces qui ne respectent pas les normes de sécurité de Google pour une raison ou une autre. Si cette option n'est pas activée, les tentatives d'accès à la boîte aux lettres Gmail par des applications tierces qui ne respectent pas les normes de sécurité de Google seront bloquées. L'activation de cette option rend le compte Gmail moins sécurisé. Elle doit donc être utilisée avec précaution.
Accès réseau à IMAP/SMTP
Pour utiliser un compte configuré afin d'accéder à la messagerie avec IMAP et d'envoyer des e-mails avec SMTP, accédez à Détails de la configuration> Compte > Activer l'accès pour les applications moins sécurisées.
| Fonction | Port par défaut | Direction | Protocole |
|---|---|---|---|
| API | Valeurs multiples | Sortant | IMAP/SMTP |
Intégrer les e-mails à Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Télécharger les pièces jointes des e-mails
Téléchargez les pièces jointes des e-mails.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Chemin de téléchargement | Chaîne | N/A | Oui | Enregistrez la pièce jointe du message dans le chemin de téléchargement indiqué. |
| ID du message | Chaîne | N/A | Non | Téléchargez les pièces jointes d'un e-mail spécifique à l'aide de son ID. Par exemple, example@mail.gmail.com. |
| Filtre par sujet | Chaîne | N/A | Non | Condition de filtre permettant de rechercher des e-mails par objet spécifique. |
| UID de l'e-mail | Chaîne | N/A | Non | UUID selon lequel filtrer. |
| Non lues uniquement | Case à cocher | N/A | Non | Si cette option est cochée, seuls les e-mails non lus sont récupérés de la boîte aux lettres. |
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Exemple |
|---|---|
| attachments_local_paths | Le résultat du script renvoie une chaîne de chemins d'accès complets séparés par une virgule vers les pièces jointes enregistrées. |
Obtenir un fichier EML Mail
Récupérer les informations EML d'un message électronique.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID du message | Chaîne | N/A | Non | Téléchargez les pièces jointes d'un e-mail spécifique à l'aide de son ID. Par exemple, example@mail.gmail.com. |
| Encodage base64 | Chaîne | vrai | Non | Condition de filtre permettant de rechercher des e-mails par objet spécifique. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Exemple |
|---|---|
| eml_base64 | N/A |
Ping
Testez la connectivité au serveur de messagerie avec les paramètres fournis sur la page de configuration de l'intégration.
Paramètres
N/A
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_succeed | Vrai/Faux | is_succeed:False |
Envoyer un e-mail
Cette action vous permet d'envoyer des e-mails depuis une seule boîte aux lettres à un certain nombre de destinataires aléatoires. Les utilisateurs peuvent être informés des résultats de ces alertes par les alertes respectives générées par Google SecOps ou les utilisateurs. L'action peut renvoyer l'ID du message électronique afin que vous puissiez l'utiliser pour surveiller la réponse du nom d'utilisateur de cet e-mail dans votre action "Attendre l'e-mail de l'utilisateur". Il est utilisé pour poser une question à l'utilisateur sur le playbook et pour agir sur le playbook en fonction de la réponse de l'utilisateur.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Destinataires | Chaîne | N/A | Oui | Adresse e-mail du destinataire. Vous pouvez séparer plusieurs adresses par des virgules. |
| CC | Chaîne | N/A | Non | Adresse e-mail à mettre en copie. Vous pouvez séparer plusieurs adresses par des virgules. |
| Cci | Chaîne | N/A | Non | Adresse e-mail en Cci Vous pouvez séparer plusieurs adresses par des virgules. |
| Objet | Chaîne | N/A | Oui | Objet de l'e-mail. |
| Contenu | Chaîne | N/A | Oui | Corps de l'e-mail. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Envoyer un e-mail et attendre
Cette action recherche périodiquement l'adresse e-mail unique d'un utilisateur dans la boîte aux lettres spécifiée. Cette fonction peut être utilisée avec la fonctionnalité "Envoyer un e-mail" et l'option "Vérifier l'ID du message" pour le paramètre "Envoyer un e-mail". Elle vous permet de définir une préférence dans les playbooks pour envoyer une demande au destinataire et attendre qu'il ait répondu à la question. Le workflow Google SecOps du playbook peut utiliser des branches en fonction des commentaires de l'utilisateur.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Destinataires | Chaîne | N/A | Oui | Adresse e-mail du destinataire. Vous pouvez séparer plusieurs adresses par des virgules. |
| CC | Chaîne | N/A | Non | Adresse e-mail à mettre en copie. Vous pouvez séparer plusieurs adresses par des virgules. |
| Cci | Chaîne | N/A | Non | Adresse e-mail en Cci Vous pouvez séparer plusieurs adresses par des virgules. |
| Objet | Chaîne | N/A | Oui | Objet de l'e-mail. |
| Contenu | Chaîne | N/A | Oui | Corps de l'e-mail. |
| Expression régulière de l'objet d'exclusion | Chaîne | N/A | Non | Excluez les e-mails reçus par (objet) expression régulière insérée et attendez le prochain e-mail. |
| Expression régulière du corps d'exclusion | Chaîne | N/A | Non | Excluez les e-mails reçus par expression régulière (corps) insérée et attendez le prochain e-mail. |
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
Connecteurs
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Connecteur d'e-mails
Le connecteur se connecte régulièrement au serveur de messagerie pour vérifier si de nouveaux e-mails sont arrivés dans une boîte aux lettres spécifique. Si un nouveau connecteur est présent, un e-mail sera envoyé et une nouvelle alerte sera créée. Les informations de cet e-mail seront ajoutées par les équipes Google SecOps.
Cette rubrique illustre le mécanisme et la configuration par lesquels Google SecOps se connecte et s'intègre à la messagerie IMAP/SMTP, ainsi que les flux de travail et les actions compatibles effectués sur la plate-forme. Cette rubrique concerne la communication avec les serveurs compatibles avec IMAP, tels que Gmail, Outlook.com et Yahoo!. Mail.
Transfert des demandes par e-mail vers Google SecOps
Google SecOps communique avec un serveur de messagerie pour rechercher des e-mails en temps quasi réel et les transférer afin qu'ils soient traduits et contextualisés sous forme d'alertes pour les cas.
Paramètres du connecteur
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nom du champ de produit | Chaîne | device_product | Paramètre de framework, doit être défini pour chaque connecteur. Décrit le nom du champ dans lequel le nom du produit est stocké. |
| Nom du champ d'événement | Chaîne | event_name | Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. |
| Délai avant expiration du script (en secondes) | Integer | 60 | Délai limite (en secondes) pour le processus Python exécutant le script actuel. |
| N/A | Adresse e-mail de la boîte aux lettres à surveiller. | ||
| Adresse du serveur IMAP | IP_OR_HOST | N/A | Adresse du serveur IMAP auquel se connecter. |
| Port IMAP | Integer | N/A | Port IMAP auquel se connecter. |
| Nom d'utilisateur | Chaîne | N/A | Nom d'utilisateur de la boîte aux lettres à partir de laquelle extraire les e-mails, par exemple user@example.com. |
| Mot de passe | Mot de passe | N/A | Mot de passe de la boîte aux lettres à partir de laquelle extraire les e-mails. |
| Dossier dans lequel rechercher les e-mails | Chaîne | Boîte de réception | Ce paramètre peut être utilisé pour spécifier le dossier de messagerie dans la boîte aux lettres dans lequel rechercher les e-mails. Le paramètre doit également accepter une liste de dossiers séparés par une virgule pour vérifier la réponse de l'utilisateur dans plusieurs dossiers. Le paramètre est sensible à la casse. |
| Fuseau horaire du serveur | Chaîne | UTC | Fuseau horaire configuré sur le serveur, exemples (1. UTC, 2. Asia/Jerusalem). |
| Modèle d'expression régulière de l'environnement | Chaîne | N/A | Si elle est définie, le connecteur extrait l'environnement du champ d'événement spécifié. Vous pouvez manipuler les données du champ à l'aide du champ de modèle d'expression régulière pour extraire une chaîne spécifique. |
| IMAP USE SSL | Case à cocher | Cochée | Indique si SSL doit être utilisé pour la connexion. |
| E-mails non lus uniquement | Case à cocher | Cochée | Si cette option est activée, seuls les e-mails non lus sont récupérés. |
| Marquer des e-mails comme lus | Case à cocher | Cochée | Si cette option est activée, les e-mails sont marqués comme lus après avoir été extraits. |
| Joindre l'e-mail au format EML d'origine | Case à cocher | Décochée | Si cette option est cochée, le message d'origine est joint en tant que fichier .eml. |
| Expressions régulières pour gérer les e-mails transférés | Chaîne | N | Ce paramètre peut être utilisé pour spécifier une chaîne JSON sur une seule ligne afin de gérer les e-mails transférés. Il permet de rechercher les champs "Objet", "De" et "À" de l'e-mail d'origine dans l'e-mail transféré. |
| Décalage temporel en jours | Integer | 5 | Nombre maximal de jours depuis lesquels récupérer les e-mails. Exemple : 3. |
| Nombre maximal d'e-mails par cycle | Integer | 10 | Nombre maximal d'e-mails à extraire en un cycle. |
| Adresse du serveur proxy | IP_OR_HOST | N/A | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Mot de passe du proxy pour l'authentification. |
Dans la zone de liste dynamique, ajoutez la règle suivante pour extraire des valeurs spécifiques de l'e-mail à l'aide de l'expression régulière au format suivant : Display name: matching regular expression.
Par exemple, pour extraire les URL de l'e-mail, saisissez la règle suivante :
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
Cas d'utilisation
Surveillez une boîte aux lettres spécifique pour détecter les nouveaux e-mails à ingérer sur le serveur Google SecOps sous forme d'alertes.
Règles du connecteur
Le connecteur est compatible avec les communications chiffrées pour les communications avec le serveur de messagerie (SSL/TLS).
Le connecteur permet de se connecter au serveur de messagerie à l'aide d'un proxy pour le trafic IMAP et IMAPS.
Le connecteur comporte un paramètre permettant de spécifier le dossier de boîte aux lettres dans lequel rechercher les e-mails. Le paramètre accepte une liste de dossiers séparés par une virgule pour vérifier la réponse de l'utilisateur dans plusieurs dossiers. Le paramètre est sensible à la casse.
Le connecteur est compatible avec l'encodage Unicode pour les e-mails traités en tant que communications avec les utilisateurs finaux, qui peuvent être rédigés dans une langue autre que l'anglais.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.