Versione integrazione: 27.0
Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia del codice sorgente completo di questa integrazione dal bucket di archiviazione.
Prerequisiti
L'esempio fornito in questo documento si basa su Gmail, in quanto server di posta più diffuso. Gmail offre diverse opzioni per accedere ai dati della casella di posta da applicazioni di terze parti:
Accesso alle app più sicuro, attivato per impostazione predefinita, che consente di accedere a un Account Google senza esporre la password e di vedere a quali dati l'app di terze parti avrà accesso e altro ancora.
In che modo le app più sicure contribuiscono a proteggere il tuo account
Password per l'app. Una password per l'app è un passcode di 16 cifre che consente all'app di terze parti di accedere alla casella di posta Gmail. Le password per le app possono essere utilizzate soltanto con gli account per cui è stata attivata la verifica in due passaggi.
L'opzione App meno sicure in genere riguarda app di terze parti che non rispettano gli standard di sicurezza di Google per qualche motivo. Se questa opzione non è attivata, i tentativi di accesso di app di terze parti che non rispettano gli standard di sicurezza di Google alla casella di posta Gmail verranno bloccati. L'attivazione di questa opzione rende l'account Gmail meno sicuro, pertanto questa opzione deve essere utilizzata con cautela.
Accesso di rete a IMAP/SMTP
Per utilizzare un account configurato per accedere alla posta con IMAP e inviare posta con SMTP, vai a Dettagli di configurazione > Account > Attiva l'accesso per app meno sicure.
| Funzione | Porta predefinita | Direzione | Protocollo |
|---|---|---|---|
| API | Multivalori | In uscita | IMAP/SMTP |
Integrare Email con Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Download degli allegati email
Scarica allegati email.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Percorso di download | Stringa | N/D | Sì | Salva l'allegato del messaggio nel percorso di download specificato. |
| ID messaggio | Stringa | N/D | No | Scarica gli allegati da un'email specifica utilizzando il relativo ID. Ad esempio:
example@mail.gmail.com. |
| Filtro per oggetto | Stringa | N/D | No | Condizione di filtro per cercare le email in base a un oggetto specifico. |
| UID email | Stringa | N/D | No | UUID in base a cui filtrare. |
| Solo da leggere | Casella di controllo | N/D | No | Se questa opzione è selezionata, vengono recuperate dalla casella di posta solo le email non lette. |
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Esempio |
|---|---|
| attachments_local_paths | Il risultato dello script restituisce una stringa di percorsi completi separati da virgole agli allegati salvati. |
Recuperare il file EML di Mail
Recupera le informazioni EML del messaggio di posta.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID messaggio | Stringa | N/D | No | Scarica gli allegati da un'email specifica utilizzando il relativo ID. Ad esempio:
example@mail.gmail.com. |
| Codifica Base64 | Stringa | true | No | Condizione di filtro per cercare le email in base a un oggetto specifico. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Esempio |
|---|---|
| eml_base64 | N/D |
Dindin
Testa la connettività al server di posta con i parametri forniti nella pagina di configurazione dell'integrazione.
Parametri
N/D
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Invia email
Con questa azione puoi inviare email da una singola casella di posta a un numero di destinatari casuali. Gli utenti potrebbero essere avvisati dell'esito di questi avvisi tramite i rispettivi avvisi generati da Google SecOps o dagli utenti. L'azione può restituire l'ID messaggio email in modo da poterlo utilizzare per monitorare la risposta del nome utente di questa email nell'azione "Attendi email utente". Viene utilizzato per porre all'utente una domanda del playbook e per operare sul playbook in base alla risposta dell'utente.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Destinatari | Stringa | N/D | Sì | Indirizzo email del destinatario. Più indirizzi possono essere separati da virgole. |
| Cc | Stringa | N/D | No | Indirizzo email in Cc. Più indirizzi possono essere separati da virgole. |
| Ccn | Stringa | N/D | No | Indirizzo email Ccn. Più indirizzi possono essere separati da virgole. |
| Oggetto | Stringa | N/D | Sì | L'oggetto dell'email. |
| Contenuti | Stringa | N/D | Sì | Il corpo dell'email. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Invia email e attendi
Questa azione esegue periodicamente la ricerca nella casella di posta specificata dell'email univoca di un utente. La funzione può essere utilizzata con la funzionalità "Invia email" e l'opzione "Controlla ID messaggio" per il parametro "Invia email", che ti consente di avere una preferenza nei playbook per inviare una richiesta al destinatario e attendere che risponda alla domanda. Il flusso di lavoro Google SecOps del playbook può utilizzare la ramificazione in base al feedback dell'utente.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Destinatari | Stringa | N/D | Sì | Indirizzo email del destinatario. Più indirizzi possono essere separati da virgole. |
| Cc | Stringa | N/D | No | Indirizzo email in Cc. Più indirizzi possono essere separati da virgole. |
| Ccn | Stringa | N/D | No | Indirizzo email Ccn. Più indirizzi possono essere separati da virgole. |
| Oggetto | Stringa | N/D | Sì | L'oggetto dell'email. |
| Contenuti | Stringa | N/D | Sì | Il corpo dell'email. |
| Regex oggetto esclusione | Stringa | N/D | No | Escludi le email ricevute in base all'espressione regolare inserita (oggetto) e attendi l'email successiva. |
| Regex del corpo di esclusione | Stringa | N/D | No | Escludi le email ricevute in base all'espressione regolare inserita (corpo) e attendi l'email successiva. |
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
Connettori
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Connettore email
Il connettore si connette periodicamente al server di posta per verificare la presenza di nuove email in una casella di posta specifica. Se è presente un nuovo connettore, verrà inviata un'email e verrà creato un nuovo avviso, che verrà aggiunto con le informazioni di questa email da Google SecOps.
Questo argomento illustra il meccanismo e la configurazione con cui Google SecOps si connette e si integra con l'email IMAP/SMTP insieme ai flussi di lavoro supportati e alle azioni intraprese all'interno della piattaforma. Questo argomento si riferisce alla comunicazione con server che supportano IMAP come Gmail, Outlook.com e Yahoo!. Posta.
Inoltro delle richieste via email a Google SecOps
Google SecOps comunica con un server di posta per cercare le email quasi in tempo reale e inoltrarle per la traduzione e la contestualizzazione come avvisi per le richieste.
Parametri del connettore
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Nome campo prodotto | Stringa | device_product | Parametro del framework, deve essere impostato per ogni connettore. Descrive il nome del campo in cui è memorizzato il nome del prodotto. |
| Nome campo evento | Stringa | event_name | Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). |
| Timeout dello script (secondi) | Numero intero | 60 | Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente. |
| N/D | Indirizzo email della casella di posta da monitorare. | ||
| Indirizzo server IMAP | IP_OR_HOST | N/D | Indirizzo del server IMAP a cui connettersi. |
| Porta IMAP | Numero intero | N/D | Porta IMAP a cui connettersi. |
| Nome utente | Stringa | N/D | Nome utente della casella di posta da cui estrarre le email, ad esempio
user@example.com. |
| Password | Password | N/D | Password della casella di posta da cui recuperare le email. |
| Cartella in cui controllare le email | Stringa | Posta in arrivo | Il parametro può essere utilizzato per specificare la cartella email nella casella di posta in cui cercare le email. Il parametro deve accettare anche un elenco separato da virgole di cartelle in cui controllare la risposta dell'utente in più cartelle. Il parametro è sensibile alle maiuscole. |
| Fuso orario del server | Stringa | UTC | Il fuso orario configurato nel server, esempi (1. UTC, 2. Asia/Gerusalemme). |
| Pattern regex ambiente | Stringa | N/D | Se definito, il connettore estrae l'ambiente dal campo dell'evento specificato. Puoi manipolare i dati del campo utilizzando il campo pattern dell'espressione regolare per estrarre una stringa specifica. |
| IMAP USE SSL | Casella di controllo | Selezionata | Indica se utilizzare o meno SSL per la connessione. |
| Solo email da leggere | Casella di controllo | Selezionata | Se questa opzione è selezionata, vengono recuperate solo le email non lette. |
| Contrassegnare le email come lette | Casella di controllo | Selezionata | Se selezionata, contrassegna le email come lette dopo averle recuperate. |
| Allega EML originale | Casella di controllo | Deselezionata | Se selezionata, allega il messaggio originale come file eml. |
| Espressioni regolari per gestire le email inoltrate | Stringa | N | Il parametro può essere utilizzato per specificare una stringa JSON di una riga per gestire le email inoltrate, per cercare i campi Oggetto, Da e A dell'email originale nell'email inoltrata. |
| Offset tempo in giorni | Numero intero | 5 | Numero massimo di giorni per recuperare le email da. Esempio: 3. |
| Numero massimo di email per ciclo | Numero intero | 10 | Numero massimo di email da recuperare in un ciclo. |
| Indirizzo del server proxy | IP_OR_HOST | N/D | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | La password del proxy per l'autenticazione. |
Nell'area dell'elenco dinamico, aggiungi la seguente regola per estrarre valori specifici dall'email utilizzando l'espressione regolare nel seguente formato:
Display name: matching regular expression.
Ad esempio, per estrarre gli URL dall'email, inserisci la seguente regola:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
Casi d'uso
Monitora una casella di posta specifica per nuove email da importare nel server Google SecOps come avvisi.
Regole del connettore
Il connettore supporta le comunicazioni criptate per le comunicazioni del server di posta (SSL/TLS).
Il connettore supporta la connessione al server di posta utilizzando il proxy per il traffico IMAP e IMAPS.
Il connettore ha un parametro per specificare la cartella email della casella di posta da cercare per le email. Il parametro accetta un elenco separato da virgole di cartelle per controllare la risposta dell'utente in più cartelle. Il parametro è sensibile alle maiuscole.
Il connettore supporta la codifica Unicode per le email elaborate come comunicazioni dell'utente finale, che potrebbero essere in una lingua diversa dall'inglese.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.