メール
統合バージョン: 27.0
この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードのコピーをストレージ バケットからダウンロードできます。
前提条件
このドキュメントで提供する例は、最も一般的なメールサーバーである Gmail に基づいています。Gmail では、サードパーティ製アプリケーションからメールボックス データにアクセスするためのいくつかの方法が用意されています。
より安全なアプリへのアクセスパスワードを公開せずに Google アカウントにログインしたり、サードパーティ製アプリがアクセスできるデータなどを確認したりできます(デフォルトで有効)。
アプリ パスワード。アプリ パスワードは、サードパーティ製アプリに Gmail メールボックスへのアクセス権を付与する 16 桁のパスコードです。アプリ パスワードは 2 段階認証プロセスを有効にしているアカウントでのみ使用できます。
安全性の低いアプリは通常、なんらかの理由で Google のセキュリティ基準に準拠していないサードパーティ製アプリのものです。このオプションが有効になっていない場合、Google のセキュリティ基準に準拠していないサードパーティ製アプリによる Gmail メールボックスへのアクセス試行はブロックされます。このオプションを有効にすると Gmail アカウントのセキュリティが低下するため、このオプションの使用には注意が必要です。
IMAP / SMTP へのネットワーク アクセス
設定したアカウントを使用して IMAP でメールにアクセスし、SMTP でメールを送信するには、[設定の詳細] > [アカウント] > [安全性の低いアプリのアクセスを有効にする] に移動します。
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | IMAP / SMTP |
メールを Google Security Operations と統合する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
操作
メールの添付ファイルをダウンロードする
メールの添付ファイルをダウンロードします。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ダウンロード パス | 文字列 | なし | ○ | メッセージの添付ファイルを指定されたダウンロード パスに保存します。 |
| メッセージ ID | 文字列 | なし | いいえ | ID を使用して特定のメールから添付ファイルをダウンロードします。例: example@mail.gmail.com |
| 件名フィルタ | 文字列 | なし | いいえ | 特定の件名でメールを検索するフィルタ条件。 |
| メール UID | 文字列 | なし | いいえ | フィルタする UUID。 |
| 未読のみ | チェックボックス | なし | いいえ | オンにすると、メールボックスから未読メールのみを取得します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 例 |
|---|---|
| attachments_local_paths | スクリプトの結果は、保存された添付ファイルへのカンマ区切りのフルパスの文字列を返します。 |
メールの EML ファイルを取得する
メール メッセージの EML 情報を取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| メッセージ ID | 文字列 | なし | いいえ | ID を使用して特定のメールから添付ファイルをダウンロードします。例: example@mail.gmail.com |
| Base64 エンコード | 文字列 | true | いいえ | 特定の件名でメールを検索するフィルタ条件。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 例 |
|---|---|
| eml_base64 | なし |
Ping
統合構成ページで提供されるパラメータを使用して、メールサーバーへの接続性をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
メールを送信する
この操作では、単一のメールボックスから多数のランダムな受信者にメールを送信できます。ユーザーには、Google SecOps またはユーザーによって生成された、それぞれのアラートによって、このようなアラートの結果が通知される場合があります。このアクションでメール メッセージ ID を返すことができるため、メッセージ ID を使用して、「ユーザーのメール待機」アクションでこのメールのユーザー名の応答を監視できるようになります。これは、ユーザーにハンドブックの質問をして、ユーザーの回答に応じてハンドブックを操作するために使用されます。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| 受信者 | 文字列 | なし | ○ | 受信者のメールアドレス。 複数のアドレスを指定する場合は、カンマで区切りることができます。 |
| CC | 文字列 | なし | いいえ | CC メールアドレス。複数のアドレスを指定する場合は、カンマで区切りることができます。 |
| Bcc | 文字列 | なし | いいえ | BCC のメールアドレス。複数のアドレスを指定する場合は、カンマで区切りることができます。 |
| 件名 | 文字列 | なし | ○ | メールの件名。 |
| Content | 文字列 | なし | ○ | メールの本文。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Send Email and Wait
このアクションは、指定されたメールボックスでユーザーの一意のメールを定期的に検索します。この関数は、「メールを送信」機能と、「メールを送信」パラメータの「メッセージ ID を確認」オプションで使用できます。これにより、プレイブックで受信者にリクエストを送信し、受信者が質問に回答するまで待機する設定を行うことができます。プレイブックの Google SecOps ワークフローでは、ユーザーからのフィードバックに基づいて分岐を使用できます。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| 受信者 | 文字列 | なし | ○ | 受信者のメールアドレス。 複数のアドレスを指定する場合は、カンマで区切りることができます。 |
| CC | 文字列 | なし | いいえ | CC メールアドレス。複数のアドレスを指定する場合は、カンマで区切りることができます。 |
| Bcc | 文字列 | なし | いいえ | BCC のメールアドレス。複数のアドレスを指定する場合は、カンマで区切りることができます。 |
| 件名 | 文字列 | なし | ○ | メールの件名。 |
| Content | 文字列 | なし | ○ | メールの本文。 |
| 除外対象の正規表現 | 文字列 | なし | いいえ | (件名)に挿入された正規表現で受信メールを除外し、次のメールを待ちます。 |
| 除外本文の正規表現 | 文字列 | なし | いいえ | (本文)に挿入された正規表現で受信メールを除外し、次のメールを待ちます。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
コネクタ
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
メール コネクタ
コネクタはメールサーバーに定期的に接続し、特定のメールボックスに新しいメールがないか確認します。新しいコネクタが存在する場合、メールが送信されると新しいアラートが作成され、Google SecOps によってこのメールの情報が追加されます。
このトピックでは、Google SecOps が IMAP/SMTP メールに接続して統合するメカニズムと構成、サポートされている作業フローとプラットフォーム内で実行されるアクションについて説明します。このトピックでは、Gmail、Outlook.com、Yahoo! といった IMAP をサポートするサーバーとの通信について説明します。Mail] をクリックします。
Google SecOps へのメールケースの転送
Google SecOps は、準リアルタイムでメールを検索するためにメールサーバーと通信し、翻訳とコンテキスト化のためにケースのアラートとしてそれらのメールを転送します。
コネクタ パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| プロダクト フィールド名 | 文字列 | device_product | フレームワーク パラメータ。すべてのコネクタに設定する必要があります。プロダクト名が保存されるフィールドの名前を記述します。 |
| イベント フィールド名 | 文字列 | event_name | イベント名(サブタイプ)を特定するために使用されるフィールド名。 |
| スクリプトのタイムアウト(秒) | 整数 | 60 | 現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。 |
| メール | メール | なし | モニタリングするメールボックスのメールアドレス。 |
| IMAP サーバーのアドレス | IP_OR_HOST | なし | 接続先の IMAP サーバー アドレス。 |
| IMAP ポート | 整数 | なし | 接続先の IMAP ポート。 |
| ユーザー名 | 文字列 | なし | メールを pull するメールボックスのユーザー名(例: user@example.com)。 |
| パスワード | パスワード | なし | メールを pull するメールのメールボックスのパスワード。 |
| メールを確認するフォルダ | 文字列 | 受信トレイ | パラメータを使用して、メールを検索するメールボックスのメールフォルダを指定できます。複数のフォルダでユーザーの応答を確認するには、パラメータにカンマ区切りのフォルダのリストも指定できます。パラメータでは大文字と小文字が区別されます。 |
| サーバー タイムゾーン | 文字列 | UTC | サーバーで構成されているタイムゾーン。例(1. UTC、2. アジア/エルサレム)。 |
| 環境の正規表現パターン | 文字列 | なし | 定義されている場合、コネクタは指定されたイベント フィールドから環境を抽出します。正規表現パターン フィールドを使用してフィールド データを操作し、特定の文字列を抽出できます。 |
| IMAP USE SSL | チェックボックス | オン | 接続で SSL を使用するかどうかを示します。 |
| 未読メールのみ | チェックボックス | オン | チェックボックスをオンにすると、未読メールのみが取得されます。 |
| メールを既読にする | チェックボックス | オン | チェックすると、メールを取得した後に既読としてマークします。 |
| 元の EML を添付する | チェックボックス | オフ | チェックすると、元のメッセージが eml ファイルとして添付されます。 |
| 転送されたメールを処理する正規表現 | 文字列 | N | パラメータを使用して JSON 1 行文字列を指定して、転送されたメールを操作できます(転送メール内の元のメールの件名、差出人、フィールド間を検索)。 |
| Offset Time In Days | 整数 | 5 | それ以降、メールを取得する最大日数。例: 3。 |
| 1 サイクルあたりの最大メール数 | 整数 | 10 | 1 サイクルで取得するメールの最大数。 |
| プロキシ サーバーのアドレス | IP_OR_HOST | なし | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | 認証に使用するプロキシ パスワード。 |
[動的リスト] 領域で、次の形式の正規表現を使用してメールから特定の値を抽出するために、Display name: matching regular expression という形式のルールを追加します。
たとえば、メールから URL を抽出するには、次のルールを入力します。
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
ユースケース
特定のメールボックスを監視して、新しいメールを Google SecOps サーバーにアラートとして取り込みます。
コネクタルール
コネクタは、メールサーバー通信の暗号化された通信(SSL/TLS)をサポートしています。
コネクタは、IMAP トラフィックと IMAPS トラフィックの両方でプロキシを使用したメールサーバーへの接続をサポートしています。
コネクタには、メールを検索するメールボックスのメール フォルダを指定するパラメータがあります。このパラメータは、複数のフォルダでユーザーの応答を確認するためのカンマ区切りのフォルダのリストを受け入れます。このパラメータでは大文字と小文字が区別されます。
コネクタは、エンドユーザーとのコミュニケーションとして処理されるメールの Unicode エンコードをサポートしています。メールは英語以外の言語で記述されている可能性があります。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。