Versão da integração: 27.0
Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia do código-fonte completo desta integração a partir do contentor de armazenamento.
Pré-requisitos
O exemplo fornecido neste documento baseia-se no Gmail, uma vez que é o servidor de email mais popular. O Gmail oferece várias opções para aceder aos dados da caixa de correio a partir de aplicações de terceiros:
Acesso mais seguro às apps, ativado por predefinição, em que é possível iniciar sessão numa Conta Google sem expor a palavra-passe e ver a que dados a app de terceiros vai ter acesso, entre outras opções.
Palavra-passe da app. Uma palavra-passe da app é um código secreto de 16 dígitos que concede à app de terceiros acesso à caixa de correio do Gmail. As palavras-passe de apps só podem ser usadas com contas que têm a opção validação em dois passos ativada.
Normalmente, as apps menos seguras são apps de terceiros que não seguem os padrões de segurança da Google por algum motivo. Se esta opção não estiver ativada, a tentativa de acesso de apps de terceiros que não seguem as normas de segurança da Google à caixa de correio do Gmail é bloqueada. A ativação desta opção torna a Conta do Gmail menos segura, pelo que deve ser usada com precaução.
Acesso de rede ao IMAP/SMTP
Para usar uma conta configurada para aceder ao correio com IMAP e enviar correio com SMTP, aceda a Detalhes de configuração > Conta > Ative o acesso para apps menos seguras.
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | IMAP/SMTP |
Integre o email com o Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Transferir anexos de email
Transferir anexos de email.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho de transferência | String | N/A | Sim | Guarde o anexo da mensagem no caminho de transferência indicado. |
| ID da mensagem | String | N/A | Não | Transfira anexos de um email específico através do respetivo ID. Por exemplo,
example@mail.gmail.com. |
| Filtro de assunto | String | N/A | Não | Condição de filtro para pesquisar emails por assunto específico. |
| UID do email | String | N/A | Não | UUID pelo qual filtrar. |
| Apenas não lidas | Caixa de verificação | N/A | Não | Se estiver selecionada, obtém da caixa de correio apenas os emails não lidos. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Exemplo |
|---|---|
| attachments_local_paths | O resultado do script devolve uma string de caminhos completos separados por vírgulas para os anexos guardados. |
Obtenha o ficheiro EML do Mail
Obtenha informações EML de mensagens de email.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da mensagem | String | N/A | Não | Transfira anexos de um email específico através do respetivo ID. Por exemplo,
example@mail.gmail.com. |
| Codificação Base64 | String | verdadeiro | Não | Condição de filtro para pesquisar emails por assunto específico. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Exemplo |
|---|---|
| eml_base64 | N/A |
Tchim-tchim
Teste a conetividade ao servidor de email com os parâmetros fornecidos na página de configuração da integração.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Enviar email
Pode enviar emails de uma única caixa de correio para vários destinatários aleatórios com esta ação. Os utilizadores podem ser alertados sobre o resultado desses alertas através dos respetivos alertas gerados pelo Google SecOps ou pelos utilizadores. A ação pode devolver o ID da mensagem de email para que possa usar o ID da mensagem para monitorizar a resposta do nome de utilizador deste email na ação "Aguardar email do utilizador". É usado para fazer uma pergunta ao utilizador sobre um manual de procedimentos e para operar no manual de procedimentos de acordo com a resposta do utilizador.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Destinatários | String | N/A | Sim | Endereço de email do destinatário. Pode separar vários endereços por vírgulas. |
| CC | String | N/A | Não | Endereço de email em cc. Pode separar vários endereços por vírgulas. |
| Bcc | String | N/A | Não | Endereço de email em bcc. Pode separar vários endereços por vírgulas. |
| Assunto | String | N/A | Sim | O assunto do email. |
| Conteúdo | String | N/A | Sim | O corpo do email. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enviar email e aguardar
Esta ação pesquisa periodicamente a caixa de correio especificada para encontrar o email exclusivo de um utilizador. A função pode ser usada com a funcionalidade "Enviar email" e a opção "Verificar ID da mensagem" para o parâmetro "enviar email", o que ajuda a ter uma preferência nos manuais de procedimentos para enviar um pedido ao destinatário e aguardar até que o destinatário tenha respondido à pergunta. O fluxo de trabalho do Google SecOps do playbook pode usar ramificações com base no feedback do utilizador.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Destinatários | String | N/A | Sim | Endereço de email do destinatário. Pode separar vários endereços por vírgulas. |
| CC | String | N/A | Não | Endereço de email em cc. Pode separar vários endereços por vírgulas. |
| Bcc | String | N/A | Não | Endereço de email em bcc. Pode separar vários endereços por vírgulas. |
| Assunto | String | N/A | Sim | O assunto do email. |
| Conteúdo | String | N/A | Sim | O corpo do email. |
| Regex do assunto de exclusão | String | N/A | Não | Exclua emails recebidos por (assunto) com a expressão regular inserida e aguarde o próximo email. |
| Regex do corpo de exclusão | String | N/A | Não | Exclua emails recebidos por expressão regular inserida (corpo) e aguarde o próximo email. |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
Conetores
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Conetor de email
O conector liga-se periodicamente ao servidor de correio para verificar se existem novos emails numa caixa de correio específica. Se estiver presente um novo conector, é enviado um email e é criado um novo alerta, que é adicionado com informações deste email pela equipa de operações de segurança da Google.
Este tópico ilustra o mecanismo e a configuração através dos quais o Google SecOps se liga e integra ao email IMAP/SMTP, juntamente com os fluxos de trabalho suportados e as ações realizadas na plataforma. Este tópico refere-se à comunicação com servidores que suportam IMAP, como o Gmail, o Outlook.com e o Yahoo! Correio.
Encaminhamento de registos por email para o Google SecOps
O SecOps da Google comunica com um servidor de email para pesquisar emails quase em tempo real e encaminhá-los para serem traduzidos e contextualizados como alertas para registos.
Parâmetros do conetor
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Nome do campo do produto | String | device_product | O parâmetro de framework tem de ser definido para cada conector. Descreve o nome do campo onde o nome do produto está armazenado. |
| Nome do campo de evento | String | event_name | O nome do campo usado para determinar o nome do evento (subtipo). |
| Limite de tempo do script (segundos) | Número inteiro | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| N/A | Endereço de email da caixa de correio a ser monitorizada. | ||
| Endereço do servidor IMAP | IP_OR_HOST | N/A | Endereço do servidor IMAP ao qual estabelecer ligação. |
| Porta IMAP | Número inteiro | N/A | Porta IMAP à qual estabelecer ligação. |
| Nome de utilizador | String | N/A | Nome de utilizador da caixa de correio a partir da qual os emails são extraídos, por exemplo,
user@example.com. |
| Palavra-passe | Palavra-passe | N/A | Palavra-passe da caixa de correio de email da qual quer extrair emails. |
| Pasta a verificar para encontrar emails | String | Caixa de entrada | O parâmetro pode ser usado para especificar a pasta de email na caixa de correio para pesquisar os emails. O parâmetro também deve aceitar uma lista de pastas separada por vírgulas para verificar a resposta do utilizador em várias pastas. O parâmetro é sensível a maiúsculas e minúsculas. |
| Fuso horário do servidor | String | UTC | O fuso horário configurado no servidor, exemplos (1. UTC, 2. Asia/Jerusalem). |
| Padrão de regex do ambiente | String | N/A | Se estiver definido, o conetor extrai o ambiente do campo do evento especificado. Pode manipular os dados dos campos através do campo de padrão de expressão regular para extrair uma string específica. |
| IMAP USE SSL | Caixa de verificação | Marcado | Indica se deve ou não usar SSL na ligação. |
| Apenas emails não lidos | Caixa de verificação | Marcado | Se esta opção estiver selecionada, são obtidos apenas os emails não lidos. |
| Marque emails como lidos | Caixa de verificação | Marcado | Se estiver selecionada, marca os emails como lidos depois de os obter. |
| Anexe o EML original | Caixa de verificação | Desmarcado | Se estiver selecionada, anexa a mensagem original como um ficheiro eml. |
| Expressões regex para processar emails encaminhados | String | N | O parâmetro pode ser usado para especificar uma string de uma linha JSON para processar emails encaminhados, para pesquisar os campos de assunto, de e para do email original no email encaminhado. |
| Tempo de desvio em dias | Número inteiro | 5 | Número máximo de dias para obter emails desde. Exemplo: 3. |
| Máximo de emails por ciclo | Número inteiro | 10 | Contagem máxima de emails a obter num ciclo. |
| Endereço do servidor proxy | IP_OR_HOST | N/A | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | A palavra-passe do proxy para autenticação. |
Na área da lista dinâmica, adicione a seguinte regra para extrair valores específicos do email através da expressão regular no seguinte formato:
Display name: matching regular expression.
Por exemplo, para extrair URLs do email, introduza a seguinte regra:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
Exemplos de utilização
Monitorizar uma caixa de correio específica para novos emails para carregamento para o servidor do Google SecOps como alertas.
Regras de conector
O conetor suporta comunicações encriptadas para comunicações do servidor de email (SSL/TLS).
O conetor suporta a ligação ao servidor de correio através de proxy para tráfego IMAP e IMAPS.
O conector tem um parâmetro para especificar a pasta de email da caixa de correio onde pesquisar os emails. O parâmetro aceita uma lista separada por vírgulas de pastas para verificar a resposta do utilizador em várias pastas. O parâmetro é sensível a maiúsculas e minúsculas.
O conetor suporta a codificação Unicode para os emails processados como comunicações do utilizador final, que podem estar num idioma diferente do inglês.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.