Versão da integração: 27.0
Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia do código-fonte completo dessa integração no bucket de armazenamento.
Pré-requisitos
O exemplo fornecido neste documento é baseado no Gmail, já que é o servidor de e-mail mais popular. O Gmail oferece várias opções para acessar os dados da caixa de correio em aplicativos de terceiros:
O acesso a apps mais seguros, ativado por padrão, em que é possível fazer login em uma Conta do Google sem expor a senha e ver a quais dados o app de terceiros terá acesso e muito mais.
Senha de app. Uma senha de app tem 16 dígitos e dá ao app de terceiros acesso à caixa de e-mails do Gmail. As senhas de app podem ser usadas apenas em contas que tenham a verificação em duas etapas ativada.
A opção Apps menos seguros geralmente é para apps de terceiros que não seguem os padrões de segurança do Google por algum motivo. Se essa opção não estiver ativada, as tentativas de acesso de apps de terceiros que não seguem os padrões de segurança do Google à caixa de e-mails do Gmail serão bloqueadas. Ativar essa opção torna a conta do Gmail menos segura. Portanto, use com cuidado.
Acesso de rede a IMAP/SMTP
Para usar uma conta configurada para acessar e-mails com IMAP e enviar e-mails com SMTP, acesse Detalhes da configuração > Conta > Ativar o acesso para apps menos seguros.
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | IMAP/SMTP |
Integrar o e-mail ao Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Baixar anexos de e-mail
Baixar anexos de e-mail.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho de download | String | N/A | Sim | Salva o anexo da mensagem no caminho de download especificado. |
| ID da mensagem | String | N/A | Não | Baixe anexos de um e-mail específico usando o ID dele. Por exemplo, example@mail.gmail.com. |
| Filtro de assunto | String | N/A | Não | Condição de filtro para pesquisar e-mails por assunto específico. |
| UID do e-mail | String | N/A | Não | UUID para filtrar. |
| Somente não lidas | Caixa de seleção | N/A | Não | Se marcada, busca na caixa de correio apenas os e-mails não lidos. |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Exemplo |
|---|---|
| attachments_local_paths | O resultado do script retorna uma string de caminhos completos separados por vírgulas para os anexos salvos. |
Receber arquivo EML de e-mail
Busca informações EML de mensagens de e-mail.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da mensagem | String | N/A | Não | Baixe anexos de um e-mail específico usando o ID dele. Por exemplo, example@mail.gmail.com. |
| Codificação Base64 | String | verdadeiro | Não | Condição de filtro para pesquisar e-mails por assunto específico. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Exemplo |
|---|---|
| eml_base64 | N/A |
Ping
Teste a conectividade com o servidor de e-mail usando os parâmetros fornecidos na página de configuração da integração.
Parâmetros
N/A
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Enviar e-mail
Você pode enviar e-mails de uma única caixa de correio para vários destinatários aleatórios com essa ação. Os usuários podem ser alertados sobre o resultado desses alertas pelos respectivos alertas gerados pelo Google SecOps ou pelos usuários. A ação pode retornar o ID da mensagem de e-mail para que você possa usar o ID para monitorar a resposta do nome de usuário desse e-mail na ação "Aguardar e-mail do usuário". É usado para fazer uma pergunta do playbook ao usuário e operar nele de acordo com a resposta do usuário.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Destinatários | String | N/A | Sim | Endereço de e-mail do destinatário. Vários endereços podem ser separados por vírgulas. |
| CC | String | N/A | Não | Endereço de e-mail em Cc. Vários endereços podem ser separados por vírgulas. |
| Cco | String | N/A | Não | Endereço de e-mail em Cco. Vários endereços podem ser separados por vírgulas. |
| Assunto | String | N/A | Sim | O assunto do e-mail. |
| Conteúdo | String | N/A | Sim | O corpo do e-mail. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enviar e-mail e aguardar
Essa ação pesquisa periodicamente na caixa de e-mails especificada o e-mail exclusivo de um usuário. A função pode ser usada com o recurso "Enviar e-mail" e a opção "Verificar ID da mensagem" para o parâmetro "submit email", o que ajuda você a ter uma preferência nos playbooks para enviar uma solicitação ao destinatário e aguardar até que ele responda à pergunta. O fluxo de trabalho do Google SecOps do playbook pode usar ramificações com base no feedback do usuário.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Destinatários | String | N/A | Sim | Endereço de e-mail do destinatário. Vários endereços podem ser separados por vírgulas. |
| CC | String | N/A | Não | Endereço de e-mail em Cc. Vários endereços podem ser separados por vírgulas. |
| Cco | String | N/A | Não | Endereço de e-mail em Cco. Vários endereços podem ser separados por vírgulas. |
| Assunto | String | N/A | Sim | O assunto do e-mail. |
| Conteúdo | String | N/A | Sim | O corpo do e-mail. |
| Regex de assunto de exclusão | String | N/A | Não | Exclua os e-mails recebidos pela expressão regular (assunto) inserida e aguarde o próximo e-mail. |
| Regex do corpo de exclusão | String | N/A | Não | Exclua os e-mails recebidos pela expressão regular inserida (corpo) e aguarde o próximo e-mail. |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
Conectores
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Email Connector
O conector se conecta ao servidor de e-mail periodicamente para verificar se há novas mensagens em uma caixa de correio específica. Se um novo conector estiver presente, um e-mail será enviado e um novo alerta será criado, que será adicionado com informações desse e-mail pelo Google SecOps.
Este tópico ilustra o mecanismo e a configuração com que o Google SecOps se conecta e se integra ao e-mail IMAP/SMTP, além dos fluxos de trabalho e ações compatíveis realizados na plataforma. Este tópico se refere à comunicação com servidores compatíveis com IMAP, como Gmail, Outlook.com e Yahoo!. Mail.
Encaminhamento de casos por e-mail para o Google SecOps
O Google SecOps se comunica com um servidor de e-mail para pesquisar mensagens quase em tempo real e encaminhá-las para serem traduzidas e contextualizadas como alertas para casos.
Parâmetros do conector
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Nome do campo do produto | String | device_product | Parâmetro de framework, precisa ser definido para cada conector. Descreve o nome do campo em que o nome do produto é armazenado. |
| Nome do campo do evento | String | event_name | O nome do campo usado para determinar o nome do evento (subtipo). |
| Tempo limite do script (segundos) | Número inteiro | 60 | O limite de tempo (em segundos) para o processo do Python que executa o script atual. |
| N/A | Endereço de e-mail da caixa de correio a ser monitorada. | ||
| Endereço do servidor IMAP | IP_OR_HOST | N/A | Endereço do servidor IMAP a que se conectar. |
| Porta IMAP | Número inteiro | N/A | Porta IMAP para se conectar. |
| Nome de usuário | String | N/A | Nome de usuário da caixa de correio de onde os e-mails serão extraídos, por exemplo,
user@example.com. |
| Senha | Senha | N/A | Senha da caixa de e-mails de onde os e-mails serão extraídos. |
| Pasta para verificar e-mails | String | Caixa de entrada | O parâmetro pode ser usado para especificar a pasta de e-mail na caixa de correio em que os e-mails serão pesquisados. O parâmetro também deve aceitar uma lista de pastas separadas por vírgulas para verificar a resposta do usuário em várias pastas. O parâmetro diferencia maiúsculas de minúsculas. |
| Fuso horário do servidor | String | UTC | O fuso horário configurado no servidor, exemplos (1. UTC, 2. Asia/Jerusalem). |
| Padrão de regex do ambiente | String | N/A | Se definido, o conector extrai o ambiente do campo de evento especificado. É possível manipular os dados do campo usando o campo "Padrão de expressão regular" para extrair uma string específica. |
| IMAP USE SSL | Caixa de seleção | Selecionado | Indica se o SSL será usado na conexão ou não. |
| Somente e-mails não lidos | Caixa de seleção | Selecionado | Se marcada, extrai apenas e-mails não lidos. |
| Marcar e-mails como lidos | Caixa de seleção | Selecionado | Se marcada, marca os e-mails como lidos depois de extraí-los. |
| Anexar EML original | Caixa de seleção | Desmarcado | Se marcada, anexe a mensagem original como um arquivo eml. |
| Expressões regex para lidar com e-mails encaminhados | String | N | O parâmetro pode ser usado para especificar uma string JSON de uma linha para processar e-mails encaminhados. Assim, é possível pesquisar os campos "Assunto", "De" e "Para" do e-mail original no e-mail encaminhado. |
| Compensação de tempo em dias | Número inteiro | 5 | Número máximo de dias para buscar e-mails desde então. Exemplo: 3. |
| Número máximo de e-mails por ciclo | Número inteiro | 10 | Número máximo de e-mails a serem extraídos em um ciclo. |
| Endereço do servidor proxy | IP_OR_HOST | N/A | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | A senha do proxy para autenticação. |
Na área da lista dinâmica, adicione a seguinte regra para extrair valores específicos do e-mail usando a expressão regular neste formato: Display name: matching regular expression.
Por exemplo, para extrair URLs do e-mail, insira a seguinte regra:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
Casos de uso
Monitora uma caixa de correio específica em busca de novos e-mails para ingestão no servidor do Google SecOps como alertas.
Regras do conector
O conector é compatível com comunicações criptografadas para comunicações do servidor de e-mail (SSL/TLS).
O conector aceita conexões com o servidor de e-mail usando proxy para tráfego IMAP e IMAPS.
O conector tem um parâmetro para especificar a pasta de e-mail da caixa de correio em que os e-mails serão pesquisados. O parâmetro aceita uma lista separada por vírgulas de pastas para verificar a resposta do usuário em várias pastas. O parâmetro diferencia maiúsculas de minúsculas.
O conector oferece suporte à codificação Unicode para os e-mails processados como comunicações do usuário final, que podem estar em um idioma diferente do inglês.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.