电子邮件
集成版本:27.0
此集成使用一个或多个开源组件。 您可以从存储桶下载此集成的完整源代码的副本。
前提条件
本文档中提供的示例基于最受欢迎的电子邮件服务器 Gmail。Gmail 提供了多种选项,可供第三方应用访问邮箱数据:
安全性更高的应用访问权限(默认启用),用户无需泄露密码即可登录 Google 账号,并可查看第三方应用将有权访问哪些数据等。
应用专用密码。应用专用密码是一个 16 位数的密码,可授权第三方应用访问 Gmail 邮箱。应用专用密码只能与已开启两步验证的账号搭配使用。
安全性较低的应用通常是指因某种原因而未遵循 Google 安全标准的第三方应用。如果未启用此选项,则系统会阻止不符合 Google 安全标准的第三方应用尝试访问 Gmail 邮箱。启用此选项会降低 Gmail 账号的安全性,因此应谨慎使用此选项。
对 IMAP/SMTP 的网络访问权限
如需使用已配置的账号通过 IMAP 访问邮件并通过 SMTP 发送邮件,请依次前往配置详情 > 账号 > 开启安全性较低的应用的访问权限。
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| API | 多值 | 出站 | IMAP/SMTP |
将电子邮件与 Google Security Operations 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
下载电子邮件附件
下载电子邮件附件。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 下载路径 | 字符串 | 不适用 | 是 | 将邮件附件保存到指定的下载路径。 |
| 邮件 ID | 字符串 | 不适用 | 否 | 使用特定电子邮件的 ID 下载其中的附件。例如 example@mail.gmail.com。 |
| 主题过滤条件 | 字符串 | 不适用 | 否 | 按特定主题搜索电子邮件的过滤条件。 |
| 电子邮件 UID | 字符串 | 不适用 | 否 | 要作为过滤条件的 UUID。 |
| 仅限未读 | 复选框 | 不适用 | 否 | 如果选中,则仅从邮箱中提取未读电子邮件。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 示例 |
|---|---|
| attachments_local_paths | 脚本结果返回以英文逗号分隔的已保存附件的完整路径字符串。 |
获取邮件 EML 文件
提取邮件 EML 信息。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 邮件 ID | 字符串 | 不适用 | 否 | 使用特定电子邮件的 ID 下载其中的附件。例如 example@mail.gmail.com。 |
| Base64 编码 | 字符串 | true | 否 | 按特定主题搜索电子邮件的过滤条件。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 示例 |
|---|---|
| eml_base64 | 不适用 |
Ping
使用集成配置页面上提供的参数测试与电子邮件服务器的连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
发送电子邮件
您可以通过此操作从单个邮箱向多个随机收件人发送电子邮件。用户可能会收到 Google SecOps 或用户生成的相应提醒,从而获知此类提醒的结果。该操作可以返回电子邮件 ID,以便您能够使用该 ID 在“等待用户电子邮件”操作中监控相应电子邮件的用户名响应。用于向用户提出 playbook 问题,并根据用户的回答操作 playbook。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 收件人 | 字符串 | 不适用 | 是 | 收件人电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| CC | 字符串 | 不适用 | 否 | 抄送电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| 密送 | 字符串 | 不适用 | 否 | 密送电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| 主题 | 字符串 | 不适用 | 是 | 电子邮件的主题。 |
| 内容 | 字符串 | 不适用 | 是 | 电子邮件的正文。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
发送电子邮件并等待
此操作会定期在指定邮箱中搜索用户的唯一电子邮件地址。该函数可与“提交电子邮件”功能搭配使用,并可为“提交电子邮件”参数使用“检查消息 ID”选项,这有助于您在剧本中设置偏好,以便向收件人提交请求并等待收件人回答问题。Google SecOps 剧本的工作流可以根据用户的反馈进行分支。
参数
| 参数 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 收件人 | 字符串 | 不适用 | 是 | 收件人电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| CC | 字符串 | 不适用 | 否 | 抄送电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| 密送 | 字符串 | 不适用 | 否 | 密送电子邮件地址。多个地址之间可以用英文逗号分隔。 |
| 主题 | 字符串 | 不适用 | 是 | 电子邮件的主题。 |
| 内容 | 字符串 | 不适用 | 是 | 电子邮件的正文。 |
| 排除对象正则表达式 | 字符串 | 不适用 | 否 | 通过插入的正则表达式(针对主题)排除收到的邮件,并等待下一封邮件。 |
| 排除正文正则表达式 | 字符串 | 不适用 | 否 | 通过插入的正则表达式(正文)排除收到的邮件,并等待下一封邮件。 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
电子邮件连接器
连接器会定期连接到邮件服务器,以检查特定邮箱中是否有新电子邮件。如果存在新的连接器,系统会发送一封电子邮件并创建一条新提醒,Google SecOps 会将此电子邮件中的信息添加到该提醒中。
本主题介绍了 Google SecOps 连接和集成到 IMAP/SMTP 电子邮件的机制和配置,以及平台内支持的工作流程和采取的操作。本主题是指与支持 IMAP 的服务器(例如 Gmail、Outlook.com 和 Yahoo!)进行通信。邮件。
将电子邮件支持请求转发给 Google SecOps
Google SecOps 会与电子邮件服务器通信,以近乎实时地搜索电子邮件,并转发这些电子邮件以进行翻译和情境化处理,作为案例的提醒。
连接器参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 商品字段名称 | 字符串 | device_product | 框架参数,必须为每个连接器设置。描述存储商品名称的字段的名称。 |
| 事件字段名称 | 字符串 | event_name | 用于确定事件名称(子类型)的字段名称。 |
| 脚本超时(秒) | 整数 | 60 | 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 |
| 电子邮件 | 电子邮件 | 不适用 | 要监控的邮箱的电子邮件地址。 |
| IMAP 服务器地址 | IP_OR_HOST | 不适用 | 要连接的 IMAP 服务器地址。 |
| IMAP 端口 | 整数 | 不适用 | 要连接的 IMAP 端口。 |
| 用户名 | 字符串 | 不适用 | 要从中提取电子邮件的邮箱的用户名,例如 user@example.com。 |
| 密码 | 密码 | 不适用 | 用于从中提取电子邮件的电子邮件邮箱的密码。 |
| 要检查电子邮件的文件夹 | 字符串 | 收件箱 | 此参数可用于指定邮箱中要搜索电子邮件的电子邮件文件夹。参数还应接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户回答。参数区分大小写。 |
| 服务器时区 | 字符串 | UTC | 服务器中配置的时区,例如(1. 世界协调时间,2. Asia/Jerusalem)。 |
| 环境正则表达式模式 | 字符串 | 不适用 | 如果已定义,连接器会从指定的事件字段中提取环境。您可以使用正则表达式模式字段来处理字段数据,以提取特定字符串。 |
| IMAP 使用 SSL | 复选框 | 勾选 | 指示是否在连接中使用 SSL。 |
| 仅限未读电子邮件 | 复选框 | 勾选 | 如果选中,则仅提取未读邮件。 |
| 将电子邮件标记为已读 | 复选框 | 勾选 | 如果选中,则在提取邮件后将其标记为已读。 |
| 附加原始 EML | 复选框 | 尚未核查 | 如果选中,则以 eml 文件格式附加原始邮件。 |
| 用于处理转发电子邮件的正则表达式 | 字符串 | 否 | 此参数可用于指定 JSON 单行字符串,以处理转发的电子邮件 - 在转发的电子邮件中搜索原始电子邮件的主题、发件人和收件人字段。 |
| 以天为单位的偏移时间 | 整数 | 5 | 自指定日期起提取邮件的最长天数。示例:3. |
| 每个周期的电子邮件数量上限 | 整数 | 10 | 一个周期内拉取的邮件数量上限。 |
| 代理服务器地址 | IP_OR_HOST | 不适用 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 用于进行身份验证的代理密码。 |
在动态列表区域中,添加以下规则,以便使用以下格式的正则表达式从电子邮件中提取特定值:Display name: matching regular expression。
例如,如需从电子邮件中提取网址,请输入以下规则:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
使用场景
监控特定邮箱中的新电子邮件,以便将这些电子邮件作为提醒提取到 Google SecOps 服务器。
连接器规则
该连接器支持电子邮件服务器通信的加密通信 (SSL/TLS)。
该连接器支持使用代理连接到邮件服务器,以处理 IMAP 和 IMAPS 流量。
连接器有一个参数,用于指定要搜索电子邮件的邮箱电子邮件文件夹。该参数接受以英文逗号分隔的文件夹列表,以便在多个文件夹中检查用户响应。该参数区分大小写。
连接器支持将作为最终用户通信处理的电子邮件的 Unicode 编码,这些电子邮件可能采用英语以外的语言。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。