電子郵件
整合版本:27.0
這項整合功能使用一或多個開放原始碼元件。 您可以從儲存空間值區下載這項整合的完整原始碼副本。
必要條件
本文件提供的範例以 Gmail 為基礎,因為這是最熱門的電子郵件伺服器。Gmail 提供多種方式,讓第三方應用程式存取信箱資料:
更安全的應用程式存取權 (預設啟用):使用者可登入 Google 帳戶,不必公開密碼,還能查看第三方應用程式可存取的資料等等。
應用程式密碼。應用程式密碼是一組 16 位數的密碼,可讓第三方應用程式存取 Gmail 信箱。只有開啟兩步驟驗證功能的帳戶才能使用應用程式密碼。
「低安全性應用程式」通常是指因故未遵循 Google 安全標準的第三方應用程式。如果未啟用這項選項,系統會封鎖不符合 Google 安全標準的第三方應用程式,避免這類應用程式存取 Gmail 信箱。啟用這個選項會降低 Gmail 帳戶的安全性,因此請謹慎使用。
IMAP/SMTP 網路存取權
如要使用已設定的帳戶透過 IMAP 存取郵件,並透過 SMTP 傳送郵件,請依序前往「設定詳細資料」>「帳戶」>「允許低安全性應用程式存取帳戶」。
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | IMAP/SMTP |
將電子郵件與 Google Security Operations 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
下載電子郵件附件
下載電子郵件附件。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 下載路徑 | 字串 | 不適用 | 是 | 將郵件附件儲存至指定下載路徑。 |
| 郵件 ID | 字串 | 不適用 | 否 | 使用 ID 從特定電子郵件下載附件。例如 example@mail.gmail.com。 |
| 主體篩選器 | 字串 | 不適用 | 否 | 篩選條件:依特定主旨搜尋電子郵件。 |
| 電子郵件 UID | 字串 | 不適用 | 否 | 要篩選的 UUID。 |
| 僅限未讀 | 核取方塊 | 不適用 | 否 | 如果勾選這個選項,系統只會從信箱擷取未讀取的電子郵件。 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 示例 |
|---|---|
| attachments_local_paths | 指令碼結果會傳回以半形逗號分隔的字串,內含已儲存附件的完整路徑。 |
取得 Mail EML 檔案
擷取郵件訊息 EML 資訊。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 郵件 ID | 字串 | 不適用 | 否 | 使用 ID 從特定電子郵件下載附件。例如 example@mail.gmail.com。 |
| Base64 編碼 | 字串 | 是 | 否 | 篩選條件:依特定主旨搜尋電子郵件。 |
執行時間
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 示例 |
|---|---|
| eml_base64 | 不適用 |
乒乓
使用整合設定頁面提供的參數,測試電子郵件伺服器的連線。
參數
不適用
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
傳送電子郵件
您可能會透過單一信箱傳送電子郵件給多位隨機收件者。使用者可能會收到 Google SecOps 或使用者產生的相關快訊,得知這類快訊的結果。這項動作可以傳回電子郵件 ID,讓您在「等待使用者電子郵件」動作中,使用郵件 ID 監控這封電子郵件的使用者名稱回應。用於向使用者詢問劇本問題,並根據使用者的回答操作劇本。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 收件者 | 字串 | 不適用 | 是 | 收件者電子郵件地址。如有多個地址,請以半形逗號分隔。 |
| CC | 字串 | 不適用 | 否 | 副本電子郵件地址。如有多個地址,請以半形逗號分隔。 |
| 密件副本 | 字串 | 不適用 | 否 | 密件副本電子郵件地址。如有多個地址,請以半形逗號分隔。 |
| 主旨 | 字串 | 不適用 | 是 | 電子郵件主旨。 |
| 內容 | 字串 | 不適用 | 是 | 電子郵件內文。 |
執行時間
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
傳送電子郵件並等待
這項動作會定期在指定信箱中搜尋使用者的專屬電子郵件。這項功能可搭配「提交電子郵件」功能,以及「提交電子郵件」參數的「檢查郵件 ID」選項使用,協助您在劇本中設定偏好選項,向收件者提交要求,並等待收件者回答問題。Google SecOps 劇本工作流程可根據使用者意見回饋進行分支。
參數
| 參數 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 收件者 | 字串 | 不適用 | 是 | 收件者電子郵件地址。如有多個地址,請以半形逗號分隔。 |
| CC | 字串 | 不適用 | 否 | 副本電子郵件地址。如有多個地址,請以半形逗號分隔。 |
| 密件副本 | 字串 | 不適用 | 否 | 密件副本電子郵件地址。如有多個地址,請以半形逗號分隔。 |
| 主旨 | 字串 | 不適用 | 是 | 電子郵件主旨。 |
| 內容 | 字串 | 不適用 | 是 | 電子郵件內文。 |
| 排除主體規則運算式 | 字串 | 不適用 | 否 | 插入規則運算式 (主旨),排除收到的郵件,然後等待下一封郵件。 |
| 排除主體規則運算式 | 字串 | 不適用 | 否 | 依據插入的規則運算式 (郵件內文) 排除收到的郵件,然後等待下一封郵件。 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
電子郵件連接器
連接器會定期連線至郵件伺服器,檢查特定信箱是否有新郵件。如果出現新的連接器,系統會傳送電子郵件並建立新的快訊,Google SecOps 會將這封電子郵件中的資訊新增至快訊。
本主題說明 Google Security Operations 連線及整合 IMAP/SMTP 電子郵件的機制和設定,以及平台支援的工作流程和採取的動作。本主題是指與支援 IMAP 的伺服器通訊,例如 Gmail、Outlook.com 和 Yahoo!。。
將電子郵件案件轉寄至 Google SecOps
Google SecOps 會與電子郵件伺服器通訊,近乎即時地搜尋電子郵件,並轉送這些郵件以進行翻譯和情境分析,然後做為案件快訊。
連接器參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 產品欄位名稱 | 字串 | device_product | 架構參數,必須為每個連接器設定。說明儲存產品名稱的欄位名稱。 |
| 事件欄位名稱 | 字串 | event_name | 用於判斷事件名稱 (子類型) 的欄位名稱。 |
| 指令碼逾時 (秒) | 整數 | 60 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| 電子郵件 | 電子郵件 | 不適用 | 要監控的信箱電子郵件地址。 |
| IMAP 伺服器位址 | IP_OR_HOST | 不適用 | 要連線的 IMAP 伺服器位址。 |
| IMAP 連接埠 | 整數 | 不適用 | 要連線的 IMAP 通訊埠。 |
| 使用者名稱 | 字串 | 不適用 | 要從中提取電子郵件的信箱使用者名稱,例如 user@example.com。 |
| 密碼 | 密碼 | 不適用 | 用來擷取電子郵件的電子郵件信箱密碼。 |
| 要檢查電子郵件的資料夾 | 字串 | 收件匣 | 這個參數可用於指定信箱中的電子郵件資料夾,以便搜尋電子郵件。參數也應接受以半形逗號分隔的資料夾清單,以便在多個資料夾中檢查使用者回應。參數會區分大小寫。 |
| 伺服器時區 | 字串 | 世界標準時間 | 伺服器中設定的時區,例如 (1. UTC,2. Asia/Jerusalem)。 |
| 環境規則運算式模式 | 字串 | 不適用 | 如果已定義,連接器會從指定的事件欄位擷取環境。您可以使用規則運算式模式欄位來操控欄位資料,擷取特定字串。 |
| IMAP USE SSL | 核取方塊 | 已勾選 | 指出是否要在連線上使用 SSL。 |
| 僅限未讀取的電子郵件 | 核取方塊 | 已勾選 | 如果勾選這個選項,系統只會擷取未讀取的郵件。 |
| 將電子郵件標示為已讀 | 核取方塊 | 已勾選 | 如果勾選這個選項,系統會在擷取郵件後將郵件標示為已讀。 |
| 附加原始 EML 檔案 | 核取方塊 | 已取消勾選 | 如果勾選這個核取方塊,系統會將原始郵件附加為 eml 檔案。 |
| 處理轉寄電子郵件的規則運算式 | 字串 | 否 | 這個參數可用於指定 JSON 單行字串,以處理轉寄的電子郵件,在轉寄的電子郵件中搜尋原始電子郵件的主旨、寄件者和收件者欄位。 |
| 偏移時間 (天) | 整數 | 5 | 自此日期起擷取郵件的天數上限。示例:3. |
| 每個週期的電子郵件數量上限 | 整數 | 10 | 單一週期內可擷取的郵件數量上限。 |
| Proxy 伺服器位址 | IP_OR_HOST | 不適用 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 用於驗證的 Proxy 密碼。 |
在動態清單區域中,新增下列規則,以便使用下列格式的規則運算式,從電子郵件中擷取特定值:Display name: matching regular expression。
舉例來說,如要從電子郵件中擷取網址,請輸入下列規則:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
用途
監控特定信箱是否有新郵件,並將這些郵件做為快訊,擷取至 Google SecOps 伺服器。
連接器規則
連接器支援電子郵件伺服器通訊的加密通訊 (SSL/TLS)。
連接器支援使用 Proxy 連線至郵件伺服器,處理 IMAP 和 IMAPS 流量。
連接器有一個參數,可指定要搜尋電子郵件的信箱電子郵件資料夾。這個參數接受以半形逗號分隔的資料夾清單,可檢查多個資料夾中的使用者回覆。參數須區分大小寫。
連接器支援以 Unicode 編碼處理電子郵件,這些郵件是使用者通訊內容,可能使用英文以外的語言。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。