Exchange-Erweiterungspaket
Integrationsversion: 8.0
Integration für die Verwendung mit Exchange konfigurieren
Die Konfigurationsschritte hängen vom E-Mail-Server ab, für den die Integration konfiguriert ist.
Unten finden Sie die Konfigurationsanleitung für Microsoft 365 und lokale Exchange-Server ab Version 2016. Frühere Versionen werden nicht unterstützt.
Integration für die Verwendung mit Microsoft 365 konfigurieren
Bei dieser Integration werden PowerShell-Skripts zum Ausführen von Vorgängen verwendet. Das PowerShell-Paket muss auf dem Google Security Operations-Server oder dem Google SecOps-Remote-Agent installiert sein, der die Exchange Extension Pack-Integration verwendet.
Hier sehen Sie ein Beispiel für die Konfiguration von PowerShell für CentOS 7:
Installieren Sie das PowerShell-Paket.
> curl https://packages.microsoft.com/config/rhel/7/prod.repo | sudo tee /etc/yum.repos.d/microsoft.repo > sudo yum install -y powershellÖffnen Sie den PowerShell-Interpreter und installieren Sie die Module Exchange Online PowerShell V3 und WSMan:
> pwsh > Install-Module -Name ExchangeOnlineManagement -RequiredVersion 3.5.0 -Force -Scope AllUsers > Install-Module -Name PSWSMan > Install-WSMan > exitRufen Sie https://github.com/jborean93/omi/releases auf, um die Dateien
libmi.soundlibpsrpclient.sofür OpenSSL 1.1 zu erhalten. Laden Sie den neuestenglibc-1.1.tar.gz-Release auf den CentOS-Host herunter.Extrahieren Sie das heruntergeladene TAR-Archiv:
> tar -xzvf glibc-1.1.tar.gzÜberschreiben Sie die vorhandenen Dateien
libmi.soundlibpsrpclient.soim Verzeichnis/opt/microsoft/powershell/7.
Konto konfigurieren
Fügen Sie dem Exchange Admin Center das Konto, das für die Integration verwendet werden soll, der Administratorrolle Discover Management hinzu.
Nutzer Berechtigungen zuweisen
Weisen Sie dem Nutzer die Rolle Compliance-Datenadministrator zu.
Integration für die Verwendung mit lokalem Exchange konfigurieren
Die folgende Anleitung gilt für Exchange 2016. Frühere Versionen werden nicht unterstützt.
Bei dieser Integration werden PowerShell-Skripts zum Ausführen von Vorgängen verwendet. Das PowerShell-Paket muss auf dem Google SecOps-Server oder dem Google SecOps-Remote-Agent installiert sein, der die Exchange Extension Pack-Integration verwendet.
Hier sehen Sie ein Beispiel für die Konfiguration von PowerShell für CentOS 7:
Installieren Sie das PowerShell-Paket.
> curl https://packages.microsoft.com/config/rhel/7/prod.repo | sudo tee /etc/yum.repos.d/microsoft.repo > sudo yum install -y powershellInstallieren Sie das gssapi-Paket.
Das gssapi-Paket ist für die Authentifizierung vom Google SecOps-Linux-Server oder Remote-Agent beim Windows-Server erforderlich, auf dem Exchange über die PowerShell-Sitzung ausgeführt wird.
Beispiel für die Installation von gssapi für CentOS 7:
> sudo yum install -y gssntlmsspAktivieren Sie PowerShell-Remoting auf dem Windows-Server, auf dem Exchange ausgeführt wird, gemäß dem Dokument Enable-PSRemoting in der Microsoft-Dokumentation.
Aktivieren Sie die Basisauthentifizierung in Exchange.
Für diese Integration wird die Basisauthentifizierung verwendet, die explizit auf dem Exchange-Server aktiviert werden muss.
Konfigurieren Sie das Konto.
Das Konto, das für die Integration verwendet werden soll, muss der Administratorrolle „Discover-Verwaltung“ in der Exchange Admin Center-Konsole (EAC) hinzugefügt werden. Damit die Aktion „Mail Flow Rules“ ausgeführt werden kann, müssen Sie dem entsprechenden Nutzer die Rolle „Transport Rules“ zuweisen:
- Rufen Sie das EAC auf und klicken Sie auf Berechtigungen.
- Wählen Sie Discovery-Verwaltung aus und öffnen Sie sie.
- Klicken Sie im Bereich „Rollen“ auf
Hinzufügen und wählen Sie Transportregeln aus.
- Klicken Sie auf Hinzufügen ->, dann auf OK und Speichern.
- Die Rolle wird jetzt dem Abschnitt „Zugewiesene Rollen“ hinzugefügt. Es kann einige Zeit dauern, bis die Berechtigungen repliziert werden.
Exchange Extension Pack-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Exchange On-Premises-Serveradresse | String | x.x.x.x | Nein | Adresse des Mailservers (Hostname oder IP), zu dem eine Verbindung hergestellt werden soll. |
| Exchange Office365-Compliance-URI | String | https://ps.compliance.protection.outlook.com/powershell-liveid/ | Nein | Microsoft 365 Security Compliance Center PowerShell-URI, der zum Ausführen von Compliance-Vorgängen verwendet werden soll. Weitere Informationen finden Sie im Dokument Connect to Security Compliance PowerShell. |
| Exchange Office365 Online Powershell-URI | String | https://outlook.office365.com/powershell-liveid | Nein | Microsoft 365 Online-PowerShell-URI, der zum Ausführen von Microsoft 365-Verwaltungsvorgängen verwendet werden soll. Weitere Informationen finden Sie im Dokument Connect to Security Compliance PowerShell. |
| Domain | String | example.com | Nein | Domain für die Authentifizierung auf dem Mailserver. |
| Nutzername | String | Nutzer | Nein | Nutzername für die Authentifizierung beim Mailserver. Geben Sie im Fall von Microsoft 365 eine E‑Mail-Adresse des Nutzers als Nutzernamen an. |
| Passwort | Passwort | – | Nein | Ein Passwort zur Authentifizierung auf dem Mailserver. |
| Ist Exchange On-Prem? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob der Ziel-Mailserver Exchange On-Prem ist. |
| Ist Office 365 (Exchange Online)? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob der Ziel-Mailserver Microsoft 365 (Exchange Online) ist. |
Aktionen
Compliance-Suche löschen
Beschreibung
Löschen Sie die Compliance-Suche und alle damit verbundenen Abrufergebnisse oder E‑Mail-Löschvorgänge.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name für die Compliance-Suche | String | – | Ja | Name der zu löschenden Compliance-Suche. Der Name darf keine Sonderzeichen enthalten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn die Aktion erfolgreich ist, werden die Compliance-Suche und die Aktionen gelöscht (is_success=true): „Action successfully executed and compliance search and any associated with it fetch results or purge emails tasks were deleted.“ (Die Aktion wurde erfolgreich ausgeführt. Die Compliance-Suche und alle zugehörigen Aufgaben zum Abrufen von Ergebnissen oder zum Löschen von E-Mails wurden gelöscht.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das Ziel Exchange On-Premises oder Microsoft 365 ist, PowerShell aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because powershell is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn das Ziel Exchange On-Premises ist, das Betriebssystempaket „gssntlmssp“ aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because gssntlmssp package is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Aktion konnte nicht ausgeführt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Compliance-Suchergebnisse abrufen
Beschreibung
Ruft Ergebnisse für die abgeschlossene Compliance-Suche ab.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name für die Compliance-Suche | String | – | Ja | Name für die Compliance-Suche. Der Name darf keine Sonderzeichen enthalten. |
| Maximale Anzahl zurückzugebender E‑Mails | Ganzzahl | – | Nein | Geben Sie die Anzahl der E-Mails an, die von der Aktion zurückgegeben werden können. |
| Compliance-Suche nach Abschluss der Aktion entfernen? | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Suchaktion und alle zugehörigen Abruf- oder Bereinigungsaufgaben nach Abschluss der Aktion vom Exchange-Server entfernt werden sollen. |
| Ausgabetabelle für Case Wall erstellen? | Kästchen | Aktiviert | Nein | Geben Sie an, ob mit der Aktion eine Ausgabetabelle für das Fall-Repository erstellt werden soll. Wenn der Parameter „Max Emails To Return“ auf eine höhere Zahl festgelegt ist, empfiehlt es sich, das Häkchen zu entfernen, um die Leistung der Aktion zu steigern. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"Location": "test@example.com",
"Sender": "James Bond",
"Subject": "search test",
"Type": "Email",
"Size": "61772",
"Received Time": "3/12/2021 9:43:59 AM",
"Data Link": "data/All/FLDR5402c62d-7730-4c93-8f34-6bxxxxxxxxxx/BATCH0000/MSG192bc965-18c9-4c06-8834-2cxxxxxxxxxx.eml",
"Name": "test"
},
{
"Location": "test@example.com",
"Sender": "James Bond",
"Subject": "search test 2",
"Type": "Email",
"Size": "60881",
"Received Time": "3/12/2021 9:43:59 AM",
"Data Link": "data/All/FLDR5402c62d-7730-4c93-8f34-6bxxxxxxxxxx/BATCH0000/MSG9eefda9c-b1b5-46f0-8a54-bdxxxxxxxxxx.eml",
"Name": "test"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn die Aktion erfolgreich ist und eine Compliance-Aktion erstellt wird (is_success=true): „Action was executed successfully and task to fetch compliance search results is created“ (Die Aktion wurde erfolgreich ausgeführt und es wurde eine Aufgabe zum Abrufen von Compliance-Suchergebnissen erstellt) Nach Abschluss der Aktion: „Die Ergebnisse für die Compliance-Suche {0} wurden erfolgreich abgerufen.“format(compliance search name) Wenn die Aktion die Compliance-Suche anhand des angegebenen Namens nicht finden kann (is_success=false): „Action was not able to find compliance search {0}“.format(compliance_search_name) Wenn die Aktion aufgrund eines anderen nicht kritischen Fehlers fehlgeschlagen ist (is_success=false): „Die Aktion wurde aufgrund von Fehlern nicht erfolgreich abgeschlossen. Fehlerinformationen: {0}".format(error.stacktrace) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das Ziel Exchange On-Premise oder Microsoft 365 ist, PowerShell aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because powershell is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn das Ziel Exchange On-Premise ist, das Betriebssystempaket „gssntlmssp“ aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because gssntlmssp package is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Aktion konnte nicht ausgeführt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
| Tabelle | Tabellentitel:Compliance Search Action Results Tabellenspalten:
|
Allgemein |
Ping
Beschreibung
Testen Sie die Verbindung zum Exchange- oder Microsoft 365-Server mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Die Verbindung zum Exchange- oder Microsoft 365-Server wurde mit den angegebenen Verbindungsparametern hergestellt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn keine Kästchen aktiviert sind (Microsoft 365/Exchange lokal): „Geben Sie den Typ des Mailservers an, mit dem eine Verbindung hergestellt werden soll – Exchange lokal oder Microsoft 365.“ Wenn beide Kästchen aktiviert sind (Microsoft 365/Exchange On-Premise): „Es wird jeweils nur ein Mailservertyp unterstützt. Geben Sie den Typ des Mailservers an, zu dem eine Verbindung hergestellt werden soll – Exchange On-Premises oder Microsoft 365.“ Wenn das Ziel Exchange On-Premise oder Microsoft 365 ist, PowerShell aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because powershell is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn das Ziel Exchange On-Premise ist, das Betriebssystempaket „gssntlmssp“ aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because gssntlmssp package is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Aktion konnte nicht ausgeführt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Compliance-Suchergebnisse löschen
Beschreibung
E‑Mails löschen, die bei der abgeschlossenen Compliance-Suche gefunden wurden
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name für die Compliance-Suche | String | – | Ja | Name für die Compliance-Suche. Der Name darf keine Sonderzeichen enthalten. |
| Gelöschte E-Mails endgültig löschen? | Kästchen | Deaktiviert | Nein | Gibt an, ob HardDelete ausgeführt werden soll. Diese Option gilt nur für Microsoft 365 und markiert E‑Mails für das dauerhafte Entfernen aus dem Postfach. |
| Compliance-Suche nach Abschluss der Aktion entfernen? | Kästchen | Aktiviert | Nein | Geben Sie an, ob die Suchaktion und alle zugehörigen Abruf- oder Bereinigungsaufgaben nach Abschluss der Aktion vom Exchange-Server entfernt werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"Item count": "5",
"Purge Type": "SoftDelete"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn die Aktion erfolgreich ist und eine Compliance-Aktion erstellt wird (is_success=true): „Action was executed successfully and task to purge emails found with the compliance search is created“ (Die Aktion wurde erfolgreich ausgeführt und es wurde eine Aufgabe zum Löschen von E-Mails erstellt, die bei der Compliance-Suche gefunden wurden) Nach Abschluss der Aktion: „Die Ergebnisse für die Compliance-Suche {0} wurden erfolgreich entfernt.“format(compliance search name) Wenn die Aktion die Compliance-Suche anhand des angegebenen Namens nicht finden kann (is_success=false): „Action was not able to find compliance search {0}“.format(compliance_search_name) Wenn die Aktion keine Ergebnisse zurückgibt: „Die Compliance-Suche {0} hat keine Ergebnisse zurückgegeben . Bitte aktualisieren Sie die Suchergebnisse oder bearbeiten Sie die Compliance-Suchanfrage und führen Sie die Suche noch einmal aus.“format(compliance search name) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das Ziel Exchange On-Premises oder Microsoft 365 ist, PowerShell aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because powershell is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn das Ziel Exchange On-Premises ist, das Betriebssystempaket „gssntlmssp“ aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because gssntlmssp package is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Aktion konnte nicht ausgeführt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Compliance-Suche ausführen
Beschreibung
Führen Sie die Exchange-Compliance-Suche basierend auf den angegebenen Suchbedingungen aus. Wenn das Kästchen „Compliance-Suchergebnisse abrufen“ aktiviert ist, gibt die Aktion die Suchergebnisse ähnlich wie die Aktion „Compliance-Suchergebnisse abrufen“ zurück.
Die Exchange-Compliance-Suche bietet einen schnellen Mechanismus zum Suchen in mehreren Postfächern, der sich am besten für große Organisationen mit mehr als 1.000 Postfächern eignet.
Wenn das Kästchen „Compliance-Suchergebnisse abrufen?“ aktiviert ist, werden maximal 200 Elemente angezeigt. Die tatsächliche Suche kann jedoch mehr Ergebnisse liefern.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name für die Compliance-Suche | String | – | Ja | Name für die Compliance-Suche. Der Name darf keine Sonderzeichen enthalten. |
| Betrefffeld | String | – | Nein | Filterbedingung: Geben Sie den Betreff an, nach dem in E-Mails gesucht werden soll. |
| Absenderfilter | String | – | Nein | Geben Sie in der Filterbedingung an, wer der Absender der erforderlichen E‑Mails sein soll. |
| Empfängerfilter | String | – | Nein | Filterbedingung: Geben Sie an, wer Empfänger der erforderlichen E‑Mails sein soll. |
| Operator | DDL | UND | Ja | Operator, der zum Erstellen der Abfrage aus den oben genannten Bedingungen verwendet werden soll. |
| Zeitrahmen (Stunden) | String | – | Nein | Zeitrahmenintervall in Stunden für die Suche nach E‑Mails. |
| Ort, an dem nach E‑Mails gesucht werden soll | String | – | Ja | Der Speicherort, an dem nach E‑Mails gesucht werden soll. Er kann einer der folgenden sein:
|
| Compliance-Suchergebnisse abrufen? | Kästchen | Deaktiviert | Nein | Gibt an, ob die Compliance-Suchergebnisse sofort abgerufen werden sollen. Es werden maximal 200 Elemente angezeigt, aber die tatsächliche Suche kann mehr Ergebnisse liefern. |
| Maximale Anzahl zurückzugebender E‑Mails | Ganzzahl | – | Nein | Geben Sie die Anzahl der E-Mails an, die von der Aktion zurückgegeben werden können. |
| Ausgabetabelle für Case Wall erstellen? | Kästchen | Aktiviert | Nein | Geben Sie an, ob mit der Aktion eine Ausgabetabelle für das Fall-Repository erstellt werden soll. Wenn der Parameter „Max Emails To Return“ auf eine höhere Zahl festgelegt ist, empfiehlt es sich, das Häkchen zu entfernen, um die Leistung der Aktion zu steigern. |
| Erweiterte Abfrage | String | – | Nein | Geben Sie anstelle von Filtern für Betreff, Absender oder Empfänger eine Abfrage an, für die Sie die Compliance-Suche ausführen möchten. Weitere Informationen finden Sie in den Dokumenten KQL-Syntaxreferenz und Von Exchange Search indexierte Nachrichteneigenschaften. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"Name": "test",
"RunBy": "James Bond",
"JobEndTime": "2021-03-18T12:42:49.92",
"Status": "Completed"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn die Aktion erfolgreich ist und die Compliance-Suche erstellt wird (is_success=true): „Action was executed successfully and compliance search is created“ (Die Aktion wurde erfolgreich ausgeführt und die Compliance-Suche wurde erstellt) Nachdem die Aktion die Suche abgeschlossen hat: „Compliance-Suche {0} erfolgreich abgeschlossen“.format(compliance search name) Wenn das Kästchen zum Abrufen von Compliance-Suchergebnissen aktiviert ist: „Die Ergebnisse für die Compliance-Suche {0} wurden abgerufen.“format(compliance search name) Wenn das Kästchen zum Abrufen von Compliance-Suchergebnissen aktiviert ist, die Aktion aber keine Ergebnisse zurückgibt: „Die Compliance-Suche {0} hat keine Ergebnisse zurückgegeben . Bitte aktualisieren Sie die Suchergebnisse oder bearbeiten Sie die Compliance-Suchanfrage und führen Sie die Suche noch einmal aus.“format(compliance search name) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das Ziel Exchange On-Premise oder Microsoft 365 ist, PowerShell aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because powershell is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn das Ziel Exchange On-Premise ist, das Betriebssystempaket „gssntlmssp“ aber nicht auf dem Google SecOps-Server installiert ist: „Failed to execute action because gssntlmssp package is not installed on Google SecOps server! Eine Anleitung zur Installation von PowerShell finden Sie in der Konfigurationsanleitung. Fehler: {0}".format(exception.stacktrace) Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Aktion konnte nicht ausgeführt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Domains zu Exchange-Siemplify-Regeln für den E-Mail-Fluss hinzufügen
Beschreibung
Die Aktion erhält eine Liste von Domains als Parameter und kann eine neue Regel erstellen, mit der die Domains von Ihrem Exchange-Server gefiltert werden. Aktionen können in den Parametern mithilfe von Regelparametern geändert werden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Domains | String | – | Nein | Geben Sie die Domains, die Sie der Regel hinzufügen möchten, in einer durch Kommas getrennten Liste an. |
| Regel zum Hinzufügen von Domains | DDL | Siemplify – Domains List – Permanently Delete | Ja | Geben Sie die Regel an, der die Domains hinzugefügt werden sollen. Wenn die Regel nicht vorhanden ist, wird sie durch die Aktion erstellt. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"success": [
"test1.com",
"test2.com"
],
"already_available": [
"test3.com"
],
"invalid": [
"invalid"
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg (Regeln werden entsprechend aktualisiert, Eingaben sind korrekt): „Added the following inputs to the corresponding rules: Regeln aktualisiert: Wenn mindestens eine der Eingaben nicht korrekt ist (ungültige E-Mail-Adresse im Parameter, ungültige E-Mail-Adresse im Namen der Einheit): „Die folgenden Eingaben konnten der Regel nicht hinzugefügt werden:“+ Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein Fehler gemeldet wird: „Error performing 'Add Domains to Exchange-Siemplify Mail Flow Rules' action : {0}".format(exception.stacktrace) |
Allgemein |
Absender zu Exchange-Siemplify-E-Mail-Flussregeln hinzufügen
Beschreibung
Die Aktion erhält eine Liste von E‑Mail-Adressen als Parameter oder arbeitet mit den Nutzerentitäten mit E‑Mail-Regex-Ausdrücken (wenn keine Parameter angegeben werden) und kann eine neue Regel erstellen, mit der die Absender von Ihrem Exchange-Server gefiltert werden. Aktionen können in den Parametern mit dem Regelparameter geändert werden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| E‑Mail-Adressen | String | – | Nein | Geben Sie die E-Mail-Adressen, die Sie der Regel hinzufügen möchten, in einer durch Kommas getrennten Liste an. Wenn kein Parameter angegeben wird, wird die Aktion mit den Nutzer-Entitäten ausgeführt. |
| Regel zum Hinzufügen von Absendern | DDL | Siemplify – Senderliste – Endgültig löschen | Ja | Geben Sie die Regel an, der der Absender hinzugefügt werden soll. Wenn die Regel nicht vorhanden ist, wird sie durch die Aktion erstellt. |
| Sollte ich die Domain des Absenders auch der entsprechenden Regel für die Domainliste hinzufügen? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob die Domains der angegebenen E-Mail-Adressen automatisch übernommen und den entsprechenden Domainregeln hinzugefügt werden sollen (dieselbe Regelaktion für Domains). |
Ausführen am
Diese Aktion funktioniert für die Nutzerentität, wenn der E-Mail-Reguläre Ausdruck dafür gültig ist und keine Parameter angegeben werden.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"success": [
"test1@example.com",
"test2@example.com"
],
"already_available": [
"test3@example.com"
],
"invalid": [
"invalid"
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg (Regeln werden entsprechend aktualisiert, Eingaben sind korrekt): „Die folgenden Eingaben wurden den entsprechenden Regeln hinzugefügt: „Regeln aktualisiert:“+ Wenn mindestens eine der Eingaben nicht korrekt ist (ungültige E-Mail-Adresse im Parameter, ungültige E-Mail-Adresse im Namen der Einheit): „Die folgenden Eingaben konnten der Regel nicht hinzugefügt werden:“ + Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein Fehler gemeldet wird: „Error performing "Add Senders to Exchange-Siemplify Mail Flow Rule" action : {0}".format(exception.stacktrace) |
Allgemein |
Exchange-Siemplify-Regeln für den E-Mail-Fluss löschen
Beschreibung
Die Aktion erhält einen Regelnamen als Parameter und löscht die Regel.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Zu löschender Regelname | DDL | Siemplify – Senderliste – Endgültig löschen Mögliche Werte:
|
Ja | Geben Sie den Namen der Regel an, die Sie vollständig löschen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Für erfolgreich gelöschte Regeln: „Die folgenden Regeln wurden gelöscht:“ succesful_rule_names Wenn Regeln in Exchange nicht gefunden werden: „Die folgenden Regeln konnten nicht gelöscht werden: “+unseccessful_rule_names+“, da sie in Exchange nicht gefunden wurden. Prüfen Sie, ob Sie die richtigen Namen für die Regeln ausgewählt haben, und versuchen Sie es noch einmal.“ Wenn in Exchange keine Regeln gefunden werden: „Keiner der angegebenen Regelnamen konnte gelöscht werden, da sie in Exchange nicht gefunden wurden. Prüfen Sie, ob Sie die richtigen Namen für die Regeln ausgewählt haben, und versuchen Sie es noch einmal.“ Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein Fehler gemeldet wird: „Error performing "Delete Exchange-Siemplify Mail Flow Rules" action : {0}“.format(exception.stacktrace) |
Allgemein |
Exchange-Siemplify-Regeln für den E-Mail-Fluss auflisten
Beschreibung
Die Aktion erhält einen Regelnamen als Parameter und listet ihn auf.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Regelname für die Liste | DDL | Siemplify – Senderliste – Endgültig löschen Mögliche Werte:
|
Ja | Geben Sie den Namen der Regel an, die Sie auflisten möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"Priority": 0,
"ManuallyModified": false,
"Description": "If the message:\r\n\tIs received from 'test@example1.com' or 'test@example2.com'\r\nTake the following actions:\r\n\tDelete the message without notifying the recipient or sender\r\n",
"Conditions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.FromPredicate"
],
"Actions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.DeleteMessageAction"
],
"State": "Enabled",
"Mode": "Enforce",
"FromAddressContainsWords": null,
"Identity": "Siemplify - Senders List - Permanently Delete",
"Name": "Siemplify - Senders List - Permanently Delete",
"DistinguishedName": "CN=Siemplify - Senders List - Permanently Delete,CN=TransportVersioned,CN=Rules,CN=Transport Settings,CN=mwc,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=exlab,DC=local",
"IsValid": true,
"From": [
"test@example1.com",
"test@example2.com"
],
"Guid": "xxxxx426-b665-41f9-82e0-0f1fd63xxxxx",
"ImmutableId": "xxxxx426-b665-41f9-82e0-0f1fd63xxxxx",
"WhenChanged": "/Date(1621952909000)/",
"ExchangeVersion": "0.1 (8.0.535.0)",
"OrganizationId": "",
"ObjectState": "Unchanged"
},
{
"Priority": 1,
"ManuallyModified": false,
"Description": "If the message:\r\n\tIncludes these words in the sender's address: 'example1.com' or 'example2.com'\r\nTake the following actions:\r\n\tDelete the message without notifying the recipient or sender\r\n",
"Conditions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.FromAddressContainsPredicate"
],
"Actions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.DeleteMessageAction"
],
"State": "Enabled",
"Mode": "Enforce",
"FromAddressContainsWords": [
"example1.com",
"example2.com"
],
"Identity": "Siemplify - Domains List - Permanently Delete",
"Name": "Siemplify - Domains List - Permanently Delete",
"DistinguishedName": "CN=Siemplify - Domains List - Permanently Delete,CN=TransportVersioned,CN=Rules,CN=Transport Settings,CN=mwc,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=exlab,DC=local",
"IsValid": true,
"From": null,
"Guid": "xxxxx697-e143-41aa-8dee-b783a78xxxxx",
"ImmutableId": "xxxxx697-e143-41aa-8dee-b783a78xxxxx",
"WhenChanged": "/Date(1621952960000)/",
"ExchangeVersion": "0.1 (8.0.535.0)",
"OrganizationId": "",
"ObjectState": "Unchanged"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Für erfolgreich gefundene Regeln: „Die folgenden Regeln wurden erfolgreich aufgelistet:“ succesful_rule_names Falls Regeln nicht in Exchange gefunden werden: „Die folgenden Regeln konnten nicht aufgeführt werden: “+unseccessful_rule_names+“, da sie nicht in Exchange gefunden wurden. Prüfen Sie, ob Sie die richtigen Namen für die Regeln ausgewählt haben, und versuchen Sie es noch einmal.“ Falls in Exchange keine Regeln gefunden werden: „Could not list any of the provided rule names, since they were not found in Exchange. Prüfen Sie, ob Sie die richtigen Namen für die Regeln ausgewählt haben, und versuchen Sie es noch einmal.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein Fehler gemeldet wird: „Error performing "List Exchange-Siemplify Mail Flow Rules" action : {0}“.format(exception.stacktrace) |
Allgemein |
Domains aus Exchange-Siemplify-Regeln für den E-Mail-Fluss entfernen
Beschreibung
Die Aktion erhält eine Liste von Domains als Parameter und kann die angegebenen Domains aus den vorhandenen Regeln entfernen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Domains | String | – | Nein | Geben Sie die Domains, die Sie aus der Regel entfernen möchten, in einer durch Kommas getrennten Liste an. Wenn kein Parameter angegeben wird, funktioniert die Aktion mit Entitäten. |
| Regel zum Entfernen von Domains aus | DDL | Siemplify – Domains List – Permanently Delete | Ja | Geben Sie die Regel an, aus der die Domains entfernt werden sollen. Wenn die Regel nicht vorhanden ist, passiert nichts. |
| Domains aus allen verfügbaren Regeln entfernen | Kästchen | Deaktiviert | Nein | Geben Sie an, ob die Aktion in allen Google SecOps Mail Flow-Regeln nach den angegebenen Domains suchen soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"success": [
"test1.com",
"test2.com"
],
"didn't_exist": [
"test3.com"
],
"invalid": [
"invalid"
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg (Regeln werden entsprechend aktualisiert, Eingaben sind korrekt): „Die folgenden Eingaben wurden aus den entsprechenden Regeln entfernt:“ Regeln aktualisiert: Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein Fehler gemeldet wird: „Error performing ‚Remove Domains from Exchange-Siemplify Mail Flow Rules‘ action : {0}“.format(exception.stacktrace) |
Allgemein |
Absender aus Exchange-Siemplify-E-Mail-Flussregeln entfernen
Beschreibung
Die Aktion erhält eine Liste von Absendern als Parameter oder arbeitet mit den Nutzerentitäten (wenn keine Parameter angegeben sind) und kann die angegebenen Absender aus den vorhandenen Regeln entfernen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Absender | String | – | Nein | Geben Sie die Absender, die Sie aus der Regel entfernen möchten, in einer durch Kommas getrennten Liste an. Wenn kein Parameter angegeben wird, funktioniert die Aktion mit Entitäten. |
| Regel zum Entfernen von Absendern | DDL | Siemplify Senders List - Permanently Delete | Ja | Geben Sie die Regel an, aus der die Absender entfernt werden sollen. Wenn die Regel nicht vorhanden ist, passiert nichts. |
| Sollten die Domains der Absender auch aus der entsprechenden Regel für die Liste der Domains entfernt werden? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob die Domains der angegebenen E-Mail-Adressen automatisch übernommen und ebenfalls aus den entsprechenden Domainregeln entfernt werden sollen (dieselbe Regelaktion für Domains). |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"success": [
"test1@example.com",
"test2@example.com"
],
"didn't_exist": [
"test3@example.com"
],
"invalid": [
"invalid"
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg (Regeln werden entsprechend aktualisiert, Eingaben sind korrekt): Meldung: „Die folgenden Eingaben wurden aus den entsprechenden Regeln entfernt:“ Aktualisierte Regeln: Wenn mindestens eine der Eingaben nicht korrekt ist (ungültige E-Mail-Adresse im Parameter, ungültige E-Mail-Adresse im Namen der Einheit): „Die folgenden Eingaben konnten der Regel nicht hinzugefügt werden:“+ Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein Fehler gemeldet wird: „Error performing 'Remove Senders from Exchange-Siemplify Mail Flow Rules' action : {0}“.format(exception.stacktrace) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten