Exchange 扩展包
集成版本:8.0
配置集成以与 Exchange 搭配使用
配置步骤因集成所配置的邮件服务器而异。
以下是 Microsoft 365 和本地 Exchange(从 2016 版开始)的配置说明,不支持更早的版本。
配置集成以与 Microsoft 365 搭配使用
此集成使用 PowerShell 脚本来执行操作。需要在 Google Security Operations 服务器或使用 Exchange 扩展包集成的 Google SecOps 远程代理上安装 PowerShell 软件包。
以下示例展示了如何为 CentOS7 配置 PowerShell:
安装 PowerShell 软件包。
> curl https://packages.microsoft.com/config/rhel/7/prod.repo | sudo tee /etc/yum.repos.d/microsoft.repo > sudo yum install -y powershell打开 PowerShell 解释器并安装 Exchange Online PowerShell V3 和 WSMan 模块:
> pwsh > Install-Module -Name ExchangeOnlineManagement -RequiredVersion 3.5.0 -Force -Scope AllUsers > Install-Module -Name PSWSMan > Install-WSMan > exit前往 https://github.com/jborean93/omi/releases,获取 openssl 1.1 的
libmi.so和libpsrpclient.so文件。将最新的glibc-1.1.tar.gz版本下载到 CentOS 主机。解压缩下载的 tar 归档文件:
> tar -xzvf glibc-1.1.tar.gz覆盖
/opt/microsoft/powershell/7目录中的现有libmi.so和libpsrpclient.so文件。
配置账号
在 Exchange 管理中心内,将用于集成功能的账号添加到 Discover 管理员角色。
为用户分配权限
向用户分配合规性数据管理员角色。
配置集成以与本地 Exchange 搭配使用
以下说明适用于 Exchange 2016,不支持更早的版本。
此集成使用 PowerShell 脚本来执行操作。需要在 Google SecOps 服务器或使用 Exchange 扩展包集成的 Google SecOps 远程代理上安装 PowerShell 软件包。
以下示例展示了如何为 CentOS7 配置 PowerShell:
安装 PowerShell 软件包。
> curl https://packages.microsoft.com/config/rhel/7/prod.repo | sudo tee /etc/yum.repos.d/microsoft.repo > sudo yum install -y powershell安装 gssapi 软件包。
如果需要从 Google SecOps Linux 服务器或远程代理向运行 Exchange 的 Windows 服务器进行身份验证,则必须安装 gssapi 软件包。
CentOS 7 的 gssapi 安装示例:
> sudo yum install -y gssntlmssp根据 Microsoft 文档中提供的 Enable-PSRemoting 文档,在运行 Exchange 的 Windows 服务器上启用 PowerShell 远程处理。
在 Exchange 中启用基本身份验证。
此集成使用基本身份验证,应在 Exchange 服务器中明确启用。
配置账号。
应在 Exchange 管理中心 (EAC) 控制台中将要用于集成功能的账号添加到“发现管理”管理员角色。如需运行“邮件流规则”操作,您需要为相关用户添加“传输规则”角色:
- 前往 EAC,然后点击权限。
- 选择发现管理并将其打开。
- 在“角色”部分中,点击
添加,然后选择传输规则。
- 依次点击添加 ->确定和保存。
- 该角色现已添加到“已分配的角色”部分。权限可能需要一段时间才能复制完毕。
在 Google SecOps 中配置 Exchange 扩展包集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| Exchange On-Prem 服务器地址 | 字符串 | x.x.x.x | 否 | 要连接的邮件服务器地址(主机名或 IP)。 |
| Exchange Office365 合规性 URI | 字符串 | https://ps.compliance.protection.outlook.com/powershell-liveid/ | 否 | 用于执行合规性操作的 Microsoft 365 安全合规中心 PowerShell URI。 如需了解详情,请参阅连接到安全合规性 PowerShell 文档。 |
| Exchange Office365 Online PowerShell URI | 字符串 | https://outlook.office365.com/powershell-liveid | 否 | 用于执行 Microsoft 365 管理操作的 Microsoft 365 Online Powershell URI。 如需了解详情,请参阅连接到安全合规性 PowerShell 文档。 |
| 网域 | 字符串 | example.com | 否 | 用于在邮件服务器上进行身份验证的网域。 |
| 用户名 | 字符串 | 用户 | 否 | 用于在邮件服务器上进行身份验证的用户名。 对于 Microsoft 365,请提供用户电子邮件地址作为用户名。 |
| 密码 | 密码 | 不适用 | 否 | 用于在邮件服务器上进行身份验证的密码。 |
| Exchange 是否为本地部署? | 复选框 | 尚未核查 | 否 | 指定目标邮件服务器是否为 Exchange On-Prem。 |
| 是否为 Office 365 (Exchange Online)? | 复选框 | 尚未核查 | 否 | 指定目标邮件服务器是否为 Microsoft 365 (Exchange Online)。 |
操作
删除合规性搜索
说明
删除合规性搜索以及与之关联的所有提取结果或电子邮件清除任务。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 合规性搜索名称 | 字符串 | 不适用 | 是 | 要删除的合规性搜索的名称。 名称不得包含特殊字符。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果操作成功,则合规性搜索和操作会被删除 (is_success=true):“操作已成功执行,合规性搜索和与其关联的任何提取结果或清除电子邮件任务已被删除。” 操作应失败并停止 playbook 执行: 如果目标是本地 Exchange 或 Microsoft 365,但 Google SecOps 服务器上未安装 PowerShell:“Failed to execute action because powershell is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果目标是本地 Exchange,但 Google SecOps 服务器上未安装 gssntlmssp 操作系统软件包:“Failed to execute action because gssntlmssp package is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Failed to execute action!错误为 {0}".format(exception.stacktrace) |
常规 |
获取合规性搜索结果
说明
获取已完成的合规性搜索的结果。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 合规性搜索名称 | 字符串 | 不适用 | 是 | 合规性搜索的名称。 名称不得包含特殊字符。 |
| 要返回的电子邮件数量上限 | 整数 | 不适用 | 否 | 指定操作可返回的电子邮件数量。 |
| 在操作完成后移除合规性搜索? | 复选框 | 勾选 | 否 | 指定操作完成后,是否应从 Exchange 服务器中移除搜索操作和任何相关的提取或清除任务。 |
| 创建案例墙输出表? | 复选框 | 勾选 | 否 | 指定操作是否应创建案例墙输出表。 如果“要返回的最大电子邮件数”参数设置为较大的数字,建议取消选中此复选框,以提高操作性能。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"Location": "test@example.com",
"Sender": "James Bond",
"Subject": "search test",
"Type": "Email",
"Size": "61772",
"Received Time": "3/12/2021 9:43:59 AM",
"Data Link": "data/All/FLDR5402c62d-7730-4c93-8f34-6bxxxxxxxxxx/BATCH0000/MSG192bc965-18c9-4c06-8834-2cxxxxxxxxxx.eml",
"Name": "test"
},
{
"Location": "test@example.com",
"Sender": "James Bond",
"Subject": "search test 2",
"Type": "Email",
"Size": "60881",
"Received Time": "3/12/2021 9:43:59 AM",
"Data Link": "data/All/FLDR5402c62d-7730-4c93-8f34-6bxxxxxxxxxx/BATCH0000/MSG9eefda9c-b1b5-46f0-8a54-bdxxxxxxxxxx.eml",
"Name": "test"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果操作成功且合规性操作已创建 (is_success=true):“操作已成功执行,并且已创建用于提取合规性搜索结果的任务” 操作完成后:“已成功提取合规性搜索‘{0}’的结果”。format(合规性搜索名称) 如果操作无法根据提供的名称找到合规性搜索(is_success=false):“操作无法找到合规性搜索 {0}”。format(compliance_search_name) 如果操作因某些其他非严重错误而失败 (is_success=false):“操作因错误而未成功完成。错误信息:{0}".format(error.stacktrace) 操作应失败并停止 playbook 执行: 如果目标是本地 Exchange 或 Microsoft 365,但 Google SecOps 服务器上未安装 PowerShell:“Failed to execute action because powershell is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果目标是本地 Exchange,但 Google SecOps 服务器上未安装 gssntlmssp 操作系统软件包:“Failed to execute action because gssntlmssp package is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Failed to execute action!错误为 {0}".format(exception.stacktrace) |
常规 |
| 表 | 表格标题:合规性搜索操作结果 表格列:
|
常规 |
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Exchange 或 Microsoft 365 服务器的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“已使用提供的连接参数成功连接到 Exchange 或 Microsoft 365 服务器!” 操作应失败并停止 playbook 执行: 如果未选中任何复选框(Microsoft 365/本地 Exchange):“请指定要连接的邮件服务器类型 - 本地 Exchange 或 Microsoft 365” 如果两个复选框均处于选中状态(Microsoft 365/exchange on prem):“一次只能支持一种邮件服务器类型。请指定要连接的邮件服务器类型 - Exchange 本地部署或 Microsoft 365” 如果目标是本地 Exchange 或 Microsoft 365,但 Google SecOps 服务器上未安装 PowerShell:“Failed to execute action because powershell is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果目标是本地 Exchange,但 Google SecOps 服务器上未安装 gssntlmssp 操作系统软件包:“Failed to execute action because gssntlmssp package is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Failed to execute action!错误为 {0}".format(exception.stacktrace) |
常规 |
清除合规性搜索结果
说明
清除通过完成的合规性搜索找到的电子邮件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 合规性搜索名称 | 字符串 | 不适用 | 是 | 合规性搜索的名称。 名称不得包含特殊字符。 |
| 对已删除的电子邮件执行 HardDelete? | 复选框 | 尚未核查 | 否 | 指定是否应执行 HardDelete。 此选项仅适用于 Microsoft 365,用于将电子邮件标记为从邮箱中永久移除。 |
| 在操作完成后移除合规性搜索? | 复选框 | 勾选 | 否 | 指定操作完成后,是否应从 Exchange 服务器中移除搜索操作和任何相关的提取或清除任务。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"Item count": "5",
"Purge Type": "SoftDelete"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果操作成功且合规性操作已创建 (is_success=true):“操作已成功执行,并且已创建任务来清除通过合规性搜索找到的电子邮件” 操作完成后:“已成功清除合规性搜索‘{0}’的结果”。format(合规性搜索名称) 如果操作无法根据提供的名称找到合规性搜索(is_success=false):“操作无法找到合规性搜索 {0}”。format(compliance_search_name) 如果操作未返回任何结果:“合规性搜索 {0} 未返回任何结果。请更新搜索结果,或修改合规性搜索查询,然后重新运行搜索”。format(compliance search name) 操作应失败并停止 playbook 执行: 如果目标是本地 Exchange 或 Microsoft 365,但 Google SecOps 服务器上未安装 PowerShell:“Failed to execute action because powershell is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果目标是本地 Exchange,但 Google SecOps 服务器上未安装 gssntlmssp 操作系统软件包:“Failed to execute action because gssntlmssp package is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Failed to execute action!错误为 {0}".format(exception.stacktrace) |
常规 |
运行合规性搜索
说明
根据提供的搜索条件运行 Exchange 合规性搜索。如果选中“获取合规性搜索结果”复选框,则该操作会返回搜索结果,与“获取合规性搜索结果”操作类似。
Exchange 合规性搜索提供了一种快速机制,可在多个邮箱中进行搜索,对于拥有 1,000 多个邮箱的大型组织来说非常有用。
如果选中“提取合规性搜索结果?”复选框,则最多显示 200 个元素,但实际搜索可能会发现更多结果。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 合规性搜索名称 | 字符串 | 不适用 | 是 | 合规性搜索的名称。 名称不得包含特殊字符。 |
| 主题过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,指定要搜索的电子邮件的主题。 |
| 发件人过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定所需电子邮件的发送者。 |
| 收件人过滤条件 | 字符串 | 不适用 | 否 | 过滤条件,用于指定谁应成为所需电子邮件的收件人。 |
| 运算符 | DDL | 且 | 是 | 用于根据上述条件构建查询的运算符。 |
| 时间范围(小时) | 字符串 | 不适用 | 否 | 用于搜索电子邮件的时间范围间隔(以小时为单位)。 |
| 要在哪个位置搜索电子邮件 | 字符串 | 不适用 | 是 | 用于搜索电子邮件的位置,可以是以下值之一:
|
| 获取合规性搜索结果? | 复选框 | 尚未核查 | 否 | 指定操作是否应立即提取合规性搜索结果。 最多可显示 200 个元素,但实际搜索结果可能包含更多发现。 |
| 要返回的电子邮件数量上限 | 整数 | 不适用 | 否 | 指定操作可返回的电子邮件数量。 |
| 创建案例墙输出表? | 复选框 | 勾选 | 否 | 指定操作是否应创建案例墙输出表。 如果“要返回的最大电子邮件数”参数设置为较大的数字,建议取消选中此复选框,以提高操作性能。 |
| 高级查询 | 字符串 | 不适用 | 否 | 提供您要运行合规性搜索的查询,而不是主题、发件人或收件人过滤条件。 如需了解详情,请参阅关键字查询语言 (KQL) 语法参考和由 Exchange 搜索编入索引的消息属性文档。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"Name": "test",
"RunBy": "James Bond",
"JobEndTime": "2021-03-18T12:42:49.92",
"Status": "Completed"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果操作成功且合规性搜索已创建 (is_success=true):“操作已成功执行,并且已创建合规性搜索” 操作完成搜索后:“合规性搜索‘{0}’已成功完成”。format(合规性搜索名称) 如果设置了用于提取合规性搜索结果的复选框:“已成功提取合规性搜索‘{0}’的结果”。format(合规性搜索名称) 如果已选中用于提取合规性搜索结果的复选框,但操作未返回任何结果:“合规性搜索 {0} 未返回任何结果。请更新搜索结果,或修改合规性搜索查询,然后重新运行搜索”。format(compliance search name) 操作应失败并停止 playbook 执行: 如果目标是本地 Exchange 或 Microsoft 365,但 Google SecOps 服务器上未安装 PowerShell:“Failed to execute action because powershell is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果目标是本地 Exchange,但 Google SecOps 服务器上未安装 gssntlmssp 操作系统软件包:“Failed to execute action because gssntlmssp package is not installed on Google SecOps server! 请参阅有关如何安装 PowerShell 的配置说明。错误为 {0}".format(exception.stacktrace) 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Failed to execute action!错误为 {0}".format(exception.stacktrace) |
常规 |
向 Exchange-Siemplify 邮件流规则添加网域
说明
该操作会获取一个网域列表作为参数,并可以创建一个新规则,用于过滤来自 Exchange 服务器的网域。可以使用规则参数在参数中修改要采取的操作。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 网域 | 字符串 | 不适用 | 否 | 以逗号分隔列表的形式指定您要添加到规则中的网域。 |
| 要添加网域的规则 | DDL | Siemplify - 网域列表 - 永久删除 | 是 | 指定要将网域添加到的规则。 如果规则不存在,该操作会在缺少规则的位置创建规则。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"success": [
"test1.com",
"test2.com"
],
"already_available": [
"test3.com"
],
"invalid": [
"invalid"
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(规则已相应更新,输入正确):“已将以下输入添加到相应规则: 规则已更新: 如果至少有一个输入不正确(参数中的电子邮件地址无效、实体名称中的电子邮件地址无效):“无法将以下输入添加到规则中:”+ 操作应失败并停止 playbook 执行: 如果报告了错误:“Error performing "Add Domains to Exchange-Siemplify Mail Flow Rules" action : {0}".format(exception.stacktrace) |
常规 |
将发件人添加到 Exchange-Siemplify 邮件流规则
说明
该操作会获取电子邮件地址列表作为参数,或者使用电子邮件正则表达式处理用户实体(如果未提供参数),并且可以创建新规则,过滤来自 Exchange 服务器的发件人。您可以使用 rule 参数在参数中修改操作。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 电子邮件地址 | 字符串 | 不适用 | 否 | 以逗号分隔列表的形式指定要添加到规则中的电子邮件地址。 如果未提供任何参数,该操作将适用于 User 实体。 |
| 要向其添加发件人的规则 | DDL | Siemplify - 发件人列表 - 永久删除 | 是 | 指定要将发件人添加到哪个规则中。 如果规则不存在,该操作会在缺少规则的位置创建规则。 |
| 是否也应将发件人的网域添加到相应的“网域列表”规则中? | 复选框 | 尚未核查 | 否 | 指定操作是否应自动获取所提供电子邮件地址的网域,并将其也添加到相应的网域规则(网域的规则操作相同)。 |
运行于
如果电子邮件地址正则表达式对用户实体有效,且未提供任何参数,则此操作适用于用户实体。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"success": [
"test1@example.com",
"test2@example.com"
],
"already_available": [
"test3@example.com"
],
"invalid": [
"invalid"
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(规则已相应更新,输入正确):“已将以下输入添加到相应规则: “已更新规则:”+ 如果至少有一个输入不正确(参数中的电子邮件地址无效、实体名称中的电子邮件地址无效):“无法将以下输入添加到规则中:”+ 操作应失败并停止 playbook 执行: 如果报告了错误:“Error performing "Add Senders to Exchange-Siemplify Mail Flow Rule" action : {0}".format(exception.stacktrace) |
常规 |
删除 Exchange-Siemplify 邮件流规则
说明
该操作会获取规则名称作为参数并将其删除。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要删除的规则的名称 | DDL | Siemplify - 发件人列表 - 永久删除 可能的值:
|
是 | 指定要完全删除的规则名称。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 对于已成功删除的规则:“已成功删除以下规则:”succesful_rule_names 如果未在 Exchange 中找到规则:“无法删除以下规则:”+unseccessful_rule_names+“,因为未在 Exchange 中找到这些规则。请确保您已选择合适的规则名称,然后重试。” 如果 Exchange 中未找到任何规则:“无法删除任何提供的规则名称,因为在 Exchange 中未找到这些名称。请确保您已选择合适的规则名称,然后重试。” 操作应失败并停止 playbook 执行: 如果报告了错误:“执行‘删除 Exchange-Siemplify 邮件流规则’操作时出错:{0}”.format(exception.stacktrace) |
常规 |
列出 Exchange-Siemplify 邮件流规则
说明
该操作会获取规则名称作为参数并列出该规则。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要列出的规则名称 | DDL | Siemplify - 发件人列表 - 永久删除 可能的值:
|
是 | 指定您要列出的规则名称。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"Priority": 0,
"ManuallyModified": false,
"Description": "If the message:\r\n\tIs received from 'test@example1.com' or 'test@example2.com'\r\nTake the following actions:\r\n\tDelete the message without notifying the recipient or sender\r\n",
"Conditions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.FromPredicate"
],
"Actions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.DeleteMessageAction"
],
"State": "Enabled",
"Mode": "Enforce",
"FromAddressContainsWords": null,
"Identity": "Siemplify - Senders List - Permanently Delete",
"Name": "Siemplify - Senders List - Permanently Delete",
"DistinguishedName": "CN=Siemplify - Senders List - Permanently Delete,CN=TransportVersioned,CN=Rules,CN=Transport Settings,CN=mwc,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=exlab,DC=local",
"IsValid": true,
"From": [
"test@example1.com",
"test@example2.com"
],
"Guid": "xxxxx426-b665-41f9-82e0-0f1fd63xxxxx",
"ImmutableId": "xxxxx426-b665-41f9-82e0-0f1fd63xxxxx",
"WhenChanged": "/Date(1621952909000)/",
"ExchangeVersion": "0.1 (8.0.535.0)",
"OrganizationId": "",
"ObjectState": "Unchanged"
},
{
"Priority": 1,
"ManuallyModified": false,
"Description": "If the message:\r\n\tIncludes these words in the sender's address: 'example1.com' or 'example2.com'\r\nTake the following actions:\r\n\tDelete the message without notifying the recipient or sender\r\n",
"Conditions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.FromAddressContainsPredicate"
],
"Actions": [
"Microsoft.Exchange.MessagingPolicies.Rules.Tasks.DeleteMessageAction"
],
"State": "Enabled",
"Mode": "Enforce",
"FromAddressContainsWords": [
"example1.com",
"example2.com"
],
"Identity": "Siemplify - Domains List - Permanently Delete",
"Name": "Siemplify - Domains List - Permanently Delete",
"DistinguishedName": "CN=Siemplify - Domains List - Permanently Delete,CN=TransportVersioned,CN=Rules,CN=Transport Settings,CN=mwc,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=exlab,DC=local",
"IsValid": true,
"From": null,
"Guid": "xxxxx697-e143-41aa-8dee-b783a78xxxxx",
"ImmutableId": "xxxxx697-e143-41aa-8dee-b783a78xxxxx",
"WhenChanged": "/Date(1621952960000)/",
"ExchangeVersion": "0.1 (8.0.535.0)",
"OrganizationId": "",
"ObjectState": "Unchanged"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 对于成功找到的规则:“已成功列出以下规则:”successful_rule_names 如果未在 Exchange 中找到规则:“无法列出以下规则:”+unseccessful_rule_names+“,因为未在 Exchange 中找到这些规则。请确保您已选择合适的规则名称,然后重试。” 如果未在 Exchange 中找到任何规则:“无法列出任何提供的规则名称,因为在 Exchange 中未找到这些名称。请确保您已选择合适的规则名称,然后重试。” 操作应失败并停止 playbook 执行: 如果报告了错误:“Error performing "List Exchange-Siemplify Mail Flow Rules" action : {0}".format(exception.stacktrace) |
常规 |
从 Exchange-Siemplify 邮件流规则中移除网域
说明
该操作会获取一个网域列表作为参数,并可从现有规则中移除所提供的网域。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 网域 | 字符串 | 不适用 | 否 | 以英文逗号分隔列表的形式指定要从规则中移除的网域。 如果未提供任何参数,该操作将与实体一起使用。 |
| 用于移除网域的规则 | DDL | Siemplify - 网域列表 - 永久删除 | 是 | 指定要从中移除网域的规则。 如果规则不存在,则该操作不会执行任何操作。 |
| 从所有可用规则中移除网域 | 复选框 | 尚未核查 | 否 | 指定操作是否应在所有 Google SecOps 邮件流规则中查找所提供的网域。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"success": [
"test1.com",
"test2.com"
],
"didn't_exist": [
"test3.com"
],
"invalid": [
"invalid"
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(规则已相应更新,输入正确):“已从相应规则中移除以下输入:” 规则已更新: 操作应失败并停止 playbook 执行: 如果系统报告错误:“执行‘从 Exchange-Siemplify 邮件流规则中移除网域’操作时出错:{0}”.format(exception.stacktrace) |
常规 |
从 Exchange-Siemplify 邮件流规则中移除发件人
说明
该操作会获取发件人列表作为参数,或处理用户实体(如果未提供参数),并且可以从现有规则中移除提供的发件人。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 发送者 | 字符串 | 不适用 | 否 | 以英文逗号分隔列表的形式指定要从规则中移除的发件人。 如果未提供任何参数,该操作将与实体一起使用。 |
| 用于从以下对象中移除发件人的规则 | DDL | Siemplify 发件人列表 - 永久删除 | 是 | 指定要从中移除发件人的规则。 如果规则不存在,则该操作不会执行任何操作。 |
| 是否也应从相应的“网域列表”规则中移除发件人的网域? | 复选框 | 尚未核查 | 否 | 指定操作是否应自动获取所提供电子邮件地址的网域,并从相应的网域规则中移除这些网域(针对网域的规则操作相同)。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"success": [
"test1@example.com",
"test2@example.com"
],
"didn't_exist": [
"test3@example.com"
],
"invalid": [
"invalid"
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功(规则已相应更新,输入正确):消息:“已从相应规则中移除以下输入:” 已更新规则: 如果至少有一个输入不正确(参数中的电子邮件地址无效、实体名称中的电子邮件地址无效):“无法将以下输入添加到规则中:”+ 操作应失败并停止 playbook 执行: 如果报告了错误:“Error performing "Remove Senders from Exchange-Siemplify Mail Flow Rules" action : {0}".format(exception.stacktrace) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。