Datenaustausch

Integrationsversion: 102.0

In diesem Dokument wird beschrieben, wie Sie Exchange in Google Security Operations SOAR einbinden.

In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.

Exchange Online konfigurieren

Die Voraussetzungen und Konfigurationsschritte hängen davon ab, ob Sie die Integration für Exchange Online oder Exchange Server konfigurieren.

• Fahren Sie mit dem nächsten Abschnitt fort, um Exchange Online zu konfigurieren.

• Informationen zum Konfigurieren von Exchange Server finden Sie unter Exchange Server konfigurieren.

Die Integration für Exchange Online unterstützt nur die delegierte OAuth-Authentifizierung mit delegierten Tokens, was eine zusätzliche Konfiguration erfordert.

Es kann bis zu 24 Stunden dauern, bis Änderungen an Berechtigungen in der Azure-Umgebung wirksam werden.

Hinweise

Bevor Sie die Exchange Online-Integration konfigurieren, müssen Sie eine Authentifizierungsmethode auswählen und alle Konfigurationsschritte ausführen. Sie haben folgende Möglichkeiten:

• Methode 1: Berechtigungen zum Identitätswechsel eines Nutzers zuweisen: Die Integration fungiert als einzelner, bestimmter Nutzer.
• Methode 2: Zugriff delegieren: Die Integration greift direkt auf mehrere Postfächer zu.

Berechtigungen zum Identitätswechsel eines Nutzers zuweisen

Bei dieser Methode müssen Sie eine Anwendung in Microsoft Entra ID erstellen und ihr Berechtigungen zum Identitätswechsel für einen einzelnen Nutzer zuweisen.

Microsoft Entra-Anwendung erstellen

Um die Einrichtung der Identitätsübernahme zu starten, müssen Sie eine neue Anwendung in Microsoft Entra ID registrieren.

1. Melden Sie sich in Microsoft Azure an und rufen Sie Microsoft Entra ID > App-Registrierungen > Neue Registrierung auf.
2. Geben Sie einen Namen für die App ein und wählen Sie einen unterstützten Kontotyp aus.
3. Geben Sie für den Weiterleitungs-URI die folgenden Werte an:
   1. Gleis: Web
   2. Weiterleitungs-URL: http://localhost
4. Klicken Sie auf Registrieren.
5. Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant).

API-Berechtigungen konfigurieren

Sie müssen Ihrer Anwendung die erforderlichen Berechtigungen für den Zugriff auf Nutzerdaten gewähren.

1. Rufen Sie API-Berechtigungen > Berechtigung hinzufügen auf.
2. Wählen Sie Microsoft Graph > Delegierte Berechtigungen aus.
3. Wählen Sie im Abschnitt Berechtigungen auswählen die Option EWS und dann die Berechtigung Ews.AccessAsUser.All aus.
4. Klicken Sie auf Berechtigung hinzufügen> Einwilligung des Administrators erteilen.

Clientschlüssel erstellen

Sie müssen einen Clientschlüssel erstellen, der als Passwort für Ihre Anwendung verwendet wird.

1. Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.
2. Geben Sie eine Beschreibung ein, legen Sie ein Ablaufdatum fest und klicken Sie auf Hinzufügen.
3. Speichern Sie den Wert des Secrets.

Berechtigungen in Exchange Online zuweisen:

Um die Einrichtung abzuschließen, müssen Sie dem Nutzer, dessen Identität Sie annehmen möchten, die Rolle ApplicationImpersonation zuweisen.

1. Rufen Sie im Exchange-Admincenter Rollen > Administratorrollen auf und suchen Sie nach der Rollengruppe, die die Rolle ApplicationImpersonation enthält, z. B. Discovery-Verwaltung.
2. Fügen Sie der Rollengruppe den Nutzer hinzu, dessen Identität Sie annehmen.

Delegierter Zugriff

Bei dieser Methode müssen Sie dem Dienstkonto mit Exchange Online PowerShell direkte Berechtigungen für ein Postfach erteilen.

1. Stellen Sie eine Verbindung zu Exchange Online PowerShell her.

2. Verwenden Sie das Cmdlet Add-MailboxPermission, um Berechtigungen zuzuweisen.

   Wenn Sie dem Dienstkonto beispielsweise vollen Zugriff auf ein bestimmtes Postfach gewähren möchten:

   Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess
   

   Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung für Anwendungen in Exchange Online.

Exchange Online in Google SecOps einbinden

Eine Anleitung zum Installieren und Konfigurieren der Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Wenn Sie Exchange Online in die Google SecOps-Plattform einbinden möchten, müssen Sie die folgenden Schritte in Google SecOps ausführen:

1. Konfigurieren Sie die Anfangsparameter und speichern Sie sie.

2. Aktualisierungstoken generieren:

   • Simulieren Sie einen Fall in Google SecOps.

   • Führen Sie die Aktion Autorisierung abrufen aus.

   • Führen Sie die Aktion Generate Token (Token generieren) aus.

3. Geben Sie das abgerufene Aktualisierungstoken als Refresh Token-Parameterwert ein und speichern Sie die Konfiguration.

Anfangsparameter konfigurieren

Für die Exchange Online-Integration sind die folgenden Anfangsparameter erforderlich:

Klicken Sie nach der Konfiguration der Parameter auf Speichern.

Aktualisierungstoken generieren

Zum Generieren eines Aktualisierungstokens müssen Sie manuelle Aktionen für einen vorhandenen Fall ausführen. Wenn Ihre Google SecOps-Instanz neu ist und keine vorhandenen Fälle hat, simulieren Sie einen.

Fall simulieren

So simulieren Sie einen Fall in Google SecOps:

1. Wählen Sie im linken Navigationsbereich Fälle aus.

2. Klicken Sie auf der Seite „Anfragen“ auf Hinzufügen > „Anfragen simulieren“.

3. Wählen Sie einen der Standardfälle aus und klicken Sie auf Erstellen. Es spielt keine Rolle, welchen Fall Sie simulieren.

4. Klicken Sie auf Simulieren.

   Wenn Sie eine andere Umgebung als die Standardumgebung verwenden möchten, wählen Sie die gewünschte Umgebung aus und klicken Sie auf Simulieren.

5. Klicken Sie auf dem Tab Fälle auf Aktualisieren. Der simulierte Fall wird in der Fallliste angezeigt.

Aktion „Autorisierung abrufen“ ausführen

Verwenden Sie den simulierten Google SecOps-Fall, um die Aktion Get Authorization manuell auszuführen.

1. Wählen Sie auf dem Tab Fälle den simulierten Fall aus, um eine Fallansicht zu öffnen.

2. Klicken Sie auf Manuelle Aktion.

3. Geben Sie im Feld „Manuelle Aktion“ Suchen den Wert Exchange ein.

4. Wählen Sie in den Ergebnissen unter der Exchange-Integration die Option Autorisierung abrufen aus. Diese Aktion gibt einen Autorisierungslink zurück, der verwendet wird, um sich interaktiv in der Microsoft Entra-App anzumelden.

5. Klicken Sie auf Ausführen.

6. Nachdem die Aktion ausgeführt wurde, rufen Sie das Fall-Repository Ihres simulierten Falls auf. Klicken Sie im Aktionsdatensatz Exchange_Get Authorization auf View More (Mehr anzeigen). Kopieren Sie den Autorisierungslink.

7. Öffnen Sie ein neues Browserfenster im Inkognitomodus und fügen Sie die generierte Autorisierungs-URL ein. Die Azure-Anmeldeseite wird geöffnet.

8. Melden Sie sich mit den Nutzeranmeldedaten an, die Sie für die Integration ausgewählt haben. Nach der Anmeldung werden Sie in Ihrem Browser zu einer Adresse mit einem Code in der Adressleiste weitergeleitet.

   Es ist normal, dass der Browser einen Fehler anzeigt, wenn die App Sie zu http://localhost weiterleitet.

9. Kopieren Sie die gesamte URL mit dem Zugriffscode aus der Adressleiste.

Aktion „Token generieren“ ausführen

Verwenden Sie den simulierten Google SecOps-Fall, um die Aktion Token generieren manuell auszuführen.

1. Wählen Sie auf dem Tab Fälle den simulierten Fall aus, um eine Fallansicht zu öffnen.

2. Klicken Sie auf Manuelle Aktion.

3. Geben Sie im Feld „Manuelle Aktion“ Suchen den Wert Exchange ein.

4. Wählen Sie in den Ergebnissen unter der Exchange-Integration die Option Token generieren aus.

5. Fügen Sie in das Feld Authorization URL die gesamte URL mit dem Zugriffscode ein, die Sie nach dem Ausführen der Aktion Get Authentication (Authentifizierung abrufen) kopiert haben.

6. Klicken Sie auf Ausführen.

7. Nachdem die Aktion ausgeführt wurde, rufen Sie das Fall-Repository Ihres simulierten Falls auf. Klicken Sie im Aktionsdatensatz Exchange_Generate Token auf Mehr anzeigen.

8. Kopieren Sie den gesamten Wert des generierten Aktualisierungstokens.

Parameter für das Aktualisierungstoken konfigurieren

1. Rufen Sie das Konfigurationsdialogfeld für die Exchange-Integration auf.

2. Geben Sie den Aktualisierungstokenwert, den Sie beim Ausführen der Aktion Generate Token erhalten haben, in das Feld Refresh Token ein.

3. Klicken Sie auf Speichern.

4. Klicken Sie auf Testen, um zu prüfen, ob die Konfiguration korrekt ist und die Integration wie erwartet funktioniert.

Bei Bedarf können Sie später Änderungen vornehmen. Nach der Konfiguration können die Instanzen in Playbooks verwendet werden. Ausführliche Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Exchange Server konfigurieren

Bevor Sie Exchange Server in Google SecOps einbinden, müssen Sie die Basisauthentifizierung für Exchange Server einrichten.

Verwenden Sie einen Nutzernamen und ein Passwort, um sich beim Exchange-Server zu authentifizieren.

Basisauthentifizierung einrichten

Führen Sie die folgenden Schritte aus, um die einfache Authentifizierung einzurichten:

1. Prüfen Sie, ob der Exchange-Server (einer der Server im Cluster) vom Google SecOps-Server aus erreichbar ist und die folgenden Anforderungen erfüllt:

   • Der DNS-Name des Exchange-Servers wird aufgelöst.

   • Die IP-Adresse des Exchange-Servers ist erreichbar.

   • Exchange-Webdienste (Exchange Web Services, EWS) sind aktiviert und werden auf einem Port gehostet, der für den Google SecOps-Server zugänglich ist.

   Wenn der Exchange-Server nicht über den Google SecOps SOAR-Server erreichbar ist, sollten Sie einen Google SecOps-Remote-Agent verwenden.

2. Geben Sie für die Integration einen Nutzernamen (E-Mail-Adresse des Nutzers) und ein Passwort an. Wählen Sie den Nutzer für die Integration aus.

3. Führen Sie für Aktionen, die delegierte oder übernommene Berechtigungen verwenden, die folgenden Schritte aus:

   1. Gewähren Sie einem E-Mail-Konto, das Sie in der Integration verwenden, delegierten oder imitierten Zugriff auf die erforderlichen Postfächer.

      Wir empfehlen, den Zugriff mit Identitätswechselberechtigungen zu konfigurieren. Weitere Informationen finden Sie in der Microsoft-Produktdokumentation unter Impersonation and EWS in Exchange.

   2. Wenn Sie auf andere Postfächer zugreifen möchten, weisen Sie dem für die Integration konfigurierten Nutzer (Postfach) die folgenden Exchange-Rollen zu:

      • Discovery Management-Rollengruppe in der Dokumentation zu Microsoft-Produkten.

      • ApplicationImpersonation-Rolle in der Dokumentation zu Microsoft-Produkten.

      • Compliance Management-Rolle in der Microsoft-Produktdokumentation.

      • Organization Management-Rolle in der Microsoft-Produktdokumentation.

Exchange Server in Google SecOps einbinden

Eine Anleitung zum Installieren und Konfigurieren der Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationseingaben

Für die Exchange Server-Integration sind die folgenden Parameter erforderlich:

Aktionen

Die in diesem Abschnitt aufgeführten Aktionen lassen sich in zwei Kategorien einteilen:

1. Die häufigsten Exchange-Integrationsaktionen.

2. Aktionen, die sich auf die Exchange-Funktion Absender und Domain blockieren beziehen.

Erforderliche Berechtigungen

In der folgenden Tabelle finden Sie die Mindestberechtigungen, die zum Ausführen gängiger Aktionen erforderlich sind:

Die erforderlichen Mindestberechtigungen zum Ausführen von Aktionen über die Funktion zum Blockieren von Absendern und Domains finden Sie in der folgenden Tabelle:

E-Mail löschen

Mit der Aktion E‑Mail löschen können Sie eine oder mehrere E‑Mails löschen, die den Suchkriterien eines Postfachs entsprechen.

Das Löschen von E‑Mails kann sich auf die erste E‑Mail beziehen, die den Suchkriterien entspricht, oder auf alle übereinstimmenden E‑Mails.

Informationen zu den Berechtigungen, die zum Ausführen dieser Aktion erforderlich sind, finden Sie im Abschnitt Aktionsberechtigungen in diesem Dokument.

Wenn der Nutzer offline ist, wird die Nachricht möglicherweise erst dann aus seinem Outlook-Client gelöscht, wenn er die Verbindung wiederherstellt und sein Postfach synchronisiert.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail löschen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion E‑Mail löschen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Delete Mail kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Delete Mail verwendet wird:

Anhänge herunterladen

Mit der Aktion Download Attachments (Anhänge herunterladen) können Sie E-Mail-Anhänge aus einer E-Mail in einen bestimmten Pfad auf dem Google SecOps-Server herunterladen. Bei der Aktion werden Backslash- oder Leerzeichen in den Namen heruntergeladener Anhänge automatisch durch Unterstriche ersetzt.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Anhänge herunterladen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Anhänge herunterladen bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Anhänge herunterladen empfangen wird:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]

Ausgabemeldungen

Die Aktion Download Attachments (Anhänge herunterladen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Anhänge herunterladen verwendet wird:

EML-Daten extrahieren

Mit der Aktion EML-Daten extrahieren können Sie Daten aus den EML-Anhängen der E‑Mail extrahieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion EML-Daten extrahieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion EML-Daten extrahieren bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion EML-Daten extrahieren empfangen wird:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion EML-Daten extrahieren verwendet wird:

Token generieren

Verwenden Sie die Aktion Token generieren, um ein Aktualisierungstoken für die Integrationskonfiguration mit OAuth-Authentifizierung zu erhalten. Verwenden Sie die Autorisierungs-URL, die Sie in der Aktion Autorisierung abrufen erhalten haben.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Token generieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Token generieren liefert die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Generate Token kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Token generieren aufgeführt:

Konto aus den Einrichtungenseinstellungen entfernen

Mit der Aktion Get Account Out Of Facility Settings (Einstellungen für „Nicht im Büro“ für Konto abrufen) können Sie die Einstellungen für „Nicht im Büro“ für die angegebene Google SecOps-User-Einheit abrufen.

Wenn die Zielnutzeridentität ein Nutzername und keine E-Mail-Adresse ist, führen Sie die Aktion Active Directory Enrich Entities aus, um Informationen zur E-Mail-Adresse des Nutzers abzurufen, die in Active Directory gespeichert ist.

Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Get Account Out Of Facility Settings (Konto aus den Einrichtungseinstellungen abrufen) gibt die folgenden Ausgaben zurück:

Tabelle „Fall-Repository“

Mit der Aktion Get Account Out Of Facility Settings wird die folgende Tabelle in einer Case Wall in Google SecOps zurückgegeben:

Tabellenname: Out of Facility Settings (Einstellungen außerhalb der Einrichtung)

Tabellenspalten:

• Parameter
• Wert

Entitätsanreicherung

Die Aktion Get Account Out Of Facility Settings unterstützt die folgenden Anreicherungen von Einheiten:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Account Out Of Facility Settings (Konto aus den Einrichtungseinstellungen abrufen) empfangen wird:

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))

Ausgabemeldungen

Die Aktion Get Account Out Of Facility Settings kann die folgenden Ausgabemeldungen zurückgeben:

Autorisierung abrufen

Verwenden Sie die Aktion Get Authorization (Autorisierung abrufen), um einen Link mit dem Zugriffscode für die Integrationskonfiguration mit OAuth-Authentifizierung zu erhalten. Kopieren Sie den Link und verwenden Sie ihn in der Aktion Token generieren, um das Aktualisierungstoken zu erhalten.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Get Authorization (Autorisierung abrufen) liefert die folgenden Ausgaben:

Link zum Fall‑Repository

Die Aktion Get Authorization gibt den folgenden Link zurück:

Name: Browse to this authorization link (Diesen Autorisierungslink aufrufen)

Link: AUTHORIZATION_LINK

Ausgabemeldungen

Die Aktion Get Authorization (Autorisierung abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Authorization verwendet wird:

EML-Datei für E-Mail abrufen

Mit der Aktion Get Mail EML File (EML-Datei für E-Mail abrufen) können Sie die EML-Datei einer Nachricht abrufen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Mail EML File sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Mail EML File (EML-Datei für E-Mail abrufen) bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Mail EML File verwendet wird:

E‑Mail in Ordner verschieben

Mit der Aktion E-Mails in Ordner verschieben können Sie eine oder mehrere E-Mails aus dem Quell-E-Mail-Ordner in einen anderen Ordner in einem Postfach verschieben.

Je nach Anwendungsfall gibt die Aktion eine unterschiedliche Menge an Informationen zu verarbeiteten E‑Mails im JSON-Ergebnis zurück.

Wenn Sie den Parameter Limit the amount of information in the JSON result (Menge der Informationen im JSON-Ergebnis begrenzen) auswählen, enthält das JSON-Ergebnis nur die folgenden E-Mail-Felder: datetime_received, message_id, sender, subject, to_recipients. Andernfalls enthält das JSON-Ergebnis alle verfügbaren Informationen zur verarbeiteten E‑Mail.

Wenn Sie den Parameter Disable the Action JSON Result (JSON-Ergebnis der Aktion deaktivieren) auswählen, gibt die Aktion das JSON-Ergebnis überhaupt nicht zurück.

Die Aktion E-Mail in Ordner verschieben wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail in Ordner verschieben sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion E‑Mail in Ordner verschieben bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Move Mail to Folder (E‑Mail in Ordner verschieben) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion E‑Mail in Ordner verschieben verwendet wird:

Ping

Verwenden Sie die Aktion Ping, um eine Verbindung zur Microsoft Exchange-Instanz zu testen.

Sie können diese Aktion manuell ausführen, nicht als Teil des Playbook-Ablaufs.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

–

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

E‑Mail-Anhänge im Kundenserviceticket speichern

Mit der Aktion Save Mail Attachments To The Case (E‑Mail-Anhänge im Fall speichern) können Sie E‑Mail-Anhänge aus einer E‑Mail, die im überwachten Postfach gespeichert ist, in der Fallübersicht in Google SecOps speichern.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Save Mail Attachments To The Case (E-Mail-Anhänge im Fall speichern) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Save Mail Attachments To The Case (E-Mail-Anhänge im Fall speichern) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Save Mail Attachments To The Case (E-Mail-Anhänge im Fall speichern) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Save Mail Attachments To The Case (E-Mail-Anhänge im Fall speichern) verwendet wird:

E-Mails durchsuchen

Mit der Aktion E‑Mails durchsuchen können Sie anhand mehrerer Suchkriterien in einem konfigurierten Postfach nach bestimmten E‑Mails suchen. Diese Aktion gibt Informationen zu E-Mails zurück, die in einem Postfach gefunden wurden, und zwar im JSON-Format.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mails durchsuchen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion E‑Mails durchsuchen bietet die folgenden Ausgaben:

Tabelle „Fall-Repository“

Die Aktion Search Mails gibt die folgende Tabelle in einer Case Wall in Google SecOps zurück:

Tabellentitel: Übereinstimmende E-Mail-Adressen

Tabellenspalten:

• Message_id
• Received Date
• Sender
• Empfänger
• Subject
• E-Mail-Text
• Namen der Anhänge (als durch Kommas getrennte Liste von Anhangsnamen)

Wenn Sie den Parameter Search in all mailboxes auswählen, wird der Tabelle die Spalte In Postfach gefunden hinzugefügt, um anzugeben, in welchem Postfach die E‑Mail gefunden wurde.

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion E‑Mails durchsuchen empfangen wird:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]

Ausgabemeldungen

Die Aktion E‑Mails durchsuchen kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion E‑Mails durchsuchen aufgeführt:

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]
  

E‑Mail senden

Mit der Aktion E‑Mail senden können Sie eine E‑Mail von einem bestimmten Postfach an eine Liste von Empfängern senden. Mit dieser Aktion können Sie Nutzer über Folgendes informieren:

• Bestimmte Benachrichtigungen, die in Google SecOps erstellt wurden.
• Ergebnisse der Verarbeitung der jeweiligen Benachrichtigungen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail senden sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion E-Mail senden bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion E-Mail senden empfangen wird:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

Zusätzlich zum technischen Ergebnis des Mail-Objekts im JSON-Format gibt die Aktion auch die Nachrichten-ID und das Datum zurück, an dem eine E-Mail gesendet wurde. Die zusätzlichen Daten werden bei Bedarf in der Aktion Auf E-Mail warten verwendet:

{
…
"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}

Ausgabemeldungen

Die Aktion E‑Mail senden kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion E-Mail senden verwendet wird:

E‑Mail-HTML senden

Verwenden Sie die Aktion Send Mail HTML (E-Mail mit HTML senden), um eine E-Mail mit dem Inhalt der HTML-Vorlage zu senden. Das Feld Send to ist durch Kommas getrennt.

Sie können den Absendernamen im E-Mail-Client in den Kontoeinstellungen konfigurieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Send Mail HTML sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion E-Mail als HTML senden bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Antwort auf Unterhaltung senden

Mit der Aktion Thread-Antwort senden können Sie eine Nachricht als Antwort auf die E‑Mail-Konversation senden.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Send Thread Reply (Antwort auf Thread senden) sind die folgenden Parameter erforderlich:

Aktionsausgabe

Die Aktion Antwort auf Thread senden bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Send Thread Reply kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Antwort auf Thread senden verwendet wird:

E‑Mail mit Abstimmung senden

Mit der Aktion Send Vote Mail (E‑Mail mit Abstimmung senden) können Sie E‑Mails mit vorkonfigurierten Antwortoptionen an Nutzer senden, die keinen Zugriff auf die Google SecOps-Benutzeroberfläche haben.

Diese Aktion unterstützt die Abstimmungsfunktion nur, wenn die Empfänger Exchange verwenden, um die Abstimmungsoptionen richtig anzuzeigen und auszuwählen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Send Vote Mail sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Send Vote Mail (E-Mail mit Abstimmungslink senden) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Send Vote Mail (E-Mail zur Stimmabgabe senden) empfangen wird:

{

…

"message_id": "example@example.com>",

"email_date": "1583916838"

...

}

Ausgabemeldungen

Die Aktion Send Vote Mail kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Send Vote Mail verwendet wird:

Auf E-Mail vom Nutzer warten

Mit der Aktion Auf E-Mail vom Nutzer warten wird auf die Nutzerantwort auf eine E-Mail gewartet, die mit der Aktion E-Mail senden gesendet wurde.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Auf E-Mail vom Nutzer warten sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Auf E-Mail vom Nutzer warten bietet die folgenden Ausgaben:

Anhang im Fall-Repository

Die Aktion Auf E-Mail vom Nutzer warten gibt den folgenden Anhang in einer Fallwand in Google SecOps zurück:

Der Anhangstyp Entity wird dem Empfänger zugeordnet, der auf die message_id geantwortet hat, für die der Google SecOps-Server die Antworten verfolgt.

JSON-Ergebnis

Als JSON-Ergebnis gibt die Aktion eine Kombination der beiden folgenden Ausgaben zurück:

1. Eine JSON-Ausgabe des E-Mail-Objekts für die E-Mail mit einer nachverfolgten Antwort.

   Die Aktion verfolgt die E-Mail-Antwort mit message_id.

2. Eine JSON-Ausgabe für den Prozess der Nachverfolgung von Antworten von Nutzern.

Die Methode zum Zusammenführen der Ausgabedaten wird in der Implementierungsphase definiert.

Der Ablauf für die JSON-Ausgabe des E-Mail-Objekts ist wie folgt:

1. Die Aktion wartet auf mindestens eine Nutzerantwort, bevor sie fortgesetzt wird.

2. Nachdem die Antwort des ersten Nutzers eingegangen ist, wird das JSON-Ergebnis aktualisiert und es geht mit den Aktionsergebnissen weiter.

   {
   "Responses":
   {[
       "user1@example.com": "Approved",
       "user2@example.com": "",
       "user3@example.com": ""
   ]}
   }
   

Der Ablauf für die Ausgabe des Tracking-Antwortprozesses sieht so aus:

1. Die Aktion wartet auf alle Nutzerantworten, bevor sie fortgesetzt wird.

2. Nachdem Antworten von Nutzern eingegangen sind oder das Zeitlimit erreicht wurde, wird das JSON-Ergebnis durch die Aktion aktualisiert.

   Wenn die Aktion in diesem Fall auf Antworten von allen Empfängern wartet und das Zeitlimit erreicht wird, während auf Nutzerantworten gewartet wird, gibt die Aktion den Fehler handled_timeout zurück.

   {
   "Responses":
   {[
       "user1@example.com": "Approved",
       "user2@example.com": "Approved",
       "user3@example.com": "Timeout"
   ]}
   }
   

Ausgabemeldungen

Die Aktion Auf E-Mail vom Nutzer warten kann die folgenden Ausgabenachrichten zurückgeben:

Auf Ergebnisse der Briefwahl warten

Mit der Aktion Auf Ergebnisse der Abstimmungs-E‑Mail warten können Sie auf die Antworten einer Abstimmungs-E‑Mail warten und sie abrufen, die mit der Aktion Abstimmungs-E‑Mail senden gesendet wurde. Mit der Aktion Auf Ergebnisse der E-Mail-Abstimmung warten werden die abgerufenen Antworten an Google SecOps weitergeleitet.

Damit die Abstimmungsergebnisse richtig erfasst und abgerufen werden können, müssen Sie die E‑Mail zur Abstimmung im Blick behalten. Weitere Informationen finden Sie in der Aktion Send Vote Mail.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Wait for Vote Mail Results (Auf Ergebnisse der Briefwahl warten) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Wait for Vote Mail Results (Auf Ergebnisse der Briefwahl warten) gibt die folgenden Ausgaben zurück:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Wait for Vote Mail Results (Auf Ergebnisse der Briefwahl warten) empfangen wird:

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}

Ausgabemeldungen

Die Aktion Wait for Vote Mail Results kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Wait for Vote Mail Results verwendet wird:

Funktion zum Blockieren von Absendern und Domains

Einer der häufigsten Anwendungsfälle für die E‑Mail-Verwaltung und ‑Sicherheit besteht darin, bestehende Bedrohungen wie Phishing-E‑Mails, die sich bereits im Posteingang der Organisation befinden, einzudämmen und dann einen verdächtigen Absender oder eine Domain zu blockieren, um Ihre Organisation vor zukünftigen Angriffen zu schützen und mögliche Sicherheitslücken zu schließen.

In Google SecOps bietet die Exchange-Integration die Funktion Absender und Domain blockieren, die aus den folgenden sequenziellen Phasen besteht:

1. Schutz innerhalb der Organisation.

   Verwenden Sie die Aktion Absender anhand der Nachrichten-ID blockieren, um den Absender mithilfe des EWS-Dienstes Als Junk markieren der Blockierliste hinzuzufügen.

2. Schutz außerhalb der Organisation mit Posteingangsregeln.

   Erstellen Sie Posteingangsregeln, um sie auf Clientebene hinzuzufügen und automatisch zu verhindern, dass schädliche E‑Mails die Postfächer Ihrer Organisation erreichen.

3. Schutz außerhalb der Organisation mit Server-Posteingangsregeln

   Erstellen Sie Server-Posteingangsregeln, um zu verhindern, dass verdächtige E‑Mails überhaupt in der Organisation ankommen.

Weitere Informationen zu diesen Phasen finden Sie im folgenden Abschnitt.

Anwendungsfall

Das folgende Beispiel zeigt einen Sicherheitsverstoß in Form einer verdächtigen und potenziell schädlichen E‑Mail.

Wenn Sie feststellen, dass durch eine verdächtige und schädliche E‑Mail mehrere Postfächer Ihrer Organisation kompromittiert wurden, gehen Sie so vor:

1. Beheben Sie die Bedrohung mit der Aktion Absender anhand der Nachrichten-ID blockieren.
2. Umgang mit manipulierten Posteingängen
3. Fügen Sie auch in anderen Postfächern einen Schutz vor der verdächtigen E‑Mail hinzu.

Bedrohung beheben

Um die Bedrohung zu beheben, führen Sie die Aktion Absender anhand der Nachrichten-ID blockieren aus, um die Parameter für die Untersuchung und weitere Informationen zur verdächtigen E‑Mail zu erhalten. Mit der Aktion können Sie auch nur die kompromittierten Postfächer untersuchen und die darin enthaltene Bedrohung beheben.

Die Aktion Absender anhand der Nachrichten-ID blockieren löst den Exchange EWS-Dienst Als Junk markieren aus, um Folgendes auszuführen:

1. Verschieben Sie die verdächtige E‑Mail in den Ordner Junk.
2. Fügen Sie den E‑Mail-Absender der Liste blockierter Absender des untersuchten Postfachs hinzu.

Weitere Informationen zur Verwendung des Dienstes Als Junk markieren finden Sie in der Microsoft-Produktdokumentation unter E-Mail-Adressen mithilfe von EWS in Exchange der Liste blockierter Absender hinzufügen und daraus entfernen.

Einerseits kann die Behebung einer Bedrohung mit der Aktion Absender nach Nachrichten-ID blockieren automatisch erfolgen und betrifft nur gehackte Postfächer. Andererseits kann mit der Aktion weder ein Absender in den nicht kompromittierten Postfächern blockiert noch können Domains über die API der Liste blockierter Absender hinzugefügt werden.

Umgang mit manipulierten Posteingängen

Nachdem Sie eine Bedrohung behoben haben, müssen Sie als Nächstes kompromittierte Postfächer verwalten und alle Postfächer in der Organisation vor schädlichen Absendern schützen, auch vor potenziellen.

Führen Sie zum Beheben von kompromittierten Postfächern die Aktionsgruppe für Posteingangsregeln aus, die aus den folgenden Aktionen besteht:

1. Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen
2. Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen
3. Exchange-Siemplify-Posteingangsregeln löschen
4. Exchange-Siemplify-Posteingangsregeln auflisten
5. Domains aus Exchange-Siemplify-Posteingangsregeln entfernen
6. Absender aus Exchange-Siemplify-Posteingangsregeln entfernen

Weitere Informationen zum in den Aktionen verwendeten Dienst finden Sie in der Microsoft-Produktdokumentation unter Manage inbox rules in Exchange (Posteingangsregeln in Exchange verwalten).

Mit der Exchange-Integration können Sie eine Reihe der folgenden vordefinierten Regeln für die häufigsten Vorgänge verwenden:

• Siemplify – Senders List – Move To Junk
• Siemplify – Senders List – Delete
• Siemplify – Senders List – Permanently Delete
• Siemplify – Domains List – Move To Junk
• Siemplify – Domains List – Delete
• Siemplify – Domains List – Permanently Delete

Schädliche Absender-E-Mails endgültig löschen

Wenn Sie in allen Postfächern dieselbe Liste von Regeln verwenden möchten, fügen Sie die Regeln für den Administratornutzer hinzu. Wenn Sie die Administratorregeln auf andere Nutzer anwenden möchten, führen Sie den Vorgang für alle Postfächer aus.

So löschen Sie die E-Mails des schädlichen Absenders endgültig:

1. Führen Sie in Google SecOps über das Administratorkonto die Aktion Add Senders to Exchange-Siemplify Inbox Rule (Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen) aus. Geben Sie die E-Mail-Adresse des schädlichen Absenders ein.

2. Wählen Sie die entsprechende Regel aus der Liste aus, um festzulegen, wie mit einer verdächtigen E‑Mail verfahren werden soll. Wenn Sie schädliche E‑Mails endgültig löschen möchten, wählen Sie die Regel Siemplify – Senders List – Permanently Delete aus.

   Durch die Aktion wird die Posteingangsregel mit dem neuen schädlichen Absender aktualisiert.

3. Wählen Sie den Parameter Perform action in all mailboxes aus, um die Regel auf alle Postfächer anzuwenden.

   Wenn die Regel in einem Postfach nicht vorhanden ist, wird sie durch die Aktion erstellt. Wenn die Regel bereits in einem Postfach vorhanden ist, wird sie durch die Aktion mit den neuen Parameterwerten aktualisiert.

4. Wenn Sie in anderen Postfächern Schutz vor der empfangenen verdächtigen E‑Mail hinzufügen und die schädliche Absenderdomain blockieren möchten, wählen Sie den Parameter Should add senders' domain to the corresponding Domains List rule as well? aus.

5. Prüfen Sie die anderen Parameter in der Aktion und passen Sie sie bei Bedarf an.

Mit der Aktion Add Senders to Exchange-Siemplify Inbox Rule (Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen) werden mehrere Regeln gleichzeitig gemäß dem Parameter Mailboxes to process in one batch aktualisiert. Die Aktion Add Senders to Exchange-Siemplify Inbox Rule (Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen) funktioniert sowohl für Absender als auch für Domains, gilt für alle Postfächer, unabhängig davon, ob eine verdächtige E‑Mail empfangen wurde, und kann automatisch ausgeführt werden.

Der Endnutzer kann die angewendeten Regeln für sein Postfach löschen. Wenn Sie Administratorregeln auf andere Postfächer anwenden, werden deaktivierte private Postfachregeln automatisch entfernt.

Die Aktionen „Absender blockieren“ und „Domain blockieren“

Bevor Sie die Aktionen für die Funktionen „Absender blockieren“ und „Domain blockieren“ ausführen, müssen Sie die erforderlichen Mindestberechtigungen konfigurieren.

Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen

Verwenden Sie die Aktion Add Domains to Exchange-Siemplify Inbox Rules (Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen), um eine Liste von Domains als Parameter abzurufen, oder verwenden Sie die Google SecOps-Entität Domain (Domain), wenn die Parameter leer sind. Diese Aktion ist nur für Google SecOps Version 5.6 und höher verfügbar.

Konfigurieren Sie vor dem Ausführen dieser Aktion die erforderlichen Aktionsberechtigungen.

Sie können eine Regel erstellen oder aktualisieren, indem Sie die Domains aus Ihren Postfächern filtern. Sie können diese Aktion mit dem Parameter Rule to add Domains to ändern.

Mit der Aktion Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen werden die aktuellen Posteingangsregeln Ihrer Nutzer mit EWS geändert.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Wenn Sie keine Parameter festlegen und Ihre Google SecOps-Version 5.6 oder höher ist, wird diese Aktion für die Entität Domain ausgeführt.

Aktionseingaben

Für die Aktion Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Add Domains to Exchange-Siemplify Inbox Rules (Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Domains to Exchange-Siemplify Inbox Rules (Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Domains to Exchange-Siemplify Inbox Rules (Domains zu Exchange-Siemplify-Posteingangsregeln hinzufügen) verwendet wird:

Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen

Verwenden Sie die Aktion Add Senders to Exchange-Siemplify Inbox Rule (Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen), um eine Liste von E-Mail-Adressen zu erhalten, oder verwenden Sie die Google SecOps-Entität User (Nutzer), wenn die Parameter leer sind. Für diese Aktion können Sie reguläre Ausdrücke verwenden.

Sie können eine neue Regel erstellen, indem Sie die Absender aus Ihren Postfächern filtern. Sie können diese Aktion mit dem Parameter Rule to add senders to ändern.

Bevor Sie diese Aktion ausführen, müssen Sie die erforderlichen Aktionsberechtigungen konfigurieren.

Mit der Aktion Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen werden die aktuellen Posteingangsregeln Ihrer Nutzer mit EWS geändert.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Wenn der reguläre Ausdruck für die E-Mail-Adresse gültig ist und Sie keine Parameter konfigurieren, wird diese Aktion für die Nutzer-Einheit ausgeführt.

Aktionseingaben

Für die Aktion Add Senders to Exchange-Siemplify Inbox Rule (Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Senders to Exchange-Siemplify Inbox Rule (Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Senders to Exchange-Siemplify Inbox Rule (Absender zur Exchange-Siemplify-Posteingangsregel hinzufügen) verwendet wird:

Absender anhand der Nachrichten-ID blockieren

Verwenden Sie die Aktion Absender anhand der Nachrichten-ID blockieren, um eine Liste von Nachrichten-IDs als Parameter abzurufen und die Liste als Junk zu markieren.

Wenn Sie ein Element in dieser Aktion als Junk markieren, wird die E‑Mail-Absenderadresse der Liste blockierter Absender hinzugefügt und das Element in den Junk-Ordner verschoben.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Die Aktion Absender anhand der Nachrichten-ID blockieren wird nur in Exchange Server Version 2013 und höher unterstützt. Wenn Sie eine frühere Version verwenden, schlägt die Aktion mit der entsprechenden Meldung fehl.

Bevor Sie die E-Mail-Adresse der Liste blockierter Absender hinzufügen oder daraus entfernen, muss eine Nachricht von der verdächtigen E-Mail-Adresse im Postfach des Nutzers vorhanden sein.

Die Aktion Absender nach Nachrichten-ID blockieren wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Absender anhand der Nachrichten-ID blockieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Absender anhand der Nachrichten-ID blockieren bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Block Sender by Message ID (Absender anhand der Nachrichten-ID blockieren) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Absender anhand der Nachrichten-ID blockieren verwendet wird:

Exchange-Siemplify-Posteingangsregeln löschen

Mit der Aktion Exchange-Siemplify-Posteingangsregeln löschen können Sie einen Regelnamen als Parameter abrufen und ihn aus allen angegebenen Postfächern löschen.

Konfigurieren Sie vor dem Ausführen dieser Aktion die erforderlichen Aktionsberechtigungen.

Mit der Aktion Exchange-Siemplify-Posteingangsregeln löschen werden die aktuellen Posteingangsregeln Ihrer Nutzer mit EWS geändert.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Delete Exchange-Siemplify Inbox Rules (Exchange-Siemplify-Posteingangsregeln löschen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Delete Exchange-Siemplify Inbox Rules (Exchange-Siemplify-Posteingangsregeln löschen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Delete Exchange-Siemplify Inbox Rules (Exchange-Siemplify-Posteingangsregeln löschen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Delete Exchange-Siemplify Inbox Rules (Exchange-Siemplify-Posteingangsregeln löschen) verwendet wird:

Exchange-Siemplify-Posteingangsregeln auflisten

Verwenden Sie die Aktion Exchange-Siemplify Inbox Rules auflisten, um einen Regelnamen aus den Exchange-Siemplify Inbox-Regeln als Parameter abzurufen und aufzulisten. Wenn keine Postfächer aufgeführt werden müssen, werden die Regeln für den angemeldeten Nutzer aufgeführt.

Konfigurieren Sie vor dem Ausführen dieser Aktion die erforderlichen Aktionsberechtigungen.

Mit der Aktion List Exchange-Siemplify Inbox Rules werden die aktuellen Posteingangsregeln Ihrer Nutzer mit EWS geändert.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion List Exchange-Siemplify Inbox Rules sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion List Exchange-Siemplify Inbox Rules (Exchange-Siemplify-Posteingangsregeln auflisten) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Exchange-Siemplify Inbox Rules (Exchange-Siemplify-Posteingangsregeln auflisten) empfangen wird:

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}

Ausgabemeldungen

Die Aktion List Exchange-Siemplify Inbox Rules kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Exchange-Siemplify Inbox Rules verwendet wird:

Domains aus Exchange-Siemplify-Posteingangsregeln entfernen

Verwenden Sie Remove Domains from Exchange-Siemplify Inbox Rules, um eine Liste von Domains als Parameter zu erhalten, oder arbeiten Sie mit der Domain-Entität, wenn die Parameter nicht angegeben sind. Diese Aktion ist nur für Google SecOps-Version 5.6 und höher verfügbar. Sie können die angegebenen Domains aus den vorhandenen Regeln entfernen.

Konfigurieren Sie vor dem Ausführen dieser Aktion die erforderlichen Aktionsberechtigungen.

Mit der Aktion Remove Domains from Exchange-Siemplify Inbox Rules (Domains aus Exchange-Siemplify-Posteingangsregeln entfernen) werden die aktuellen Posteingangsregeln Ihrer Nutzer mit EWS geändert.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Wenn Sie keine Parameter konfigurieren, wird diese Aktion für die Google SecOps-Einheit Domain ausgeführt.

Aktionseingaben

Für die Aktion Remove Domains from Exchange-Siemplify Inbox Rules (Domains aus Exchange-Siemplify-Posteingangsregeln entfernen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Remove Domains from Exchange-Siemplify Inbox Rules (Domains aus Exchange-Siemplify-Posteingangsregeln entfernen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Remove Domains from Exchange-Siemplify Inbox Rules (Domains aus Exchange-Siemplify-Posteingangsregeln entfernen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Remove Domains from Exchange-Siemplify Inbox Rules (Domains aus Exchange-Siemplify-Posteingangsregeln entfernen) verwendet wird:

Absender aus Exchange-Siemplify-Posteingangsregeln entfernen

Verwenden Sie Remove Senders from Exchange-Siemplify Inbox Rules, um eine Liste von E‑Mail-Absendern als Parameter abzurufen, oder arbeiten Sie mit der User-Entität, wenn die Parameter nicht angegeben sind.

Sie können die angegebenen Absender aus den vorhandenen Regeln entfernen.

Konfigurieren Sie vor dem Ausführen dieser Aktion die erforderlichen Aktionsberechtigungen.

Mit der Aktion Absender aus Exchange-Siemplify-Posteingangsregeln entfernen werden die aktuellen Posteingangsregeln Ihrer Nutzer mit EWS geändert.

Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Wenn keine Parameter angegeben werden, wird diese Aktion für die Google SecOps-Entität User (Nutzer) ausgeführt.

Aktionseingaben

Für die Aktion Remove Senders from Exchange-Siemplify Inbox Rules sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Remove Senders from Exchange-Siemplify Inbox Rules (Absender aus Exchange-Siemplify-Posteingangsregeln entfernen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Remove Senders from Exchange-Siemplify Inbox Rules (Absender aus Exchange-Siemplify-Posteingangsregeln entfernen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Remove Senders from Exchange-Siemplify Inbox Rules (Absender aus Exchange-Siemplify-Posteingangsregeln entfernen) verwendet wird:

Blockierung des Absenders anhand der Nachrichten-ID aufheben

Mit der Aktion Absender anhand der Nachrichten-ID entsperren können Sie eine Liste von Nachrichten-IDs als Parameter abrufen und die Nachrichten als „kein Junk“ markieren.

Wenn Sie ein Element als „Kein Junk“ markieren, wird die E‑Mail-Adresse des Absenders aus der Liste blockierter Absender entfernt. Wenn Sie ein Element wieder in den Posteingang verschieben möchten, wählen Sie in den Aktionsparametern den Parameter Move items back to Inbox? aus.

Die Funktion Absender anhand der Nachrichten-ID entsperren wird asynchron ausgeführt. Passen Sie den Zeitlimitwert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.

Diese Aktion wird nur für Exchange Server 2013 und höher unterstützt. Wenn Sie eine frühere Version verwenden, schlägt die Aktion mit der entsprechenden Meldung fehl.

Bevor Sie die E-Mail-Adresse der Liste blockierter Absender hinzufügen oder daraus entfernen, muss eine Nachricht von der verdächtigen E-Mail-Adresse in der Mailbox des Nutzers vorhanden sein.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Absender anhand der Nachrichten-ID entsperren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Absender anhand der Nachrichten-ID entsperren liefert die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Absender anhand der Nachrichten-ID entsperren kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Absender anhand der Nachrichten-ID entsperren verwendet wird:

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Achten Sie beim Konfigurieren von Connectors und Aktionen auf Leerzeichen und Sonderzeichen in Ihren Anmeldedaten. Wenn die Integration Ihre Anmeldedaten ablehnt, prüfen Sie die Rechtschreibung.

Verwenden Sie die in den folgenden Tabellen aufgeführten connectorspezifischen Parameter, um den ausgewählten Connector zu konfigurieren:

• Konfigurationsparameter für Exchange EML Connector
• Konfigurationsparameter für Exchange Mail Connector
• Konfigurationsparameter für Exchange Mail Connector V2
• Konfigurationsparameter für Exchange Mail Connector v2 mit OAuth-Authentifizierung

Exchange EML Connector

Der Exchange EML Connector ruft E‑Mails vom Exchange-Server ab und parst sie. Wenn EML-Dateien angehängt sind, werden sie vom Connector als Ereignisse an den Fall angehängt. Wenn die E-Mail mehrere EML-Anhänge enthält, erstellt der Connector mehrere Anfragen und nimmt jeden Anhang als ein Ereignis für jede Anfrage auf.

Bekannte Einschränkungen

1. Microsoft 365 und Basisauthentifizierung.

   • Der Exchange EML Connector unterstützt die Basisauthentifizierung nicht mehr und kann nicht mit Microsoft 365 verwendet werden. Verwenden Sie für Microsoft 365 den Exchange Mail Connector v2 mit OAuth.

2. Für den Exchange EML Connector gelten folgende Besonderheiten:

   • Der Connector erstellt Google SecOps-Benachrichtigungen nur aus E-Mails, die EML- oder MSG-Dateianhänge enthalten.

   • Der Connector ignoriert E‑Mails ohne Anhänge.

Connector-Eingaben

Für den Exchange EML Connector sind die folgenden Parameter erforderlich:

Connector-Regeln

• Der Exchange EML Connector unterstützt keine Regeln für Sperrlisten und dynamische Listen.

• Der Exchange EML Connector unterstützt Proxys.

Exchange Mail Connector

Mit dem Exchange Mail Connector können Sie mit dem Exchange-Server kommunizieren, E-Mails nahezu in Echtzeit suchen und sie zum Übersetzen und Kontextualisieren als Benachrichtigungen in Google SecOps-Vorgängen weiterleiten.

In diesem Abschnitt wird die Kommunikation mit einem Microsoft Exchange 2007–2019-Server oder Microsoft 365 über Exchange Web Services (EWS) beschrieben. Außerdem wird erläutert, wie Google SecOps mit der Exchange Mail-Schnittstelle und den unterstützten Workflows und Aktivitäten in der Anwendung interagiert.

Mit dem Exchange Mail Connector können E‑Mails vom konfigurierten Exchange-Server abgerufen werden. Jeder Server wird gescannt und es werden neue Fälle erstellt. Jedes Szenario enthält mindestens ein erstes E-Mail-Vorkommen. Der Hauptunterschied besteht darin, dass mit dem Exchange Mail-Connector E-Mails entfernt und Ereignisse generiert werden, mit denen die EML- oder MSG-Daten in den ursprünglichen E-Mails des Exchange-Servers geparst werden.

Bekannte Einschränkungen

1. Microsoft 365 und Basisauthentifizierung.

   • Der Exchange Mail Connector unterstützt die Basisauthentifizierung nicht mehr und kann nicht mit Microsoft 365 verwendet werden. Verwenden Sie für Microsoft 365 den Exchange Mail Connector v2 mit OAuth.

2. Für den Exchange Mail Connector gelten folgende Besonderheiten:

   • Der Connector erstellt Google SecOps-Benachrichtigungen nur aus ursprünglich empfangenen E‑Mails, die im Postfach enthalten sind.

   • Der Connector ignoriert angehängte EML- und MSG-Dateien.

Connector-Eingaben

Für den Exchange Mail Connector sind die folgenden Parameter erforderlich:

Regeln für dynamische Listen konfigurieren

Wenn Sie im Abschnitt „Dynamische Liste“ bestimmte Werte aus E‑Mails mit regulären Ausdrücken extrahieren möchten, fügen Sie eine Regel im folgenden Format hinzu:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Wenn Sie beispielsweise die Nachrichten-ID aus einer E-Mail extrahieren möchten, geben Sie die folgende Regel ein:

message-id: (?<=Message-ID: ).*

Connector-Regeln

• Der Exchange Mail Connector unterstützt Proxys.

• Der Exchange Mail Connector unterstützt die Blockierungslistenregel nicht.

• Bei der Exchange-Integration wird der Abschnitt „Dynamische Liste“ verwendet, um reguläre Ausdrücke zu definieren und Folgendes zu ermöglichen:

  • E-Mail-Inhalte parsen.
  • Fügen Sie bestimmte Felder basierend auf dem regulären Ausdruck hinzu, der mit dem E-Mail-Ereignis übereinstimmt.

Exchange Mail Connector V2

Verwenden Sie den Exchange Mail Connector v2, um eine Verbindung zum E-Mail-Server herzustellen und in einem bestimmten Postfach nach neuen E-Mails zu suchen.

Wenn eine neue E-Mail eingeht, wird durch den Connector in Google SecOps eine neue Benachrichtigung erstellt und aufgenommen, die Informationen aus der neuen E-Mail enthält.

Wenn keine neuen E‑Mails vorhanden sind, wird die aktuelle Iteration von Exchange Mail Connector v2 abgeschlossen und der Connector wartet für einen bestimmten Zeitraum, bevor die nächste Iteration ausgeführt wird.

Ablauf der Connector-Iteration

Nach jeder Ausführung aktualisiert der Exchange Mail Connector v2 die Zeitstempeldatei mit dem Datum und der Uhrzeit der letzten Ausführung. Der Exchange Mail Connector v2 extrahiert umsetzbare Informationen für einen Fall aus der E‑Mail als technisches Ergebnis eines E‑Mail-Objekts, z. B.:

• E‑Mail-Absender und ‑Empfänger.
• E‑Mail-Betreff
• E-Mail-Text
• URLs in der E‑Mail.
• Eventuelle Anhänge.

Nachdem der Exchange Mail Connector v2 die Benachrichtigungen (Fälle) erstellt hat, die in Google SecOps aufgenommen werden sollen, ist die Connector-Iteration abgeschlossen.

Anhand der von Exchange Mail Connector v2 bereitgestellten Falldaten führt der Google SecOps-Server ETL-Prozesse aus, um neue Benachrichtigungen aufzunehmen und Fälle zu erstellen oder zu aktualisieren. Wenn zugehörige Playbooks definiert sind, führt Google SecOps Playbooks aus, um den Fall anzureichern, Statistiken zu generieren und automatische Aktionen auszuführen.

Mit der Vorlage für den Warnungsnamen und der Vorlage für den Fallnamen arbeiten

Mit den Parametern Alert Name Template und Case Name Template können Sie die Art und Weise überschreiben, wie Benachrichtigungs- und Fallnamen erstellt werden. Nur die erste Benachrichtigung legt den Namen des Falls oder der Benachrichtigung fest. Alle nachfolgenden Benachrichtigungen haben keinen Einfluss auf den Namen.

Beispiel für ein Google SecOps-Ereignis:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Wenn Sie einen benutzerdefinierten Namen für eine Google SecOps-Benachrichtigung erstellen möchten, verwenden Sie die folgende Vorlage:

[EVENT_TYPE] - [EVENT_NAME]

Wenn Sie beispielsweise eine Google SecOps-Benachrichtigung mit dem Namen Phishing – Beispielereignis erstellen möchten, sieht die Vorlage so aus:

[Phishing] - [Example Event]

Connector-Eingaben

In Exchange Mail Connector v2 können die folgenden Parameter die E-Mail-Verarbeitung beeinflussen:

• Original Received Mail Prefix
• Attached Mail File Prefixes
• Create a Separate Siemplify Alert per Attached Mail File?

Um die Felder to und from der verarbeiteten E‑Mails zuzuordnen, erstellt der Connector die folgenden Feldgruppen:

1. Reguläre to- und from-Felder, die E-Mail-Adressen im folgenden Format enthalten: email@example.

2. Die Felder to_raw und from_raw, die nur eine E-Mail-Adresse als Wert im folgenden Format enthalten: email@example.

Für den Exchange Mail Connector v2 sind die folgenden Parameter erforderlich:

Connector-Regeln

• Der Exchange Mail Connector v2 unterstützt Proxys.

• Der Exchange Mail Connector v2 unterstützt die Blockierungslistenregel nicht.

• Bei der Exchange-Integration wird der Abschnitt „Dynamische Liste“ verwendet, um reguläre Ausdrücke zu definieren, die Folgendes ermöglichen:

  • E-Mail-Inhalte parsen.
  • Fügen Sie dem E-Mail-Ereignis bestimmte Felder basierend auf den Übereinstimmungen mit dem regulären Ausdruck hinzu.

Exchange Mail Connector v2 mit OAuth-Authentifizierung

Verwenden Sie den Exchange Mail Connector v2 mit OAuth, um bestimmte Postfächer auf Microsoft 365-Mailservern zu überwachen, für die eine OAuth-Authentifizierung erforderlich ist. Mit den Aktionen Get Authorization (Autorisierung abrufen) und Generate Token (Token generieren) können Sie das für die Connector-Konfiguration erforderliche Aktualisierungstoken abrufen.

Wenn Sie den Exchange Mail Connector v2 mit OAuth verwenden möchten, müssen Sie die Integration so konfigurieren, dass die OAuth-Authentifizierung unterstützt wird.

Mit der Vorlage für den Warnungsnamen und der Vorlage für den Fallnamen arbeiten

Mit den Parametern Alert Name Template und Case Name Template können Sie die Art und Weise überschreiben, wie der Name der Benachrichtigung und des Falls erstellt wird.

Beispiel für ein Google SecOps-Ereignis:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Wenn Sie einen benutzerdefinierten Namen für eine Google SecOps-Benachrichtigung erstellen möchten, verwenden Sie die folgende Vorlage:

[EVENT_TYPE] - [EVENT_NAME]

Wenn Sie beispielsweise eine Google SecOps-Benachrichtigung mit dem Namen Phishing – Beispielereignis erstellen möchten, sieht die Vorlage so aus:

[Phishing] - [Example Event]

Connector-Eingaben

Im Exchange Mail Connector v2 mit OAuth können die folgenden Parameter die E-Mail-Verarbeitung beeinflussen:

• Original Received Mail Prefix
• Attached Mail File Prefixes
• Create a Separate Siemplify Alert per Attached Mail File?

Um die Felder to und from der verarbeiteten E‑Mails zuzuordnen, erstellt der Connector zwei folgende Gruppen von Feldern:

1. Reguläre to- und from-Felder, die E-Mail-Adressen enthalten, z. B. email@example.

2. Die Felder to_raw und from_raw, die nur eine E-Mail-Adresse als Wert enthalten, z. B. email@example.

Für den Exchange Mail Connector v2 mit OAuth sind die folgenden Parameter erforderlich:

Jobs

Prüfen Sie vor dem Konfigurieren von Jobs für die Exchange-Integration, ob Ihre Google SecOps-Plattformversion sie unterstützt.

Job zum Erneuern von Aktualisierungstokens

Ziel des Refresh Token Renewal Job (Job zur Erneuerung des Aktualisierungstokens) ist es, das in der Integration verwendete Aktualisierungstoken regelmäßig zu aktualisieren.

Standardmäßig läuft das Aktualisierungstoken alle 90 Tage ab. Es wird empfohlen, diesen Job alle 7 oder 14 Tage auszuführen, damit das Aktualisierungstoken immer auf dem neuesten Stand ist.

Job-Eingaben

Für den Refresh Token Renewal Job sind die folgenden Parameter erforderlich:

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten