Exchange

Versión de integración: 102.0

En este documento se explica cómo integrar Exchange con Google Security Operations SOAR.

Esta integración usa uno o varios componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el segmento de Cloud Storage.

Configurar Exchange Online

Los requisitos previos y los pasos de configuración varían en función de si configuras la integración para Exchange Online o Exchange Server.

  • Para configurar Exchange Online, ve a la siguiente sección.

  • Para configurar Exchange Server, consulta Configurar Exchange Server.

La integración de Exchange Online solo admite la autenticación delegada de OAuth con tokens delegados, lo que requiere una configuración adicional.

Los cambios realizados en los permisos del entorno de Azure pueden tardar hasta 24 horas en aplicarse.

Antes de empezar

Antes de configurar la integración de Exchange Online, debes elegir un método de autenticación y completar todos los pasos de configuración. Elige uno de los siguientes métodos:

Asignar permisos para suplantar la identidad de un usuario

Con este método, debe crear una aplicación en Microsoft Entra ID y asignarle permisos para suplantar la identidad de un solo usuario.

Crear una aplicación de Microsoft Entra

Para empezar a configurar la suplantación de identidad, debes registrar una aplicación en Microsoft Entra ID.

  1. Inicia sesión en Microsoft Azure y ve a Microsoft Entra ID > Registros de aplicaciones > Nuevo registro.
  2. Introduce un nombre para la aplicación y selecciona un tipo de cuenta admitido.
  3. En URI de redirección, proporciona los siguientes valores:
    1. Plataforma: Web
    2. URL de redirección: http://localhost
  4. Haz clic en Registrarse.
  5. Guarda los valores de ID de aplicación (cliente) e ID de directorio (cliente).

Configurar permisos de API

Debes conceder a tu aplicación los permisos necesarios para acceder a los datos de los usuarios.

  1. Ve a Permisos de API > Añadir un permiso.
  2. Selecciona Microsoft Graph > Permisos delegados.
  3. En la sección Seleccionar permisos, selecciona EWS y, a continuación, el permiso Ews.AccessAsUser.All.
  4. Haz clic en Añadir permiso > Conceder consentimiento de administrador.

Crear un secreto de cliente

Debes crear un secreto de cliente para usarlo como contraseña de tu aplicación.

  1. Ve a Certificados y secretos > Nuevo secreto de cliente.
  2. Escribe una descripción, define una fecha de vencimiento y haz clic en Añadir.
  3. Guarda el valor del secreto.

Asigna permisos en Exchange Online:

Para completar la configuración, debes asignar el rol ApplicationImpersonation al usuario cuya identidad quieras suplantar.

  1. En el centro de administración de Exchange, vaya a Roles > Roles de administrador y busque el grupo de roles que contenga el rol ApplicationImpersonation (como Gestión de descubrimiento).
  2. Añade el usuario al que estás suplantando a ese grupo de roles.

Acceso delegado

Este método requiere que concedas permisos directos a la cuenta de servicio para un buzón mediante Exchange Online PowerShell.

  1. Conéctate a Exchange Online PowerShell.

  2. Usa el cmdlet Add-MailboxPermission para asignar permisos.

    Por ejemplo, para conceder a la cuenta de servicio acceso completo a un buzón específico, sigue estos pasos:

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    Para obtener más información, consulta el artículo Control de acceso basado en roles para aplicaciones en Exchange Online.

Integrar Exchange Online con Google SecOps

Para obtener instrucciones sobre cómo instalar y configurar la integración en Google SecOps, consulta Configurar integraciones.

Para integrar Exchange Online con la plataforma Google SecOps, debes completar los siguientes pasos en Google SecOps:

  1. Configure los parámetros iniciales y guárdelos.

  2. Genera un token de actualización:

    • Simula un caso en Google SecOps.

    • Ejecuta la acción Get Authorization (Obtener autorización).

    • Ejecuta la acción Generar token.

  3. Introduce el token de actualización obtenido como valor del parámetro Refresh Token y guarda la configuración.

Configurar los parámetros iniciales

La integración de Exchange Online requiere los siguientes parámetros iniciales:

Parámetro Descripción
Mail Server Address Obligatorio

Dirección de un servidor de correo (nombre de host o dirección IP) al que conectarse.
Mail address Obligatorio

Una dirección de correo que se usará en la integración para trabajar con los correos enviados y recibidos en el buzón.
Client ID Obligatorio

ID de aplicación (cliente) de la aplicación de Microsoft Entra que se usa para la integración.

Es el valor del ID de aplicación (cliente) que guardaste al crear la aplicación de Microsoft Entra.
Client Secret Obligatorio

Valor del secreto de cliente de la aplicación Microsoft Entra que se usa en la integración.

Es el valor del secreto de cliente que guardaste al crear un secreto de cliente.
Tenant (Directory) ID Obligatorio

ID de directorio (cliente) de la aplicación de Microsoft Entra ID que se usa para la integración.

Se trata del valor del ID de directorio (inquilino) que guardaste al crear la aplicación de Microsoft Entra.
Redirect URL Obligatorio

Un URI de redirección configurado en la aplicación Microsoft Entra.

Mantén el valor predeterminado http://localhost.

Cuando haya configurado los parámetros, haga clic en Guardar.

Generar un token de actualización

Para generar un token de actualización, debes realizar acciones manuales en un caso. Si tu instancia de Google SecOps es nueva y no tiene casos, simula uno.

Simular un caso

Para simular un caso en Google SecOps, sigue estos pasos:

  1. En el panel de navegación de la izquierda, selecciona Casos.

  2. En la página Casos, haz clic en Añadir > Simular casos.

  3. Selecciona uno de los casos predeterminados y haz clic en Crear. No importa qué caso quieras simular.

  4. Haz clic en Simular.

    Si tienes un entorno que no es el predeterminado y quieres usarlo, selecciona el entorno correcto y haz clic en Simular.

  5. En la pestaña Casos, haz clic en Actualizar. El caso que has simulado aparece en la lista de casos.

Ejecuta la acción Get Authorization

Usa el caso de Google SecOps que has simulado para ejecutar manualmente la acción Get Authorization (Obtener autorización).

  1. En la pestaña Casos, selecciona el caso simulado para abrir la vista del caso.

  2. Haz clic en Acción manual.

  3. En el campo Buscar de la acción manual, introduce Exchange.

  4. En los resultados de la integración de Exchange, selecciona Obtener autorización. Esta acción devuelve un enlace de autorización que se usa para iniciar sesión de forma interactiva en la aplicación Microsoft Entra.

  5. Haz clic en la opción para ejecutar.

  6. Una vez que se haya ejecutado la acción, ve al panel de casos del caso simulado. En el registro de la acción Exchange_Get Authorization (Exchange_Obtener autorización), haz clic en Ver más. Copia el enlace de autorización.

  7. Abre una nueva ventana del navegador en modo Incógnito y pega la URL de autorización generada. Se abrirá la página de inicio de sesión de Azure.

  8. Inicia sesión con las credenciales de usuario que hayas seleccionado para la integración. Después de iniciar sesión, tu navegador te redirigirá a una dirección con un código en la barra de direcciones.

    Es normal que el navegador muestre un error, ya que la aplicación te redirige a http://localhost.

  9. Copia toda la URL con el código de acceso de la barra de direcciones.

Ejecutar la acción Generar token

Usa el caso de Google SecOps que has simulado para ejecutar manualmente la acción Generar token.

  1. En la pestaña Casos, selecciona el caso simulado para abrir la vista del caso.

  2. Haz clic en Acción manual.

  3. En el campo Buscar de la acción manual, introduce Exchange.

  4. En los resultados de la integración de Exchange, selecciona Generar token.

  5. En el campo Authorization URL, pega la URL completa con el código de acceso que has copiado después de ejecutar la acción Get Authentication (Obtener autenticación).

  6. Haz clic en la opción para ejecutar.

  7. Una vez que se haya ejecutado la acción, ve al panel de casos del caso simulado. En el registro de la acción Exchange_Generate Token, haz clic en Ver más.

  8. Copia el valor completo del token de actualización generado.

Configurar el parámetro de token de actualización

  1. Vaya al cuadro de diálogo de configuración de la integración de Exchange.

  2. En el campo Refresh Token (Token de actualización), introduce el valor del token de actualización que has obtenido al ejecutar la acción Generate Token (Generar token).

  3. Haz clic en Guardar.

  4. Haz clic en Probar para comprobar si la configuración es correcta y si la integración funciona como se espera.

Si es necesario, puedes hacer cambios más adelante. Una vez configuradas, las instancias se pueden usar en los playbooks. Para obtener información detallada sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Configurar Exchange Server

Antes de integrar Exchange Server con Google SecOps, configura la autenticación básica para Exchange Server.

Para autenticarte en el servidor de Exchange, usa un nombre de usuario y una contraseña.

Configurar la autenticación básica

Para configurar la autenticación básica, sigue estos pasos:

  1. Verifica que se pueda acceder al servidor Exchange (uno de los servidores del clúster) desde el servidor de Google SecOps y que cumpla los siguientes requisitos:

    • El nombre DNS del servidor Exchange se está resolviendo.

    • Se puede acceder a la dirección IP del servidor Exchange.

    • Los servicios web de Exchange (EWS) están habilitados y alojados en un puerto al que puede acceder el servidor de SecOps de Google.

    Si no se puede acceder al servidor de Exchange desde el servidor de Google SecOps SOAR, considera la posibilidad de usar un agente remoto de Google SecOps.

  2. Proporciona a la integración un nombre de usuario (cuenta de correo electrónico del usuario) y una contraseña. Elige el usuario de la integración.

  3. Para las acciones que usan permisos delegados o suplantados, sigue estos pasos:

    1. Concede acceso delegado o suplantado a los buzones necesarios a una cuenta de correo que uses en la integración.

      Te recomendamos que configures el acceso con permisos suplantados. Para obtener más información, consulta Suplantación de identidad y EWS en Exchange en la documentación de productos de Microsoft.

    2. Para acceder a otros buzones, asigna los siguientes roles de Exchange al usuario (buzón) configurado para la integración:

Integrar Exchange Server con Google SecOps

Para obtener instrucciones sobre cómo instalar y configurar la integración en Google SecOps, consulta Configurar integraciones.

Entradas de integración

La integración de Exchange Server requiere los siguientes parámetros:

Parámetro Descripción
Mail Server Address Obligatorio

Dirección de un servidor de correo (nombre de host o dirección IP) al que conectarse.
Mail address Obligatorio

Una dirección de correo utilizada en la integración para trabajar con los correos enviados y recibidos en el buzón.
Username Obligatorio

Nombre de usuario para autenticarse en el servidor de correo, como exchange_onprem_test@exlab.local.
Password Obligatorio

Una contraseña para autenticarse en el servidor de correo.

Acciones

Las acciones que se indican en esta sección se dividen en dos categorías:

  1. Las acciones de integración comunes de Exchange.

  2. Acciones específicas de la función Bloquear remitente y dominio de Exchange.

Permisos obligatorios

Para ver los permisos mínimos necesarios para ejecutar acciones comunes, consulta la siguiente tabla:

Acción Permisos obligatorios
Eliminar correo

ApplicationImpersonation

Mailbox Search
Descargar archivo adjunto

ApplicationImpersonation


Mailbox Search
Buscar correos

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

Para consultar los permisos mínimos necesarios para ejecutar acciones desde la funcionalidad Bloquear remitente y dominio, consulta la siguiente tabla:

Acción Permisos obligatorios
Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author
Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author
Eliminar reglas de bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author
List Exchange-Siemplify Inbox Rules EDiscovery Group
Author
Eliminar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author
Eliminar remitentes de las reglas de la bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author

Eliminar correo

Usa la acción Eliminar correo para eliminar uno o varios correos que coincidan con los criterios de búsqueda de un buzón.

Puedes eliminar el primer correo que coincida con los criterios de búsqueda o todos los correos que coincidan.

Para consultar los permisos necesarios para ejecutar esta acción, consulta la sección permisos de acción de este documento.

Si el usuario no tiene conexión, es posible que la acción no elimine el mensaje de su cliente de Outlook hasta que el usuario vuelva a conectarse y sincronice su buzón.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Eliminar correo requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Una carpeta de buzón en la que buscar un correo.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.
Message IDs Optional

Una condición de filtro para buscar correos con IDs de correo específicos.

Este parámetro acepta una lista separada por comas de IDs de mensajes que se van a buscar.

Si proporciona el ID del mensaje, la acción ignora los parámetros Subject Filter, Sender Filter y Recipient Filter.
Subject Filter Optional

Una condición de filtro que especifica el asunto del correo que se va a buscar.
Sender Filter Optional

Condición de filtro que especifica el remitente de los correos solicitados.
Recipient Filter Optional

Condición de filtro que especifica el destinatario de los correos solicitados.
Delete All Matching Emails Optional

Si se selecciona esta opción, se eliminarán todos los correos que cumplan los criterios. Si no se selecciona, la acción elimina solo el primer correo que coincida.

No está seleccionada de forma predeterminada.
Delete from all mailboxes Optional

Si se selecciona esta opción, se eliminarán los correos de todos los buzones a los que se pueda acceder con la configuración de suplantación actual.
How many mailboxes to process in a single batch Obligatorio

Número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

Si ha seleccionado el parámetro Delete from all mailboxes, la acción funciona por lotes.

El valor predeterminado es 25.
Time Frame (minutes) Optional

Periodo en minutos para buscar correos.

Resultados de la acción

La acción Eliminar correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Eliminar correo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
NUMBER_OF_EMAILS email(s) were deleted successfully. La acción se ha realizado correctamente.
Error deleting emails.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Eliminar correo:

Nombre del resultado del script Valor
is_success True o False

Descargar archivos adjuntos

Usa la acción Descargar archivos adjuntos para descargar los archivos adjuntos de un correo en una ruta específica del servidor de Google SecOps. La acción sustituye automáticamente los caracteres de barra invertida o espacio de los nombres de los archivos adjuntos descargados por el carácter de guion bajo.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Descargar archivos adjuntos requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Una carpeta de buzón en la que buscar un correo.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.
Download Path Obligatorio

Ruta en el servidor de Google SecOps para descargar archivos adjuntos de correo.
Message IDs Optional

Una condición de filtro para buscar correos con IDs de correo específicos.

Este parámetro acepta una lista separada por comas de IDs de mensajes que se van a buscar.

Si proporcionas el ID del mensaje, la acción ignora el parámetro Subject Filter.
Subject Filter Optional

Una condición de filtro que especifica el asunto del correo que se va a buscar.
Sender Filter Optional

Una condición de filtro que especifica el remitente del correo que se va a buscar.
Only Unread Optional

Si se selecciona esta opción, la acción solo descarga los archivos adjuntos de los correos no leídos.

No está seleccionada de forma predeterminada.
Download Attachments from EML Optional

Si se selecciona esta opción, la acción descarga los archivos adjuntos de los archivos EML adjuntos.

No está seleccionada de forma predeterminada.
Download Attachments to unique path? Optional

Si se selecciona esta opción, la acción descarga los archivos adjuntos en una ruta única en el valor proporcionado en el parámetro Download Path para evitar que se sobrescriban los archivos adjuntos descargados anteriormente.

No está seleccionada de forma predeterminada.
Search in all mailboxes Optional

Si se selecciona esta opción, la acción realiza una búsqueda en todos los buzones a los que se puede acceder con la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Obligatorio

Número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

Si ha seleccionado el parámetro Search in all mailboxes, la acción funciona por lotes.

El valor predeterminado es 25.
Mailboxes Optional

Lista de buzones separada por comas en los que se realizará la búsqueda.

Este parámetro tiene prioridad sobre el parámetro Search in all mailboxes.

Resultados de la acción

La acción Descargar archivos adjuntos proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Descargar archivos adjuntos:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
Mensajes de salida

La acción Descargar archivos adjuntos puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS La acción se ha realizado correctamente.
Failed to download email attachments, the error is: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Descargar archivos adjuntos:

Nombre del resultado del script Valor
file_paths Cadena de rutas completas separadas por comas de los archivos adjuntos guardados.

Extraer datos EML

Usa la acción Extraer datos EML para extraer datos de los archivos adjuntos EML de correo.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Extraer datos EML requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Carpeta de la que se va a obtener un correo.

El valor predeterminado es Inbox.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.
Message ID Obligatorio

ID de mensaje, como 1701cf01ba314032b2f1df43262a7723@example.com.
Regex Map JSON Optional

Expresión regular para seleccionar correos en función de la parte del cuerpo del correo que coincida. Por ejemplo: {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}.

Resultados de la acción

La acción Extraer datos EML proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Extraer datos de EML:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Extraer datos EML:

Nombre del resultado del script Valor
eml_data EML_DATA

Generar token

Usa la acción Generar token para obtener un token de actualización de la configuración de la integración con autenticación OAuth. Usa la URL de autorización que has recibido en la acción Obtener autorización.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Generar token requiere los siguientes parámetros:

Parámetro Descripción
Authorization URL Obligatorio

URL de autorización recibida en la acción Obtener autorización para solicitar un token de actualización.

Resultados de la acción

La acción Generar token proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Generar token puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. La acción se ha realizado correctamente.
Failed to get the refresh token! The Error is ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Generar token:

Nombre del resultado del script Valor
is_success True o False

Get Account Out Of Facility Settings

Usa la acción Get Account Out Of Facility Settings para obtener los ajustes de ausencia de la oficina de la cuenta de la entidad de Google SecOps User proporcionada.

Si la entidad de usuario de destino es un nombre de usuario y no un correo, ejecuta la acción Active Directory Enrich Entities para obtener información sobre el correo del usuario almacenado en Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Get Account Out Of Facility Settings (Obtener cuenta de los ajustes de la instalación) proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos Disponible
Tabla de enriquecimiento de entidades Disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Tabla del panel de casos

La acción Get Account Out Of Facility Settings devuelve la siguiente tabla en un muro de casos de Google SecOps:

Nombre de la tabla: Out of Facility Settings

Columnas de la tabla:

  • Parámetro
  • Valor
Enriquecimiento de entidades

La acción Get Account Out Of Facility Settings admite el siguiente enriquecimiento de entidades:

Campo de enriquecimiento Fuente (clave JSON) Lógica
Exchange.oof_settings OofSettings La acción devuelve el estado habilitado o inhabilitado en función de la respuesta de la API.
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Get Account Out Of Facility Settings (Obtener la configuración de la cuenta fuera del centro):

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
Mensajes de salida

La acción Get Account Out Of Facility Settings puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 La acción se ha realizado correctamente.
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Obtener autorización

Usa la acción Obtener autorización para obtener un enlace con el código de acceso para la configuración de la integración con la autenticación de OAuth. Copia el enlace y úsalo en la acción Generar token para obtener el token de actualización.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Obtener autorización proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos Disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible

La acción Obtener autorización devuelve el siguiente enlace:

Nombre: Navegar a este enlace de autorización

Enlace: AUTHORIZATION_LINK

Mensajes de salida

La acción Obtener autorización puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. La acción se ha realizado correctamente.
Failed to generate authorization URL! The Error is ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener autorización:

Nombre del resultado del script Valor
is_success True o False

Get Mail EML File

Usa la acción Obtener archivo EML de correo para recuperar un archivo EML de un mensaje.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Obtener archivo EML de correo requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Carpeta de la que se va a obtener un correo.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.
Message ID Obligatorio

El ID del mensaje, como 1701cf01ba314032b2f1df43262a7723@example.com.
Base64 Encode Optional

Si se selecciona, la acción codifica el archivo de correo en formato base64.

No está seleccionada de forma predeterminada.

Resultados de la acción

La acción Obtener archivo EML de correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener archivo EML de correo:

Nombre del resultado del script Valor
eml_info EML_INFORMATION

Mover correo a carpeta

Usa la acción Mover correo a carpeta para mover uno o varios correos de la carpeta de correo de origen a otra carpeta de un buzón.

En función del caso práctico, la acción devuelve una cantidad diferente de información sobre los correos procesados en el resultado JSON.

Si selecciona el parámetro Limitar la cantidad de información en el resultado JSON, el resultado JSON solo contendrá los siguientes campos de correo electrónico: datetime_received, message_id, sender, subject y to_recipients. De lo contrario, el resultado JSON contiene toda la información disponible sobre el correo procesado.

Si seleccionas el parámetro Inhabilitar el resultado JSON de la acción, la acción no devolverá ningún resultado JSON.

La acción Mover correo a carpeta no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Mover correo a carpeta requiere los siguientes parámetros:

Parámetro Descripción
Source Folder Name Obligatorio

Una carpeta de origen desde la que mover los correos.
Destination Folder Name Obligatorio

Una carpeta de destino a la que mover los correos.
Subject Filter Optional

Una condición de filtro para buscar correos por un asunto específico.
Message IDs Optional

Una condición de filtro para buscar correos con IDs de correo específicos.

Este parámetro también acepta una lista de IDs de mensajes separados por comas para buscar.

Si proporcionas el ID del mensaje, la acción ignora el parámetro Subject Filter.
Only Unread Optional

Una condición de filtro para buscar solo los correos no leídos.

No está seleccionada de forma predeterminada.
Move In All Mailboxes Optional

Si se selecciona esta opción, la acción buscará y moverá los correos de todos los buzones a los que se pueda acceder con la configuración de despersonalización actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Obligatorio

Número de buzones que se procesarán en un solo lote (una sola conexión al servidor de correo).

Si selecciona el parámetro Move In All Mailboxes, la acción se realiza en lotes.

El valor predeterminado es 25.
Time Frame (minutes) Optional

Periodo en minutos para buscar correos.
Limit the Amount of Information Returned in the JSON Result Optional

Si se selecciona, la acción devuelve información solo sobre los campos clave del correo electrónico. Si no se selecciona, la acción devuelve información sobre todos los campos de correo electrónico.

Esta opción está seleccionada de forma predeterminada.
Disable the Action JSON Result Optional

Si se selecciona esta opción, la acción no devuelve el resultado en JSON.

No está seleccionada de forma predeterminada.

Resultados de la acción

La acción Mover correo a carpeta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Mover correo a carpeta puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 La acción se ha realizado correctamente.
Error search emails: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Mover correo a carpeta:

Nombre del resultado del script Valor
is_success True o False

Ping

Usa la acción Ping para probar una conexión a la instancia de Microsoft Exchange.

Puedes ejecutar esta acción manualmente y no como parte del flujo de la guía.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

N/A

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully connected to the Microsoft Exchange server with the provided connection parameters! La acción se ha realizado correctamente.
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script Valor
is_success True o False

Guardar archivos adjuntos de correo en el caso

Usa la acción Guardar archivos adjuntos de correo en el caso para guardar los archivos adjuntos de un correo almacenado en el buzón monitorizado en el muro del caso de Google SecOps.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Guardar archivos adjuntos de correo en el caso requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Obligatorio

Una carpeta de buzón en la que buscar un correo.

Este parámetro también acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.
Message IDs Obligatorio

El ID del mensaje para encontrar un correo específico y descargar los archivos adjuntos de él.
Attachment To Save Optional

Si no configura este parámetro, la acción guardará todos los archivos adjuntos de correo en el muro del caso de forma predeterminada. De lo contrario, la acción solo guardará el archivo adjunto que hayas especificado en el panel de casos.

Resultados de la acción

La acción Guardar archivos adjuntos de correo en el caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Guardar archivos adjuntos de correo en el caso puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 La acción se ha realizado correctamente.
Failed to save the email attachments to the case, the error is: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Guardar archivos adjuntos de correo en el caso:

Nombre del resultado del script Valor
is_success True o False

Buscar correos

Usa la acción Buscar correos para buscar correos específicos en un buzón configurado mediante varios criterios de búsqueda. Esta acción devuelve información sobre los correos encontrados en un buzón en formato JSON.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Buscar correos requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Una carpeta de buzón en la que buscar un correo.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.
Subject Filter Optional

Condición de filtro que especifica el asunto del correo que se va a buscar.
Sender Filter Optional

Una condición de filtro para especificar el remitente de los correos solicitados.
Recipient Filter Optional

Una condición de filtro para especificar el destinatario de los correos solicitados.
Time Frame (minutes) Optional

Periodo en minutos para buscar correos.
Only Unread Optional

Si se selecciona esta opción, la acción solo buscará correos no leídos.

No está seleccionada de forma predeterminada.
Max Emails To Return Optional

Número máximo de correos que se devolverán en el resultado de la acción.
Search in all mailboxes Optional

Si se selecciona esta opción, la acción realiza una búsqueda en todos los buzones a los que se puede acceder con la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Obligatorio

Número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

Si selecciona el parámetro Search in all mailboxes, la acción se realiza en lotes.

El valor predeterminado es 25.
Start Time Optional

Hora de inicio de la búsqueda de correos.

El formato que se debe usar es ISO 8601. Este parámetro tiene prioridad sobre el parámetro Time Frame (minutes).
End Time Optional

Hora de finalización de la búsqueda de correos.

El formato que se debe usar es ISO 8601. Si no define ningún valor y el parámetro Start Time es válido, la acción asigna el valor End Time a la hora actual.
Mailboxes Optional

Lista de buzones separada por comas en los que se realizará la búsqueda.

Este parámetro tiene prioridad sobre el parámetro Search in all mailboxes.
Message IDs Optional

Lista de IDs de mensajes separados por comas que se van a buscar.

Este filtro tiene prioridad sobre otras condiciones de filtro.
Body Regex Filter Optional

Un patrón de expresión regular que se buscará en el cuerpo del correo.

Resultados de la acción

La acción Buscar correos proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos Disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Tabla del panel de casos

La acción Buscar correos devuelve la siguiente tabla en un muro de casos de Google SecOps:

Título de la tabla: Correos coincidentes

Columnas de la tabla:

  • Message_id
  • Fecha de recepción
  • Remitente
  • Destinatarios
  • Subject
  • Cuerpo del correo
  • Nombres de los archivos adjuntos (como una lista de nombres de archivos adjuntos separados por comas)

Si selecciona el parámetro Search in all mailboxes, la acción añade la columna Encontrado en el buzón a la tabla para indicar en qué buzón se ha encontrado el correo.

Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar correos:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
Mensajes de salida

La acción Buscar correos puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 La acción se ha realizado correctamente.

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar correos:

Nombre del resultado del script Valor
mails_json No disponible

Enviar correo y esperar (obsoleto)

Acción de enviar correo y esperar. El campo Enviar a está separado por comas. El nombre visible del remitente se puede configurar en el cliente, en los ajustes de la cuenta.

Entradas de acciones

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Asunto Cadena N/A El asunto del correo.
Enviar a Cadena usuario@ejemplo.com

Correo electrónico del destinatario.

Si introduce varias direcciones, sepárelas con comas.
CC Cadena usuario@ejemplo.com No

Dirección de correo de copia.

Si introduce varias direcciones, sepárelas con comas.
BCC Cadena N/A No

Dirección de correo de CCO.

Si introduce varias direcciones, sepárelas con comas.
Contenido del correo Cadena N/A Cuerpo del correo.
Obtener archivos adjuntos de respuesta Casilla Desmarcada No Permite adjuntar archivos desde el correo de respuesta.
Carpeta en la que buscar la respuesta Cadena Bandeja de entrada No

Este parámetro se puede usar para especificar la carpeta de correo de la bandeja de entrada (mailbox que se usó para enviar el correo con la pregunta) en la que se buscará la respuesta del usuario.

El parámetro también acepta una lista de carpetas separadas por comas para comprobar la respuesta del usuario en varias carpetas.

En el parámetro se distingue entre mayúsculas y minúsculas.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Mail_body N/A N/A
Resultado de JSON

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

Enviar correo

Usa la acción Enviar correo para enviar un correo desde un buzón específico a una lista de destinatarios. Puedes usar esta acción para informar a los usuarios sobre lo siguiente:

  • Alertas específicas creadas en Google SecOps.
  • Resultados del procesamiento de alertas específicas.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Enviar correo requiere los siguientes parámetros:

Parámetro Descripción
Subject Obligatorio

El asunto del correo.
Send to Obligatorio

Lista de direcciones de correo separadas por comas de los destinatarios del correo, como user1@example.com, user2@example.com.
CC Optional

Lista separada por comas de direcciones de correo para el campo CC del correo, como user1@example.com, user2@example.com.
BCC Optional

Lista de direcciones de correo separadas por comas para el campo CCO del correo, como user1@example.com, user2@example.com.
Attachments Paths Optional

Lista separada por comas de las rutas de los archivos adjuntos almacenados en el servidor, como C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obligatorio

El cuerpo del correo.
Reply-To Recipients Optional

Lista de destinatarios separada por comas que se usa en la cabecera Reply-To.

La acción añade el encabezado Reply-To para enviar respuestas por correo a direcciones de correo específicas en lugar de a la dirección del remitente que se indica en el campo From.
Base64 Encoded Certificate Optional

Un certificado codificado en Base64 que se usa para cifrar un correo.

Para cifrar el correo, basta con este parámetro. Para firmar el correo, también debe proporcionar el parámetro Base64 Encoded Signature.
Base64 Encoded Signature Optional

Un certificado codificado en base64 que se usa para firmar un correo.

Para que la firma funcione y contenga un certificado de firma, proporcione los parámetros Base64 Encoded Signature y Base64 Encoded Certificate.

Resultados de la acción

La acción Enviar correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Enviar correo:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

Además del resultado técnico en JSON del objeto de correo, la acción también devuelve el ID del mensaje y la fecha en la que se envió el correo. Los datos adicionales se usan en la acción Esperar correo, si es necesario:

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
Mensajes de salida

La acción Enviar correo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Mail sent successfully. La acción se ha realizado correctamente.
Failed to send email! The Error is ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enviar correo:

Nombre del resultado del script Valor
Success_Inidicator No disponible

Send Mail HTML

Usa la acción Enviar correo HTML para enviar un correo con el contenido de la plantilla HTML. El campo Send to está separado por comas.

Puedes configurar el nombre del remitente en el cliente de correo, en la configuración de la cuenta.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Enviar correo HTML requiere los siguientes parámetros:

Parámetro Descripción
Subject Obligatorio

El asunto del correo.
Send to Obligatorio

Lista de direcciones de correo de los destinatarios separadas por comas.
CC Optional

Lista de direcciones de correo separadas por comas para el campo CC del correo.
BCC Optional

Lista de direcciones de correo separadas por comas para el campo CCO del correo.
Attachments Paths Optional

Lista separada por comas de las rutas de los archivos adjuntos almacenados en el servidor. Por ejemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obligatorio

El cuerpo del correo.

Resultados de la acción

La acción Enviar correo HTML proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script Valor
is_success True o False

Send Thread Reply

Usa la acción Enviar respuesta a conversación para enviar un mensaje como respuesta a la conversación de correo.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Enviar respuesta de conversación requiere los siguientes parámetros:

Parámetro Descripción
Message ID Obligatorio

ID del mensaje al que se va a enviar una respuesta.
Folder Name Obligatorio

Lista de carpetas de buzón separadas por comas en las que se buscará un correo.

Puedes definir carpetas específicas de correo. Por ejemplo: Gmail/Todos para buscar en todas las carpetas del buzón de Gmail.

Además, el nombre de la carpeta debe coincidir con el de la carpeta IMAP.

Si el nombre de la carpeta contiene espacios, inclúyelos entre comillas dobles.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.
Content Obligatorio

Contenido de la respuesta.
Attachment Paths Optional

Lista separada por comas de las rutas de los archivos adjuntos almacenados en el servidor.

Reply All Optional

Si se selecciona esta opción, la acción envía una respuesta a todos los destinatarios relacionados con el correo original e ignora el parámetro Reply To.

Esta opción está seleccionada de forma predeterminada.
Reply To Obligatorio

Lista de correos separada por comas a la que se enviará la respuesta.

Si no define ningún valor y no selecciona el parámetro Reply All, la acción solo enviará una respuesta al remitente del correo.

Si selecciona el parámetro Reply All, la acción ignora este parámetro.

Salida de la acción

La acción Enviar respuesta de conversación proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Enviar respuesta de conversación puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. La acción se ha realizado correctamente.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

Ha fallado la acción.

Comprueba el parámetro Reply To para enviar respuestas solo a tu dirección.
Error executing action "Send Thread Reply". Reason: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Enviar respuesta de conversación:

Nombre del resultado del script Valor
is_success True o False

Enviar correo de votación

Usa la acción Enviar correo de votación para enviar correos con opciones de respuesta preconfiguradas e incluir a los usuarios que no tengan acceso a la interfaz de usuario de Google SecOps en procesos automatizados.

Esta acción solo admite la función de votación si los destinatarios usan Exchange para ver y seleccionar correctamente las opciones de votación.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Enviar correo de votación requiere los siguientes parámetros:

Parámetro Descripción
Subject Obligatorio

El asunto del correo.
Send to Obligatorio

Lista de direcciones de correo separadas por comas de los destinatarios del correo, como user1@example.com, user2@example.com.
CC Optional

Lista separada por comas de direcciones de correo para el campo CC del correo, como user1@example.com, user2@example.com.
BCC Optional

Lista de direcciones de correo separadas por comas para el campo CCO del correo, como user1@example.com, user2@example.com.
Attachments Paths Optional

Lista separada por comas de las rutas de los archivos adjuntos almacenados en el servidor. Por ejemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Question or Decision Description Obligatorio

La pregunta que se debe hacer a los destinatarios o la decisión que deben tomar los destinatarios.
Structure of voting options Obligatorio

Estructura de la votación que se enviará a los destinatarios.

Estos son los valores posibles:

  • Yes/No
  • Approve/Reject

El valor predeterminado es Yes/No.

Resultados de la acción

La acción Enviar correo de votación proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Enviar correo de votación:

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
Mensajes de salida

La acción Enviar correo de votación puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 La acción se ha realizado correctamente.
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enviar correo de votación:

Nombre del resultado del script Valor
is_success True o False

Esperar correo del usuario

Usa la acción Esperar correo del usuario para esperar la respuesta del usuario en función de un correo enviado con la acción Enviar correo.

Esta acción funciona de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Esperar correo del usuario requiere los siguientes parámetros:

Parámetro Descripción
Mail message_id Obligatorio

El ID del mensaje de correo.

Si el mensaje se envía mediante la acción Send Mail, selecciona el campo SendEmail.JSONResult|message_id como marcador de posición.
Mail Date Obligatorio

Marca de tiempo del correo enviado que espera la acción actual.

Si se envía un mensaje mediante la acción Enviar correo, selecciona el campo SendEmail.JSONResult|email_date como marcador de posición.
Mail Recipients Obligatorio

Lista separada por comas de destinatarios de correo electrónico de los que la acción actual espera una respuesta.

Si se envía un mensaje mediante la acción Enviar correo, selecciona el campo SendEmail.JSONResult|to_recipients como marcador de posición.
How long to wait for recipient reply (minutes) Obligatorio

Periodo durante el cual la acción espera la respuesta del usuario antes de marcarla como agotada.

El valor predeterminado es 1440 minutos.
Wait for All Recipients to Reply? Optional

Si se selecciona esta opción, la acción espera las respuestas de todos los destinatarios hasta que se agote el tiempo de espera o se proceda con la primera respuesta.

Esta opción está seleccionada de forma predeterminada.
Wait Stage Exclude pattern Optional

Una expresión regular para excluir respuestas específicas de la fase de espera.

Este parámetro funciona con el cuerpo del correo.

Por ejemplo, puedes configurar la acción para que no considere los mensajes automáticos de ausencia como respuestas de los destinatarios y, en su lugar, espere a que un usuario responda.
Folder to Check for Reply Optional

Una carpeta de correo electrónico del buzón en la que buscar la respuesta del usuario. La acción realiza una búsqueda en el buzón desde el que se envió el correo que contiene una pregunta.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

Este parámetro distingue entre mayúsculas y minúsculas.

El valor predeterminado es Inbox.
Fetch Response Attachments Optional

Si se selecciona y la respuesta del destinatario contiene archivos adjuntos, la acción recupera la respuesta y la añade como archivo adjunto al resultado de la acción.

No está seleccionada de forma predeterminada.

Resultados de la acción

La acción Esperar correo del usuario proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos Disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Resultado de la secuencia de comandos Disponible
Adjunto del panel de casos

La acción Esperar correo de usuario devuelve el siguiente archivo adjunto en un muro de caso de Google SecOps:

Campo de archivo adjunto Descripción
title

Archivo adjunto del destinatario RECIPIENT_EMAIL respuesta
filename

ATTACHMENT_NAME. EXTENSION
fileContent

ATTACHED_FILE_CONTENT

El tipo de archivo adjunto Entidad se asigna al destinatario que ha respondido al message_id para el que el servidor de Google SecOps monitoriza las respuestas.

Resultado de JSON

Como resultado JSON, la acción devuelve una combinación de los dos resultados siguientes:

  1. Salida JSON de un objeto de correo del correo con una respuesta registrada.

    La acción registra la respuesta del correo mediante message_id.

  2. Una salida JSON del proceso de seguimiento de las respuestas de los usuarios.

El método para combinar los datos de salida se define en la fase de implementación.

El flujo de la salida JSON del objeto de correo es el siguiente:

  1. La acción espera al menos una respuesta de un usuario para continuar.

  2. Después de recibir la respuesta del primer usuario, la acción actualiza el resultado JSON y continúa con los resultados de la acción.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

El flujo del proceso de salida de la respuesta de seguimiento es el siguiente:

  1. La acción espera todas las respuestas de los usuarios para continuar.

  2. Después de recibir respuestas de los usuarios o de alcanzar el tiempo de espera, la acción actualiza el resultado JSON.

    En este caso, si la acción está esperando respuestas de todos los destinatarios y se alcanza el tiempo de espera mientras se esperan las respuestas de los usuarios, la acción devuelve el error handled_timeout.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
Mensajes de salida

La acción Esperar correo de usuario puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 La acción se ha realizado correctamente.

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.

Esperar los resultados de la votación por correo

Usa la acción Esperar resultados de correo de votación para esperar y recuperar las respuestas de un correo de votación que se haya enviado con la acción Enviar correo de votación. La acción Esperar resultados de correo de votación reenvía las respuestas obtenidas a Google SecOps.

Para hacer un seguimiento adecuado de los resultados de la votación y recuperarlos, haz un seguimiento del correo de la votación. Para obtener más información, consulta la acción Enviar correo de votación.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Esperar resultados de correo de voto requiere los siguientes parámetros:

Parámetro Descripción
Vote Mail message_id Obligatorio

El ID del mensaje de correo de la votación.

Si el mensaje se envía mediante la acción Send Vote Mail, selecciona el campo SendVoteMail.JSONResult|message_id como marcador de posición.
Mail Recipients Obligatorio

Lista separada por comas de los correos de los destinatarios de los que la acción actual espera una respuesta.

Selecciona el campo SendVoteMail.JSONResult|to_recipients como marcador de posición.
Folder to Check for Reply Obligatorio

Una carpeta de buzón de correo en la que buscar la respuesta del usuario. La acción realiza una búsqueda en el buzón desde el que se envió el correo que contiene una pregunta.

Este parámetro también acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

Este parámetro distingue entre mayúsculas y minúsculas.

El valor predeterminado es Inbox.
Folder to Check for Sent Mail Obligatorio

Una carpeta de buzón en la que buscar el correo enviado. La acción realiza una búsqueda en el buzón desde el que se envió el correo que contiene una pregunta.

Este parámetro también acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

Este parámetro distingue entre mayúsculas y minúsculas.

El valor predeterminado es Sent Items.
How long to wait for recipient reply (minutes) Obligatorio

Periodo durante el cual la acción espera la respuesta del usuario antes de marcarla como agotada.

El valor predeterminado es 1440 minutos.
Wait for All Recipients to Reply? Optional

Si se selecciona esta opción, la acción espera las respuestas de todos los destinatarios hasta que se agote el tiempo de espera o se proceda con la primera respuesta.

Esta opción está seleccionada de forma predeterminada.

Resultados de la acción

La acción Esperar resultados de correo de votación proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Wait for Vote Mail Results (Esperar resultados de correo de votación):

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
Mensajes de salida

La acción Esperar resultados de correo de votación puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 La acción se ha realizado correctamente.

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Esperar resultados de correo de votación:

Nombre del resultado del script Valor
is_success True o False

Función para bloquear remitentes y dominios

Uno de los casos prácticos más habituales de la gestión y la seguridad del correo electrónico es contener las amenazas existentes, como los correos de phishing, que ya están en la bandeja de entrada de la organización. Después, se bloquea un remitente o un dominio sospechoso para proteger la organización frente a futuros ataques y evitar posibles brechas de seguridad.

En Google SecOps, la integración de Exchange te ofrece la función Bloquear remitente y dominio, que consta de las siguientes fases secuenciales:

  1. Protección dentro de la organización.

    Usa la acción Bloquear remitente por ID de mensaje para añadir el remitente a la lista de bloqueo mediante el servicio Marcar como correo no deseado de EWS.

  2. Protección fuera de la organización con reglas de la bandeja de entrada.

    Crea reglas de bandeja de entrada para añadirlas a nivel de cliente y evitar automáticamente que los correos dañinos lleguen a los buzones de tu organización.

  3. Protección fuera de la organización con reglas de bandeja de entrada del servidor.

    Crea reglas de bandeja de entrada del servidor para evitar que los correos sospechosos lleguen a la organización.

Puedes consultar más información sobre estas fases en la sección siguiente.

Caso práctico

En el siguiente caso práctico se muestra un ejemplo de una brecha de seguridad que es un correo sospechoso y potencialmente dañino.

Después de descubrir que un correo sospechoso y dañino ha puesto en peligro varios buzones de tu organización, la rutina para gestionar este tipo de amenaza es la siguiente:

  1. Neutraliza la amenaza con la acción Bloquear remitente por ID de mensaje.
  2. Gestionar buzones vulnerados.
  3. Añade protección contra el correo sospechoso recibido en otros buzones también.

Corregir la amenaza

Para solucionar la amenaza, ejecuta la acción Bloquear remitente por ID de mensaje para obtener los parámetros de la investigación y más información sobre el correo sospechoso. Esta acción también te permite examinar solo los buzones de correo vulnerados y gestionar la amenaza que contienen.

La acción Bloquear remitente por ID de mensaje activa el servicio Marcar como correo no deseado de Exchange EWS para hacer lo siguiente:

  1. Mueve el correo sospechoso a la carpeta Spam.
  2. Añade el remitente de correo a la lista de remitentes bloqueados del buzón investigado.

Para obtener más información sobre cómo usar el servicio Marcar como spam, consulta el artículo Añadir y quitar direcciones de correo de la lista de remitentes bloqueados mediante EWS en Exchange de la documentación de productos de Microsoft.

Por un lado, corregir una amenaza con la acción Bloquear remitente por ID de mensaje solo afecta a los buzones de correo vulnerados y puede ser automático. Por otro lado, la acción no puede bloquear a un remitente en los buzones no vulnerados ni añadir dominios mediante la API a la lista de remitentes bloqueados.

Gestionar buzones vulnerados

Después de corregir una amenaza, los siguientes pasos son gestionar los buzones de correo vulnerados y proteger todos los buzones de la organización frente a remitentes maliciosos, incluso los potenciales.

Para gestionar los buzones de correo vulnerados, ejecuta el conjunto de acciones de reglas de la bandeja de entrada que consta de las siguientes acciones:

  1. Añadir dominios a las reglas de bandeja de entrada de Exchange-Siemplify
  2. Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify
  3. Eliminar reglas de bandeja de entrada de Exchange-Siemplify
  4. List Exchange-Siemplify Inbox Rules
  5. Eliminar dominios de las reglas de bandeja de entrada de Exchange-Siemplify
  6. Eliminar remitentes de las reglas de bandeja de entrada de Exchange-Siemplify

Para obtener más información sobre el servicio utilizado en las acciones, consulta Gestionar reglas de bandeja de entrada en Exchange en la documentación del producto de Microsoft.

La integración de Exchange te permite usar un conjunto de las siguientes reglas predefinidas para las operaciones más habituales:

  • Siemplify – Lista de remitentes – Mover a la carpeta de spam
  • Siemplify – Lista de remitentes – Eliminar
  • Siemplify – Lista de remitentes – Eliminar definitivamente
  • Siemplify – Domains List – Move To Junk ("Siemplify – Lista de dominios – Mover a la carpeta de spam")
  • Siemplify – Lista de dominios – Eliminar
  • Siemplify – Domains List – Permanently Delete (Siemplify – Lista de dominios – Eliminar definitivamente)

Eliminar definitivamente los correos del remitente malicioso

Para mantener la misma lista de reglas en todos los buzones, añade las reglas del usuario administrador. Para aplicar las reglas de administrador a otros usuarios, ejecuta la operación en todos los buzones.

Para eliminar de forma permanente los correos del remitente malicioso, sigue estos pasos:

  1. En Google SecOps, desde la cuenta de administrador, ejecuta la acción Add Senders to Exchange-Siemplify Inbox Rule (Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify). Introduce el correo del remitente malicioso.

  2. Elige la regla adecuada de la lista para definir cómo gestionar un correo sospechoso. Para eliminar de forma permanente los correos maliciosos, selecciona la regla Siemplify – Senders List – Permanently Delete (Siemplify – Lista de remitentes – Eliminar permanentemente).

    La acción actualiza la regla de la bandeja de entrada con el nuevo remitente malicioso.

  3. Seleccione el parámetro Perform action in all mailboxes para aplicar la regla a todos los buzones.

    Si la regla no existe en un buzón, la acción la crea. Si la regla ya existe en un buzón, la acción la actualiza con los nuevos valores de los parámetros.

  4. Para añadir una protección contra el correo sospechoso recibido en otros buzones y bloquear el dominio del remitente malicioso, selecciona el parámetro Should add senders' domain to the corresponding Domains List rule as well?.

  5. Revise otros parámetros de la acción y ajústelos si es necesario.

La acción Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify actualiza varias reglas a la vez según el parámetro Mailboxes to process in one batch. La acción Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify funciona tanto con remitentes como con dominios, se aplica a todos los buzones independientemente de si se ha recibido un correo sospechoso y puede ser automática.

El usuario final puede eliminar las reglas aplicadas a su buzón. Al aplicar reglas de administrador a otros buzones, se eliminan automáticamente las reglas privadas de la bandeja de entrada inhabilitadas.

Acciones Bloquear remitente y Bloquear dominio

Antes de ejecutar las acciones de las funciones Bloquear remitente y Bloquear dominio, configure los permisos mínimos necesarios.

Añadir dominios a las reglas de bandeja de entrada de Exchange-Siemplify

Usa la acción Añadir dominios a reglas de bandeja de entrada de Exchange-Siemplify para obtener una lista de dominios como parámetro o trabaja con la entidad Dominio de Google SecOps si los parámetros están vacíos. Esta acción solo está disponible en Google SecOps 5.6 y versiones posteriores.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

Puede crear o actualizar una regla filtrando los dominios de sus buzones. Puedes modificar esta acción con el parámetro Rule to add Domains to.

La acción Añadir dominios a las reglas de la bandeja de entrada de Exchange-Siemplify modifica las reglas de la bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Si no defines ningún parámetro y tu versión de Google SecOps es la 5.6 o una posterior, esta acción se ejecuta en la entidad Dominio.

Entradas de acciones

La acción Añadir dominios a las reglas de la bandeja de entrada de Exchange-Siemplify requiere los siguientes parámetros:

Parámetro Descripción
Domains Optional

Lista de dominios separados por comas que se van a añadir a la regla.
Rule to add Domains to Obligatorio

Una regla a la que añadir dominios.

Si no hay ninguna regla, la acción la crea.

Estos son los valores posibles:

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

El valor predeterminado es Siemplify - Domains List - Move To Junk.

Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones a los que se puede acceder mediante la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Añadir dominios a las reglas de la bandeja de entrada de Exchange-Siemplify proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir dominios a reglas de bandeja de entrada de Exchange-Siemplify puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se ha realizado correctamente.

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Add Domains to Exchange-Siemplify Inbox Rules (Añadir dominios a las reglas de la bandeja de entrada de Exchange de Siemplify):

Nombre del resultado del script Valor
is_success True o False

Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify

Usa la acción Add Senders to Exchange-Siemplify Inbox Rule (Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify) para obtener una lista de direcciones de correo o trabajar con la entidad User (Usuario) de Google SecOps si los parámetros están vacíos. Puedes usar expresiones regulares para esta acción.

Puedes crear una regla filtrando los remitentes de tus buzones. Puedes modificar esta acción con el parámetro Rule to add senders to.

Antes de ejecutar esta acción, asegúrate de configurar los permisos de acción necesarios.

La acción Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify modifica las reglas de bandeja de entrada actuales de tus usuarios mediante EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Si la expresión regular de correo es válida y no configura ningún parámetro, esta acción se ejecuta en la entidad Usuario.

Entradas de acciones

La acción Add Senders to Exchange-Siemplify Inbox Rule (Añadir remitentes a la regla de la bandeja de entrada de Exchange-Siemplify) requiere los siguientes parámetros:

Parámetro Descripción
Senders Optional

Lista de direcciones de correo separadas por comas que se añadirán a la regla.

Si no define ningún valor, la acción funcionará con la entidad Usuario.
Rule to add senders to Obligatorio

Una regla para añadir el remitente.

Si no hay ninguna regla, la acción la crea.

Estos son los valores posibles:

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

El valor predeterminado es Siemplify - Senders List - Move To Junk.

Should add senders' domain to the corresponding Domains List rule as well? Optional

Si se selecciona esta opción, la acción añade automáticamente los dominios de las direcciones de correo proporcionadas a las reglas de dominio correspondientes.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona esta opción, la acción se aplica a todos los buzones a los que se puede acceder mediante los ajustes de despersonalización actuales.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Add Senders to Exchange-Siemplify Inbox Rule (Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify) proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se ha realizado correctamente.

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción Add Senders to Exchange-Siemplify Inbox Rule (Añadir remitentes a la regla de bandeja de entrada de Exchange-Siemplify):

Nombre del resultado del script Valor
is_success True o False

Bloquear remitente por ID de mensaje

Usa la acción Bloquear remitente por ID de mensaje para obtener una lista de IDs de mensajes como parámetro y marcar la lista como correo no deseado.

Al marcar un elemento como correo no deseado, se añade la dirección del remitente a la lista de remitentes bloqueados y se mueve el elemento a la carpeta de correo no deseado.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

La acción Bloquear remitente por ID de mensaje solo es compatible con Exchange Server 2013 y versiones posteriores. Si usas una versión anterior, la acción fallará y se mostrará el mensaje correspondiente.

Debe haber un mensaje de la dirección de correo sospechosa en el buzón del usuario antes de añadirla o eliminarla de la lista de remitentes bloqueados.

La acción Bloquear remitente por ID de mensaje no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Bloquear remitente por ID de mensaje requiere los siguientes parámetros:

Parámetro Descripción
Move item to Junk folder? Obligatorio

Si se selecciona esta opción, la acción moverá los mensajes especificados a la carpeta de spam.

Esta opción está seleccionada de forma predeterminada.
Message IDs Optional

Una condición de filtro para buscar correos con IDs de correo específicos.

Este parámetro acepta una lista de IDs de mensajes separados por comas para marcarlos como correo no deseado.

Si proporciona el ID del mensaje, la acción ignora los parámetros Subject Filter, Sender Filter y Recipient Filter.
Mailboxes list to perform on Optional

Una condición de filtro para ejecutar la operación en una lista específica de buzones para mejorar los tiempos.

Para marcar como correo no deseado los mensajes de varias direcciones de correo electrónico, proporcione una lista de direcciones separadas por comas.

Si proporcionas una lista de buzones, la acción ignora el parámetro Perform Action in all Mailboxes.
Folder Name Optional

Una carpeta del buzón en la que buscar un correo.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

El valor predeterminado es Inbox.
Subject Filter Optional

Condición de filtro que especifica el asunto del correo que se va a buscar.
Sender Filter Optional

Condición de filtro que especifica el remitente de los correos solicitados.
Recipient Filter Optional

Condición de filtro que especifica el destinatario de los correos solicitados.
Mark All Matching Emails Optional

Si se selecciona esta opción, la acción marcará todos los correos de la bandeja que cumplan los criterios. Si no se selecciona, la acción solo marcará el primer correo que coincida.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona esta opción, la acción se mueve a la carpeta de correo no deseado y se bloquean los correos del remitente en todos los buzones a los que se pueda acceder a través de la configuración de suplantación de identidad actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 25.
Time Frame (minutes) Optional

Periodo en minutos para buscar correos.

Resultados de la acción

La acción Bloquear remitente por ID de mensaje proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Bloquear remitente por ID de mensaje puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 La acción se ha realizado correctamente.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Ha fallado la acción.

La versión de Exchange Server que estás usando no es compatible.
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Bloquear remitente por ID de mensaje:

Nombre del resultado del script Valor
is_success True o False

Eliminar reglas de bandeja de entrada de Exchange-Siemplify

Usa la acción Eliminar reglas de bandeja de entrada de Exchange-Siemplify para obtener el nombre de una regla como parámetro y eliminarla de todos los buzones especificados.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción Eliminar reglas de bandeja de entrada de Exchange-Siemplify modifica las reglas de bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Eliminar reglas de bandeja de entrada de Exchange-Siemplify requiere los siguientes parámetros:

Parámetro Descripción
Rule Name To Delete Obligatorio

Nombre de la regla que se va a eliminar por completo de los buzones correspondientes.

Estos son los valores posibles:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones a los que se puede acceder mediante la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Eliminar reglas de bandeja de entrada de Exchange-Siemplify proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Eliminar reglas de bandeja de entrada de Exchange-Siemplify puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se ha realizado correctamente.
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Eliminar reglas de bandeja de entrada de Exchange-Siemplify:

Nombre del resultado del script Valor
is_success True o False

List Exchange-Siemplify Inbox Rules

Usa la acción List Exchange-Siemplify Inbox Rules para obtener el nombre de una regla de la bandeja de entrada de Exchange-Siemplify como parámetro y mostrarla. Si no hay buzones que mostrar, la acción muestra las reglas del usuario que ha iniciado sesión.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción List Exchange - Siemplify Inbox Rules (Listar reglas de bandeja de entrada de Exchange - Siemplify) modifica las reglas de bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción List Exchange-Siemplify Inbox Rules (Listar reglas de bandeja de entrada de Exchange y Siemplify) requiere los siguientes parámetros:

Parámetro Descripción
Rule Name To List Obligatorio

Nombre de la regla que se va a enumerar de los buzones correspondientes.

Estos son los valores posibles:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on Optional

Condición de filtro que especifica la lista de buzones en los que se va a ejecutar la operación para mejorar los tiempos.

Este parámetro acepta una lista separada por comas de direcciones de correo para desmarcar los mensajes como correo no deseado.

Si se proporciona una lista de buzones, la acción ignora el parámetro Perform action in all mailboxes.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones a los que se puede acceder mediante la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción List Exchange-Siemplify Inbox Rules (Listar reglas de bandeja de entrada de Exchange y Siemplify) proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción List Exchange-Siemplify Inbox Rules (Listar reglas de bandeja de entrada de Exchange-Siemplify):

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
Mensajes de salida

La acción List Exchange-Siemplify Inbox Rules puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 La acción se ha realizado correctamente.
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Exchange-Siemplify Inbox Rules (Listar reglas de bandeja de entrada de Exchange-Siemplify):

Nombre del resultado del script Valor
is_success True o False

Eliminar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify

Usa Remove Domains from Exchange-Siemplify Inbox Rules (Eliminar dominios de las reglas de la bandeja de entrada de Exchange y Siemplify) para obtener una lista de dominios como parámetro o trabajar en la entidad Domain (Dominio) si no se proporcionan los parámetros. Esta acción solo está disponible en Google SecOps versión 5.6 y posteriores. Puedes quitar los dominios proporcionados de las reglas que ya tengas.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción Remove Domains from Exchange-Siemplify Inbox Rules (Eliminar dominios de las reglas de bandeja de entrada de Exchange-Siemplify) modifica las reglas de bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Si no configuras ningún parámetro, esta acción se ejecuta en la entidad Dominio de Google SecOps.

Entradas de acciones

La acción Eliminar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify requiere los siguientes parámetros:

Parámetro Descripción
Domains Optional

Lista de dominios separados por comas que se van a eliminar de la regla.

Si no defines ningún valor, la acción funcionará con entidades.
Rule to remove Domains from Obligatorio

Una regla de la que quitar dominios.

Si no define ninguna regla, la acción fallará.

Estos son los valores posibles:

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

El valor predeterminado es Siemplify – Domains List – Move To Junk.

Remove Domains from all available Rules Optional

Si se selecciona esta opción, la acción buscará los dominios proporcionados en todas las reglas de la bandeja de entrada de Google SecOps.

No está seleccionada de forma predeterminada.
Mailboxes list to perform on Optional

Condición de filtro que especifica la lista de buzones en los que se va a ejecutar la operación para mejorar los tiempos.

Este parámetro acepta una lista separada por comas de direcciones de correo para desmarcar los mensajes como correo no deseado.

Si proporcionas una lista de buzones, la acción ignora el parámetro Perform action in all mailboxes.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones a los que se puede acceder mediante la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Remove Domains from Exchange-Siemplify Inbox Rules (Eliminar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify) proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Remove Domains from Exchange-Siemplify Inbox Rules (Eliminar dominios de reglas de bandeja de entrada de Exchange-Siemplify) puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se ha realizado correctamente.

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Remove Domains from Exchange-Siemplify Inbox Rules (Eliminar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify):

Nombre del resultado del script Valor
is_success True o False

Eliminar remitentes de las reglas de la bandeja de entrada de Exchange-Siemplify

Usa Remove Senders from Exchange-Siemplify Inbox Rules para obtener una lista de remitentes de correo electrónico como parámetro o trabaja con la entidad User si no se proporcionan los parámetros.

Puedes quitar los remitentes proporcionados de las reglas que ya tengas.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción Remove Senders from Exchange-Siemplify Inbox Rules (Eliminar remitentes de las reglas de la bandeja de entrada de Exchange-Siemplify) modifica las reglas de la bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Si no se proporcionan parámetros, esta acción se ejecuta en la entidad User (Usuario) de Google SecOps.

Entradas de acciones

La acción Remove Senders from Exchange-Siemplify Inbox Rules (Quitar remitentes de las reglas de la bandeja de entrada de Exchange-Siemplify) requiere los siguientes parámetros:

Parámetro Descripción
Senders Optional

Lista de direcciones de correo electrónico separadas por comas que se van a eliminar de la regla.

Si no define ningún valor, la acción funcionará con la entidad Usuario.
Rule to remove senders from Obligatorio

Regla de la que se van a quitar los remitentes.

Si no define ninguna regla, la acción no se podrá llevar a cabo.

Estos son los valores posibles:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

El valor predeterminado es Siemplify – Senders List – Move To Junk.
Remove senders from all available rules Optional

Si se selecciona esta opción, la acción buscará los remitentes proporcionados en todas las reglas de la bandeja de entrada de Google SecOps.

No está seleccionada de forma predeterminada.
Should remove senders' domain from the corresponding Domains List rule as well? Optional

Si se selecciona esta opción, la acción elimina automáticamente los dominios de las direcciones de correo proporcionadas de las reglas de dominio correspondientes.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona esta opción, la acción se aplica a todos los buzones a los que se puede acceder mediante los ajustes de despersonalización actuales.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Eliminar remitentes de reglas de bandeja de entrada de Exchange-Siemplify proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Eliminar remitentes de reglas de bandeja de entrada de Exchange-Siemplify puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se ha realizado correctamente.

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Remove Senders from Exchange-Siemplify Inbox Rules (Eliminar remitentes de las reglas de la bandeja de entrada de Exchange-Siemplify):

Nombre del resultado del script Valor
is_success True o False

Desbloquear remitente por ID de mensaje

Usa la acción Desbloquear remitente por ID de mensaje para obtener una lista de IDs de mensajes como parámetro y desmarcarlo como correo no deseado.

Si desmarcas un elemento como correo no deseado, la dirección de correo del remitente se eliminará de la lista de remitentes bloqueados. Para volver a mover un elemento a la carpeta de bandeja de entrada, selecciona el parámetro Move items back to Inbox? en los parámetros de acción.

La función Unblock Sender by Message ID se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción según sea necesario.

Esta acción solo es compatible con Exchange Server 2013 y versiones posteriores. Si usas una versión anterior, la acción falla y se muestra el mensaje correspondiente.

Debe haber un mensaje de la dirección de correo sospechosa en el buzón del usuario antes de añadirla a la lista de remitentes bloqueados o quitarla de ella.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Desbloquear remitente por ID de mensaje requiere los siguientes parámetros:

Parámetro Descripción
Move items back to Inbox? Obligatorio

Si se selecciona esta opción, la acción mueve los mensajes especificados a la carpeta de la bandeja de entrada.

Esta opción está seleccionada de forma predeterminada.
Message IDs Optional

Una condición de filtro para desmarcar correos con IDs de correo específicos.

Este parámetro también acepta una lista de IDs de mensajes separada por comas para desmarcar correos como no deseados.

Si proporcionas el ID del mensaje, la acción ignora los parámetros Subject Filter, Sender Filter y Recipient Filter.

Mailboxes list to perform on Optional

Una condición de filtro para ejecutar la operación en una lista específica de buzones para mejorar los tiempos.

Para marcar como correo no deseado los mensajes de varias direcciones de correo electrónico, proporcione una lista de direcciones separadas por comas.

Si proporcionas una lista de buzones, la acción ignora el parámetro Perform action in all mailboxes.
Folder Name Optional

Una carpeta de buzón en la que buscar un correo.

Este parámetro acepta una lista de carpetas separadas por comas de las que se moverá el elemento.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

El valor predeterminado es Junk Email.
Subject Filter Optional

Condición de filtro que especifica el asunto del correo que se va a buscar.
Sender Filter Optional

Condición de filtro que especifica el remitente de los correos solicitados.
Recipient Filter Optional

Condición de filtro que especifica el destinatario de los correos solicitados.
Unmark All Matching Emails Optional

Si se selecciona esta opción, se desmarcarán todos los correos de la bandeja que cumplan los criterios. Si no se selecciona, la acción solo desmarcará el primer correo que coincida.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones a los que se puede acceder mediante la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si selecciona el parámetro Perform action in all mailboxes, la acción se realiza por lotes.

Este parámetro define el número de buzones que se van a procesar en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 25.
Time Frame (minutes) Optional

Periodo en minutos para buscar correos.

Resultados de la acción

La acción Desbloquear remitente por ID de mensaje proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Desbloquear remitente por ID de mensaje puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

La acción se ha realizado correctamente.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Ha fallado la acción.

La versión de Exchange Server que estás usando no es compatible.
Error performing action: ERROR_REASON

Ha fallado la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción Desbloquear remitente por ID de mensaje:

Nombre del resultado del script Valor
is_success True o False

Conectores

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Ingerir datos (conectores).

Cuando configures conectores y acciones, presta atención a los espacios y los símbolos especiales de tus credenciales. Si la integración rechaza tus credenciales, comprueba la ortografía.

Para configurar el conector seleccionado, usa los parámetros específicos del conector que se indican en las siguientes tablas:

Conector EML de Exchange

.

El conector EML de Exchange recupera los correos del servidor de Exchange y los analiza. Si hay archivos EML adjuntos, el conector los adjunta al caso como eventos. Si el correo incluye varios archivos adjuntos EML, el conector crea varios casos e ingiere cada archivo adjunto como un evento para cada caso.

Restricciones conocidas

  1. Microsoft 365 y autenticación básica.

    • El conector EML de Exchange ya no admite la autenticación básica y no se puede usar con Microsoft 365. En Microsoft 365, usa el conector de correo de Exchange v2 con OAuth.

  2. A continuación se indican las características específicas del conector EML de Exchange:

    • El conector crea alertas de Google SecOps solo a partir de correos que contengan archivos adjuntos EML o MSG.

    • El conector ignora los correos que no contienen archivos adjuntos.

Entradas de conectores

El conector EML de Exchange requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
EventClassId Obligatorio

Nombre de un campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Server IP Obligatorio

Dirección IP del servidor al que conectarse.
Domain Obligatorio

Valor de dominio que se usará para la autenticación.
Username Obligatorio

Nombre de usuario del buzón del que se extraerán los correos, como user@example.com.
Password Obligatorio

Una contraseña del buzón de correo para extraer correos.

Mail Address Obligatorio

Una dirección de correo electrónico del buzón que quieras monitorizar.

El valor predeterminado es Inbox.
Verify SSL Optional

Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.
Use Domain for Authentication Optional

Si se selecciona esta opción, la integración usa el dominio como parte de las credenciales de autenticación, como user@domain.

Esta opción está seleccionada de forma predeterminada.
Unread Emails Only Optional

Si se selecciona esta opción, los casos solo se crearán a partir de correos no leídos.

No está seleccionada de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, los correos se marcan como leídos después de la ingestión.

No está seleccionada de forma predeterminada.
Max Days Backwards Optional

Número de días anteriores a la primera iteración del conector para recuperar los correos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de habilitarlo por primera vez.
PythonProcessTimeout Obligatorio

El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual.

El valor predeterminado es de 30 segundos.
Folder Name Optional

Nombre de la carpeta en la que se va a realizar la búsqueda.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

El valor predeterminado es Inbox.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, el entorno se define como "".

Environment Regex Pattern Optional

Un patrón de expresión regular que se aplica al valor encontrado en el campo Environment Field Name. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares.

Usa el valor predeterminado .* para obtener el valor sin formato Environment Field Name necesario.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Encode Data as UTF-8 Optional

Si se selecciona esta opción, la integración codifica los datos de correo electrónico con UTF-8. Se recomienda seleccionar este parámetro.

Esta opción está seleccionada de forma predeterminada.
Attach EML or MSG File to the Case Wall Optional

Si se selecciona esta opción, la integración adjunta el archivo EML o MSG reenviado al muro del caso en Google SecOps.

No está seleccionada de forma predeterminada.
Exclusion Body Regex Optional

Expresión regular para excluir los correos cuyo cuerpo coincida con el valor proporcionado.

Por ejemplo, la expresión regular '([N|n]ewsletter)|([O|o]ut of office)' excluye todos los correos que contengan las palabras clave Newsletter o Out of office.
Proxy Server Address Optional

Dirección del servidor proxy que se va a usar.
Proxy Username Optional

Nombre de usuario del proxy para autenticarse.
Proxy Password Optional

La contraseña del proxy para autenticarte.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo. Este parámetro también permite que el conector extraiga URLs complejas, pero no las URLs de la parte de texto sin formato del correo.

Las URLs extraídas están disponibles en el campo de evento urls_from_html_part.

No está seleccionada de forma predeterminada.

Reglas de conectores

  • El conector EML de Exchange no admite reglas de listas de bloqueo ni de listas dinámicas.

  • El conector EML de Exchange admite proxies.

Conector de correo de Exchange

.

Utiliza Exchange Mail Connector para comunicarte con el servidor de Exchange y buscar correos casi en tiempo real, así como para reenviarlos para que se traduzcan y se contextualicen como alertas en los casos de Google SecOps.

En esta sección se explica cómo comunicarse con un servidor de Microsoft Exchange 2007-2019 o Microsoft 365 mediante los servicios web de Exchange (EWS) y cómo interactúa Google SecOps con la interfaz de correo de Exchange, los flujos de trabajo asistidos y las actividades de la aplicación.

El conector de correo de Exchange permite recuperar correos del servidor de Exchange configurado, que analiza cada servidor y, posteriormente, crea nuevos casos. En cada caso, se incluye al menos una instancia inicial del correo. La principal diferencia es que el conector de correo de Exchange elimina los correos y genera eventos que analizan los datos EML o MSG de los correos originales del servidor de Exchange.

Restricciones conocidas

  1. Microsoft 365 y autenticación básica.

    • El conector de correo de Exchange ya no admite la autenticación básica y no se puede usar con Microsoft 365. En Microsoft 365, usa el conector de correo de Exchange v2 con OAuth.

  2. A continuación se indican los detalles del conector de correo de Exchange:

    • El conector crea alertas de Google SecOps solo a partir de los correos recibidos originales que se encuentran en el buzón.

    • El conector ignora los archivos EML y MSG adjuntos.

Entradas de conectores

El conector de correo de Exchange requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
Event Field Name Obligatorio

Nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Server IP Obligatorio

Dirección IP del servidor al que conectarse.
Domain Obligatorio

Valor de dominio que se usará para la autenticación.
Username Obligatorio

Nombre de usuario del buzón del que se extraerán los correos, como user@example.com.
Password Obligatorio

Una contraseña del buzón de correo para extraer correos.

Mail Address Obligatorio

Una dirección de correo electrónico del buzón que quieras monitorizar.

El valor predeterminado es Inbox.
Verify SSL Optional

Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.

Use Domain for Authentication Optional

Si se selecciona, el dominio se usa como parte de las credenciales de autenticación, como user@domain.

Esta opción está seleccionada de forma predeterminada.
Unread Emails Only Optional

Si se selecciona esta opción, la integración solo creará casos a partir de correos no leídos.

Esta opción está seleccionada de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, la integración marcará como leídos todos los correos ingeridos.

No está seleccionada de forma predeterminada.
Max Days Backwards Optional

Número de días anteriores a la primera iteración del conector para recuperar los correos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de habilitarlo por primera vez.
PythonProcessTimeout Obligatorio

El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual.

El valor predeterminado es 30 segundos.
Attach Original EML Optional

Si se selecciona esta opción, el correo original se adjuntará al caso como archivo EML.

No está seleccionada de forma predeterminada.
Folder Name Optional

Nombre de la carpeta en la que se va a realizar la búsqueda.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

El valor predeterminado es Inbox.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, el entorno se define como "".

Environment Regex Pattern Optional

Un patrón de expresión regular que se aplica al valor encontrado en el campo Environment Field Name. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares.

Usa el valor predeterminado .* para obtener el valor sin formato Environment Field Name necesario.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Exclusion Subject Regex Optional

Una expresión regular para excluir los correos cuyo asunto coincida con el valor proporcionado.

Por ejemplo, la expresión regular ([N|n]ewsletter)|([O|o]ut of office) excluye todos los correos que contengan las palabras clave Newsletter o Out of office en el asunto.
Exclusion Body Regex Optional

Expresión regular para excluir los correos cuyo cuerpo coincida con el valor proporcionado.

Por ejemplo, la expresión regular ([N|n]ewsletter)|([O|o]ut of office) excluye todos los correos que contengan las palabras clave Newsletter o Out of office en el cuerpo del correo.
Proxy Server Address Optional

Dirección del servidor proxy que se va a usar.
Proxy Username Optional

Nombre de usuario de proxy para autenticarte.
Proxy Password Optional

Una contraseña de proxy para autenticarte.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo. Este parámetro permite al conector extraer URLs complejas, pero no las URLs de la parte de texto sin formato del correo.

Las URLs extraídas están disponibles en el campo de evento urls_from_html_part.

No está seleccionada de forma predeterminada.

Configurar reglas de listas dinámicas

En la sección de lista dinámica, para extraer valores específicos de los correos mediante expresiones regulares, añade una regla con el siguiente formato:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Por ejemplo, para extraer el ID de mensaje de un correo, introduce la siguiente regla:

message-id: (?<=Message-ID: ).*

Reglas de conectores

  • El conector de correo de Exchange admite proxies.

  • El conector de correo de Exchange no admite la regla de lista de bloqueo.

  • La integración de Exchange usa la sección de listas dinámicas para definir expresiones regulares y habilitar lo siguiente:

    • Analiza el contenido del correo.
    • Añade campos específicos en función de la expresión regular que coincida con el evento de correo.

Conector de correo de Exchange v2

Usa el conector de correo de Exchange v2 para conectarte al servidor de correo y comprobar si hay correos nuevos en un buzón específico.

Si aparece un nuevo correo, se activa el conector para crear e ingerir en Google SecOps una nueva alerta que contiene información del nuevo correo.

Si no hay correos nuevos, el Exchange Mail Connector v2 completa la iteración actual y espera un periodo definido antes de la próxima iteración.

Flujo de iteración del conector

Después de cada ejecución, el Exchange Mail Connector v2 actualiza el archivo de marca de tiempo con la fecha y la hora de la última ejecución. El Exchange Mail Connector v2 extrae información útil de un caso del correo como resultado técnico de un objeto de correo, como:

  • Remitente y destinatario del correo.
  • Asunto del correo.
  • Cuerpo del correo.
  • URLs del correo.
  • Archivos adjuntos, si los hay.

Una vez que Exchange Mail Connector v2 crea las alertas (casos) para ingerir en Google SecOps, se completa la iteración del conector.

Según los datos de los casos proporcionados por Exchange Mail Connector v2, el servidor de Google SecOps ejecuta procedimientos de ETL para ingerir nuevas alertas y crear o actualizar casos. Si hay guías relacionadas definidas, Google SecOps las ejecuta para enriquecer el caso, generar estadísticas y realizar acciones automáticas.

Trabajar con las plantillas de nombre de alerta y de nombre de caso

Los parámetros Alert Name Template y Case Name Template te permiten sobrescribir la forma en que se crean el nombre de la alerta y el del caso. Solo la primera alerta define el nombre del caso o de la alerta. Las alertas posteriores no afectan al nombre.

A continuación, se muestra un ejemplo de evento de Google SecOps:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para crear un nombre personalizado para una alerta de Google SecOps, usa la siguiente plantilla:

[EVENT_TYPE] - [EVENT_NAME]

Por ejemplo, para crear una alerta de Google SecOps llamada Phishing – Example Event, la plantilla es la siguiente:

[Phishing] - [Example Event]

Entradas de conectores

En Exchange Mail Connector v2, los siguientes parámetros pueden afectar al procesamiento de correos:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para asignar los campos to y from de los correos procesados, el conector crea los siguientes conjuntos de campos:

  1. Campos to y from que contienen direcciones de correo electrónico en el siguiente formato: email@example.

  2. Campos to_raw y from_raw que solo contengan una dirección de correo electrónico como valor en el siguiente formato: email@example.

El conector de correo de Exchange v2 requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
Event Field Name Obligatorio

Nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Mail Server Address Obligatorio

Una dirección IP de servidor de correo a la que conectarse.

Al conectarte a Microsoft 365, define la dirección del servidor como outlook.office365.com.
Verify SSL Optional

Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.
Mail Address Obligatorio

Una dirección de correo electrónico del buzón que quieras monitorizar.

El valor predeterminado es Inbox.
Use Domain for Authentication Optional

Si se selecciona, el dominio se usa como parte de las credenciales de autenticación, como user@domain.

Esta opción está seleccionada de forma predeterminada.
Domain Obligatorio

Valor de dominio que se usará para la autenticación.
Username Obligatorio

Nombre de usuario del buzón del que se extraerán los correos, como user@example.com.
Password Obligatorio

La contraseña del buzón de correo del que se extraerán los correos.
Unread Emails Only Optional

Si se selecciona esta opción, los casos solo se crearán a partir de correos no leídos.

Esta opción está seleccionada de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, los correos se marcan como leídos después de la ingestión.

No está seleccionada de forma predeterminada.
Offset Time In Days Obligatorio

Número de días anteriores a la primera iteración del conector para recuperar los correos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de habilitarlo por primera vez.

El valor predeterminado es 5.
Max Emails Per Cycle Obligatorio

Número de correos que se obtendrán en una sola iteración del conector.

El valor predeterminado es 10.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, el entorno se define como "".

Environment Regex Pattern Optional

Un patrón de expresión regular que se aplica al valor encontrado en el campo Environment Field Name. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares.

Usa el valor predeterminado .* para obtener el valor sin formato Environment Field Name necesario.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es "".
Headers to add to events Optional

Cadena separada por comas que especifica qué encabezados de correo se deben añadir a los eventos.

Puede proporcionar valores como concordancias exactas o definirlos como expresiones regulares.
Email Exclude Pattern Optional

Una expresión regular para excluir correos específicos de la ingestión.

Este parámetro funciona tanto con el asunto como con el cuerpo del correo. Puede usar este parámetro para evitar que se ingieran correos de difusión masiva, como noticias.
PythonProcessTimeout Obligatorio

El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual.

El valor predeterminado es de 60 segundos.
Folder to check for emails Obligatorio

Una carpeta de correo en la que buscar los correos. Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

Este parámetro distingue entre mayúsculas y minúsculas.

El valor predeterminado es Inbox.
Attach Original EML Optional

Si se selecciona esta opción, la integración adjunta el correo original al caso como un archivo EML.

No está seleccionada de forma predeterminada.
Fetch Backwards Time Interval (minutes) Optional

Intervalo que usa el conector para recuperar eventos del periodo configurado en minutos antes de ahora. El valor de este parámetro es una marca de tiempo de la última iteración del conector.

Ajusta este valor en función del entorno. Por ejemplo, 60 minutos o menos.

El valor predeterminado es 0.
Proxy Server Address Optional

Dirección del servidor proxy que se va a usar.
Proxy Username Optional

Nombre de usuario de proxy para autenticarte.
Proxy Password Optional

Una contraseña de proxy para autenticarte.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo. Este parámetro permite que el conector extraiga URLs complejas, pero no las URLs de la parte de texto sin formato del correo.

Las URLs extraídas están disponibles en el campo de evento urls_from_html_part.

No está seleccionada de forma predeterminada.
Disable Overflow Optional

Si se selecciona, el conector ignora el mecanismo de desbordamiento.

No está seleccionada de forma predeterminada.
Original Received Mail Prefix Optional

Prefijo que se añade a las claves de evento extraídas. Por ejemplo, to, from o subject del correo original recibido en el buzón monitorizado.

El valor predeterminado es orig.
Attached Mail File Prefix Optional

Prefijo que se añade a las claves de evento extraídas. Por ejemplo, to, from o subject del archivo de correo adjunto recibido en el buzón monitorizado.

El valor predeterminado es attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Si se selecciona esta opción, el conector crea varias alertas, una por cada archivo de correo adjunto.

Si seleccionas este parámetro, Google SecOps procesa los correos con varios archivos adjuntos y crea entidades a partir de ellos.

No está seleccionada de forma predeterminada.
Case Name Template Optional

Nombre de caso personalizado.

Cuando configures este parámetro, el conector añadirá una nueva clave llamada custom_case_name al evento de Google SecOps.

Puedes proporcionar marcadores de posición con el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox]

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. El conector solo procesa las claves que contienen el valor de cadena.
Alert Name Template Optional

Nombre de la alerta personalizada.

Puedes proporcionar marcadores de posición con el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox]

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. Solo se gestionan las claves que contienen el valor de cadena. value are handled. Si no proporciona ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado.
Email Padding Period (minutes) Optional

Periodo durante el cual el conector debe recuperar los correos antes de la marca de tiempo más reciente.
URL Regex Obligatorio

El conector de expresiones regulares que se usa para analizar las URLs de los correos procesados.

Reglas de conectores

  • El conector de correo de Exchange v2 admite proxies.

  • El conector de correo de Exchange v2 no admite la regla de lista de bloqueo.

  • La integración de Exchange usa la sección de listas dinámicas para definir expresiones regulares que permitan lo siguiente:

    • Analiza el contenido del correo.
    • Añade campos específicos basados en las coincidencias de expresiones regulares al evento de correo.

Conector de correo de Exchange v2 con autenticación OAuth

Usa el conector de correo de Exchange v2 con OAuth para monitorizar buzones específicos en servidores de correo de Microsoft 365 que requieran autenticación OAuth. Puedes usar las acciones Obtener autorización y Generar token para obtener el token de actualización necesario para configurar el conector.

Para ejecutar Exchange Mail Connector v2 con OAuth, configura la integración para que admita la autenticación OAuth.

Trabajar con las plantillas de nombre de alerta y de nombre de caso

Los parámetros Alert Name Template y Case Name Template te permiten sobrescribir la forma en que se crean el nombre de la alerta y el del caso.

A continuación, se muestra un ejemplo de evento de Google SecOps:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para crear un nombre personalizado para una alerta de Google SecOps, usa la siguiente plantilla:

[EVENT_TYPE] - [EVENT_NAME]

Por ejemplo, para crear una alerta de Google SecOps llamada Phishing – Example Event, la plantilla es la siguiente:

[Phishing] - [Example Event]

Entradas de conectores

En Exchange Mail Connector v2 con OAuth, los siguientes parámetros pueden afectar al procesamiento de correos:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para asignar los campos to y from de los correos procesados, el conector crea los dos conjuntos de campos siguientes:

  1. Campos to y from normales que contienen direcciones de correo electrónico, como email@example.

  2. Campos to_raw y from_raw que solo contengan una dirección de correo como valor, como email@example.

El conector de correo de Exchange v2 con OAuth requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
Event Field Name Obligatorio

Nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Mail Server Address Obligatorio

Una dirección IP de servidor de correo a la que conectarse.

Al conectarte a Microsoft 365, define la dirección del servidor como outlook.office365.com.
Mail Address Obligatorio

Una dirección de correo que se usará para el conector.
Client ID Obligatorio

Para la autenticación OAuth de Microsoft 365, se necesita el ID de aplicación (cliente) de la aplicación Microsoft Entra que hayas usado para la integración.
Client Secret Obligatorio

Para la autenticación OAuth de Microsoft 365, el secreto de cliente que has proporcionado para el flujo de autenticación.
Tenant (Directory) ID Obligatorio

Para la autenticación OAuth de Microsoft 365, el ID de cliente (directorio) de la aplicación Microsoft Entra que has usado para la integración.
Refresh Token Obligatorio

Para la autenticación OAuth de Microsoft 365, el token de actualización se obtiene después de generar un token.
Verify SSL Optional

Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.
Unread Emails Only Optional

Si se selecciona esta opción, la integración solo creará casos a partir de correos no leídos.

No está seleccionada de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, el conector marcará los correos ingeridos como leídos.

No está seleccionada de forma predeterminada.
Offset Time In Days Obligatorio

Número de días anteriores a la primera iteración del conector para recuperar los correos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de habilitarlo por primera vez.

El valor predeterminado es 5 días.
Max Emails Per Cycle Obligatorio

Número de correos que se obtendrán en una sola iteración del conector.

El valor predeterminado es 10 correos.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, el entorno se define como "".

Environment Regex Pattern Optional

Un patrón de expresión regular que se aplica al valor encontrado en el campo Environment Field Name. Este parámetro te permite manipular el campo de entorno mediante la lógica de expresiones regulares.

Usa el valor predeterminado .* para obtener el valor sin formato Environment Field Name necesario.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es "".
Headers to add to events Optional

Cadena separada por comas que especifica qué encabezados de correo se deben añadir a los eventos.

Puede proporcionar valores como concordancias exactas o definirlos como expresiones regulares.
Email Exclude Pattern Optional

Una expresión regular para excluir correos específicos de la ingestión.

Este parámetro funciona tanto con el asunto como con el cuerpo del correo. Puede usar este parámetro para evitar que se ingieran correos de difusión masiva, como noticias.
PythonProcessTimeout Obligatorio

El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual.

El valor predeterminado es 60.
Folder to check for emails Obligatorio

Una carpeta de correo en la que buscar los correos. Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras invertidas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o el fallo de la acción, sustituye las barras inclinadas inversas de los nombres de las carpetas o subcarpetas por otros caracteres, como el guion bajo.

Este parámetro distingue entre mayúsculas y minúsculas.

El valor predeterminado es Inbox.
Attach Original EML Optional

Si se selecciona esta opción, el correo original se adjuntará al caso como archivo EML.

No está seleccionada de forma predeterminada.
Fetch Backwards Time Interval (minutes) Optional

Intervalo que usa el conector para recuperar eventos del periodo configurado en minutos antes de ahora. El valor de este parámetro es una marca de tiempo de la última iteración del conector.

Ajusta este valor en función del entorno. Por ejemplo, 60 minutos o menos.

El valor predeterminado es 0.
Proxy Server Address Optional

Dirección del servidor proxy que se va a usar.
Proxy Username Optional

Nombre de usuario de proxy para autenticarte.
Proxy Password Optional

Una contraseña de proxy para autenticarte.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo. Este parámetro permite que el conector extraiga URLs complejas, pero no las URLs de la parte de texto sin formato del correo.

Las URLs extraídas están disponibles en el campo de evento urls_from_html_part.

No está seleccionada de forma predeterminada.
Disable Overflow Optional

Si se selecciona, el conector ignora el mecanismo de desbordamiento.

No está seleccionada de forma predeterminada.
Original Received Mail Prefix Optional

Prefijo que se añade a las claves de evento extraídas. Por ejemplo, to, from o subject del correo original recibido en el buzón monitorizado.

El valor predeterminado es orig.
Attached Mail File Prefix Optional

Prefijo que se añade a las claves de evento extraídas. Por ejemplo, to, from o subject del archivo de correo adjunto recibido en el buzón monitorizado.

El valor predeterminado es attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Si se selecciona esta opción, el conector crea varias alertas, una por cada archivo de correo adjunto.

Si seleccionas este parámetro, Google SecOps procesa los correos con varios archivos adjuntos y crea entidades a partir de ellos.

No está seleccionada de forma predeterminada.
Case Name Template Optional

Nombre de caso personalizado.

Cuando configures este parámetro, el conector añadirá una nueva clave llamada custom_case_name al evento de Google SecOps.

Puedes proporcionar marcadores de posición con el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox]

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. El conector solo procesa las claves que contienen el valor de cadena.
Alert Name Template Optional

Parámetro para definir un nombre de alerta personalizado.

Nombre de la alerta personalizada.

Puedes proporcionar marcadores de posición con el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox]

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. Solo se gestionan las claves que contienen el valor de cadena. value are handled. Si no proporciona ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado.
Email Padding Period (minutes) Optional

Periodo durante el cual el conector debe recuperar los correos antes de la marca de tiempo más reciente.

Empleo

Antes de configurar los trabajos para la integración de Exchange, asegúrate de que tu versión de la plataforma Google SecOps los admita.

Tarea de renovación de tokens de actualización

El objetivo del trabajo de renovación del token de actualización es actualizar periódicamente el token de actualización que se usa en la integración.

De forma predeterminada, el token de actualización caduca cada 90 días. Te recomendamos que ejecutes esta tarea cada 7 o 14 días para asegurarte de que el token de actualización esté actualizado.

Entradas de tareas

El trabajo de renovación de tokens de actualización requiere los siguientes parámetros:

Parámetro Descripción
Integration Environments Optional

Entornos de integración para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Incluye los valores individuales entre comillas (" ").
Connector Names Optional

Nombres de los conectores para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Incluye los valores individuales entre comillas (" ").

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.