Intercambio

Versión de integración: 102.0

En este documento, se proporciona orientación para integrar Exchange en Google Security Operations SOAR.

Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el bucket de Cloud Storage.

Configura Exchange Online

Los requisitos previos y los pasos de configuración difieren según si configuras la integración para Exchange Online o Exchange Server.

La integración de Exchange Online solo admite la autenticación delegada de OAuth con tokens delegados, lo que requiere configuración adicional.

Los cambios realizados en los permisos del entorno de Azure pueden tardar hasta 24 horas en aplicarse.

Antes de comenzar

Antes de configurar la integración de Exchange Online, debes elegir un método de autenticación y completar todos sus pasos de configuración. Elige uno de los siguientes métodos:

Asigna permisos para suplantar la identidad de un usuario

Este método requiere que crees una aplicación en Microsoft Entra ID y le asignes permisos para suplantar a un solo usuario.

Crea una aplicación de Microsoft Entra

Para comenzar con la configuración de la suplantación, debes registrar una aplicación nueva en Microsoft Entra ID.

  1. Accede a Microsoft Azure y ve a Microsoft Entra ID > Registros de aplicaciones > Nuevo registro.
  2. Ingresa un nombre para la app y selecciona un Tipo de cuenta compatible.
  3. Para el URI de redireccionamiento, proporciona los siguientes valores:
    1. Plataforma: Web
    2. URL de redireccionamiento: http://localhost
  4. Haz clic en Registrar.
  5. Guarda los valores de ID de aplicación (cliente) y ID de directorio (usuario).

Configura los permisos de API

Debes otorgarle a tu aplicación los permisos necesarios para acceder a los datos del usuario.

  1. Ve a Permisos de API > Agregar un permiso.
  2. Selecciona Microsoft Graph > Permisos delegados.
  3. En la sección Seleccionar permisos, selecciona EWS y, luego, el permiso Ews.AccessAsUser.All.
  4. Haz clic en Agregar permiso > Otorgar consentimiento del administrador.

Crea un secreto del cliente

Debes crear un secreto del cliente para usarlo como contraseña de tu aplicación.

  1. Navega a Certificados y secretos > Nuevo secreto del cliente.
  2. Proporciona una descripción, establece un vencimiento y haz clic en Agregar.
  3. Guarda el valor del secreto.

Asigna permisos en Exchange Online:

Para completar la configuración, debes asignar el rol ApplicationImpersonation al usuario que deseas suplantar.

  1. En el Centro de administración de Exchange, ve a Roles > Roles de administrador y busca el grupo de roles que contiene el rol ApplicationImpersonation (como Administración de detección).
  2. Agrega el usuario al que suplantas a ese grupo de roles.

Acceso delegado

Este método requiere que otorgues permisos directos a la cuenta de servicio para un buzón de correo con Exchange Online PowerShell.

  1. Conéctate a Exchange Online PowerShell.

  2. Usa el cmdlet Add-MailboxPermission para asignar permisos.

    Por ejemplo, para otorgar a la cuenta de servicio acceso completo a un buzón específico, haz lo siguiente:

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    Para obtener más información, consulta Control de acceso basado en roles para aplicaciones en Exchange Online.

Integra Exchange Online con Google SecOps

Si quieres obtener instrucciones para instalar y configurar la integración en Google SecOps, consulta Configura integraciones.

Para integrar Exchange Online con la plataforma de Google SecOps, debes completar los siguientes pasos en Google SecOps:

  1. Configura los parámetros iniciales y guárdalos.

  2. Genera un token de actualización:

    • Simula un caso en Google SecOps.

    • Ejecuta la acción Get Authorization.

    • Ejecuta la acción Generate Token.

  3. Ingresa el token de actualización obtenido como el valor del parámetro Refresh Token y guarda la configuración.

Configura los parámetros iniciales

La integración de Exchange Online requiere los siguientes parámetros iniciales:

Parámetro Descripción
Mail Server Address Obligatorio

Dirección de un servidor de correo electrónico (nombre de host o dirección IP) al que se conectará.
Mail address Obligatorio

Es una dirección de correo electrónico que se usará en la integración para trabajar con los correos electrónicos enviados y recibidos en el buzón.
Client ID Obligatorio

Es el ID de la aplicación (cliente) de la aplicación de Microsoft Entra que se usa para la integración.

Este es el valor del ID de la aplicación (cliente) que guardaste cuando creaste la aplicación de Microsoft Entra.
Client Secret Obligatorio

Es el valor del secreto del cliente de la aplicación de Microsoft Entra que se usa para la integración.

Este es el valor del secreto del cliente que guardaste cuando creaste un secreto del cliente.
Tenant (Directory) ID Obligatorio

Es el ID de directorio (usuario) de la aplicación de Microsoft Entra ID que se usa para la integración.

Este es el valor del ID del directorio (inquilino) que guardaste cuando creaste la aplicación de Microsoft Entra.
Redirect URL Obligatorio

Es un URI de redireccionamiento configurado en la aplicación de Microsoft Entra.

Mantén el valor predeterminado en http://localhost.

Después de configurar los parámetros, haz clic en Guardar.

Genera un token de actualización

Para generar un token de actualización, debes realizar acciones manuales en un caso existente. Si tu instancia de Google SecOps es nueva y no tiene casos existentes, simula uno.

Cómo simular un caso

Para simular un caso en Google SecOps, sigue estos pasos:

  1. En el panel de navegación de la izquierda, selecciona Casos.

  2. En la página Casos, haz clic en agregar > Simular casos.

  3. Selecciona cualquiera de los casos predeterminados y haz clic en Crear. No importa qué caso elijas simular.

  4. Haz clic en Simular.

    Si tienes un entorno que no es el predeterminado y quieres usarlo, selecciona el entorno correcto y haz clic en Simular.

  5. En la pestaña Casos, haz clic en Actualizar. El caso que simulaste aparece en la lista de casos.

Ejecuta la acción Get Authorization

Usa el caso de SecOps de Google que simulaste para ejecutar la acción Get Authorization de forma manual.

  1. En la pestaña Cases, selecciona el caso simulado para abrir una vista de caso.

  2. Haz clic en Acción manual.

  3. En el campo Búsqueda de Acción Manual, ingresa Exchange.

  4. En los resultados de la integración de Exchange, selecciona Obtener autorización. Esta acción devuelve un vínculo de autorización que se usa para acceder de forma interactiva a la app de Microsoft Entra.

  5. Haz clic en Ejecutar.

  6. Después de que se ejecute la acción, navega al muro de casos de tu caso simulado. En el registro de acción Exchange_Get Authorization, haz clic en Ver más. Copia el vínculo de autorización.

  7. Abre una nueva ventana del navegador en modo incógnito y pega la URL de autorización generada. Se abrirá la página de acceso de Azure.

  8. Accede con las credenciales de usuario que seleccionaste para la integración. Después de acceder, el navegador te redireccionará a una dirección con un código en la barra de direcciones.

    Se espera que el navegador muestre un error, ya que la app te redirecciona a http://localhost.

  9. Copia toda la URL con el código de acceso de la barra de direcciones.

Ejecuta la acción Generate Token

Usa el caso de SecOps de Google que simulaste para ejecutar la acción Generate Token de forma manual.

  1. En la pestaña Cases, selecciona el caso simulado para abrir una vista de caso.

  2. Haz clic en Acción manual.

  3. En el campo Búsqueda de Acción Manual, ingresa Exchange.

  4. En los resultados de la integración de Exchange, selecciona Generar token.

  5. En el campo Authorization URL, pega la URL completa con el código de acceso que copiaste después de ejecutar la acción Get Authentication.

  6. Haz clic en Ejecutar.

  7. Después de que se ejecute la acción, navega al muro de casos de tu caso simulado. En el registro de acción Exchange_Generate Token, haz clic en Ver más.

  8. Copia todo el valor del token de actualización generado.

Configura el parámetro Refresh Token

  1. Navega al diálogo de configuración de la integración de Exchange.

  2. Ingresa el valor del token de actualización que obtuviste cuando ejecutaste la acción Generate Token en el campo Refresh Token.

  3. Haz clic en Guardar.

  4. Haz clic en Probar para verificar si la configuración es correcta y si la integración funciona según lo esperado.

Si es necesario, puedes hacer cambios más adelante. Una vez configuradas, las instancias se pueden usar en las guías. Para obtener información detallada sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Configura el servidor de Exchange

Antes de integrar Exchange Server con Google SecOps, configura la autenticación básica para Exchange Server.

Para autenticarte con el servidor de Exchange, usa un nombre de usuario y una contraseña.

Configura la autenticación básica

Para configurar la autenticación básica, completa los siguientes pasos:

  1. Verifica que se pueda acceder al servidor de Exchange (uno de los servidores del clúster) desde el servidor de Google SecOps y que cumpla con los siguientes requisitos:

    • El nombre de DNS del servidor de Exchange se está resolviendo.

    • Se puede acceder a la dirección IP del servidor de Exchange.

    • Los servicios web de Exchange (EWS) están habilitados y alojados en un puerto al que puede acceder el servidor de SecOps de Google.

    Si no se puede acceder al servidor de Exchange desde el servidor de SOAR de Google SecOps, considera usar un agente remoto de Google SecOps.

  2. Proporciona a la integración un nombre de usuario (cuenta de correo electrónico del usuario) y una contraseña. Elige el usuario para la integración.

  3. Para las acciones que usan permisos delegados o suplantados, completa los siguientes pasos:

    1. Otorga acceso delegado o suplantado a los buzones de correo necesarios a una cuenta de correo electrónico que uses en la integración.

      Te recomendamos que configures el acceso con permisos suplantados. Para obtener más información, consulta Suplantación y EWS en Exchange en la documentación del producto de Microsoft.

    2. Para acceder a otros buzones, asigna los siguientes roles de Exchange al usuario (buzón) configurado para la integración:

Integra Exchange Server con Google SecOps

Si quieres obtener instrucciones para instalar y configurar la integración en Google SecOps, consulta Configura integraciones.

Entradas de integración

La integración del servidor de Exchange requiere los siguientes parámetros:

Parámetro Descripción
Mail Server Address Obligatorio

Dirección de un servidor de correo electrónico (nombre de host o dirección IP) al que se conectará.
Mail address Obligatorio

Es una dirección de correo electrónico que se usa en la integración para trabajar con los correos electrónicos enviados y recibidos en el buzón.
Username Obligatorio

Nombre de usuario para autenticarse en el servidor de correo, como exchange_onprem_test@exlab.local.
Password Obligatorio

Contraseña para autenticarse en el servidor de correo.

Acciones

Las acciones que se mencionan en esta sección se dividen en dos categorías:

  1. Son las acciones comunes de integración de Exchange.

  2. Son acciones específicas de la función de bloqueo de remitentes y dominios de Exchange.

Permisos necesarios

Para conocer los permisos mínimos necesarios para ejecutar acciones comunes, consulta la siguiente tabla:

Acción Permisos necesarios
Borrar correo

ApplicationImpersonation

Mailbox Search
Descargar archivo adjunto

ApplicationImpersonation


Mailbox Search
Buscar correos electrónicos

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

Para conocer los permisos mínimos necesarios para ejecutar acciones desde la función de bloqueo de remitentes y dominios, consulta la siguiente tabla:

Acción Permisos necesarios
Agrega remitentes a la regla de la carpeta Recibidos de Exchange-Siemplify EDiscovery Group
Author
Agrega remitentes a la regla de la carpeta Recibidos de Exchange-Siemplify EDiscovery Group
Author
Borra las reglas de la bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author
Enumera las reglas de la bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author
Cómo quitar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author
Cómo quitar remitentes de las reglas de la bandeja de entrada de Exchange-Siemplify EDiscovery Group
Author

Borrar correo

Usa la acción Delete Mail para borrar uno o varios correos electrónicos que coincidan con los criterios de búsqueda de un buzón.

La eliminación de correos electrónicos se puede aplicar al primer correo electrónico que coincida con los criterios de búsqueda o a todos los correos electrónicos que coincidan.

Para conocer los permisos necesarios para ejecutar esta acción, consulta la sección permisos de acción de este documento.

Si el usuario no está conectado, es posible que la acción no borre el mensaje de su cliente de Outlook hasta que el usuario se vuelva a conectar y sincronice su buzón.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Borrar correo requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Es una carpeta de la casilla de correo en la que se buscará un correo electrónico.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.
Message IDs Optional

Es una condición de filtro para buscar correos electrónicos con IDs específicos.

Este parámetro acepta una lista de IDs de mensajes separados por comas para buscar.

Si proporcionas el ID del mensaje, la acción ignorará los parámetros Subject Filter, Sender Filter y Recipient Filter.
Subject Filter Optional

Es una condición de filtro que especifica el asunto del correo electrónico que se buscará.
Sender Filter Optional

Es una condición de filtro que especifica el remitente de los correos electrónicos solicitados.
Recipient Filter Optional

Es una condición de filtro que especifica el destinatario de los correos electrónicos solicitados.
Delete All Matching Emails Optional

Si se selecciona, la acción borrará todos los correos electrónicos que coincidan con los criterios. Si no se selecciona, la acción borra solo el primer correo electrónico que coincide.

No está seleccionada de forma predeterminada.
Delete from all mailboxes Optional

Si se selecciona, la acción borra los correos electrónicos de todos los buzones a los que se puede acceder con la configuración de suplantación actual.
How many mailboxes to process in a single batch Obligatorio

Cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

Si seleccionaste el parámetro Delete from all mailboxes, la acción funciona en lotes.

El valor predeterminado es 25.
Time Frame (minutes) Optional

Período en minutos durante el que se buscarán correos electrónicos.

Resultados de la acción

La acción Borrar correo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Delete Mail puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
NUMBER_OF_EMAILS email(s) were deleted successfully. La acción se completó correctamente.
Error deleting emails.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Delete Mail:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Descargar archivos adjuntos

Usa la acción Download Attachments para descargar los archivos adjuntos de un correo electrónico a una ruta específica en el servidor de Google SecOps. La acción reemplaza automáticamente los caracteres de barra inversa o espacio en los nombres de los archivos adjuntos descargados por el carácter de guion bajo.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Download Attachments requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Es una carpeta de la casilla de correo en la que se buscará un correo electrónico.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.
Download Path Obligatorio

Es una ruta de acceso en el servidor de Google SecOps para descargar archivos adjuntos de correos electrónicos.
Message IDs Optional

Es una condición de filtro para buscar correos electrónicos con IDs específicos.

Este parámetro acepta una lista de IDs de mensajes separados por comas para buscar.

Si proporcionas el ID del mensaje, la acción ignora el parámetro Subject Filter.
Subject Filter Optional

Es una condición de filtro que especifica el asunto del correo electrónico que se buscará.
Sender Filter Optional

Es una condición de filtro que especifica el remitente de correo electrónico que se debe buscar.
Only Unread Optional

Si se selecciona, la acción descarga archivos adjuntos solo de los correos electrónicos no leídos.

No está seleccionada de forma predeterminada.
Download Attachments from EML Optional

Si se selecciona, la acción descarga los archivos adjuntos de los archivos EML adjuntos.

No está seleccionada de forma predeterminada.
Download Attachments to unique path? Optional

Si se selecciona, la acción descarga los archivos adjuntos en una ruta de acceso única con el valor proporcionado en el parámetro Download Path para evitar sobrescribir los archivos adjuntos descargados anteriormente.

No está seleccionada de forma predeterminada.
Search in all mailboxes Optional

Si se selecciona, la acción ejecuta una búsqueda en todos los buzones a los que se puede acceder con la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Obligatorio

Cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

Si seleccionaste el parámetro Search in all mailboxes, la acción funciona en lotes.

El valor predeterminado es 25.
Mailboxes Optional

Es una lista de buzones de correo separados por comas en los que se realizará la búsqueda.

Este parámetro tiene prioridad sobre el parámetro Search in all mailboxes.

Resultados de la acción

La acción Descargar archivos adjuntos proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Descargar archivos adjuntos:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
Mensajes de salida

La acción Download Attachments puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS La acción se completó correctamente.
Failed to download email attachments, the error is: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Descargar archivos adjuntos:

Nombre del resultado de la secuencia de comandos Valor
file_paths Es una cadena de rutas de acceso completas separadas por comas a los archivos adjuntos guardados.

Cómo extraer datos de EML

Usa la acción Extract EML Data para extraer datos de los archivos adjuntos EML de correos electrónicos.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Extract EML Data requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Es la carpeta desde la que se recuperará un correo electrónico.

El valor predeterminado es Inbox.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.
Message ID Obligatorio

ID del mensaje, como 1701cf01ba314032b2f1df43262a7723@example.com.
Regex Map JSON Optional

Expresión regular para seleccionar correos electrónicos según la coincidencia con la parte del cuerpo del correo electrónico, por ejemplo, {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}.

Resultados de la acción

La acción Extract EML Data proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado en JSON que se recibe cuando se usa la acción Extract EML Data:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Extract EML Data:

Nombre del resultado de la secuencia de comandos Valor
eml_data EML_DATA

Generar token

Usa la acción Generate Token para obtener un token de actualización para la configuración de la integración con autenticación de OAuth. Usa la URL de autorización que recibiste en la acción Get Authorization.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Generate Token requiere los siguientes parámetros:

Parámetro Descripción
Authorization URL Obligatorio

URL de autorización recibida en la acción Get Authorization para solicitar un token de actualización.

Resultados de la acción

La acción Generate Token proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Generate Token puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. La acción se completó correctamente.
Failed to get the refresh token! The Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Generate Token:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Obtener la configuración de la cuenta fuera de las instalaciones

Usa la acción Get Account Out Of Facility Settings para obtener la configuración de fuera de las instalaciones (OOF) de la cuenta para la entidad User de Google SecOps proporcionada.

Si la entidad del usuario objetivo es un nombre de usuario y no un correo electrónico, ejecuta la acción Active Directory Enrich Entities para recuperar información sobre el correo electrónico del usuario que se almacena en Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Get Account Out Of Facility Settings proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos Disponible
Tabla de enriquecimiento de entidades Disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Tabla del muro de casos

La acción Get Account Out Of Facility Settings devuelve la siguiente tabla en un muro de casos de Google SecOps:

Nombre de la tabla: Out of Facility Settings

Columnas de la tabla:

  • Parámetro
  • Valor
Enriquecimiento de entidades

La acción Get Account Out Of Facility Settings admite el siguiente enriquecimiento de entidades:

Campo de enriquecimiento Fuente (clave JSON) Lógica
Exchange.oof_settings OofSettings La acción devuelve el estado habilitado o inhabilitado según la respuesta de la API.
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Account Out Of Facility Settings:

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
Mensajes de salida

La acción Get Account Out Of Facility Settings puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 La acción se completó correctamente.
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Obtener autorizaciones

Usa la acción Get Authorization para obtener un vínculo con el código de acceso para la configuración de integración con autenticación de OAuth. Copia el vínculo y úsalo en la acción Generate Token para obtener el token de actualización.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Get Authorization proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos Disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible

La acción Get Authorization devuelve el siguiente vínculo:

Nombre: Navega a este vínculo de autorización

Vínculo: AUTHORIZATION_LINK

Mensajes de salida

La acción Get Authorization puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. La acción se completó correctamente.
Failed to generate authorization URL! The Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Authorization:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Obtén el archivo EML de Mail

Usa la acción Get Mail EML File para recuperar un archivo EML de mensaje.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Get Mail EML File requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Es una carpeta desde la que se recuperará un correo electrónico.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.
Message ID Obligatorio

El ID del mensaje, como 1701cf01ba314032b2f1df43262a7723@example.com.
Base64 Encode Optional

Si se selecciona, la acción codifica el archivo de correo en formato base64.

No está seleccionada de forma predeterminada.

Resultados de la acción

La acción Get Mail EML File proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de secuencia de comandos Disponible
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Mail EML File:

Nombre del resultado de la secuencia de comandos Valor
eml_info EML_INFORMATION

Mover correo a carpeta

Usa la acción Move Mail to Folder para mover uno o varios correos electrónicos de la carpeta de correo electrónico de origen a otra carpeta en un buzón.

Según el caso de uso, la acción devuelve una cantidad diferente de información sobre los correos electrónicos procesados en el resultado JSON.

Si seleccionas el parámetro Limitar la cantidad de información en el resultado JSON, el resultado JSON solo contendrá los siguientes campos de correo electrónico: datetime_received, message_id, sender, subject y to_recipients. De lo contrario, el resultado JSON contiene toda la información disponible sobre el correo electrónico procesado.

Si seleccionas el parámetro Disable the Action JSON Result, la acción no devolverá el resultado en formato JSON.

La acción Move Mail to Folder no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Move Mail to Folder requiere los siguientes parámetros:

Parámetro Descripción
Source Folder Name Obligatorio

Es una carpeta de origen desde la que se moverán los correos electrónicos.
Destination Folder Name Obligatorio

Es una carpeta de destino a la que se moverán los correos electrónicos.
Subject Filter Optional

Condición de filtro para buscar correos electrónicos por asunto específico.
Message IDs Optional

Es una condición de filtro para buscar correos electrónicos con IDs específicos.

Este parámetro también acepta una lista de IDs de mensajes separados por comas para buscar.

Si proporcionas el ID del mensaje, la acción ignora el parámetro Subject Filter.
Only Unread Optional

Condición de filtro para buscar solo correos electrónicos no leídos.

No está seleccionada de forma predeterminada.
Move In All Mailboxes Optional

Si se selecciona, la acción busca y mueve correos electrónicos en todos los buzones a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Obligatorio

Cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

Si seleccionas el parámetro Move In All Mailboxes, la acción funciona en lotes.

El valor predeterminado es 25.
Time Frame (minutes) Optional

Es un período en minutos para buscar correos electrónicos.
Limit the Amount of Information Returned in the JSON Result Optional

Si se selecciona, la acción solo devuelve información sobre los campos clave del correo electrónico. Si no se selecciona, la acción devuelve información sobre todos los campos de correo electrónico.

Esta opción se selecciona de forma predeterminada.
Disable the Action JSON Result Optional

Si se selecciona, la acción no devuelve el resultado en JSON.

No está seleccionada de forma predeterminada.

Resultados de la acción

La acción Move Mail to Folder proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Move Mail to Folder puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 La acción se completó correctamente.
Error search emails: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Move Mail to Folder:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Ping

Usa la acción Ping para probar una conexión a la instancia de Microsoft Exchange.

Puedes ejecutar esta acción de forma manual y no como parte del flujo de la guía.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

N/A

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Successfully connected to the Microsoft Exchange server with the provided connection parameters! La acción se completó correctamente.
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Guardar archivos adjuntos de correo electrónico en el caso

Usa la acción Save Mail Attachments To The Case para guardar los archivos adjuntos de correos electrónicos almacenados en el buzón supervisado en el muro del caso de Google SecOps.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Save Mail Attachments To The Case requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Obligatorio

Es una carpeta de la casilla de correo en la que se buscará un correo electrónico.

Este parámetro también acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.
Message IDs Obligatorio

ID del mensaje para encontrar un correo electrónico específico y descargar sus archivos adjuntos.
Attachment To Save Optional

Si no configuras este parámetro, la acción guardará todos los archivos adjuntos de correo electrónico en el muro del caso de forma predeterminada. De lo contrario, la acción solo guardará el archivo adjunto que especificaste en el muro del caso.

Resultados de la acción

La acción Save Mail Attachments To The Case proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Save Mail Attachments To The Case puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 La acción se completó correctamente.
Failed to save the email attachments to the case, the error is: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Save Mail Attachments To The Case:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Buscar correos electrónicos

Usa la acción Search Mails para buscar correos electrónicos específicos en un buzón de correo configurado con varios criterios de búsqueda. Esta acción devuelve información sobre los correos electrónicos que se encontraron en un buzón en formato JSON.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Search Mails requiere los siguientes parámetros:

Parámetro Descripción
Folder Name Optional

Es una carpeta de la casilla de correo en la que se buscará un correo electrónico.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.
Subject Filter Optional

Es una condición de filtro que especifica el asunto del correo electrónico que se buscará.
Sender Filter Optional

Es una condición de filtro para especificar el remitente de los correos electrónicos solicitados.
Recipient Filter Optional

Es una condición de filtro para especificar el destinatario de los correos electrónicos solicitados.
Time Frame (minutes) Optional

Es un período en minutos para buscar correos electrónicos.
Only Unread Optional

Si se selecciona, la acción solo buscará correos electrónicos no leídos.

No está seleccionada de forma predeterminada.
Max Emails To Return Optional

Es la cantidad máxima de correos electrónicos que se devolverán en el resultado de la acción.
Search in all mailboxes Optional

Si se selecciona, la acción ejecuta una búsqueda en todos los buzones a los que se puede acceder con la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Obligatorio

Cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

Si seleccionas el parámetro Search in all mailboxes, la acción funciona en lotes.

El valor predeterminado es 25.
Start Time Optional

Es la fecha y hora de inicio para ejecutar la búsqueda de correos electrónicos.

El formato que se debe usar es ISO 8601. Este parámetro tiene prioridad sobre el parámetro Time Frame (minutes).
End Time Optional

Es la fecha y hora de finalización de la búsqueda de correos electrónicos.

El formato que se debe usar es ISO 8601. Si no estableces un valor y el parámetro Start Time es válido, la acción establece el valor End Time en la hora actual.
Mailboxes Optional

Es una lista de buzones de correo separados por comas en los que se realizará la búsqueda.

Este parámetro tiene prioridad sobre el parámetro Search in all mailboxes.
Message IDs Optional

Es una lista separada por comas de los IDs de los mensajes que se buscarán.

Este filtro tiene prioridad sobre otras condiciones de filtro.
Body Regex Filter Optional

Es un patrón de expresión regular que se busca en el cuerpo del correo electrónico.

Resultados de la acción

La acción Search Mails proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos Disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Tabla del muro de casos

La acción Search Mails devuelve la siguiente tabla en un muro de casos de Google SecOps:

Título de la tabla: Correos electrónicos coincidentes

Columnas de la tabla:

  • Message_id
  • Fecha de recepción
  • Remitente
  • Destinatarios
  • Asunto
  • Cuerpo del correo electrónico
  • Nombres de los archivos adjuntos (como una lista de nombres de archivos adjuntos separados por comas)

Si seleccionas el parámetro Search in all mailboxes, la acción agrega la columna Se encontró en el buzón de correo a la tabla para indicar en qué buzón de correo se encontró el correo electrónico.

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Mails:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
Mensajes de salida

La acción Search Mails puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 La acción se completó correctamente.

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Search Mails:

Nombre del resultado de la secuencia de comandos Valor
mails_json No disponible

Enviar correo electrónico y esperar (obsoleto)

Acción de enviar un correo electrónico y esperar. El campo Para se separa con comas. El nombre visible del remitente se puede configurar en el cliente en la configuración de la cuenta.

Entradas de acción

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Asunto String N/A Es el asunto del correo electrónico.
Enviar a String usuario@ejemplo.com

Es la dirección de correo electrónico del destinatario.

Si hay varias direcciones, sepáralas con comas.
CC String usuario@ejemplo.com No

Dirección de correo electrónico de Cc.

Si hay varias direcciones, sepáralas con comas.
BCC String N/A No

Dirección de correo electrónico de Cco.

Si hay varias direcciones, sepáralas con comas.
Contenido del correo String N/A Cuerpo del correo electrónico.
Recupera los archivos adjuntos de la respuesta Casilla de verificación Desmarcado No Permite adjuntar archivos desde el correo de respuesta.
Carpeta para verificar si hay respuestas String Recibidos No

El parámetro se puede usar para especificar la carpeta de correo electrónico del buzón (el buzón que se usó para enviar el correo electrónico con la pregunta) en la que se buscará la respuesta del usuario.

El parámetro también acepta una lista de carpetas separadas por comas para verificar la respuesta del usuario en varias carpetas.

El parámetro distingue mayúsculas de minúsculas.

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Mail_body N/A N/A
Resultado de JSON

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

Enviar correo electrónico

Usa la acción Send Mail para enviar un correo electrónico desde un buzón específico a una lista de destinatarios. Puedes usar esta acción para informar a los usuarios sobre lo siguiente:

  • Son alertas específicas creadas en Google SecOps.
  • Son los resultados del procesamiento de las alertas específicas.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Send Mail requiere los siguientes parámetros:

Parámetro Descripción
Subject Obligatorio

Asunto del correo electrónico
Send to Obligatorio

Lista separada por comas de las direcciones de correo electrónico de los destinatarios, como user1@example.com, user2@example.com.
CC Optional

Es una lista separada por comas de las direcciones de correo electrónico para el campo CC del correo electrónico, como user1@example.com, user2@example.com.
BCC Optional

Lista de direcciones de correo electrónico separadas por comas para el campo CCO del correo electrónico, como user1@example.com, user2@example.com.
Attachments Paths Optional

Lista separada por comas de las rutas de acceso a los archivos adjuntos almacenados en el servidor, como C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obligatorio

Cuerpo del correo electrónico.
Reply-To Recipients Optional

Es una lista de destinatarios separados por comas que se usa en el encabezado Reply-To.

La acción agrega el encabezado Reply-To para enviar respuestas por correo electrónico a direcciones de correo electrónico específicas en lugar de a la dirección del remitente del correo electrónico que se indica en el campo From.
Base64 Encoded Certificate Optional

Certificado codificado en base64 que se usa para encriptar un correo electrónico.

Para encriptar el correo electrónico, este parámetro es suficiente. Para firmar el correo electrónico, también proporciona el parámetro Base64 Encoded Signature.
Base64 Encoded Signature Optional

Es un certificado codificado en base64 que se usa para firmar un correo electrónico.

Para que la firma funcione y contenga un certificado de firma, proporciona los parámetros Base64 Encoded Signature y Base64 Encoded Certificate.

Resultados de la acción

La acción Send Mail proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Send Mail:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

Además del resultado técnico en formato JSON del objeto de correo, la acción también devuelve el ID del mensaje y la fecha en que se envió un correo electrónico. Los datos adicionales se usan en la acción Wait for Mail, si es necesario:

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
Mensajes de salida

La acción Send Mail puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Mail sent successfully. La acción se completó correctamente.
Failed to send email! The Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Send Mail:

Nombre del resultado de la secuencia de comandos Valor
Success_Inidicator No disponible

Enviar correo electrónico en HTML

Usa la acción Send Mail HTML para enviar un correo electrónico con el contenido de la plantilla HTML. El campo Send to está separado por comas.

Puedes configurar el nombre del remitente en el cliente de correo electrónico en la configuración de la cuenta.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Send Mail HTML requiere los siguientes parámetros:

Parámetro Descripción
Subject Obligatorio

Asunto del correo electrónico
Send to Obligatorio

Es una lista de direcciones de correo electrónico separadas por comas para los destinatarios del correo electrónico.
CC Optional

Es una lista separada por comas de las direcciones de correo electrónico para el campo CC del correo electrónico.
BCC Optional

Es una lista de direcciones de correo electrónico separadas por comas para el campo CCO del correo electrónico.
Attachments Paths Optional

Lista separada por comas de las rutas de acceso a los archivos adjuntos almacenados en el servidor, por ejemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obligatorio

Cuerpo del correo electrónico.

Resultados de la acción

La acción Send Mail HTML proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Enviar respuesta a la conversación

Usa la acción Send Thread Reply para enviar un mensaje como respuesta a la conversación de correo electrónico.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Send Thread Reply requiere los siguientes parámetros:

Parámetro Descripción
Message ID Obligatorio

ID del mensaje al que se enviará una respuesta.
Folder Name Obligatorio

Es una lista separada por comas de las carpetas de la casilla de correo en las que se ejecutará una búsqueda de un correo electrónico.

Puedes configurar carpetas específicas de correo, por ejemplo, Gmail/Todos para ejecutar una búsqueda en todas las carpetas del buzón de Gmail.

Además, el nombre de la carpeta debe coincidir con la carpeta de IMAP.

Si el nombre de la carpeta contiene espacios, inclúyelos entre comillas dobles.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.
Content Obligatorio

Es el contenido de la respuesta.
Attachment Paths Optional

Es una lista separada por comas de las rutas de acceso a los archivos adjuntos almacenados en el servidor.

Reply All Optional

Si se selecciona, la acción envía una respuesta a todos los destinatarios relacionados con el correo electrónico original y, además, ignora el parámetro Reply To.

Esta opción se selecciona de forma predeterminada.
Reply To Obligatorio

Es una lista separada por comas de los correos electrónicos a los que se enviará la respuesta.

Si no estableces un valor y no seleccionas el parámetro Reply All, la acción solo enviará una respuesta al remitente del correo electrónico.

Si seleccionas el parámetro Reply All, la acción lo ignorará.

Resultado de la acción

La acción Send Thread Reply proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Send Thread Reply puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. La acción se completó correctamente.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

No se pudo realizar la acción.

Marca el parámetro Reply To para enviar respuestas solo a tu dirección.
Error executing action "Send Thread Reply". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Send Thread Reply:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Envía tu voto por correo

Usa la acción Send Vote Mail para enviar correos electrónicos con opciones de respuesta preconfiguradas a los usuarios que no tienen acceso a la IU de Google SecOps en procesos automatizados.

Esta acción admite la función de votación solo si los destinatarios usan Exchange para ver y seleccionar correctamente las opciones de votación.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Send Vote Mail requiere los siguientes parámetros:

Parámetro Descripción
Subject Obligatorio

Asunto del correo electrónico
Send to Obligatorio

Lista separada por comas de las direcciones de correo electrónico de los destinatarios, como user1@example.com, user2@example.com.
CC Optional

Es una lista separada por comas de las direcciones de correo electrónico para el campo CC del correo electrónico, como user1@example.com, user2@example.com.
BCC Optional

Lista de direcciones de correo electrónico separadas por comas para el campo CCO del correo electrónico, como user1@example.com, user2@example.com.
Attachments Paths Optional

Lista separada por comas de las rutas de acceso a los archivos adjuntos almacenados en el servidor, por ejemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Question or Decision Description Obligatorio

Pregunta que se les hace a los destinatarios o decisión que deben tomar.
Structure of voting options Obligatorio

Es una estructura del voto que se envía a los destinatarios.

Los valores posibles son los siguientes:

  • Yes/No
  • Approve/Reject

El valor predeterminado es Yes/No.

Resultados de la acción

La acción Send Vote Mail proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Send Vote Mail:

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
Mensajes de salida

La acción Send Vote Mail puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 La acción se completó correctamente.
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Send Vote Mail:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Esperar correo del usuario

Usa la acción Wait for Mail From User para esperar la respuesta del usuario en función de un correo electrónico enviado con la acción Send Mail.

Esta acción funciona de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Wait for Mail From User requiere los siguientes parámetros:

Parámetro Descripción
Mail message_id Obligatorio

Es el ID del mensaje de correo electrónico.

Si el mensaje se envía con la acción Send Mail, selecciona el campo SendEmail.JSONResult|message_id como marcador de posición.
Mail Date Obligatorio

Es una marca de tiempo del correo electrónico enviado que espera la acción actual.

Si se envía un mensaje con la acción Send Mail, selecciona el campo SendEmail.JSONResult|email_date como marcador de posición.
Mail Recipients Obligatorio

Es una lista separada por comas de los destinatarios de correo electrónico de los que la acción actual espera una respuesta.

Si se envía un mensaje con la acción Send Mail, selecciona el campo SendEmail.JSONResult|to_recipients como marcador de posición.
How long to wait for recipient reply (minutes) Obligatorio

Es un período durante el cual la acción espera la respuesta del usuario antes de marcarla como agotada.

El valor predeterminado es de 1,440 minutos.
Wait for All Recipients to Reply? Optional

Si se selecciona, la acción espera respuestas de todos los destinatarios hasta que se agote el tiempo de espera o se proceda con la primera respuesta.

Esta opción se selecciona de forma predeterminada.
Wait Stage Exclude pattern Optional

Es una expresión regular para excluir respuestas específicas de la etapa de espera.

Este parámetro funciona con el cuerpo del correo electrónico.

Por ejemplo, puedes configurar la acción para que no considere los mensajes automáticos de ausencia de la oficina como respuestas de los destinatarios y, en cambio, espere una respuesta real del usuario.
Folder to Check for Reply Optional

Es una carpeta de correo electrónico del buzón de correo en la que se buscará la respuesta del usuario. La acción ejecuta una búsqueda en el buzón de correo electrónico desde el que se envió el correo electrónico que contiene una pregunta.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

Este parámetro distingue mayúsculas de minúsculas.

El valor predeterminado es Inbox.
Fetch Response Attachments Optional

Si se selecciona y la respuesta del destinatario contiene archivos adjuntos, la acción recupera la respuesta y la agrega como un archivo adjunto para el resultado de la acción.

No está seleccionada de forma predeterminada.

Resultados de la acción

La acción Wait for Mail From User proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos Disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Resultado de secuencia de comandos Disponible
Adjunto del muro de casos

La acción Wait for Mail From User devuelve el siguiente adjunto en un muro de casos de Google SecOps:

Campo de adjuntos Descripción
title

Adjunto del destinatario Respuesta de RECIPIENT_EMAIL
filename

ATTACHMENT_NAME. EXTENSION
fileContent

ATTACHED_FILE_CONTENT

El tipo de adjunto Entity se asigna al destinatario que respondió al message_id para el que el servidor de Google SecOps hace un seguimiento de las respuestas.

Resultado de JSON

Como resultado JSON, la acción devuelve una combinación de los siguientes dos resultados:

  1. Es un objeto de correo electrónico con formato JSON para el correo electrónico con una respuesta rastreada.

    La acción hace un seguimiento de la respuesta por correo electrónico con message_id.

  2. Es un resultado JSON para el proceso de seguimiento de las respuestas de los usuarios.

El método para combinar los datos de salida se define en la etapa de implementación.

El flujo para el resultado JSON del objeto de correo es el siguiente:

  1. La acción espera al menos una respuesta del usuario para continuar.

  2. Después de recibir la respuesta del primer usuario, la acción actualiza el resultado JSON y continúa con los resultados de la acción.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

El flujo del resultado del proceso de respuesta de seguimiento es el siguiente:

  1. La acción espera todas las respuestas del usuario para continuar.

  2. Después de recibir respuestas de los usuarios o alcanzar el tiempo de espera, la acción actualiza el resultado JSON.

    En este caso, si la acción está esperando respuestas de todos los destinatarios y se alcanza el tiempo de espera mientras se esperan las respuestas del usuario, la acción devuelve el error handled_timeout.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
Mensajes de salida

La acción Wait for Mail From User puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 La acción se completó correctamente.

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Espera los resultados del voto por correo

Usa la acción Wait for Vote Mail Results para esperar y recuperar las respuestas de un correo electrónico de votación que se envió con la acción Send Vote Mail. La acción Wait for Vote Mail Results reenvía las respuestas recuperadas a Google SecOps.

Para hacer un seguimiento adecuado de los resultados de la votación y recuperarlos, haz un seguimiento del correo electrónico de votación. Para obtener más información, consulta la acción Send Vote Mail.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Wait for Vote Mail Results requiere los siguientes parámetros:

Parámetro Descripción
Vote Mail message_id Obligatorio

ID del mensaje del correo electrónico de votación.

Si el mensaje se envía con la acción Send Vote Mail, selecciona el campo SendVoteMail.JSONResult|message_id como marcador de posición.
Mail Recipients Obligatorio

Es una lista separada por comas de los correos electrónicos de los destinatarios de los que la acción actual espera la respuesta.

Selecciona el campo SendVoteMail.JSONResult|to_recipients como marcador de posición.
Folder to Check for Reply Obligatorio

Es una carpeta de la casilla de correo en la que se buscará la respuesta del usuario. La acción ejecuta una búsqueda en el buzón de correo electrónico desde el que se envió el correo electrónico que contiene una pregunta.

Este parámetro también acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

Este parámetro distingue mayúsculas de minúsculas.

El valor predeterminado es Inbox.
Folder to Check for Sent Mail Obligatorio

Es una carpeta de la bandeja de entrada en la que se buscará el correo enviado. La acción ejecuta una búsqueda en el buzón de correo electrónico desde el que se envió el correo electrónico que contiene una pregunta.

Este parámetro también acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

Este parámetro distingue mayúsculas de minúsculas.

El valor predeterminado es Sent Items.
How long to wait for recipient reply (minutes) Obligatorio

Es un período durante el cual la acción espera la respuesta del usuario antes de marcarla como agotada.

El valor predeterminado es de 1,440 minutos.
Wait for All Recipients to Reply? Optional

Si se selecciona, la acción espera respuestas de todos los destinatarios hasta que se agote el tiempo de espera o se proceda con la primera respuesta.

Esta opción se selecciona de forma predeterminada.

Resultados de la acción

La acción Wait for Vote Mail Results proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Wait for Vote Mail Results:

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
Mensajes de salida

La acción Wait for Vote Mail Results puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 La acción se completó correctamente.

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Wait for Vote Mail Results:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

La funcionalidad para bloquear remitentes y dominios

Uno de los casos de uso más comunes para la administración y la seguridad del correo electrónico es contener las amenazas existentes, como los correos electrónicos de phishing, que ya se encuentran en la bandeja de entrada de la organización y, luego, bloquear un remitente o un dominio sospechoso para proteger a la organización de futuros ataques y evitar posibles incumplimientos de seguridad.

En Google SecOps, la integración de Exchange te proporciona la funcionalidad Block Sender and Domain, que consta de las siguientes etapas secuenciales:

  1. Protección dentro de la organización

    Usa la acción Block Sender by Message ID para agregar el remitente a la lista de bloqueo con el servicio Mark as Junk de EWS.

  2. Protección fuera de la organización con reglas de Recibidos

    Crea reglas de la carpeta Recibidos para agregarlas a nivel del cliente y evitar automáticamente que los correos electrónicos dañinos lleguen a los buzones de correo de tu organización.

  3. Protección fuera de la organización con reglas de la bandeja de entrada del servidor

    Crea reglas de la bandeja de entrada del servidor para evitar que los correos electrónicos sospechosos lleguen a la organización.

Puedes obtener más información sobre estas etapas en la siguiente sección.

Caso de uso

El siguiente caso de uso muestra un ejemplo de una vulneración de seguridad que es un correo electrónico sospechoso y potencialmente dañino.

Después de descubrir que un correo electrónico sospechoso y dañino comprometió varios buzones de tu organización, la rutina para controlar este tipo de amenaza es la siguiente:

  1. Aborda la amenaza con la acción Bloquear remitente por ID de mensaje.
  2. Administrar buzones vulnerados
  3. Agrega protección contra el correo electrónico sospechoso recibido en otros buzones también.

Cómo solucionar la amenaza

Para mitigar la amenaza, ejecuta la acción Block Sender by Message ID para obtener los parámetros de la investigación y más información sobre el correo electrónico sospechoso. La acción también te permite examinar solo los buzones comprometidos y controlar la amenaza que contienen.

La acción Block Sender by Message ID activa el servicio Mark as Junk de Exchange EWS para hacer lo siguiente:

  1. Mueve el correo electrónico sospechoso a la carpeta Correo no deseado.
  2. Agrega el remitente de correo electrónico a la Lista de remitentes bloqueados del buzón investigado.

Para obtener más información sobre el uso del servicio Marcar como correo no deseado, consulta Cómo agregar y quitar direcciones de correo electrónico de la Lista de remitentes bloqueados con EWS en Exchange en la documentación de productos de Microsoft.

Por un lado, corregir una amenaza con la acción Block Sender by Message ID solo se dirige a los buzones vulnerados y puede ser automático. Por otro lado, la acción no puede bloquear a un remitente en los buzones no vulnerados ni agregar dominios a la Lista de remitentes bloqueados a través de la API.

Administra las casillas de correo vulneradas

Después de corregir una amenaza, los próximos pasos son controlar los buzones comprometidos y proteger todos los buzones de la organización de cualquier remitente malicioso, incluso los potenciales.

Para controlar los buzones comprometidos, ejecuta el conjunto de acciones de reglas de la bandeja de entrada que consta de las siguientes acciones:

  1. Cómo agregar dominios a las reglas de la bandeja de entrada de Exchange-Siemplify
  2. Agrega remitentes a la regla de la bandeja de entrada de Exchange-Siemplify
  3. Cómo borrar reglas de la bandeja de entrada de Exchange-Siemplify
  4. List Exchange-Siemplify Inbox Rules
  5. Cómo quitar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify
  6. Cómo quitar remitentes de las reglas de la carpeta Recibidos de Exchange-Siemplify

Para obtener más información sobre el servicio que se usa en las acciones, consulta Administrar reglas de la bandeja de entrada en Exchange en la documentación del producto de Microsoft.

La integración de Exchange te permite usar un conjunto de las siguientes reglas predefinidas para las operaciones más comunes:

  • Siemplify – Lista de remitentes – Mover a Correo no deseado
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

Borra definitivamente los correos electrónicos de remitentes maliciosos

Para mantener la misma lista de reglas en todos los buzones, agrega las reglas para el usuario administrador. Para aplicar las reglas de administrador a otros usuarios, ejecuta la operación en todos los buzones.

Para borrar de forma permanente los correos electrónicos de remitentes maliciosos, completa los siguientes pasos:

  1. En Google SecOps, desde la cuenta de administrador, ejecuta la acción Add Senders to Exchange-Siemplify Inbox Rule. Ingresa el correo electrónico del remitente malicioso.

  2. Elige la regla adecuada de la lista para definir cómo administrar un correo electrónico sospechoso. Para borrar de forma permanente los correos electrónicos maliciosos, selecciona la regla Siemplify – Senders List – Permanently Delete.

    La acción actualiza la regla de Recibidos con el nuevo remitente malicioso.

  3. Selecciona el parámetro Perform action in all mailboxes para aplicar la regla a todos los buzones.

    Si la regla no existe en un buzón, la acción la crea. Si la regla ya existe en un buzón, la acción la actualiza con los nuevos valores de parámetros.

  4. Para agregar protección contra el correo electrónico sospechoso recibido en otros buzones y bloquear el dominio del remitente malicioso, selecciona el parámetro Should add senders' domain to the corresponding Domains List rule as well?.

  5. Revisa otros parámetros de la acción y ajústalos si es necesario.

La acción Add Senders to Exchange-Siemplify Inbox Rule actualiza varias reglas a la vez según el parámetro Mailboxes to process in one batch. La acción Add Senders to Exchange-Siemplify Inbox Rule funciona tanto en remitentes como en dominios, se aplica a todos los buzones de correo, independientemente de si se recibió un correo electrónico sospechoso, y puede ser automática.

El usuario final puede borrar las reglas aplicadas a su buzón. Cuando se aplican reglas de administrador a otros buzones, se quitan automáticamente las reglas de la bandeja de entrada privada inhabilitadas.

Las acciones para bloquear al remitente y el dominio

Antes de ejecutar las acciones para la funcionalidad de bloqueo de remitentes y dominios, configura los permisos mínimos requeridos.

Cómo agregar dominios a las reglas de la bandeja de entrada de Exchange-Siemplify

Usa la acción Add Domains to Exchange-Siemplify Inbox Rules para obtener una lista de dominios como parámetro o trabaja con la entidad Domain de Google SecOps si los parámetros están vacíos. Esta acción solo está disponible para la versión 5.6 y posteriores de Google SecOps.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

Puedes crear o actualizar una regla filtrando los dominios de tus buzones. Puedes modificar esta acción con el parámetro Rule to add Domains to.

La acción Add Domains to Exchange-Siemplify Inbox Rules modifica las reglas de la bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Si no configuras ningún parámetro y tu versión de Google SecOps es la 5.6 o una posterior, esta acción se ejecuta en la entidad Dominio.

Entradas de acción

La acción Add Domains to Exchange-Siemplify Inbox Rules requiere los siguientes parámetros:

Parámetro Descripción
Domains Optional

Es una lista de dominios separados por comas que se agregarán a la regla.
Rule to add Domains to Obligatorio

Es una regla a la que se agregarán dominios.

Si no hay ninguna regla, la acción la crea.

Los valores posibles son los siguientes:

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

El valor predeterminado es Siemplify - Domains List - Move To Junk.

Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones de correo a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Add Domains to Exchange-Siemplify Inbox Rules proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Add Domains to Exchange-Siemplify Inbox Rules puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se completó correctamente.

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Domains to Exchange-Siemplify Inbox Rules:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Agrega remitentes a la regla de la carpeta Recibidos de Exchange-Siemplify

Usa la acción Add Senders to Exchange-Siemplify Inbox Rule para obtener una lista de direcciones de correo electrónico o trabajar con la entidad User de Google SecOps si los parámetros están vacíos. Puedes usar expresiones regulares para esta acción.

Puedes crear una regla nueva filtrando los remitentes de tus buzones. Puedes modificar esta acción con el parámetro Rule to add senders to.

Antes de ejecutar esta acción, asegúrate de configurar los permisos de acción necesarios.

La acción Add Senders to Exchange-Siemplify Inbox Rule modifica las reglas de la bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Si la expresión regular de correo electrónico es válida y no configuras ningún parámetro, esta acción se ejecuta en la entidad User.

Entradas de acción

La acción Add Senders to Exchange-Siemplify Inbox Rule requiere los siguientes parámetros:

Parámetro Descripción
Senders Optional

Es una lista de direcciones de correo electrónico separadas por comas que se agregarán a la regla.

Si no estableces un valor, la acción funciona con la entidad Usuario.
Rule to add senders to Obligatorio

Es una regla a la que se agregará el remitente.

Si no hay ninguna regla, la acción la crea.

Los valores posibles son los siguientes:

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

El valor predeterminado es Siemplify - Senders List - Move To Junk.

Should add senders' domain to the corresponding Domains List rule as well? Optional

Si se selecciona, la acción agrega automáticamente los dominios de las direcciones de correo electrónico proporcionadas a las reglas de dominio correspondientes.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Add Senders to Exchange-Siemplify Inbox Rule proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Add Senders to Exchange-Siemplify Inbox Rule puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se completó correctamente.

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add Senders to Exchange-Siemplify Inbox Rule:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Bloquear remitente por ID de mensaje

Usa la acción Block Sender by Message ID para obtener una lista de IDs de mensajes como parámetro y marcar la lista como correo no deseado.

En esta acción, marcar un elemento como correo no deseado agrega la dirección del remitente de correo electrónico a la lista de remitentes bloqueados y mueve el elemento a la carpeta de correo no deseado.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

La acción Block Sender by Message ID solo es compatible con Exchange Server 2013 y versiones posteriores. Si usas una versión anterior, la acción fallará y se mostrará el mensaje correspondiente.

Debe haber un mensaje de la dirección de correo electrónico sospechosa en el buzón del usuario antes de que agregues la dirección de correo electrónico a la Lista de remitentes bloqueados o la quites de ella.

La acción Block Sender by Message ID no se ejecuta en las entidades de SecOps de Google.

Entradas de acción

La acción Block Sender by Message ID requiere los siguientes parámetros:

Parámetro Descripción
Move item to Junk folder? Obligatorio

Si se selecciona, la acción mueve los mensajes especificados a la carpeta de correo no deseado.

Esta opción se selecciona de forma predeterminada.
Message IDs Optional

Es una condición de filtro para encontrar correos electrónicos con IDs específicos.

Este parámetro acepta una lista separada por comas de los IDs de los mensajes que se marcarán como spam.

Si proporcionas el ID del mensaje, la acción ignora los parámetros Subject Filter, Sender Filter y Recipient Filter.
Mailboxes list to perform on Optional

Es una condición de filtro para ejecutar la operación en una lista específica de buzones para mejorar los tiempos.

Para marcar como correo no deseado los mensajes de varias direcciones de correo electrónico, proporciona una lista de direcciones de correo electrónico separadas por comas.

Si proporcionas una lista de buzones, la acción ignora el parámetro Perform Action in all Mailboxes.
Folder Name Optional

Es la carpeta de la bandeja de entrada en la que se buscará un correo electrónico.

Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

El valor predeterminado es Inbox.
Subject Filter Optional

Es una condición de filtro que especifica el asunto del correo electrónico que se buscará.
Sender Filter Optional

Es una condición de filtro que especifica el remitente de los correos electrónicos solicitados.
Recipient Filter Optional

Es una condición de filtro que especifica el destinatario de los correos electrónicos solicitados.
Mark All Matching Emails Optional

Si se selecciona, la acción marca todos los correos electrónicos del buzón que coinciden con los criterios. Si no se selecciona, la acción solo marcará el primer correo electrónico coincidente.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona, la acción se mueve a la carpeta de spam y bloquea los correos electrónicos del remitente en todos los buzones a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 25.
Time Frame (minutes) Optional

Período en minutos durante el que se buscarán correos electrónicos.

Resultados de la acción

La acción Block Sender by Message ID proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Block Sender by Message ID puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 La acción se completó correctamente.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

No se pudo realizar la acción.

La versión del servidor de Exchange que usas no es compatible.
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Block Sender by Message ID:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Borra las reglas de la bandeja de entrada de Exchange-Siemplify

Usa la acción Delete Exchange-Siemplify Inbox Rules para obtener un nombre de regla como parámetro y borrarlo de todos los buzones especificados.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción Delete Exchange-Siemplify Inbox Rules modifica las reglas de la carpeta Recibidos actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Delete Exchange-Siemplify Inbox Rules requiere los siguientes parámetros:

Parámetro Descripción
Rule Name To Delete Obligatorio

Es el nombre de una regla que se borrará por completo de los buzones correspondientes.

Los valores posibles son los siguientes:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones de correo a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Delete Exchange-Siemplify Inbox Rules proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Delete Exchange-Siemplify Inbox Rules puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se completó correctamente.
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Delete Exchange-Siemplify Inbox Rules:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Enumera las reglas de la bandeja de entrada de Exchange-Siemplify

Usa la acción List Exchange-Siemplify Inbox Rules para obtener un nombre de regla de las reglas de la bandeja de entrada de Exchange-Siemplify como parámetro y mostrarlo en una lista. Si no hay buzones para enumerar, la acción enumera las reglas para el usuario que accedió.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción List Exchange-Siemplify Inbox Rules modifica las reglas de la bandeja de entrada actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción List Exchange-Siemplify Inbox Rules requiere los siguientes parámetros:

Parámetro Descripción
Rule Name To List Obligatorio

Es el nombre de una regla que se incluirá en la lista de los buzones pertinentes.

Los valores posibles son los siguientes:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on Optional

Es una condición de filtro que especifica la lista de buzones de correo en los que se ejecutará la operación, para mejorar los tiempos.

Este parámetro acepta una lista separada por comas de direcciones de correo electrónico para quitar la marca de los mensajes como correo no deseado.

Si se proporciona una lista de buzones, la acción ignora el parámetro Perform action in all mailboxes.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones de correo a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción List Exchange-Siemplify Inbox Rules proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Exchange-Siemplify Inbox Rules:

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
Mensajes de salida

La acción List Exchange-Siemplify Inbox Rules puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 La acción se completó correctamente.
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Exchange-Siemplify Inbox Rules:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Cómo quitar dominios de las reglas de la bandeja de entrada de Exchange-Siemplify

Usa Remove Domains from Exchange-Siemplify Inbox Rules para obtener una lista de dominios como parámetro o trabajar en la entidad Domain si no se proporcionan los parámetros. Esta acción solo está disponible para la versión 5.6 y posteriores de Google SecOps. Puedes quitar los dominios proporcionados de las reglas existentes.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción Remove Domains from Exchange-Siemplify Inbox Rules modifica las reglas de la carpeta Recibidos actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Si no configuras ningún parámetro, esta acción se ejecuta en la entidad Dominio de Google SecOps.

Entradas de acción

La acción Remove Domains from Exchange-Siemplify Inbox Rules requiere los siguientes parámetros:

Parámetro Descripción
Domains Optional

Es una lista de dominios separados por comas que se quitarán de la regla.

Si no estableces un valor, la acción funcionará con entidades.
Rule to remove Domains from Obligatorio

Es una regla de la que se quitarán dominios.

Si no estableces una regla, la acción fallará.

Los valores posibles son los siguientes:

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

El valor predeterminado es Siemplify – Domains List – Move To Junk.

Remove Domains from all available Rules Optional

Si se selecciona, la acción busca los dominios proporcionados en todas las reglas de la bandeja de entrada de Google SecOps.

No está seleccionada de forma predeterminada.
Mailboxes list to perform on Optional

Es una condición de filtro que especifica la lista de buzones de correo en los que se ejecutará la operación, para mejorar los tiempos.

Este parámetro acepta una lista separada por comas de direcciones de correo electrónico para quitar la marca de los mensajes como correo no deseado.

Si proporcionas una lista de buzones, la acción ignora el parámetro Perform action in all mailboxes.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones de correo a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Remove Domains from Exchange-Siemplify Inbox Rules proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Remove Domains from Exchange-Siemplify Inbox Rules puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se completó correctamente.

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Remove Domains from Exchange-Siemplify Inbox Rules:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Cómo quitar remitentes de las reglas de la bandeja de entrada de Exchange-Siemplify

Remove Senders from Exchange-Siemplify Inbox Rules usa una lista de remitentes de correo electrónico como parámetro o trabaja con la entidad User si no se proporcionan los parámetros.

Puedes quitar los remitentes proporcionados de las reglas existentes.

Antes de ejecutar esta acción, configura los permisos de acción necesarios.

La acción Remove Senders from Exchange-Siemplify Inbox Rules modifica las reglas de la carpeta Recibidos actuales de tus usuarios con EWS.

Esta acción se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Si no se proporcionan parámetros, esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acción

La acción Remove Senders from Exchange-Siemplify Inbox Rules requiere los siguientes parámetros:

Parámetro Descripción
Senders Optional

Lista de direcciones de correo electrónico separadas por comas que se quitarán de la regla.

Si no estableces un valor, la acción funciona con la entidad Usuario.
Rule to remove senders from Obligatorio

Es una regla de la que se quitarán los remitentes.

Si no estableces una regla, la acción fallará.

Los valores posibles son los siguientes:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

El valor predeterminado es Siemplify – Senders List – Move To Junk.
Remove senders from all available rules Optional

Si se selecciona, la acción busca los remitentes proporcionados en todas las reglas de la bandeja de entrada de Google SecOps.

No está seleccionada de forma predeterminada.
Should remove senders' domain from the corresponding Domains List rule as well? Optional

Si se selecciona, la acción quita automáticamente los dominios de las direcciones de correo electrónico proporcionadas de las reglas de dominio correspondientes.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 50.

Resultados de la acción

La acción Remove Senders from Exchange-Siemplify Inbox Rules proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Remove Senders from Exchange-Siemplify Inbox Rules puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 La acción se completó correctamente.

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Remove Senders from Exchange-Siemplify Inbox Rules:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Desbloquear al remitente por ID de mensaje

Usa la acción Unblock Sender by Message ID para obtener una lista de IDs de mensajes como parámetro y desmarcarlo como correo no deseado.

En esta acción, desmarcar un elemento como correo no deseado quita la dirección de correo electrónico del remitente de la Lista de remitentes bloqueados. Para volver a mover un elemento a la carpeta de entrada, selecciona el parámetro Move items back to Inbox? en los parámetros de acción.

La función Unblock Sender by Message ID se ejecuta de forma asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.

Esta acción solo admite Exchange Server 2013 y versiones posteriores. Si usas una versión anterior, la acción fallará y se mostrará el mensaje correspondiente.

Debe haber un mensaje de la dirección de correo electrónico sospechosa en el buzón del usuario antes de que agregues la dirección de correo electrónico a la Lista de remitentes bloqueados o la quites de ella.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Unblock Sender by Message ID requiere los siguientes parámetros:

Parámetro Descripción
Move items back to Inbox? Obligatorio

Si se selecciona, la acción mueve los mensajes especificados a la carpeta de Recibidos.

Esta opción se selecciona de forma predeterminada.
Message IDs Optional

Es una condición de filtro para desmarcar correos electrónicos con IDs específicos.

Este parámetro también acepta una lista separada por comas de IDs de mensajes para desmarcar correos electrónicos como spam.

Si proporcionas el ID del mensaje, la acción ignorará los parámetros Subject Filter, Sender Filter y Recipient Filter.
Mailboxes list to perform on Optional

Es una condición de filtro para ejecutar la operación en una lista específica de buzones para mejorar los tiempos.

Para marcar como correo no deseado los mensajes de varias direcciones de correo electrónico, proporciona una lista de direcciones de correo electrónico separadas por comas.

Si proporcionas una lista de buzones, la acción ignora el parámetro Perform action in all mailboxes.
Folder Name Optional

Es una carpeta de la casilla de correo en la que se buscará un correo electrónico.

Este parámetro acepta una lista de carpetas separadas por comas desde las que se moverá el elemento.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

El valor predeterminado es Junk Email.
Subject Filter Optional

Es una condición de filtro que especifica el asunto del correo electrónico que se buscará.
Sender Filter Optional

Es una condición de filtro que especifica el remitente de los correos electrónicos solicitados.
Recipient Filter Optional

Es una condición de filtro que especifica el destinatario de los correos electrónicos solicitados.
Unmark All Matching Emails Optional

Si se selecciona, la acción desmarca todos los correos electrónicos del buzón que coinciden con los criterios. Si no se selecciona, la acción desmarca solo el primer correo electrónico coincidente.

No está seleccionada de forma predeterminada.
Perform action in all mailboxes Optional

Si se selecciona, la acción se aplica a todos los buzones de correo a los que se puede acceder a través de la configuración de suplantación actual.

No está seleccionada de forma predeterminada.
How many mailboxes to process in a single batch Optional

Si seleccionas el parámetro Perform action in all mailboxes, la acción funciona en lotes.

Este parámetro define la cantidad de buzones de correo que se procesarán en un solo lote (una sola conexión al servidor de correo).

El valor predeterminado es 25.
Time Frame (minutes) Optional

Es un período en minutos para buscar correos electrónicos.

Resultados de la acción

La acción Unblock Sender by Message ID proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Unblock Sender by Message ID puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

La acción se completó correctamente.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

No se pudo realizar la acción.

La versión del servidor de Exchange que usas no es compatible.
Error performing action: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Unblock Sender by Message ID:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Conectores

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Ingiere tus datos (conectores).

Cuando configures conectores y acciones, presta atención a los espacios y los símbolos especiales en tus credenciales. Si la integración rechaza tus credenciales, verifica la ortografía.

Para configurar el conector seleccionado, usa los parámetros específicos del conector que se enumeran en las siguientes tablas:

Conector de EML de Exchange

El conector de EML de Exchange recupera correos electrónicos del servidor de Exchange y los analiza. Si hay archivos EML adjuntos, el conector los adjunta al caso como eventos. Si hay varios archivos adjuntos EML en el correo electrónico, el conector crea varios casos y procesa cada archivo adjunto como un evento para cada caso.

Restricciones conocidas

  1. Microsoft 365 y autenticación básica

    • El conector de EML de Exchange ya no admite la autenticación básica y no se puede usar con Microsoft 365. Para Microsoft 365, usa el conector de correo de Exchange v2 con OAuth.

  2. A continuación, se indican los detalles del conector de EML de Exchange:

    • El conector crea alertas de SecOps de Google solo a partir de correos electrónicos que contienen archivos adjuntos EML o MSG.

    • El conector ignora los correos electrónicos que no contienen archivos adjuntos.

Entradas del conector

El conector de EML de Exchange requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Es el nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
EventClassId Obligatorio

Es el nombre de un campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Server IP Obligatorio

Es la dirección IP del servidor al que se conectará.
Domain Obligatorio

Es un valor de dominio que se usará para la autenticación.
Username Obligatorio

Nombre de usuario del buzón de correo del que se extraerán los correos electrónicos, como user@example.com.
Password Obligatorio

Contraseña del buzón de correo electrónico del que se extraerán los correos electrónicos.

Mail Address Obligatorio

Es una dirección de correo electrónico del buzón que se supervisará.

El valor predeterminado es Inbox.
Verify SSL Optional

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.
Use Domain for Authentication Optional

Si se selecciona, la integración usa el dominio como parte de las credenciales de autenticación, como user@domain.

Esta opción se selecciona de forma predeterminada.
Unread Emails Only Optional

Si se selecciona esta opción, los casos se crearán solo a partir de los correos electrónicos no leídos.

No está seleccionada de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, los correos electrónicos se marcan como leídos después de la transferencia.

No está seleccionada de forma predeterminada.
Max Days Backwards Optional

Cantidad de días anteriores a la primera iteración del conector desde la que se recuperarán los correos electrónicos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de que lo habilitas por primera vez.
PythonProcessTimeout Obligatorio

Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta el script actual.

El valor predeterminado es 30 segundos.
Folder Name Optional

Es el nombre de una carpeta en la que se ejecutará una búsqueda.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

El valor predeterminado es Inbox.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se establece en "".

Environment Regex Pattern Optional

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares.

Usa el valor predeterminado .* para recuperar el valor Environment Field Name sin procesar requerido.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Encode Data as UTF-8 Optional

Si se selecciona, la integración codifica los datos de correo electrónico con UTF-8. Se recomienda seleccionar este parámetro.

Esta opción se selecciona de forma predeterminada.
Attach EML or MSG File to the Case Wall Optional

Si se selecciona, la integración adjunta el archivo EML o MSG reenviado al muro del caso en Google SecOps.

No está seleccionada de forma predeterminada.
Exclusion Body Regex Optional

Es una expresión regular para excluir los correos electrónicos cuyo cuerpo coincida con el valor proporcionado.

Por ejemplo, la expresión regular '([N|n]ewsletter)|([O|o]ut of office)' excluye todos los correos electrónicos que contienen las palabras clave Boletín informativo o Fuera de la oficina.
Proxy Server Address Optional

Es la dirección del servidor proxy que se usará.
Proxy Username Optional

Nombre de usuario del proxy con el que se realizará la autenticación.
Proxy Password Optional

Contraseña del proxy para la autenticación.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo electrónico. Este parámetro también permite que el conector extraiga URLs complejas, pero no las URLs de la parte de texto sin formato del correo electrónico.

Las URLs extraídas están disponibles en el campo del evento urls_from_html_part.

No está seleccionada de forma predeterminada.

Reglas del conector

  • El conector de EML de Exchange no admite reglas de listas de bloqueo ni listas dinámicas.

  • El conector de EML de Exchange admite proxies.

Conector de Exchange Mail

Usa el conector de Exchange Mail para comunicarte con el servidor de Exchange, buscar correos electrónicos casi en tiempo real y reenviarlos para que se traduzcan y contextualicen como alertas en los casos de Google SecOps.

En esta sección, se hace referencia a la comunicación con un servidor de Microsoft Exchange 2007-2019 o Microsoft 365 a través de los Servicios web de Exchange (EWS) y se explica cómo Google SecOps interactúa con la interfaz de Exchange Mail y los flujos de trabajo y las actividades asistidos dentro de la aplicación.

El conector de correo de Exchange permite recuperar correos electrónicos del servidor de Exchange configurado que analiza cada servidor y, luego, crea casos nuevos. En cada situación, se incluye al menos una ocurrencia de correo electrónico inicial. La principal diferencia es que el conector de Exchange Mail quita correos electrónicos y genera eventos que analizan los datos de EML o MSG en los correos electrónicos originales del servidor de Exchange.

Restricciones conocidas

  1. Microsoft 365 y autenticación básica

    • El conector de correo de Exchange ya no admite la autenticación básica y no se puede usar con Microsoft 365. Para Microsoft 365, usa el conector de correo de Exchange v2 con OAuth.

  2. A continuación, se indican los detalles del conector de Exchange Mail:

    • El conector solo crea alertas de Google SecOps a partir de los correos electrónicos originales recibidos que se encuentran en el buzón.

    • El conector ignora los archivos EML y MSG adjuntos.

Entradas del conector

El conector de correo de Exchange requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Es el nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
Event Field Name Obligatorio

Es el nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Server IP Obligatorio

Es la dirección IP del servidor al que se conectará.
Domain Obligatorio

Es un valor de dominio que se usará para la autenticación.
Username Obligatorio

Nombre de usuario del buzón de correo del que se extraerán los correos electrónicos, como user@example.com.
Password Obligatorio

Contraseña del buzón de correo electrónico del que se extraerán los correos electrónicos.

Mail Address Obligatorio

Es una dirección de correo electrónico del buzón que se supervisará.

El valor predeterminado es Inbox.
Verify SSL Optional

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.

Use Domain for Authentication Optional

Si se selecciona, el dominio se usa como parte de las credenciales de autenticación, como user@domain.

Esta opción se selecciona de forma predeterminada.
Unread Emails Only Optional

Si se selecciona, la integración crea casos solo a partir de correos electrónicos no leídos.

Esta opción se selecciona de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, la integración marcará todos los correos electrónicos transferidos como leídos.

No está seleccionada de forma predeterminada.
Max Days Backwards Optional

Cantidad de días anteriores a la primera iteración del conector desde la que se recuperarán los correos electrónicos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de que lo habilitas por primera vez.
PythonProcessTimeout Obligatorio

Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta el script actual.

El valor predeterminado es 30 segundos.
Attach Original EML Optional

Si se selecciona, el correo electrónico original se adjunta al caso como un archivo EML.

No está seleccionada de forma predeterminada.
Folder Name Optional

Es el nombre de una carpeta en la que se ejecutará una búsqueda.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

El valor predeterminado es Inbox.
Environment Field Name Optional

Es el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se establece en "".

Environment Regex Pattern Optional

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares.

Usa el valor predeterminado .* para recuperar el valor Environment Field Name sin procesar requerido.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Exclusion Subject Regex Optional

Es una expresión regular para excluir los correos electrónicos con un asunto que coincida con el valor proporcionado.

Por ejemplo, la expresión regular ([N|n]ewsletter)|([O|o]ut of office) excluye todos los correos electrónicos que contienen las palabras clave Boletín informativo o Fuera de la oficina en el asunto.
Exclusion Body Regex Optional

Es una expresión regular para excluir los correos electrónicos con un cuerpo que coincida con el valor proporcionado.

Por ejemplo, la expresión regular ([N|n]ewsletter)|([O|o]ut of office) excluye todos los correos electrónicos que contienen las palabras clave Boletín informativo o Fuera de la oficina en el cuerpo del correo electrónico.
Proxy Server Address Optional

Es la dirección del servidor proxy que se usará.
Proxy Username Optional

Nombre de usuario del proxy para la autenticación.
Proxy Password Optional

Contraseña del proxy para la autenticación.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo electrónico. Este parámetro permite que el conector extraiga URLs complejas, pero no las URLs de la parte de texto sin formato del correo electrónico.

Las URLs extraídas están disponibles en el campo del evento urls_from_html_part.

No está seleccionada de forma predeterminada.

Configura reglas de listas dinámicas

En la sección de la lista dinámica, para extraer valores específicos de los correos electrónicos con expresiones regulares, agrega una regla con el siguiente formato:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Por ejemplo, para extraer el ID del mensaje del correo electrónico, ingresa la siguiente regla:

message-id: (?<=Message-ID: ).*

Reglas del conector

  • El conector de correo de Exchange admite proxies.

  • El conector de Exchange Mail no admite la regla de lista de bloqueo.

  • La integración de Exchange usa la sección de listas dinámicas para definir expresiones regulares y habilitar lo siguiente:

    • Analiza el contenido del correo electrónico.
    • Agrega campos específicos según la expresión regular que coincida con el evento de correo electrónico.

Exchange Mail Connector v2

Usa Exchange Mail Connector v2 para conectarte al servidor de correo y buscar correos electrónicos nuevos en un buzón específico.

Si aparece un correo electrónico nuevo, se activa el conector para crear y transferir a Google SecOps una alerta nueva que contiene información del correo electrónico nuevo.

Si no hay correos electrónicos nuevos, el Exchange Mail Connector v2 completa la iteración actual y espera durante un período definido antes de la próxima ejecución de la iteración.

Flujo de iteración del conector

Después de cada ejecución, el Exchange Mail Connector v2 actualiza el archivo de marca de tiempo con la fecha y la hora de la última ejecución. El Exchange Mail Connector v2 extrae información útil para un caso del correo electrónico como un resultado técnico de objeto de correo, como los siguientes:

  • Remitente y destinatario del correo electrónico
  • Asunto del correo electrónico.
  • Cuerpo del correo electrónico.
  • URLs en el correo electrónico
  • Archivos adjuntos, si los hay

Una vez que el Exchange Mail Connector v2 crea las alertas (casos) para transferirlas a Google SecOps, se completa la iteración del conector.

Según los datos del caso proporcionados por Exchange Mail Connector v2, el servidor de Google SecOps ejecuta procedimientos de ETL para transferir alertas nuevas y crear o actualizar casos. Si hay guías relacionadas definidas, Google SecOps ejecuta guías para enriquecer el caso, generar estadísticas y realizar acciones automáticas.

Cómo trabajar con las plantillas de nombre de alerta y de nombre de caso

Los parámetros Alert Name Template y Case Name Template te permiten anular la forma en que se crean el nombre de la alerta y el caso. Solo la primera alerta establece el nombre del caso o de la alerta. Las demás alertas posteriores no afectan el nombre.

El siguiente es un ejemplo de un evento de SecOps de Google:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para crear un nombre personalizado para una alerta de Google SecOps, usa la siguiente plantilla:

[EVENT_TYPE] - [EVENT_NAME]

Por ejemplo, para crear una alerta de Google SecOps llamada Phishing – Example Event, la plantilla es la siguiente:

[Phishing] - [Example Event]

Entradas del conector

En Exchange Mail Connector v2, los siguientes parámetros pueden afectar el procesamiento de correos electrónicos:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para asignar los campos to y from de los correos electrónicos procesados, el conector crea los siguientes conjuntos de campos:

  1. Campos to y from normales que contienen direcciones de correo electrónico en el siguiente formato: email@example

  2. Campos to_raw y from_raw que contienen solo la dirección de correo electrónico como valor en el siguiente formato: email@example.

El conector de Exchange Mail v2 requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

El nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
Event Field Name Obligatorio

Es el nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Mail Server Address Obligatorio

Es la dirección IP de un servidor de correo electrónico al que se puede conectar.

Cuando te conectes a Microsoft 365, establece la dirección del servidor en outlook.office365.com.
Verify SSL Optional

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.
Mail Address Obligatorio

Es una dirección de correo electrónico del buzón que se supervisará.

El valor predeterminado es Inbox.
Use Domain for Authentication Optional

Si se selecciona, el dominio se usa como parte de las credenciales de autenticación, como user@domain.

Esta opción se selecciona de forma predeterminada.
Domain Obligatorio

Es un valor de dominio que se usará para la autenticación.
Username Obligatorio

Nombre de usuario del buzón de correo del que se extraerán los correos electrónicos, como user@example.com.
Password Obligatorio

Contraseña del buzón de correo electrónico del que se extraerán los correos electrónicos.
Unread Emails Only Optional

Si se selecciona esta opción, los casos se crearán solo a partir de los correos electrónicos no leídos.

Esta opción se selecciona de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, los correos electrónicos se marcan como leídos después de la transferencia.

No está seleccionada de forma predeterminada.
Offset Time In Days Obligatorio

Cantidad de días anteriores a la primera iteración del conector desde la que se recuperarán los correos electrónicos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de que lo habilitas por primera vez.

El valor predeterminado es 5.
Max Emails Per Cycle Obligatorio

Es la cantidad de correos electrónicos que se recuperarán en una sola iteración del conector.

El valor predeterminado es 10.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se establece en "".

Environment Regex Pattern Optional

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares.

Usa el valor predeterminado .* para recuperar el valor Environment Field Name sin procesar requerido.

Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es "".
Headers to add to events Optional

Es una cadena separada por comas que especifica qué encabezados de correo electrónico se agregarán a los eventos.

Puedes proporcionar valores como coincidencias exactas o establecerlos como una expresión regular.
Email Exclude Pattern Optional

Es una expresión regular para excluir correos electrónicos específicos de la transferencia.

Este parámetro funciona con el asunto y el cuerpo del correo electrónico. Puedes usar este parámetro para evitar la transferencia de correos electrónicos masivos, como noticias.
PythonProcessTimeout Obligatorio

Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta el script actual.

El valor predeterminado es 60 segundos.
Folder to check for emails Obligatorio

Es una carpeta de correo electrónico en la que se buscarán los correos electrónicos. Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

Este parámetro distingue mayúsculas de minúsculas.

El valor predeterminado es Inbox.
Attach Original EML Optional

Si se selecciona, la integración adjunta el correo electrónico original al caso como un archivo EML.

No está seleccionada de forma predeterminada.
Fetch Backwards Time Interval (minutes) Optional

Es un intervalo que el conector usa para recuperar eventos del período configurado en minutos antes del momento actual. El valor de este parámetro es una marca de tiempo de la última iteración del conector.

Ajusta este valor según el entorno, por ejemplo, 60 minutos o menos.

El valor predeterminado es 0.
Proxy Server Address Optional

Es la dirección del servidor proxy que se usará.
Proxy Username Optional

Nombre de usuario del proxy para la autenticación.
Proxy Password Optional

Contraseña del proxy para la autenticación.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo electrónico. Este parámetro permite que el conector extraiga URLs complejas, pero no las URLs de la parte de texto sin formato del correo electrónico.

Las URLs extraídas están disponibles en el campo del evento urls_from_html_part.

No está seleccionada de forma predeterminada.
Disable Overflow Optional

Si se selecciona, el conector ignora el mecanismo de desbordamiento.

No está seleccionada de forma predeterminada.
Original Received Mail Prefix Optional

Es un prefijo que se agrega a las claves de eventos extraídas, por ejemplo, para, de o asunto del correo electrónico original recibido en el buzón supervisado.

El valor predeterminado es orig.
Attached Mail File Prefix Optional

Es un prefijo que se agrega a las claves de eventos extraídas, por ejemplo, para, de o asunto del archivo de correo electrónico adjunto que se recibió en el buzón supervisado.

El valor predeterminado es attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Si se selecciona esta opción, el conector crea varias alertas, una por cada archivo de correo electrónico adjunto.

Si seleccionas este parámetro, Google SecOps procesa los correos electrónicos con varios archivos adjuntos y crea entidades a partir de ellos.

No está seleccionada de forma predeterminada.
Case Name Template Optional

Es el nombre de un caso personalizado.

Cuando configuras este parámetro, el conector agrega una clave nueva llamada custom_case_name al evento de Google SecOps.

Puedes proporcionar marcadores de posición en el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox].

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. El conector procesa solo las claves que contienen el valor de cadena.
Alert Name Template Optional

Es el nombre de una alerta personalizada.

Puedes proporcionar marcadores de posición en el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox].

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. Solo se controlan las claves que contienen el valor de cadena. Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado.
Email Padding Period (minutes) Optional

Es un período para que el conector recupere correos electrónicos antes de la marca de tiempo más reciente.
URL Regex Obligatorio

Es el conector de expresiones regulares que se usa para analizar las URLs de los correos electrónicos procesados.

Reglas del conector

  • El conector de Exchange Mail v2 admite proxy.

  • El conector de Exchange Mail v2 no admite la regla de lista de bloqueo.

  • La integración de Exchange usa la sección de listas dinámicas para definir expresiones regulares que permiten lo siguiente:

    • Analiza el contenido del correo electrónico.
    • Agrega campos específicos basados en las coincidencias de la expresión regular al evento de correo electrónico.

Conector de Exchange Mail v2 con autenticación de OAuth

Usa el conector de correo de Exchange v2 con OAuth para supervisar buzones específicos en servidores de correo de Microsoft 365 que requieren autenticación de OAuth. Puedes usar las acciones Get Authorization y Generate Token para obtener el token de actualización necesario para la configuración del conector.

Para ejecutar el conector de Exchange Mail v2 con OAuth, configura la integración para que admita la autenticación de OAuth.

Cómo trabajar con las plantillas de nombre de alerta y de nombre de caso

Los parámetros Alert Name Template y Case Name Template te permiten anular la forma en que se crean el nombre de la alerta y el caso.

El siguiente es un ejemplo de un evento de SecOps de Google:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para crear un nombre personalizado para una alerta de Google SecOps, usa la siguiente plantilla:

[EVENT_TYPE] - [EVENT_NAME]

Por ejemplo, para crear una alerta de Google SecOps llamada Phishing – Example Event, la plantilla es la siguiente:

[Phishing] - [Example Event]

Entradas del conector

En Exchange Mail Connector v2 with OAuth, los siguientes parámetros pueden afectar el procesamiento de correos electrónicos:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para asignar los campos to y from de los correos electrónicos procesados, el conector crea los siguientes dos conjuntos de campos:

  1. Campos to y from normales que contienen direcciones de correo electrónico, como email@example.

  2. Campos to_raw y from_raw que solo contienen una dirección de correo electrónico como valor, como email@example.

El conector de Exchange Mail v2 con OAuth requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name Obligatorio

Es el nombre del campo en el que se almacena el nombre del producto.

El valor predeterminado es device_product.
Event Field Name Obligatorio

Es el nombre del campo que se usa para determinar el nombre del evento (subtipo).

El valor predeterminado es event_name.
Mail Server Address Obligatorio

Es la dirección IP de un servidor de correo electrónico al que se puede conectar.

Cuando te conectes a Microsoft 365, establece la dirección del servidor en outlook.office365.com.
Mail Address Obligatorio

Es una dirección de correo electrónico que se usará para el conector.
Client ID Obligatorio

Para la autenticación de OAuth de Microsoft 365, se requiere un ID de aplicación (cliente) de la aplicación de Microsoft Entra que usaste para la integración.
Client Secret Obligatorio

Para la autenticación de OAuth de Microsoft 365, el secreto del cliente que proporcionaste para el flujo de autenticación.
Tenant (Directory) ID Obligatorio

Para la autenticación de OAuth de Microsoft 365, es el ID del usuario (directorio) de la aplicación de Microsoft Entra que usaste para la integración.
Refresh Token Obligatorio

Para la autenticación de OAuth de Microsoft 365, es el token de actualización que se obtiene después de generar un token.
Verify SSL Optional

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Exchange sea válido.

No está seleccionada de forma predeterminada.
Unread Emails Only Optional

Si se selecciona, la integración crea casos solo a partir de correos electrónicos no leídos.

No está seleccionada de forma predeterminada.
Mark Emails as Read Optional

Si se selecciona esta opción, el conector marcará los correos electrónicos transferidos como leídos.

No está seleccionada de forma predeterminada.
Offset Time In Days Obligatorio

Cantidad de días anteriores a la primera iteración del conector desde la que se recuperarán los correos electrónicos. Este parámetro solo se aplica una vez a la iteración inicial del conector después de que lo habilitas por primera vez.

El valor predeterminado es 5 días.
Max Emails Per Cycle Obligatorio

Es la cantidad de correos electrónicos que se recuperarán en una sola iteración del conector.

El valor predeterminado es de 10 correos electrónicos.
Environment Field Name Optional

Nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se establece en "".

Environment Regex Pattern Optional

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares.

Usa el valor predeterminado .* para recuperar el valor Environment Field Name sin procesar requerido.

Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es "".
Headers to add to events Optional

Es una cadena separada por comas que especifica qué encabezados de correo electrónico se agregarán a los eventos.

Puedes proporcionar valores como coincidencias exactas o establecerlos como una expresión regular.
Email Exclude Pattern Optional

Es una expresión regular para excluir correos electrónicos específicos de la transferencia.

Este parámetro funciona con el asunto y el cuerpo del correo electrónico. Puedes usar este parámetro para evitar la transferencia de correos electrónicos masivos, como noticias.
PythonProcessTimeout Obligatorio

Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta el script actual.

El valor predeterminado es 60.
Folder to check for emails Obligatorio

Es una carpeta de correo electrónico en la que se buscarán los correos electrónicos. Este parámetro acepta una lista de carpetas separadas por comas.

La integración de Exchange usa barras inversas como separadores para especificar subcarpetas, como folder/subfolder1/subfolder2. Para evitar el error de tiempo de espera o la falla de la acción, reemplaza las barras inversas en los nombres de carpetas o subcarpetas por otros caracteres, como guiones bajos.

Este parámetro distingue mayúsculas de minúsculas.

El valor predeterminado es Inbox.
Attach Original EML Optional

Si se selecciona, el correo electrónico original se adjunta al caso como un archivo EML.

No está seleccionada de forma predeterminada.
Fetch Backwards Time Interval (minutes) Optional

Es un intervalo que el conector usa para recuperar eventos del período configurado en minutos antes del momento actual. El valor de este parámetro es una marca de tiempo de la última iteración del conector.

Ajusta este valor según el entorno, por ejemplo, 60 minutos o menos.

El valor predeterminado es 0.
Proxy Server Address Optional

Es la dirección del servidor proxy que se usará.
Proxy Username Optional

Nombre de usuario del proxy para la autenticación.
Proxy Password Optional

Contraseña del proxy para la autenticación.
Extract urls from HTML email part? Optional

Si se selecciona esta opción, el conector intentará extraer URLs de la parte HTML del correo electrónico. Este parámetro permite que el conector extraiga URLs complejas, pero no las URLs de la parte de texto sin formato del correo electrónico.

Las URLs extraídas están disponibles en el campo del evento urls_from_html_part.

No está seleccionada de forma predeterminada.
Disable Overflow Optional

Si se selecciona, el conector ignora el mecanismo de desbordamiento.

No está seleccionada de forma predeterminada.
Original Received Mail Prefix Optional

Es un prefijo que se agrega a las claves de eventos extraídas, por ejemplo, para, de o asunto del correo electrónico original recibido en el buzón supervisado.

El valor predeterminado es orig.
Attached Mail File Prefix Optional

Es un prefijo que se agrega a las claves de eventos extraídas, por ejemplo, para, de o asunto del archivo de correo electrónico adjunto que se recibió en el buzón supervisado.

El valor predeterminado es attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Si se selecciona esta opción, el conector crea varias alertas, una por cada archivo de correo electrónico adjunto.

Si seleccionas este parámetro, Google SecOps procesa los correos electrónicos con varios archivos adjuntos y crea entidades a partir de ellos.

No está seleccionada de forma predeterminada.
Case Name Template Optional

Es el nombre de un caso personalizado.

Cuando configuras este parámetro, el conector agrega una clave nueva llamada custom_case_name al evento de Google SecOps.

Puedes proporcionar marcadores de posición en el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox].

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. El conector procesa solo las claves que contienen el valor de cadena.
Alert Name Template Optional

Parámetro para establecer un nombre de alerta personalizado.

Es el nombre de una alerta personalizada.

Puedes proporcionar marcadores de posición en el siguiente formato: [name of the field].

Ejemplo: Phishing - [event_mailbox].

En el caso de los marcadores de posición, el conector usa el primer evento de Google SecOps. Solo se controlan las claves que contienen el valor de cadena. Si no proporcionas ningún valor o una plantilla no válida, el conector usará el nombre de alerta predeterminado.
Email Padding Period (minutes) Optional

Es un período para que el conector recupere correos electrónicos antes de la marca de tiempo más reciente.

Trabajos

Antes de configurar trabajos para la integración de Exchange, asegúrate de que tu versión de la plataforma de Google SecOps los admita.

Trabajo de renovación del token de actualización

El objetivo del trabajo de renovación del token de actualización es actualizar periódicamente el token de actualización que se usa en la integración.

De forma predeterminada, el token de actualización vence cada 90 días. Se recomienda ejecutar este trabajo cada 7 o 14 días para asegurarse de que el token de actualización esté actualizado.

Entradas de trabajo

El trabajo de renovación del token de actualización requiere los siguientes parámetros:

Parámetro Descripción
Integration Environments Optional

Son los entornos de integración para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Encierra los valores individuales entre comillas (" ").
Connector Names Optional

Son los nombres de los conectores para los que el trabajo actualiza los tokens de actualización.

Este parámetro acepta varios valores como una cadena separada por comas. Encierra los valores individuales entre comillas (" ").

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.