Échange

Version de l'intégration : 102.0

Ce document explique comment intégrer Exchange à Google Security Operations SOAR.

Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie compressée du code source complet de cette intégration à partir du bucket Cloud Storage.

Configurer Exchange Online

Les prérequis et les étapes de configuration diffèrent selon que vous configurez l'intégration pour Exchange Online ou Exchange Server.

L'intégration pour Exchange Online n'est compatible qu'avec l'authentification déléguée OAuth avec des jetons délégués, ce qui nécessite une configuration supplémentaire.

Un délai maximal de 24 heures peut être nécessaire pour que les modifications apportées aux autorisations dans l'environnement Azure soient prises en compte.

Avant de commencer

Avant de configurer l'intégration Exchange Online, vous devez choisir une méthode d'authentification et suivre toutes les étapes de configuration. Choisissez l'une des méthodes suivantes :

Attribuer des autorisations pour emprunter l'identité d'un utilisateur

Cette méthode nécessite de créer une application dans Microsoft Entra ID et de lui attribuer des autorisations pour emprunter l'identité d'un seul utilisateur.

Créer une application Microsoft Entra

Pour commencer la configuration de l'usurpation d'identité, vous devez enregistrer une nouvelle application dans Microsoft Entra ID.

  1. Connectez-vous à Microsoft Azure, puis accédez à Microsoft Entra ID > Inscriptions d'applications > Nouvelle inscription.
  2. Saisissez le nom de l'application et sélectionnez un type de compte compatible.
  3. Pour l'URI de redirection, indiquez les valeurs suivantes :
    1. Plate-forme : Web
    2. URL de redirection : http://localhost
  4. Cliquez sur S'inscrire.
  5. Enregistrez les valeurs ID (client) de l'application et ID (de locataire) de l'annuaire.

Configurer les autorisations de l'API

Vous devez accorder à votre application les autorisations nécessaires pour accéder aux données utilisateur.

  1. Accédez à Autorisations de l'API > Ajouter une autorisation.
  2. Sélectionnez Microsoft Graph > Autorisations déléguées.
  3. Dans la section Sélectionner les autorisations, sélectionnez EWS, puis l'autorisation Ews.AccessAsUser.All.
  4. Cliquez sur Ajouter une autorisation > Accorder le consentement administrateur.

Créer un code secret du client

Vous devez créer un code secret du client à utiliser comme mot de passe pour votre application.

  1. Accédez à Certificats et codes secrets > Nouveau code secret du client.
  2. Indiquez une description, définissez une date d'expiration, puis cliquez sur Ajouter.
  3. Enregistrez la valeur du secret.

Attribuez des autorisations dans Exchange Online :

Pour terminer la configuration, vous devez attribuer le rôle ApplicationImpersonation à l'utilisateur dont vous souhaitez emprunter l'identité.

  1. Dans le Centre d'administration Exchange, accédez à Rôles > Rôles d'administrateur, puis recherchez le groupe de rôles contenant le rôle ApplicationImpersonation (par exemple, Gestion de la découverte).
  2. Ajoutez l'utilisateur que vous usurpez à ce groupe de rôles.

Accès délégué

Cette méthode vous oblige à accorder au compte de service des autorisations directes sur une boîte aux lettres à l'aide d'Exchange Online PowerShell.

  1. Connectez-vous à Exchange Online PowerShell.

  2. Utilisez le cmdlet Add-MailboxPermission pour attribuer des autorisations.

    Par exemple, pour accorder au compte de service un accès complet à une boîte aux lettres spécifique :

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    Pour en savoir plus, consultez Contrôle des accès basé sur les rôles pour les applications dans Exchange Online.

Intégrer Exchange Online à Google SecOps

Pour obtenir des instructions sur l'installation et la configuration de l'intégration sur Google SecOps, consultez Configurer les intégrations.

Pour intégrer Exchange Online à la plate-forme Google SecOps, vous devez effectuer les étapes suivantes dans Google SecOps :

  1. Configurez les paramètres initiaux et enregistrez-les.

  2. Générez un jeton d'actualisation :

    • Simulez un cas dans Google SecOps.

    • Exécutez l'action Get Authorization (Obtenir l'autorisation).

    • Exécutez l'action Generate Token (Générer un jeton).

  3. Saisissez le jeton d'actualisation obtenu comme valeur du paramètre Refresh Token, puis enregistrez la configuration.

Configurer les paramètres initiaux

L'intégration Exchange Online nécessite les paramètres initiaux suivants :

Paramètre Description
Mail Server Address Obligatoire

Adresse du serveur de messagerie (nom d'hôte ou adresse IP) auquel se connecter.
Mail address Obligatoire

Adresse e-mail à utiliser dans l'intégration pour travailler avec les e-mails envoyés et reçus dans la boîte aux lettres.
Client ID Obligatoire

ID d'application (client) de l'application Microsoft Entra utilisée pour l'intégration.

Il s'agit de la valeur de l'ID d'application (client) que vous avez enregistrée lors de la création de l'application Microsoft Entra.
Client Secret Obligatoire

Valeur du code secret du client de l'application Microsoft Entra utilisée pour l'intégration.

Il s'agit de la valeur du code secret du client que vous avez enregistrée lors de la création d'un code secret du client.
Tenant (Directory) ID Obligatoire

ID de répertoire (locataire) de l'application Microsoft Entra ID utilisée pour l'intégration.

Il s'agit de la valeur de l'ID de répertoire (locataire) que vous avez enregistrée lors de la création de l'application Microsoft Entra.
Redirect URL Obligatoire

URI de redirection configuré dans l'application Microsoft Entra.

Conservez la valeur par défaut http://localhost.

Une fois les paramètres configurés, cliquez sur Enregistrer.

Générer un jeton d'actualisation

Pour générer un jeton d'actualisation, vous devez effectuer des actions manuelles sur une demande existante. Si votre instance Google SecOps est nouvelle et ne comporte aucun cas existant, simulez-en un.

Simuler une demande

Pour simuler un cas dans Google SecOps, procédez comme suit :

  1. Dans le panneau de navigation de gauche, sélectionnez Demandes.

  2. Sur la page "Demandes", cliquez sur add > Simuler des demandes.

  3. Sélectionnez l'un des cas par défaut, puis cliquez sur Créer. Le cas que vous choisissez de simuler n'a pas d'importance.

  4. Cliquez sur Simuler.

    Si vous disposez d'un environnement autre que celui par défaut et que vous souhaitez l'utiliser, sélectionnez l'environnement approprié, puis cliquez sur Simuler.

  5. Dans l'onglet Demandes, cliquez sur Actualiser. Le cas que vous avez simulé apparaît dans la liste des cas.

Exécuter l'action "Obtenir l'autorisation"

Utilisez la demande Google SecOps que vous avez simulée pour exécuter manuellement l'action Obtenir l'autorisation.

  1. Dans l'onglet Demandes, sélectionnez votre demande simulée pour ouvrir une vue de la demande.

  2. Cliquez sur Action manuelle.

  3. Dans le champ Rechercher de l'action manuelle, saisissez Exchange.

  4. Dans les résultats sous l'intégration Exchange, sélectionnez Obtenir l'autorisation. Cette action renvoie un lien d'autorisation utilisé pour se connecter de manière interactive à l'application Microsoft Entra.

  5. Cliquez sur Exécuter.

  6. Une fois l'action exécutée, accédez au mur de cas de votre cas simulé. Dans l'enregistrement de l'action Exchange_Get Authorization, cliquez sur Afficher plus. Copiez le lien d'autorisation.

  7. Ouvrez une nouvelle fenêtre de navigateur en mode navigation privée et collez l'URL d'autorisation générée. La page de connexion Azure s'ouvre.

  8. Connectez-vous avec les identifiants utilisateur que vous avez sélectionnés pour l'intégration. Une fois connecté, votre navigateur vous redirige vers une adresse contenant un code dans la barre d'adresse.

    Le navigateur devrait afficher une erreur lorsque l'application vous redirige vers http://localhost.

  9. Copiez l'intégralité de l'URL avec le code d'accès à partir de la barre d'adresse.

Exécuter l'action "Générer un jeton"

Utilisez la demande Google SecOps que vous avez simulée pour exécuter manuellement l'action Generate Token (Générer un jeton).

  1. Dans l'onglet Demandes, sélectionnez votre demande simulée pour ouvrir une vue de la demande.

  2. Cliquez sur Action manuelle.

  3. Dans le champ Rechercher de l'action manuelle, saisissez Exchange.

  4. Dans les résultats sous l'intégration Exchange, sélectionnez Générer un jeton.

  5. Dans le champ Authorization URL, collez l'URL complète avec le code d'accès copié après avoir exécuté l'action Obtenir l'authentification.

  6. Cliquez sur Exécuter.

  7. Une fois l'action exécutée, accédez au mur de cas de votre cas simulé. Dans l'enregistrement de l'action Exchange_Generate Token, cliquez sur Afficher plus.

  8. Copiez l'intégralité de la valeur du jeton d'actualisation généré.

Configurer le paramètre "Jeton d'actualisation"

  1. Accédez à la boîte de dialogue de configuration de l'intégration Exchange.

  2. Saisissez la valeur du jeton d'actualisation que vous avez obtenue lorsque vous avez exécuté l'action Generate Token (Générer un jeton) dans le champ Refresh Token (Jeton d'actualisation).

  3. Cliquez sur Enregistrer.

  4. Cliquez sur Tester pour vérifier si la configuration est correcte et si l'intégration fonctionne comme prévu.

Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois configurées, les instances peuvent être utilisées dans les playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.

Configurer le serveur Exchange

Avant d'intégrer Exchange Server à Google SecOps, configurez l'authentification de base pour Exchange Server.

Pour vous authentifier auprès du serveur Exchange, utilisez un nom d'utilisateur et un mot de passe.

Configurer l'authentification de base

Pour configurer l'authentification de base, procédez comme suit :

  1. Vérifiez que le serveur Exchange (l'un des serveurs du cluster) est accessible depuis le serveur Google SecOps et qu'il répond aux exigences suivantes :

    • Le nom DNS du serveur Exchange est résolu.

    • L'adresse IP du serveur Exchange est accessible.

    • Les services Web Exchange (EWS) sont activés et hébergés sur un port accessible au serveur Google SecOps.

    Si le serveur Exchange n'est pas accessible depuis le serveur Google SecOps SOAR, envisagez d'utiliser un agent Google SecOps distant.

  2. Fournissez à l'intégration un nom d'utilisateur (adresse e-mail de l'utilisateur) et un mot de passe. Choisissez l'utilisateur pour l'intégration.

  3. Pour les actions qui utilisent des autorisations déléguées ou d'usurpation d'identité, procédez comme suit :

    1. Accordez un accès délégué ou par usurpation aux boîtes aux lettres requises à un compte de messagerie que vous utilisez dans l'intégration.

      Nous vous recommandons de configurer l'accès avec des autorisations d'emprunt d'identité. Pour en savoir plus, consultez Emprunt d'identité et EWS dans Exchange dans la documentation produit de Microsoft.

    2. Pour accéder à d'autres boîtes aux lettres, attribuez les rôles Exchange suivants à l'utilisateur (boîte aux lettres) configuré pour l'intégration :

Intégrer Exchange Server à Google SecOps

Pour obtenir des instructions sur l'installation et la configuration de l'intégration sur Google SecOps, consultez Configurer des intégrations.

Entrées d'intégration

L'intégration Exchange Server nécessite les paramètres suivants :

Paramètre Description
Mail Server Address Obligatoire

Adresse du serveur de messagerie (nom d'hôte ou adresse IP) auquel se connecter.
Mail address Obligatoire

Adresse e-mail utilisée dans l'intégration pour travailler avec les e-mails envoyés et reçus dans la boîte aux lettres.
Username Obligatoire

Nom d'utilisateur pour l'authentification sur le serveur de messagerie, tel que exchange_onprem_test@exlab.local.
Password Obligatoire

Mot de passe pour l'authentification sur le serveur de messagerie.

Actions

Les actions listées dans cette section sont classées en deux catégories :

  1. Actions d'intégration Exchange courantes.

  2. Actions spécifiques à la fonctionnalité de blocage d'expéditeurs et de domaines Exchange.

Autorisations requises

Pour connaître les autorisations minimales requises pour exécuter des actions courantes, consultez le tableau suivant :

Action Autorisations requises
Supprimer des e-mails

ApplicationImpersonation

Mailbox Search
Télécharger la pièce jointe

ApplicationImpersonation


Mailbox Search
Rechercher des e-mails

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

Pour connaître les autorisations minimales requises pour exécuter des actions à partir de la fonctionnalité Bloquer l'expéditeur et le domaine, consultez le tableau suivant :

Action Autorisations requises
Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify EDiscovery Group
Author
Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify EDiscovery Group
Author
Supprimer les règles de boîte de réception Exchange-Siemplify EDiscovery Group
Author
Lister les règles de boîte de réception Exchange-Siemplify EDiscovery Group
Author
Supprimer des domaines des règles de boîte de réception Exchange-Siemplify EDiscovery Group
Author
Supprimer des expéditeurs des règles de la boîte de réception Exchange-Siemplify EDiscovery Group
Author

Supprimer des e-mails

Utilisez l'action Supprimer des e-mails pour supprimer un ou plusieurs e-mails correspondant aux critères de recherche d'une boîte aux lettres.

La suppression d'e-mails peut s'appliquer au premier e-mail correspondant aux critères de recherche ou à tous les e-mails correspondants.

Pour connaître les autorisations requises pour exécuter cette action, consultez la section Autorisations d'action de ce document.

Si l'utilisateur est hors connexion, il est possible que l'action ne supprime pas le message de son client Outlook tant qu'il ne se reconnecte pas et ne synchronise pas sa boîte aux lettres.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Supprimer le courrier nécessite les paramètres suivants :

Paramètre Description
Folder Name Optional

Dossier de boîte aux lettres dans lequel rechercher un e-mail.

Ce paramètre accepte une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.
Message IDs Optional

Condition de filtre permettant de rechercher des e-mails avec des ID d'e-mail spécifiques.

Ce paramètre accepte une liste d'ID de messages séparés par une virgule à rechercher.

Si vous fournissez l'ID du message, l'action ignore les paramètres Subject Filter, Sender Filter et Recipient Filter.
Subject Filter Optional

Condition de filtre qui spécifie l'objet de l'e-mail à rechercher.
Sender Filter Optional

Condition de filtre qui spécifie l'expéditeur des e-mails demandés.
Recipient Filter Optional

Condition de filtre qui spécifie le destinataire des e-mails demandés.
Delete All Matching Emails Optional

Si cette option est sélectionnée, l'action supprime tous les e-mails qui correspondent aux critères. Si cette option n'est pas sélectionnée, l'action ne supprime que le premier e-mail correspondant.

(non sélectionnée par défaut).
Delete from all mailboxes Optional

Si cette option est sélectionnée, l'action supprime les e-mails de toutes les boîtes aux lettres accessibles à l'aide des paramètres d'emprunt d'identité actuels.
How many mailboxes to process in a single batch Obligatoire

Nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

Si vous avez sélectionné le paramètre Delete from all mailboxes, l'action fonctionne par lots.

La valeur par défaut est 25.
Time Frame (minutes) Optional

Période (en minutes) pendant laquelle rechercher des e-mails.

Sorties d'action

L'action Supprimer le courrier fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Supprimer le courrier peut renvoyer les messages de sortie suivants :

Message affiché Description du message
NUMBER_OF_EMAILS email(s) were deleted successfully. Action effectuée.
Error deleting emails.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer le courrier :

Nom du résultat du script Valeur
is_success True ou False

Télécharger des pièces jointes

Utilisez l'action Télécharger les pièces jointes pour télécharger les pièces jointes d'un e-mail vers un chemin d'accès spécifique sur le serveur Google SecOps. L'action remplace automatiquement les caractères barre oblique inverse ou espace dans les noms des pièces jointes téléchargées par le caractère de soulignement.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Télécharger les pièces jointes nécessite les paramètres suivants :

Paramètre Description
Folder Name Optional

Dossier de boîte aux lettres dans lequel rechercher un e-mail.

Ce paramètre accepte une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.
Download Path Obligatoire

Chemin d'accès sur le serveur Google SecOps pour télécharger les pièces jointes des e-mails.
Message IDs Optional

Condition de filtre permettant de rechercher des e-mails avec des ID d'e-mail spécifiques.

Ce paramètre accepte une liste d'ID de messages séparés par une virgule à rechercher.

Si vous fournissez l'ID du message, l'action ignore le paramètre Subject Filter.
Subject Filter Optional

Condition de filtre qui spécifie l'objet de l'e-mail à rechercher.
Sender Filter Optional

Condition de filtre qui spécifie l'expéditeur de l'e-mail à rechercher.
Only Unread Optional

Si cette option est sélectionnée, l'action ne télécharge les pièces jointes que des e-mails non lus.

(non sélectionnée par défaut).
Download Attachments from EML Optional

Si cette option est sélectionnée, l'action télécharge les pièces jointes des fichiers EML associés.

(non sélectionnée par défaut).
Download Attachments to unique path? Optional

Si cette option est sélectionnée, l'action télécharge les pièces jointes vers un chemin d'accès unique sous la valeur fournie dans le paramètre Download Path pour éviter d'écraser les pièces jointes précédemment téléchargées.

(non sélectionnée par défaut).
Search in all mailboxes Optional

Si cette option est sélectionnée, l'action exécute une recherche dans toutes les boîtes aux lettres accessibles à l'aide des paramètres d'usurpation d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Obligatoire

Nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

Si vous avez sélectionné le paramètre Search in all mailboxes, l'action fonctionne par lots.

La valeur par défaut est 25.
Mailboxes Optional

Liste des boîtes aux lettres dans lesquelles effectuer une recherche, séparées par une virgule.

Ce paramètre est prioritaire sur le paramètre Search in all mailboxes.

Sorties d'action

L'action Télécharger les pièces jointes fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Télécharger les pièces jointes :

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
Messages de sortie

L'action Télécharger les pièces jointes peut renvoyer les messages de sortie suivants :

Message affiché Description du message
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS Action effectuée.
Failed to download email attachments, the error is: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Télécharger les pièces jointes :

Nom du résultat du script Valeur
file_paths Chaîne de chemins d'accès complets aux pièces jointes enregistrées, séparés par une virgule.

Extraire les données EML

Utilisez l'action Extraire les données EML pour extraire les données des pièces jointes EML des e-mails.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Extraire les données EML nécessite les paramètres suivants :

Paramètre Description
Folder Name Optional

Dossier à partir duquel récupérer un e-mail.

La valeur par défaut est Inbox.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.
Message ID Obligatoire

ID du message, par exemple 1701cf01ba314032b2f1df43262a7723@example.com.
Regex Map JSON Optional

Expression régulière permettant de sélectionner des e-mails en fonction de la partie correspondante du corps de l'e-mail, par exemple {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}.

Sorties d'action

L'action Extraire les données EML fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Extraire les données EML :

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Extraire les données EML :

Nom du résultat du script Valeur
eml_data EML_DATA

Générer un jeton

Utilisez l'action Générer un jeton pour obtenir un jeton d'actualisation pour la configuration de l'intégration avec l'authentification OAuth. Utilisez l'URL d'autorisation que vous avez reçue dans l'action Obtenir l'autorisation.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Générer un jeton nécessite les paramètres suivants :

Paramètre Description
Authorization URL Obligatoire

URL d'autorisation reçue dans l'action Obtenir l'autorisation pour demander un jeton d'actualisation.

Sorties d'action

L'action Generate Token (Générer un jeton) fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Generate Token (Générer un jeton) peut renvoyer les messages de résultat suivants :

Message affiché Description du message
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. Action effectuée.
Failed to get the refresh token! The Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Générer un jeton :

Nom du résultat du script Valeur
is_success True ou False

Obtenir les paramètres de compte hors établissement

Utilisez l'action Get Account Out Of Facility Settings (Obtenir les paramètres d'absence du compte) pour obtenir les paramètres d'absence du compte pour l'entité User Google SecOps fournie.

Si l'entité utilisateur cible est un nom d'utilisateur et non une adresse e-mail, exécutez l'action Enrichir les entités Active Directory pour récupérer les informations sur l'adresse e-mail de l'utilisateur stockée dans Active Directory.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Get Account Out Of Facility Settings fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Disponible
Table d'enrichissement des entités Disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Table du mur des cas

L'action Get Account Out Of Facility Settings renvoie le tableau suivant sur un mur de cas dans Google SecOps :

Nom de la table : Out of Facility Settings

Colonnes du tableau :

  • Paramètre
  • Valeur
Enrichissement d'entités

L'action Get Account Out Of Facility Settings accepte l'enrichissement d'entités suivant :

Champ d'enrichissement Source (clé JSON) Logique
Exchange.oof_settings OofSettings L'action renvoie l'état désactivé ou activé en fonction de la réponse de l'API.
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Account Out Of Facility Settings (Obtenir les paramètres de compte hors établissement) :

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
Messages de sortie

L'action Get Account Out Of Facility Settings peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 Action effectuée.
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Obtenir l'autorisation

Utilisez l'action Obtenir l'autorisation pour obtenir un lien avec le code d'accès pour la configuration de l'intégration avec l'authentification OAuth. Copiez le lien et utilisez-le dans l'action Generate Token (Générer un jeton) pour obtenir le jeton d'actualisation.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Obtenir l'autorisation fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible

L'action Get Authorization (Obtenir l'autorisation) renvoie le lien suivant :

Nom : Accéder à ce lien d'autorisation

Lien : AUTHORIZATION_LINK

Messages de sortie

L'action Get Authorization (Obtenir l'autorisation) peut renvoyer les messages de sortie suivants :

Message affiché Description du message
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. Action effectuée.
Failed to generate authorization URL! The Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir l'autorisation :

Nom du résultat du script Valeur
is_success True ou False

Obtenir un fichier EML Mail

Utilisez l'action Get Mail EML File (Obtenir le fichier EML de l'e-mail) pour récupérer le fichier EML d'un message.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Obtenir le fichier EML du courrier nécessite les paramètres suivants :

Paramètre Description
Folder Name Optional

Dossier à partir duquel récupérer un e-mail.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.
Message ID Obligatoire

ID du message, par exemple 1701cf01ba314032b2f1df43262a7723@example.com.
Base64 Encode Optional

Si cette option est sélectionnée, l'action encode le fichier de courrier au format base64.

(non sélectionnée par défaut).

Sorties d'action

L'action Obtenir le fichier EML du courrier fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir le fichier EML de l'e-mail :

Nom du résultat du script Valeur
eml_info EML_INFORMATION

Déplacer un e-mail vers un dossier

Utilisez l'action Move Mail to Folder (Déplacer un e-mail vers un dossier) pour déplacer un ou plusieurs e-mails du dossier source vers un autre dossier de la boîte aux lettres.

Selon le cas d'utilisation, l'action renvoie une quantité différente d'informations sur les e-mails traités dans le résultat JSON.

Si vous sélectionnez le paramètre Limiter la quantité d'informations dans le résultat JSON, le résultat JSON ne contient que les champs d'e-mail suivants : datetime_received, message_id, sender, subject et to_recipients. Sinon, le résultat JSON contient toutes les informations disponibles sur l'e-mail traité.

Si vous sélectionnez le paramètre Désactiver le résultat JSON de l'action, l'action ne renvoie aucun résultat JSON.

L'action Déplacer le courrier vers un dossier ne s'exécute pas sur les entités Google SecOps.

Entrées d'action

L'action Déplacer l'e-mail vers le dossier nécessite les paramètres suivants :

Paramètre Description
Source Folder Name Obligatoire

Dossier source à partir duquel déplacer les e-mails.
Destination Folder Name Obligatoire

Dossier de destination vers lequel déplacer les e-mails.
Subject Filter Optional

Condition de filtre permettant de rechercher des e-mails par objet spécifique.
Message IDs Optional

Condition de filtre permettant de rechercher des e-mails avec des ID d'e-mail spécifiques.

Ce paramètre accepte également une liste d'ID de messages séparés par une virgule à rechercher.

Si vous fournissez l'ID du message, l'action ignore le paramètre Subject Filter.
Only Unread Optional

Condition de filtre permettant de rechercher uniquement les e-mails non lus.

(non sélectionnée par défaut).
Move In All Mailboxes Optional

Si cette option est sélectionnée, l'action recherche et déplace les e-mails dans toutes les boîtes aux lettres accessibles avec les paramètres d'impersonnalisation actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Obligatoire

Nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

Si vous sélectionnez le paramètre Move In All Mailboxes, l'action fonctionne par lots.

La valeur par défaut est 25.
Time Frame (minutes) Optional

Période (en minutes) pendant laquelle rechercher des e-mails.
Limit the Amount of Information Returned in the JSON Result Optional

Si cette option est sélectionnée, l'action ne renvoie des informations que sur les champs clés de l'e-mail. Si cette option n'est pas sélectionnée, l'action renvoie des informations sur tous les champs d'adresse e-mail.

Cette option est sélectionnée par défaut.
Disable the Action JSON Result Optional

Si cette option est sélectionnée, l'action ne renvoie pas le résultat JSON.

(non sélectionnée par défaut).

Sorties d'action

L'action Déplacer l'e-mail vers le dossier fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Déplacer le courrier vers un dossier peut renvoyer les messages de résultat suivants :

Message affiché Description du message

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 Action effectuée.
Error search emails: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Déplacer l'e-mail vers un dossier :

Nom du résultat du script Valeur
is_success True ou False

Ping

Utilisez l'action Ping pour tester une connexion à l'instance Microsoft Exchange.

Vous pouvez exécuter cette action manuellement et non dans le flux du playbook.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

N/A

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message affiché Description du message
Successfully connected to the Microsoft Exchange server with the provided connection parameters! Action effectuée.
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Enregistrer les pièces jointes des e-mails dans la demande

Utilisez l'action Enregistrer les pièces jointes des e-mails dans la fiche pour enregistrer les pièces jointes des e-mails stockés dans la boîte aux lettres surveillée dans le mur de la fiche Google SecOps.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Enregistrer les pièces jointes des e-mails dans la demande nécessite les paramètres suivants :

Paramètre Description
Folder Name Obligatoire

Dossier de boîte aux lettres dans lequel rechercher un e-mail.

Ce paramètre accepte également une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.
Message IDs Obligatoire

ID du message permettant de trouver un e-mail spécifique et d'en télécharger les pièces jointes.
Attachment To Save Optional

Si vous ne configurez pas ce paramètre, l'action enregistre par défaut toutes les pièces jointes des e-mails dans le mur de requêtes. Sinon, l'action n'enregistre que la pièce jointe que vous avez spécifiée dans le mur de cas.

Sorties d'action

L'action Enregistrer les pièces jointes des e-mails dans la demande fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Enregistrer les pièces jointes des e-mails dans la demande peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 Action effectuée.
Failed to save the email attachments to the case, the error is: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enregistrer les pièces jointes des e-mails dans la demande :

Nom du résultat du script Valeur
is_success True ou False

Rechercher des e-mails

Utilisez l'action Rechercher des e-mails pour rechercher des e-mails spécifiques dans une boîte aux lettres configurée à l'aide de plusieurs critères de recherche. Cette action renvoie des informations sur les e-mails trouvés dans une boîte aux lettres au format JSON.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Rechercher des e-mails nécessite les paramètres suivants :

Paramètre Description
Folder Name Optional

Dossier de boîte aux lettres dans lequel rechercher un e-mail.

Ce paramètre accepte une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.
Subject Filter Optional

Condition de filtre qui spécifie l'objet de l'e-mail à rechercher.
Sender Filter Optional

Condition de filtre permettant de spécifier l'expéditeur des e-mails demandés.
Recipient Filter Optional

Condition de filtre permettant de spécifier le destinataire des e-mails demandés.
Time Frame (minutes) Optional

Période (en minutes) pendant laquelle rechercher des e-mails.
Only Unread Optional

Si cette option est sélectionnée, l'action ne recherche que les e-mails non lus.

(non sélectionnée par défaut).
Max Emails To Return Optional

Nombre maximal d'e-mails à renvoyer dans le résultat de l'action.
Search in all mailboxes Optional

Si cette option est sélectionnée, l'action exécute une recherche dans toutes les boîtes aux lettres accessibles à l'aide des paramètres d'emprunt d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Obligatoire

Nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

Si vous sélectionnez le paramètre Search in all mailboxes, l'action fonctionne par lots.

La valeur par défaut est 25.
Start Time Optional

Heure de début de la recherche d'e-mails.

Le format à utiliser est ISO 8601. Ce paramètre est prioritaire sur le paramètre Time Frame (minutes).
End Time Optional

Heure de fin de l'exécution de la recherche d'e-mails.

Le format à utiliser est ISO 8601. Si vous ne définissez pas de valeur et que le paramètre Start Time est valide, l'action définit la valeur End Time sur l'heure actuelle.
Mailboxes Optional

Liste des boîtes aux lettres dans lesquelles effectuer une recherche, séparées par une virgule.

Ce paramètre est prioritaire sur le paramètre Search in all mailboxes.
Message IDs Optional

Liste d'ID de messages à rechercher, séparés par une virgule.

Ce filtre est prioritaire par rapport aux autres conditions de filtre.
Body Regex Filter Optional

Modèle d'expression régulière à rechercher dans le corps de l'e-mail.

Sorties d'action

L'action Rechercher des e-mails fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Table du mur des cas

L'action Rechercher des e-mails renvoie le tableau suivant sur un mur de cas dans Google SecOps :

Titre du tableau : Matching Mails

Colonnes du tableau :

  • Message_id
  • Date de réception
  • Expéditeur
  • Destinataires
  • Subject
  • Corps de l'e-mail
  • Noms des pièces jointes (sous la forme d'une liste de noms de pièces jointes séparés par une virgule)

Si vous sélectionnez le paramètre Search in all mailboxes, l'action ajoute la colonne Trouvé dans la boîte aux lettres au tableau pour indiquer dans quelle boîte aux lettres l'e-mail a été trouvé.

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Rechercher des e-mails :

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
Messages de sortie

L'action Rechercher des e-mails peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 Action effectuée.

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Rechercher des e-mails :

Nom du résultat du script Valeur
mails_json Non disponible

Envoyer un e-mail et attendre (obsolète)

Action "Envoyer un e-mail et attendre". Le champ "Envoyer à" est séparé par des virgules. Le nom à afficher de l'expéditeur peut être configuré dans le client, dans les paramètres du compte.

Entrées d'action

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Subject Chaîne N/A Oui Objet de l'e-mail.
Envoyer à Chaîne user@example.com Oui

Adresse e-mail du destinataire.

Vous pouvez séparer plusieurs adresses par des virgules.
CC Chaîne user@example.com Non

Adresse e-mail à mettre en copie.

Vous pouvez séparer plusieurs adresses par des virgules.
BCC Chaîne N/A Non

Adresse e-mail en Cci.

Vous pouvez séparer plusieurs adresses par des virgules.
Contenu de l'e-mail Chaîne N/A Oui Corps de l'e-mail.
Récupérer les pièces jointes des réponses Case à cocher Décochée Non Permet de joindre des fichiers à un e-mail de réponse.
Dossier à vérifier pour les réponses Chaîne Boîte de réception Non

Ce paramètre peut être utilisé pour spécifier le dossier de boîte aux lettres (boîte aux lettres utilisée pour envoyer l'e-mail contenant la question) dans lequel rechercher la réponse de l'utilisateur.

Le paramètre accepte également une liste de dossiers séparés par une virgule pour vérifier la réponse de l'utilisateur dans plusieurs dossiers.

Le paramètre est sensible à la casse.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
Mail_body N/A N/A
Résultat JSON

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

Envoyer un e-mail

Utilisez l'action Envoyer un e-mail pour envoyer un e-mail depuis une boîte aux lettres spécifique à une liste de destinataires. Vous pouvez utiliser cette action pour informer les utilisateurs des éléments suivants :

  • Alertes spécifiques créées dans Google SecOps.
  • Résultats du traitement des alertes spécifiques.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Envoyer un e-mail nécessite les paramètres suivants :

Paramètre Description
Subject Obligatoire

Objet de l'e-mail.
Send to Obligatoire

Liste d'adresses e-mail des destinataires, séparées par une virgule, par exemple user1@example.com, user2@example.com.
CC Optional

Liste d'adresses e-mail séparées par une virgule pour le champ "Cc" de l'e-mail, par exemple user1@example.com, user2@example.com.
BCC Optional

Liste d'adresses e-mail séparées par une virgule pour le champ "Cci" de l'e-mail, par exemple user1@example.com, user2@example.com.
Attachments Paths Optional

Liste de chemins d'accès aux pièces jointes stockées sur le serveur, séparés par une virgule, comme C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obligatoire

Corps de l'e-mail.
Reply-To Recipients Optional

Liste de destinataires séparés par une virgule, utilisée dans l'en-tête Reply-To.

L'action ajoute l'en-tête Répondre à pour envoyer les réponses aux e-mails à des adresses e-mail spécifiques au lieu de l'adresse de l'expéditeur indiquée dans le champ De.
Base64 Encoded Certificate Optional

Certificat encodé en base64 utilisé pour chiffrer un e-mail.

Ce paramètre suffit pour chiffrer l'e-mail. Pour signer l'e-mail, fournissez également le paramètre Base64 Encoded Signature.
Base64 Encoded Signature Optional

Certificat encodé en base64 utilisé pour signer un e-mail.

Pour que la signature fonctionne et contienne un certificat de signature, fournissez les paramètres Base64 Encoded Signature et Base64 Encoded Certificate.

Sorties d'action

L'action Envoyer un e-mail fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Envoyer un e-mail :

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

En plus du résultat technique JSON de l'objet de courrier, l'action renvoie également l'ID du message et la date à laquelle un e-mail a été envoyé. Les données supplémentaires sont utilisées dans l'action Attendre un e-mail, si nécessaire :

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
Messages de sortie

L'action Envoyer un e-mail peut renvoyer les messages de sortie suivants :

Message affiché Description du message
Mail sent successfully. Action effectuée.
Failed to send email! The Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer un e-mail :

Nom du résultat du script Valeur
Success_Inidicator Non disponible

Envoyer un e-mail HTML

Utilisez l'action Envoyer un e-mail HTML pour envoyer un e-mail avec le contenu du modèle HTML. Le champ Send to est séparé par des virgules.

Vous pouvez configurer le nom de l'expéditeur dans le client de messagerie, dans les paramètres du compte.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Envoyer un e-mail HTML nécessite les paramètres suivants :

Paramètre Description
Subject Obligatoire

Objet de l'e-mail.
Send to Obligatoire

Liste d'adresses e-mail des destinataires du message, séparées par une virgule.
CC Optional

Liste d'adresses e-mail séparées par une virgule pour le champ "Cc" de l'e-mail.
BCC Optional

Liste d'adresses e-mail séparées par une virgule pour le champ "Cci" de l'e-mail.
Attachments Paths Optional

Liste de chemins d'accès aux pièces jointes stockées sur le serveur, séparés par une virgule (par exemple, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg).
Mail content Obligatoire

Corps de l'e-mail.

Sorties d'action

L'action Envoyer un e-mail HTML fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Envoyer une réponse dans le fil de discussion

Utilisez l'action Envoyer une réponse au fil de discussion pour envoyer un message en réponse au fil de discussion de l'e-mail.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Envoyer une réponse dans le fil de discussion nécessite les paramètres suivants :

Paramètre Description
Message ID Obligatoire

ID du message auquel répondre.
Folder Name Obligatoire

Liste de dossiers de boîte aux lettres séparés par une virgule dans lesquels effectuer une recherche d'e-mail.

Vous pouvez définir des dossiers spécifiques aux e-mails, par exemple Gmail/Tous les messages, pour effectuer une recherche dans tous les dossiers de la boîte aux lettres Gmail.

De plus, le nom du dossier doit correspondre à celui du dossier IMAP.

Si le nom du dossier contient des espaces, placez-les entre guillemets doubles.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.
Content Obligatoire

Contenu de la réponse.
Attachment Paths Optional

Liste des chemins d'accès aux pièces jointes stockées sur le serveur, séparés par une virgule.

Reply All Optional

Si cette option est sélectionnée, l'action envoie une réponse à tous les destinataires associés à l'e-mail d'origine et ignore le paramètre Reply To.

Cette option est sélectionnée par défaut.
Reply To Obligatoire

Liste d'adresses e-mail auxquelles envoyer la réponse, séparées par une virgule.

Si vous ne définissez pas de valeur et ne sélectionnez pas le paramètre Reply All, l'action n'envoie une réponse qu'à l'expéditeur de l'e-mail.

Si vous sélectionnez le paramètre Reply All, l'action l'ignore.

Sortie de l'action

L'action Envoyer une réponse au fil de discussion fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Envoyer une réponse dans le fil de discussion peut renvoyer les messages de sortie suivants :

Message affiché Description du message
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. Action effectuée.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

Échec de l'action.

Cochez le paramètre Reply To pour n'envoyer les réponses qu'à votre adresse.
Error executing action "Send Thread Reply". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer une réponse au thread :

Nom du résultat du script Valeur
is_success True ou False

Envoyer un bulletin de vote par courrier

Utilisez l'action Envoyer un e-mail de vote pour envoyer des e-mails avec des options de réponse préconfigurées afin d'inclure les utilisateurs qui n'ont pas accès à l'interface utilisateur Google SecOps dans les processus automatisés.

Cette action n'est compatible avec la fonctionnalité de vote que si les destinataires utilisent Exchange pour afficher et sélectionner correctement les options de vote.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Envoyer un e-mail de vote nécessite les paramètres suivants :

Paramètre Description
Subject Obligatoire

Objet de l'e-mail.
Send to Obligatoire

Liste d'adresses e-mail des destinataires, séparées par une virgule, par exemple user1@example.com, user2@example.com.
CC Optional

Liste d'adresses e-mail séparées par une virgule pour le champ "Cc" de l'e-mail, par exemple user1@example.com, user2@example.com.
BCC Optional

Liste d'adresses e-mail séparées par une virgule pour le champ Cci de l'e-mail, par exemple user1@example.com, user2@example.com.
Attachments Paths Optional

Liste de chemins d'accès aux pièces jointes stockées sur le serveur, séparés par une virgule (par exemple, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg).
Question or Decision Description Obligatoire

Question à poser aux destinataires ou décision à laquelle ils doivent répondre.
Structure of voting options Obligatoire

Structure du vote à envoyer aux destinataires.

Les valeurs possibles sont les suivantes :

  • Yes/No
  • Approve/Reject

La valeur par défaut est Yes/No.

Sorties d'action

L'action Envoyer un e-mail de vote fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Envoyer un e-mail de vote :

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
Messages de sortie

L'action Envoyer le bulletin de vote par courrier peut renvoyer les messages de résultat suivants :

Message affiché Description du message

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 Action effectuée.
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer un e-mail de vote :

Nom du résultat du script Valeur
is_success True ou False

Attendre un e-mail de l'utilisateur

Utilisez l'action Attendre un e-mail de l'utilisateur pour attendre la réponse de l'utilisateur en fonction d'un e-mail envoyé avec l'action Envoyer un e-mail.

Cette action fonctionne de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Attendre un e-mail de l'utilisateur nécessite les paramètres suivants :

Paramètre Description
Mail message_id Obligatoire

ID du message de l'e-mail.

Si le message est envoyé à l'aide de l'action Send Mail, sélectionnez le champ SendEmail.JSONResult|message_id comme espace réservé.
Mail Date Obligatoire

Code temporel de l'e-mail envoyé que l'action en cours attend.

Si un message est envoyé à l'aide de l'action Envoyer un e-mail, sélectionnez le champ SendEmail.JSONResult|email_date comme espace réservé.
Mail Recipients Obligatoire

Liste d'adresses e-mail des destinataires pour lesquels l'action en cours attend une réponse, séparées par une virgule.

Si un message est envoyé à l'aide de l'action Envoyer un e-mail, sélectionnez le champ SendEmail.JSONResult|to_recipients comme espace réservé.
How long to wait for recipient reply (minutes) Obligatoire

Le délai d'attente de la réponse de l'utilisateur pour l'action a expiré avant qu'elle ne soit marquée comme expirée.

La valeur par défaut est de 1 440 minutes.
Wait for All Recipients to Reply? Optional

Si cette option est sélectionnée, l'action attend les réponses de tous les destinataires jusqu'à ce qu'un délai avant expiration soit atteint ou qu'elle procède à la première réponse.

Cette option est sélectionnée par défaut.
Wait Stage Exclude pattern Optional

Expression régulière permettant d'exclure des réponses spécifiques de l'étape d'attente.

Ce paramètre fonctionne avec le corps de l'e-mail.

Par exemple, vous pouvez configurer l'action pour qu'elle ne considère pas les messages d'absence automatiques comme des réponses de destinataires et qu'elle attende plutôt une véritable réponse d'un utilisateur.
Folder to Check for Reply Optional

Dossier de boîte aux lettres dans lequel rechercher la réponse de l'utilisateur. L'action exécute une recherche dans la boîte aux lettres à partir de laquelle l'e-mail contenant une question a été envoyé.

Ce paramètre accepte une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

Ce paramètre est sensible à la casse.

La valeur par défaut est Inbox.
Fetch Response Attachments Optional

Si cette option est sélectionnée et que la réponse du destinataire contient des pièces jointes, l'action récupère la réponse et l'ajoute en tant que pièce jointe au résultat de l'action.

(non sélectionnée par défaut).

Sorties d'action

L'action Attendre un e-mail de l'utilisateur fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Résultat du script Disponible
Pièce jointe au mur des cas

L'action Attendre un e-mail de l'utilisateur renvoie la pièce jointe suivante sur un mur de cas dans Google SecOps :

Champ de pièce jointe Description
title

Pièce jointe du destinataire RECIPIENT_EMAIL réponse
filename

ATTACHMENT_NAME. EXTENSION
fileContent

ATTACHED_FILE_CONTENT

Le type de pièce jointe Entité est associé au destinataire qui a répondu au message_id pour lequel le serveur Google SecOps suit les réponses.

Résultat JSON

En tant que résultat JSON, l'action renvoie une combinaison des deux sorties suivantes :

  1. Sortie JSON d'un objet de courrier pour l'e-mail avec une réponse suivie.

    L'action suit la réponse par e-mail à l'aide de message_id.

  2. Sortie JSON pour le processus de suivi des réponses des utilisateurs.

La méthode de fusion des données de sortie est définie lors de l'implémentation.

Le flux de sortie JSON de l'objet de courrier se présente comme suit :

  1. L'action attend au moins une réponse de l'utilisateur pour continuer.

  2. Après avoir reçu la réponse du premier utilisateur, l'action met à jour le résultat JSON et poursuit avec les résultats de l'action.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

Le flux de sortie du processus de réponse de suivi est le suivant :

  1. L'action attend toutes les réponses des utilisateurs pour continuer.

  2. Après avoir reçu des réponses des utilisateurs ou atteint le délai avant expiration, l'action met à jour le résultat JSON.

    Dans ce cas, si l'action attend des réponses de tous les destinataires et que le délai expire pendant l'attente des réponses des utilisateurs, l'action renvoie l'erreur handled_timeout.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
Messages de sortie

L'action Attendre un e-mail de l'utilisateur peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 Action effectuée.

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.

Attendre les résultats du vote par courrier

Utilisez l'action Attendre les résultats du vote par e-mail pour attendre et récupérer les réponses d'un vote par e-mail envoyé à l'aide de l'action Envoyer un vote par e-mail. L'action Attendre les résultats du vote par correspondance transfère les réponses récupérées à Google SecOps.

Pour suivre et récupérer correctement les résultats du vote, suivez l'e-mail de vote. Pour en savoir plus, consultez l'action Envoyer un e-mail de vote.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Wait for Vote Mail Results (Attendre les résultats du vote par correspondance) nécessite les paramètres suivants :

Paramètre Description
Vote Mail message_id Obligatoire

ID du message de l'e-mail de vote.

Si le message est envoyé à l'aide de l'action Send Vote Mail, sélectionnez le champ SendVoteMail.JSONResult|message_id comme espace réservé.
Mail Recipients Obligatoire

Liste d'adresses e-mail des destinataires pour lesquels l'action actuelle attend une réponse, séparées par une virgule.

Sélectionnez le champ SendVoteMail.JSONResult|to_recipients comme espace réservé.
Folder to Check for Reply Obligatoire

Dossier de boîte aux lettres dans lequel rechercher la réponse de l'utilisateur. L'action exécute une recherche dans la boîte aux lettres à partir de laquelle l'e-mail contenant une question a été envoyé.

Ce paramètre accepte également une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

Ce paramètre est sensible à la casse.

La valeur par défaut est Inbox.
Folder to Check for Sent Mail Obligatoire

Dossier de boîte aux lettres dans lequel rechercher l'e-mail envoyé. L'action exécute une recherche dans la boîte aux lettres à partir de laquelle l'e-mail contenant une question a été envoyé.

Ce paramètre accepte également une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

Ce paramètre est sensible à la casse.

La valeur par défaut est Sent Items.
How long to wait for recipient reply (minutes) Obligatoire

Période pendant laquelle l'action doit attendre la réponse de l'utilisateur avant d'être marquée comme expirée.

La valeur par défaut est de 1 440 minutes.
Wait for All Recipients to Reply? Optional

Si cette option est sélectionnée, l'action attend les réponses de tous les destinataires jusqu'à ce qu'un délai avant expiration soit atteint ou qu'elle procède à la première réponse.

Cette option est sélectionnée par défaut.

Sorties d'action

L'action Attendre les résultats du vote par courrier fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Attendre les résultats du vote par e-mail :

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
Messages de sortie

L'action Attendre les résultats du vote par correspondance peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 Action effectuée.

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Attendre les résultats du courrier de vote :

Nom du résultat du script Valeur
is_success True ou False

Fonctionnalité Bloquer l'expéditeur et le domaine

L'un des cas d'utilisation les plus courants pour la gestion et la sécurité des e-mails consiste à contenir les menaces existantes, comme les e-mails d'hameçonnage, qui se trouvent déjà dans la boîte de réception de l'organisation, puis à bloquer un expéditeur ou un domaine suspects pour protéger votre organisation contre de futures attaques et éviter d'éventuelles failles de sécurité.

Dans Google SecOps, l'intégration Exchange vous offre la fonctionnalité Bloquer l'expéditeur et le domaine, qui comprend les étapes séquentielles suivantes :

  1. Protection au sein de l'organisation.

    Utilisez l'action Bloquer l'expéditeur par ID de message pour ajouter l'expéditeur à la liste des expéditeurs bloqués à l'aide du service EWS Marquer comme courrier indésirable.

  2. Protection en dehors de l'organisation avec des règles de boîte de réception.

    Créez des règles pour la boîte de réception afin de les ajouter au niveau du client et d'empêcher automatiquement les e-mails dangereux d'atteindre les boîtes aux lettres de votre organisation.

  3. Protection en dehors de l'organisation avec des règles de boîte de réception du serveur.

    Créez des règles pour la boîte de réception du serveur afin d'empêcher les e-mails suspects d'atteindre l'organisation.

Pour en savoir plus sur ces étapes, consultez la section suivante.

Cas d'utilisation

Le cas d'utilisation suivant présente un exemple de brèche de sécurité qui se présente sous la forme d'un e-mail suspect et potentiellement dangereux.

Après avoir découvert qu'un e-mail suspect et dangereux a compromis plusieurs boîtes aux lettres de votre organisation, la procédure à suivre pour gérer ce type de menace est la suivante :

  1. Corrigez la menace à l'aide de l'action Bloquer l'expéditeur par ID de message.
  2. Gérez les boîtes aux lettres compromises.
  3. Ajoutez une protection contre l'e-mail suspect reçu dans d'autres boîtes aux lettres.

Résoudre la menace

Pour remédier à la menace, exécutez l'action Bloquer l'expéditeur par ID de message afin d'obtenir les paramètres d'investigation et plus d'informations sur l'e-mail suspect. Cette action vous permet également d'examiner uniquement les boîtes aux lettres compromises et de gérer la menace qu'elles contiennent.

L'action Bloquer l'expéditeur par ID de message déclenche le service Exchange EWS Marquer comme courrier indésirable pour effectuer les opérations suivantes :

  1. Déplacez l'e-mail suspect dans le dossier Courrier indésirable.
  2. Ajoutez l'expéditeur de l'e-mail à la liste des expéditeurs bloqués de la boîte aux lettres concernée.

Pour en savoir plus sur l'utilisation du service Marquer comme courrier indésirable, consultez Ajouter et supprimer des adresses e-mail de la liste des expéditeurs bloqués à l'aide d'EWS dans Exchange dans la documentation produit de Microsoft.

D'une part, la correction d'une menace avec l'action Bloquer l'expéditeur par ID de message ne cible que les boîtes aux lettres compromises et peut être automatique. En revanche, l'action ne peut ni bloquer un expéditeur dans les boîtes aux lettres non compromises, ni ajouter de domaines à la liste des expéditeurs bloqués à l'aide de l'API.

Gérer les boîtes aux lettres piratées

Après avoir corrigé une menace, les prochaines étapes consistent à gérer les boîtes aux lettres compromises et à protéger toutes les boîtes aux lettres de l'organisation contre les expéditeurs malveillants, y compris ceux potentiels.

Pour gérer les boîtes aux lettres compromises, exécutez l'ensemble d'actions de règles de boîte de réception qui se compose des actions suivantes :

  1. Ajouter des domaines aux règles de boîte de réception Exchange-Siemplify
  2. Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify
  3. Supprimer les règles de boîte de réception Exchange-Siemplify
  4. Lister les règles de boîte de réception Exchange-Siemplify
  5. Supprimer des domaines des règles de boîte de réception Exchange-Siemplify
  6. Supprimer des expéditeurs des règles de boîte de réception Exchange-Siemplify

Pour en savoir plus sur le service utilisé dans les actions, consultez Gérer les règles de boîte de réception dans Exchange dans la documentation produit Microsoft.

L'intégration Exchange vous permet d'utiliser un ensemble des règles prédéfinies suivantes pour les opérations les plus courantes :

  • Siemplify – Liste des expéditeurs – Déplacer vers le courrier indésirable
  • Siemplify – Liste des expéditeurs – Supprimer
  • Siemplify – Liste des expéditeurs – Suppression définitive
  • Siemplify – Liste des domaines – Déplacer vers le courrier indésirable
  • Siemplify – Liste des domaines – Supprimer
  • Siemplify – Liste des domaines – Supprimer définitivement

Supprimer définitivement les e-mails de l'expéditeur malveillant

Pour conserver la même liste de règles dans toutes les boîtes aux lettres, ajoutez les règles pour l'utilisateur administrateur. Pour appliquer les règles d'administrateur à d'autres utilisateurs, exécutez l'opération sur toutes les boîtes aux lettres.

Pour supprimer définitivement les e-mails de l'expéditeur malveillant, procédez comme suit :

  1. Dans Google SecOps, exécutez l'action Add Senders to Exchange-Siemplify Inbox Rule (Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify) à partir du compte administrateur. Saisissez l'adresse e-mail de l'expéditeur malveillant.

  2. Choisissez la règle appropriée dans la liste pour définir la façon de gérer un e-mail suspect. Pour supprimer définitivement les e-mails malveillants, sélectionnez la règle Siemplify – Liste des expéditeurs – Supprimer définitivement.

    L'action met à jour la règle de boîte de réception avec le nouvel expéditeur malveillant.

  3. Sélectionnez le paramètre Perform action in all mailboxes pour appliquer la règle à toutes les boîtes aux lettres.

    Si la règle n'existe pas dans une boîte aux lettres, l'action la crée. Si la règle existe déjà dans une boîte aux lettres, l'action la met à jour avec les nouvelles valeurs de paramètres.

  4. Pour ajouter une protection contre l'e-mail suspect reçu dans d'autres boîtes aux lettres et bloquer le domaine de l'expéditeur malveillant, sélectionnez le paramètre Should add senders' domain to the corresponding Domains List rule as well?.

  5. Examinez les autres paramètres de l'action et ajustez-les si nécessaire.

L'action Add Senders to Exchange-Siemplify Inbox Rule met à jour plusieurs règles à la fois en fonction du paramètre Mailboxes to process in one batch. L'action Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify fonctionne à la fois sur les expéditeurs et les domaines. Elle s'applique à toutes les boîtes aux lettres, qu'un e-mail suspect ait été reçu ou non, et peut être automatique.

L'utilisateur final peut supprimer les règles appliquées à sa boîte aux lettres. L'application de règles d'administrateur à d'autres boîtes aux lettres supprime automatiquement les règles de boîte de réception privée désactivées.

Actions "Bloquer l'expéditeur" et "Bloquer le domaine"

Avant d'exécuter les actions pour la fonctionnalité Bloquer l'expéditeur et le domaine, configurez les autorisations minimales requises.

Ajouter des domaines aux règles de boîte de réception Exchange-Siemplify

Utilisez l'action Ajouter des domaines aux règles de la boîte de réception Exchange-Siemplify pour obtenir une liste de domaines en tant que paramètre ou utilisez l'entité Domaine Google SecOps si les paramètres sont vides. Cette action n'est disponible que pour Google SecOps version 5.6 et ultérieures.

Avant d'exécuter cette action, configurez les autorisations d'action requises.

Vous pouvez créer ou modifier une règle en filtrant les domaines de vos boîtes aux lettres. Vous pouvez modifier cette action à l'aide du paramètre Rule to add Domains to.

L'action Ajouter des domaines aux règles de boîte de réception Exchange-Siemplify modifie les règles de boîte de réception actuelles de vos utilisateurs avec EWS.

Cette action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Si vous ne définissez aucun paramètre et que votre version de Google SecOps est la version 5.6 ou ultérieure, cette action s'exécute sur l'entité Domaine.

Entrées d'action

L'action Ajouter des domaines aux règles de boîte de réception Exchange-Siemplify nécessite les paramètres suivants :

Paramètre Description
Domains Optional

Liste de domaines à ajouter à la règle, séparés par une virgule.
Rule to add Domains to Obligatoire

Règle à laquelle ajouter des domaines.

Si aucune règle n'existe, l'action la crée.

Les valeurs possibles sont les suivantes :

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

La valeur par défaut est Siemplify - Domains List - Move To Junk.

Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action s'applique à toutes les boîtes aux lettres accessibles via les paramètres d'usurpation d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 50.

Sorties d'action

L'action Ajouter des domaines aux règles de boîte de réception Exchange-Siemplify fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter des domaines aux règles de boîte de réception Exchange-Siemplify peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Action effectuée.

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter des domaines aux règles de boîte de réception Exchange-Siemplify :

Nom du résultat du script Valeur
is_success True ou False

Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify

Utilisez l'action Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify pour obtenir une liste d'adresses e-mail ou utilisez l'entité Utilisateur Google SecOps si les paramètres sont vides. Vous pouvez utiliser des expressions régulières pour cette action.

Vous pouvez créer une règle en filtrant les expéditeurs de vos boîtes aux lettres. Vous pouvez modifier cette action à l'aide du paramètre Rule to add senders to.

Avant d'exécuter cette action, assurez-vous de configurer les autorisations d'action requises.

L'action Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify modifie les règles de boîte de réception actuelles de vos utilisateurs à l'aide d'EWS.

Cette action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Si l'expression régulière de l'adresse e-mail est valide et que vous ne configurez aucun paramètre, cette action s'exécute sur l'entité Utilisateur.

Entrées d'action

L'action Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify nécessite les paramètres suivants :

Paramètre Description
Senders Optional

Liste d'adresses e-mail à ajouter à la règle, séparées par une virgule.

Si vous ne définissez pas de valeur, l'action fonctionne avec l'entité User.
Rule to add senders to Obligatoire

Règle à laquelle ajouter l'expéditeur.

Si aucune règle n'existe, l'action la crée.

Les valeurs possibles sont les suivantes :

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

La valeur par défaut est Siemplify - Senders List - Move To Junk.

Should add senders' domain to the corresponding Domains List rule as well? Optional

Si cette option est sélectionnée, l'action ajoute automatiquement les domaines des adresses e-mail fournies aux règles de domaine correspondantes.

Par défaut, cette option n'est pas sélectionnée.
Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action s'applique à toutes les boîtes aux lettres accessibles via les paramètres d'impersonnalisation actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 50.

Sorties d'action

L'action Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Action effectuée.

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Add Senders to Exchange-Siemplify Inbox Rule (Ajouter des expéditeurs à la règle de boîte de réception Exchange-Siemplify) :

Nom du résultat du script Valeur
is_success True ou False

Bloquer un expéditeur par ID de message

Utilisez l'action Bloquer l'expéditeur par ID de message pour obtenir une liste d'ID de messages en tant que paramètre et marquer la liste comme courrier indésirable.

Dans cette action, le fait de marquer un élément comme indésirable ajoute l'adresse de l'expéditeur à la liste des expéditeurs bloqués et déplace l'élément dans le dossier "Courrier indésirable".

Cette action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

L'action Bloquer l'expéditeur par ID de message n'est compatible qu'avec Exchange Server version 2013 et ultérieure. Si vous utilisez une version antérieure, l'action échoue et le message correspondant s'affiche.

Un message provenant de l'adresse e-mail suspecte doit exister dans la boîte aux lettres de l'utilisateur avant que vous puissiez ajouter l'adresse e-mail à la liste des expéditeurs bloqués ou la supprimer.

L'action Bloquer l'expéditeur par ID de message ne s'exécute pas sur les entités Google SecOps.

Entrées d'action

L'action Bloquer l'expéditeur par ID de message nécessite les paramètres suivants :

Paramètre Description
Move item to Junk folder? Obligatoire

Si cette option est sélectionnée, l'action déplace les messages spécifiés vers le dossier de courrier indésirable.

Cette option est sélectionnée par défaut.
Message IDs Optional

Condition de filtre permettant de trouver des e-mails avec des ID d'e-mail spécifiques.

Ce paramètre accepte une liste d'ID de messages séparés par une virgule à marquer comme courrier indésirable.

Si vous fournissez l'ID du message, l'action ignore les paramètres Subject Filter, Sender Filter et Recipient Filter.
Mailboxes list to perform on Optional

Condition de filtre permettant d'exécuter l'opération sur une liste spécifique de boîtes aux lettres pour un meilleur timing.

Pour marquer comme courrier indésirable les messages provenant de plusieurs adresses e-mail, fournissez une liste d'adresses e-mail séparées par une virgule.

Si vous fournissez une liste de boîtes aux lettres, l'action ignore le paramètre Perform Action in all Mailboxes.
Folder Name Optional

Dossier de boîte aux lettres dans lequel rechercher un e-mail.

Ce paramètre accepte une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

La valeur par défaut est Inbox.
Subject Filter Optional

Condition de filtre qui spécifie l'objet de l'e-mail à rechercher.
Sender Filter Optional

Condition de filtre qui spécifie l'expéditeur des e-mails demandés.
Recipient Filter Optional

Condition de filtre qui spécifie le destinataire des e-mails demandés.
Mark All Matching Emails Optional

Si cette option est sélectionnée, l'action marque tous les e-mails de la boîte aux lettres qui correspondent aux critères. Si cette option n'est pas sélectionnée, l'action ne s'applique qu'au premier e-mail correspondant.

(non sélectionnée par défaut).
Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action déplace l'e-mail dans le courrier indésirable et bloque les e-mails de l'expéditeur dans toutes les boîtes aux lettres accessibles via les paramètres d'usurpation d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 25.
Time Frame (minutes) Optional

Période (en minutes) pendant laquelle rechercher des e-mails.

Sorties d'action

L'action Bloquer l'expéditeur par ID de message fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Bloquer l'expéditeur par ID de message peut renvoyer les messages de sortie suivants :

Message affiché Description du message

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 Action effectuée.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Échec de l'action.

La version du serveur Exchange que vous utilisez n'est pas compatible.
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Bloquer l'expéditeur par ID de message :

Nom du résultat du script Valeur
is_success True ou False

Supprimer les règles de boîte de réception Exchange-Siemplify

Utilisez l'action Delete Exchange-Siemplify Inbox Rules (Supprimer les règles de boîte de réception Exchange-Siemplify) pour obtenir un nom de règle en tant que paramètre et le supprimer de toutes les boîtes aux lettres spécifiées.

Avant d'exécuter cette action, configurez les autorisations d'action requises.

L'action Delete Exchange-Siemplify Inbox Rules (Supprimer les règles de boîte de réception Exchange-Siemplify) modifie les règles de boîte de réception actuelles de vos utilisateurs avec EWS.

Cette action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Delete Exchange-Siemplify Inbox Rules (Supprimer les règles de boîte de réception Exchange-Siemplify) nécessite les paramètres suivants :

Paramètre Description
Rule Name To Delete Obligatoire

Nom d'une règle à supprimer complètement des boîtes aux lettres concernées.

Les valeurs possibles sont les suivantes :

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action s'applique à toutes les boîtes aux lettres accessibles via les paramètres d'usurpation d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 50.

Sorties d'action

L'action Delete Exchange-Siemplify Inbox Rules (Supprimer les règles de boîte de réception Exchange-Siemplify) fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Supprimer les règles de boîte de réception Exchange-Siemplify peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Action effectuée.
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Delete Exchange-Siemplify Inbox Rules (Supprimer les règles de boîte de réception Exchange-Siemplify) :

Nom du résultat du script Valeur
is_success True ou False

Lister les règles de boîte de réception Exchange-Siemplify

Utilisez l'action List Exchange-Siemplify Inbox Rules (Lister les règles de boîte de réception Exchange-Siemplify) pour obtenir le nom d'une règle à partir des règles de boîte de réception Exchange-Siemplify en tant que paramètre et la lister. S'il n'y a aucune boîte aux lettres à lister, l'action liste les règles pour l'utilisateur connecté.

Avant d'exécuter cette action, configurez les autorisations d'action requises.

L'action List Exchange-Siemplify Inbox Rules modifie les règles de boîte de réception actuelles de vos utilisateurs avec EWS.

Cette action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Lister les règles de la boîte de réception Exchange-Siemplify nécessite les paramètres suivants :

Paramètre Description
Rule Name To List Obligatoire

Nom d'une règle à lister à partir des boîtes aux lettres concernées.

Les valeurs possibles sont les suivantes :

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on Optional

Condition de filtre qui spécifie la liste des boîtes aux lettres sur lesquelles exécuter l'opération, pour un meilleur timing.

Ce paramètre accepte une liste d'adresses e-mail séparées par une virgule pour annuler le marquage des messages comme courrier indésirable.

Si une liste de boîtes aux lettres est fournie, l'action ignore le paramètre Perform action in all mailboxes.
Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action s'applique à toutes les boîtes aux lettres accessibles via les paramètres d'usurpation d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 50.

Sorties d'action

L'action Lister les règles de la boîte de réception Exchange-Siemplify fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les règles de la boîte de réception Exchange-Siemplify :

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
Messages de sortie

L'action List Exchange-Siemplify Inbox Rules peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 Action effectuée.
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les règles de la boîte de réception Exchange-Siemplify :

Nom du résultat du script Valeur
is_success True ou False

Supprimer des domaines des règles de boîte de réception Exchange-Siemplify

Utilisez Remove Domains from Exchange-Siemplify Inbox Rules pour obtenir une liste de domaines en tant que paramètre ou travaillez sur l'entité Domain si les paramètres ne sont pas fournis. Cette action n'est disponible que pour Google SecOps version 5.6 et ultérieures. Vous pouvez supprimer les domaines fournis des règles existantes.

Avant d'exécuter cette action, configurez les autorisations d'action requises.

L'action Supprimer des domaines des règles de boîte de réception Exchange-Siemplify modifie les règles de boîte de réception actuelles de vos utilisateurs avec EWS.

Cette action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Si vous ne configurez aucun paramètre, cette action s'exécute sur l'entité Domaine Google SecOps.

Entrées d'action

L'action Remove Domains from Exchange-Siemplify Inbox Rules (Supprimer des domaines des règles de boîte de réception Exchange-Siemplify) nécessite les paramètres suivants :

Paramètre Description
Domains Optional

Liste de domaines à supprimer de la règle, séparés par une virgule.

Si vous ne définissez pas de valeur, l'action fonctionne avec les entités.
Rule to remove Domains from Obligatoire

Règle permettant de supprimer des domaines.

Si vous ne définissez pas de règle, l'action échoue.

Les valeurs possibles sont les suivantes :

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

La valeur par défaut est Siemplify – Domains List – Move To Junk.

Remove Domains from all available Rules Optional

Si cette option est sélectionnée, l'action recherche les domaines fournis dans toutes les règles de boîte de réception Google SecOps.

(non sélectionnée par défaut).
Mailboxes list to perform on Optional

Condition de filtre qui spécifie la liste des boîtes aux lettres sur lesquelles exécuter l'opération, pour un meilleur timing.

Ce paramètre accepte une liste d'adresses e-mail séparées par une virgule pour annuler le marquage des messages comme courrier indésirable.

Si vous fournissez une liste de boîtes aux lettres, l'action ignore le paramètre Perform action in all mailboxes.
Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action s'applique à toutes les boîtes aux lettres accessibles via les paramètres d'usurpation d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 50.

Sorties d'action

L'action Remove Domains from Exchange-Siemplify Inbox Rules (Supprimer des domaines des règles de boîte de réception Exchange-Siemplify) fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Supprimer des domaines des règles de boîte de réception Exchange-Siemplify peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Action effectuée.

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Remove Domains from Exchange-Siemplify Inbox Rules (Supprimer des domaines des règles de boîte de réception Exchange-Siemplify) :

Nom du résultat du script Valeur
is_success True ou False

Supprimer des expéditeurs des règles de la boîte de réception Exchange-Siemplify

Utilisez Remove Senders from Exchange-Siemplify Inbox Rules pour obtenir une liste d'expéditeurs d'e-mails en tant que paramètre ou utilisez l'entité User si les paramètres ne sont pas fournis.

Vous pouvez supprimer les expéditeurs fournis des règles existantes.

Avant d'exécuter cette action, configurez les autorisations d'action requises.

L'action Supprimer des expéditeurs des règles de boîte de réception Exchange-Siemplify modifie les règles de boîte de réception actuelles de vos utilisateurs avec EWS.

Cette action s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Si aucun paramètre n'est fourni, cette action s'exécute sur l'entité Utilisateur Google SecOps.

Entrées d'action

L'action Supprimer des expéditeurs des règles de boîte de réception Exchange-Siemplify nécessite les paramètres suivants :

Paramètre Description
Senders Optional

Liste d'adresses e-mail à supprimer de la règle, séparées par une virgule.

Si vous ne définissez pas de valeur, l'action fonctionne avec l'entité User.
Rule to remove senders from Obligatoire

Règle à partir de laquelle supprimer les expéditeurs.

Si vous ne définissez pas de règle, l'action échoue.

Les valeurs possibles sont les suivantes :

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

La valeur par défaut est Siemplify – Senders List – Move To Junk.
Remove senders from all available rules Optional

Si cette option est sélectionnée, l'action recherche les expéditeurs fournis dans toutes les règles de boîte de réception Google SecOps.

(non sélectionnée par défaut).
Should remove senders' domain from the corresponding Domains List rule as well? Optional

Si cette option est sélectionnée, l'action supprime automatiquement les domaines des adresses e-mail fournies des règles de domaine correspondantes.

Par défaut, cette option n'est pas sélectionnée.
Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action s'applique à toutes les boîtes aux lettres accessibles via les paramètres d'impersonnalisation actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 50.

Sorties d'action

L'action Remove Senders from Exchange-Siemplify Inbox Rules fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Supprimer des expéditeurs des règles de boîte de réception Exchange-Siemplify peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Action effectuée.

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Remove Senders from Exchange-Siemplify Inbox Rules (Supprimer les expéditeurs des règles de boîte de réception Exchange-Siemplify) :

Nom du résultat du script Valeur
is_success True ou False

Débloquer un expéditeur par ID de message

Utilisez l'action Débloquer l'expéditeur par ID de message pour obtenir une liste d'ID de message en tant que paramètre et les marquer comme non indésirables.

Dans cette action, le fait de désélectionner un élément comme courrier indésirable supprime l'adresse e-mail de l'expéditeur de la liste des expéditeurs bloqués. Pour déplacer un élément vers le dossier de boîte de réception, sélectionnez le paramètre Move items back to Inbox? dans les paramètres d'action.

La fonction Débloquer l'expéditeur par ID de message s'exécute de manière asynchrone. Ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action, si nécessaire.

Cette action n'est compatible qu'avec Exchange Server version 2013 et ultérieure. Si vous utilisez une version antérieure, l'action échoue et le message correspondant s'affiche.

Un message provenant de l'adresse e-mail suspecte doit exister dans la boîte aux lettres de l'utilisateur avant que vous n'ajoutiez ou supprimiez l'adresse e-mail de la liste des expéditeurs bloqués.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Débloquer l'expéditeur par ID de message nécessite les paramètres suivants :

Paramètre Description
Move items back to Inbox? Obligatoire

Si cette option est sélectionnée, l'action replace les messages spécifiés dans le dossier de la boîte de réception.

Cette option est sélectionnée par défaut.
Message IDs Optional

Condition de filtre permettant de supprimer le marquage des e-mails avec des ID d'e-mail spécifiques.

Ce paramètre accepte également une liste d'ID de messages séparés par une virgule pour annuler le marquage des e-mails comme courrier indésirable.

Si vous fournissez l'ID du message, l'action ignore les paramètres Subject Filter, Sender Filter et Recipient Filter.
Mailboxes list to perform on Optional

Condition de filtre permettant d'exécuter l'opération sur une liste spécifique de boîtes aux lettres pour un meilleur timing.

Pour marquer comme courrier indésirable les messages provenant de plusieurs adresses e-mail, fournissez une liste d'adresses e-mail séparées par une virgule.

Si vous fournissez une liste de boîtes aux lettres, l'action ignore le paramètre Perform action in all mailboxes.
Folder Name Optional

Dossier de boîte aux lettres dans lequel rechercher un e-mail.

Ce paramètre accepte une liste de dossiers séparés par une virgule à partir desquels déplacer l'élément.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

La valeur par défaut est Junk Email.
Subject Filter Optional

Condition de filtre qui spécifie l'objet de l'e-mail à rechercher.
Sender Filter Optional

Condition de filtre qui spécifie l'expéditeur des e-mails demandés.
Recipient Filter Optional

Condition de filtre qui spécifie le destinataire des e-mails demandés.
Unmark All Matching Emails Optional

Si cette option est sélectionnée, l'action supprime le marquage de tous les e-mails de la boîte aux lettres qui correspondent aux critères. Si cette option n'est pas sélectionnée, l'action ne supprime le repère que du premier e-mail correspondant.

(non sélectionnée par défaut).
Perform action in all mailboxes Optional

Si cette option est sélectionnée, l'action s'applique à toutes les boîtes aux lettres accessibles via les paramètres d'usurpation d'identité actuels.

(non sélectionnée par défaut).
How many mailboxes to process in a single batch Optional

Si vous sélectionnez le paramètre Perform action in all mailboxes, l'action fonctionne par lots.

Ce paramètre définit le nombre de boîtes aux lettres à traiter dans un même lot (une seule connexion au serveur de messagerie).

La valeur par défaut est 25.
Time Frame (minutes) Optional

Période (en minutes) pendant laquelle rechercher des e-mails.

Sorties d'action

L'action Débloquer l'expéditeur par ID de message fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Débloquer l'expéditeur par ID de message peut renvoyer les messages de sortie suivants :

Message affiché Description du message

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

Action effectuée.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Échec de l'action.

La version du serveur Exchange que vous utilisez n'est pas compatible.
Error performing action: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Débloquer l'expéditeur par ID de message :

Nom du résultat du script Valeur
is_success True ou False

Connecteurs

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Ingérer vos données (connecteurs).

Lorsque vous configurez des connecteurs et des actions, faites attention aux espaces et aux symboles spéciaux dans vos identifiants. Si l'intégration refuse vos identifiants, vérifiez l'orthographe.

Pour configurer le connecteur sélectionné, utilisez les paramètres spécifiques au connecteur listés dans les tableaux suivants :

Connecteur EML Exchange

Le connecteur EML Exchange récupère les e-mails du serveur Exchange et les analyse. S'il existe des fichiers EML joints, le connecteur les joint à la demande en tant qu'événements. Si l'e-mail contient plusieurs pièces jointes EML, le connecteur crée plusieurs demandes et ingère chaque pièce jointe en tant qu'événement pour chaque demande.

Restrictions connues

  1. Microsoft 365 et authentification de base.

    • Le connecteur EML Exchange ne prend plus en charge l'authentification de base et ne peut pas être utilisé avec Microsoft 365. Pour Microsoft 365, utilisez le connecteur de messagerie Exchange v2 avec OAuth.

  2. Voici les spécificités du connecteur Exchange EML :

    • Le connecteur ne crée des alertes Google SecOps qu'à partir des e-mails contenant des pièces jointes au format EML ou MSG.

    • Le connecteur ignore les e-mails qui ne contiennent pas de pièces jointes.

Entrées du connecteur

Le connecteur Exchange EML nécessite les paramètres suivants :

Paramètre Description
Product Field Name Obligatoire

Nom du champ dans lequel le nom du produit est stocké.

La valeur par défaut est device_product.
EventClassId Obligatoire

Nom de champ utilisé pour déterminer le nom de l'événement (sous-type).

La valeur par défaut est event_name.
Server IP Obligatoire

Adresse IP du serveur auquel se connecter.
Domain Obligatoire

Valeur de domaine à utiliser pour l'authentification.
Username Obligatoire

Nom d'utilisateur de la boîte aux lettres à partir de laquelle extraire les e-mails, par exemple user@example.com.
Password Obligatoire

Mot de passe de la boîte aux lettres à partir de laquelle extraire les e-mails.

Mail Address Obligatoire

Adresse e-mail de la boîte aux lettres à surveiller.

La valeur par défaut est Inbox.
Verify SSL Optional

Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Exchange est valide.

(non sélectionnée par défaut).
Use Domain for Authentication Optional

Si cette option est sélectionnée, l'intégration utilise le domaine dans les identifiants d'authentification, par exemple user@domain.

Cette option est sélectionnée par défaut.
Unread Emails Only Optional

Si cette option est sélectionnée, les demandes ne sont créées qu'à partir des e-mails non lus.

(non sélectionnée par défaut).
Mark Emails as Read Optional

Si cette option est sélectionnée, les e-mails sont marqués comme lus après l'ingestion.

(non sélectionnée par défaut).
Max Days Backwards Optional

Nombre de jours avant la première itération du connecteur à partir desquels récupérer les e-mails. Ce paramètre ne s'applique qu'une seule fois à l'itération initiale du connecteur après l'avoir activé pour la première fois.
PythonProcessTimeout Obligatoire

Délai limite en secondes pour le processus Python exécutant le script actuel.

La valeur par défaut est de 30 secondes.
Folder Name Optional

Nom du dossier dans lequel effectuer la recherche.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

La valeur par défaut est Inbox.
Environment Field Name Optional

Nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ d'environnement n'est pas trouvé, l'environnement est défini sur "".

Environment Regex Pattern Optional

Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Environment Field Name. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière.

Utilisez la valeur par défaut .* pour récupérer la valeur Environment Field Name brute requise.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
Encode Data as UTF-8 Optional

Si cette option est sélectionnée, l'intégration encode les données d'e-mail au format UTF-8. Il est recommandé de sélectionner ce paramètre.

Cette option est sélectionnée par défaut.
Attach EML or MSG File to the Case Wall Optional

Si cette option est sélectionnée, l'intégration joint le fichier EML ou MSG transféré au mur des problèmes dans Google SecOps.

Par défaut, cette option n'est pas sélectionnée.
Exclusion Body Regex Optional

Expression régulière permettant d'exclure les e-mails dont le corps correspond à la valeur fournie.

Par exemple, l'expression régulière '([N|n]ewsletter)|([O|o]ut of office)' exclut tous les e-mails contenant les mots clés Newsletter ou Out of office.
Proxy Server Address Optional

Adresse du serveur proxy à utiliser.
Proxy Username Optional

Nom d'utilisateur du proxy pour l'authentification.
Proxy Password Optional

Mot de passe du proxy pour l'authentification.
Extract urls from HTML email part? Optional

Si cette option est sélectionnée, le connecteur tente d'extraire les URL de la partie HTML de l'e-mail. Ce paramètre permet également au connecteur d'extraire des URL complexes, mais pas celles de la partie en texte brut de l'e-mail.

Les URL extraites sont disponibles dans le champ d'événement urls_from_html_part.

(non sélectionnée par défaut).

Règles du connecteur

  • Le connecteur EML Exchange n'est pas compatible avec les règles de liste de blocage et de liste dynamique.

  • Le connecteur EML Exchange est compatible avec les proxys.

Connecteur de messagerie Exchange

Utilisez le connecteur Exchange Mail pour communiquer avec le serveur Exchange et rechercher des e-mails quasiment en temps réel. Transférez-les ensuite pour qu'ils soient traduits et contextualisés sous forme d'alertes dans les cas Google SecOps.

Cette section fait référence à la communication avec un serveur Microsoft Exchange 2007-2019 ou Microsoft 365 à l'aide des services Web Exchange (EWS, Exchange Web Services). Elle explique comment Google SecOps interagit avec l'interface Exchange Mail, ainsi qu'avec les workflows et activités assistés dans l'application.

Le connecteur de messagerie Exchange permet de récupérer les e-mails du serveur Exchange configuré, qui analyse chaque serveur et crée ensuite des demandes. Au moins une occurrence d'e-mail initial est incluse dans chaque scénario. La principale différence est que le connecteur Exchange Mail supprime les e-mails et génère des événements qui analysent les données EML ou MSG dans les e-mails d'origine du serveur Exchange.

Restrictions connues

  1. Microsoft 365 et authentification de base.

    • Le connecteur de messagerie Exchange ne prend plus en charge l'authentification de base et ne peut pas être utilisé avec Microsoft 365. Pour Microsoft 365, utilisez le connecteur de messagerie Exchange v2 avec OAuth.

  2. Voici les spécificités du connecteur Exchange Mail :

    • Le connecteur ne crée des alertes Google SecOps qu'à partir des e-mails reçus d'origine qui se trouvent dans la boîte aux lettres.

    • Le connecteur ignore les fichiers EML et MSG joints.

Entrées du connecteur

Le connecteur Exchange Mail nécessite les paramètres suivants :

Paramètre Description
Product Field Name Obligatoire

Nom du champ dans lequel le nom du produit est stocké.

La valeur par défaut est device_product.
Event Field Name Obligatoire

Nom du champ utilisé pour déterminer le nom de l'événement (sous-type).

La valeur par défaut est event_name.
Server IP Obligatoire

Adresse IP du serveur auquel se connecter.
Domain Obligatoire

Valeur de domaine à utiliser pour l'authentification.
Username Obligatoire

Nom d'utilisateur de la boîte aux lettres à partir de laquelle extraire les e-mails, par exemple user@example.com.
Password Obligatoire

Mot de passe de la boîte aux lettres à partir de laquelle extraire les e-mails.

Mail Address Obligatoire

Adresse e-mail de la boîte aux lettres à surveiller.

La valeur par défaut est Inbox.
Verify SSL Optional

Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Exchange est valide.

(non sélectionnée par défaut).

Use Domain for Authentication Optional

Si cette option est sélectionnée, le domaine est utilisé dans les identifiants d'authentification, tels que user@domain.

Cette option est sélectionnée par défaut.
Unread Emails Only Optional

Si cette option est sélectionnée, l'intégration ne crée des demandes qu'à partir des e-mails non lus.

Cette option est sélectionnée par défaut.
Mark Emails as Read Optional

Si cette option est sélectionnée, l'intégration marque tous les e-mails ingérés comme lus.

(non sélectionnée par défaut).
Max Days Backwards Optional

Nombre de jours avant la première itération du connecteur à partir desquels récupérer les e-mails. Ce paramètre ne s'applique qu'une seule fois à l'itération initiale du connecteur après l'avoir activé pour la première fois.
PythonProcessTimeout Obligatoire

Délai limite en secondes pour le processus Python exécutant le script actuel.

La valeur par défaut est de 30 secondes.
Attach Original EML Optional

Si cette option est sélectionnée, l'e-mail d'origine est joint à la demande en tant que fichier EML.

(non sélectionnée par défaut).
Folder Name Optional

Nom du dossier dans lequel effectuer la recherche.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

La valeur par défaut est Inbox.
Environment Field Name Optional

Nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ d'environnement n'est pas trouvé, l'environnement est défini sur "".

Environment Regex Pattern Optional

Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Environment Field Name. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière.

Utilisez la valeur par défaut .* pour récupérer la valeur Environment Field Name brute requise.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
Exclusion Subject Regex Optional

Expression régulière permettant d'exclure les e-mails dont l'objet correspond à la valeur fournie.

Par exemple, l'expression régulière ([N|n]ewsletter)|([O|o]ut of office) exclut tous les e-mails dont l'objet contient les mots clés Newsletter ou Absence du bureau.
Exclusion Body Regex Optional

Expression régulière permettant d'exclure les e-mails dont le corps correspond à la valeur fournie.

Par exemple, l'expression régulière ([N|n]ewsletter)|([O|o]ut of office) exclut tous les e-mails contenant les mots clés Newsletter ou Out of office dans leur corps.
Proxy Server Address Optional

Adresse du serveur proxy à utiliser.
Proxy Username Optional

Nom d'utilisateur du proxy pour l'authentification.
Proxy Password Optional

Mot de passe du proxy pour l'authentification.
Extract urls from HTML email part? Optional

Si cette option est sélectionnée, le connecteur tente d'extraire les URL de la partie HTML de l'e-mail. Ce paramètre permet au connecteur d'extraire des URL complexes, mais pas celles de la partie en texte brut de l'e-mail.

Les URL extraites sont disponibles dans le champ d'événement urls_from_html_part.

(non sélectionnée par défaut).

Configurer des règles de liste dynamique

Dans la section de liste dynamique, pour extraire des valeurs spécifiques des e-mails à l'aide d'expressions régulières, ajoutez une règle au format suivant :

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Par exemple, pour extraire l'ID du message d'un e-mail, saisissez la règle suivante :

message-id: (?<=Message-ID: ).*

Règles du connecteur

  • Le connecteur de messagerie Exchange est compatible avec les proxys.

  • Le connecteur de messagerie Exchange n'est pas compatible avec la règle de liste de blocage.

  • L'intégration Exchange utilise la section de liste dynamique pour définir des expressions régulières et activer les éléments suivants :

    • Analyser le contenu d'un e-mail
    • Ajoutez des champs spécifiques en fonction de l'expression régulière correspondant à l'événement d'e-mail.

Connecteur Exchange Mail v2

Utilisez le connecteur de messagerie Exchange v2 pour vous connecter au serveur de messagerie et rechercher de nouveaux e-mails dans une boîte aux lettres spécifique.

Si un nouvel e-mail apparaît, le connecteur crée et ingère une nouvelle alerte dans Google SecOps, qui contient des informations provenant du nouvel e-mail.

S'il n'y a pas de nouveaux e-mails, le connecteur Exchange Mail v2 termine l'itération en cours et attend pendant une période définie avant la prochaine itération.

Flux d'itération du connecteur

Après chaque exécution, le connecteur Exchange Mail v2 met à jour le fichier d'horodatage avec la date et l'heure de la dernière exécution. Le connecteur Exchange Mail v2 extrait les informations exploitables d'une demande à partir de l'e-mail en tant que résultat technique d'objet de courrier, y compris, mais sans s'y limiter :

  • Expéditeur et destinataire de l'e-mail.
  • Objet de l'e-mail.
  • Corps de l'e-mail.
  • URL dans l'e-mail.
  • Pièces jointes, le cas échéant.

Une fois que le connecteur Exchange Mail v2 a créé les alertes (demandes) à ingérer dans Google SecOps, l'itération du connecteur est terminée.

En fonction des données de cas fournies par le connecteur Exchange Mail v2, le serveur Google SecOps exécute des procédures ETL pour ingérer de nouvelles alertes et créer ou mettre à jour des cas. Si des playbooks associés sont définis, Google SecOps les exécute pour enrichir la fiche, générer des insights et effectuer des actions automatiques.

Utiliser les modèles de nom d'alerte et de nom de demande

Les paramètres Alert Name Template et Case Name Template vous permettent de remplacer la façon dont les noms des alertes et des demandes sont créés. Seule la première alerte définit le nom de la demande ou de l'alerte. Les alertes suivantes n'ont aucune incidence sur le nom.

Voici un exemple d'événement Google SecOps :

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Pour créer un nom personnalisé pour une alerte Google SecOps, utilisez le modèle suivant :

[EVENT_TYPE] - [EVENT_NAME]

Par exemple, pour créer une alerte Google SecOps nommée Phishing – Example Event, le modèle est le suivant :

[Phishing] - [Example Event]

Entrées du connecteur

Dans Exchange Mail Connector v2, les paramètres suivants peuvent affecter le traitement des e-mails :

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Pour mapper les champs to et from des e-mails traités, le connecteur crée les ensembles de champs suivants :

  1. Champs to et from standards contenant des adresses e-mail au format email@example.

  2. Champs to_raw et from_raw contenant uniquement une adresse e-mail comme valeur au format suivant : email@example.

Le connecteur Exchange Mail v2 nécessite les paramètres suivants :

Paramètre Description
Product Field Name Obligatoire

Nom du champ dans lequel le nom du produit est stocké.

La valeur par défaut est device_product.
Event Field Name Obligatoire

Nom du champ utilisé pour déterminer le nom de l'événement (sous-type).

La valeur par défaut est event_name.
Mail Server Address Obligatoire

Adresse IP d'un serveur de messagerie auquel se connecter.

Lorsque vous vous connectez à Microsoft 365, définissez l'adresse du serveur sur outlook.office365.com.
Verify SSL Optional

Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Exchange est valide.

(non sélectionnée par défaut).
Mail Address Obligatoire

Adresse e-mail de la boîte aux lettres à surveiller.

La valeur par défaut est Inbox.
Use Domain for Authentication Optional

Si cette option est sélectionnée, le domaine est utilisé dans les identifiants d'authentification, tels que user@domain.

Cette option est sélectionnée par défaut.
Domain Obligatoire

Valeur de domaine à utiliser pour l'authentification.
Username Obligatoire

Nom d'utilisateur de la boîte aux lettres à partir de laquelle extraire les e-mails, par exemple user@example.com.
Password Obligatoire

Mot de passe de la boîte aux lettres à partir de laquelle extraire les e-mails.
Unread Emails Only Optional

Si cette option est sélectionnée, les demandes ne sont créées qu'à partir des e-mails non lus.

Cette option est sélectionnée par défaut.
Mark Emails as Read Optional

Si cette option est sélectionnée, les e-mails sont marqués comme lus après l'ingestion.

(non sélectionnée par défaut).
Offset Time In Days Obligatoire

Nombre de jours avant la première itération du connecteur à partir desquels récupérer les e-mails. Ce paramètre ne s'applique qu'une seule fois à l'itération initiale du connecteur après l'avoir activé pour la première fois.

La valeur par défaut est 5.
Max Emails Per Cycle Obligatoire

Nombre d'e-mails à récupérer lors d'une seule itération du connecteur.

La valeur par défaut est 10.
Environment Field Name Optional

Nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ d'environnement n'est pas trouvé, l'environnement est défini sur "".

Environment Regex Pattern Optional

Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Environment Field Name. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière.

Utilisez la valeur par défaut .* pour récupérer la valeur Environment Field Name brute requise.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est "".
Headers to add to events Optional

Chaîne séparée par des virgules qui spécifie les en-têtes d'e-mail à ajouter aux événements.

Vous pouvez fournir des valeurs exactes ou les définir comme une expression régulière.
Email Exclude Pattern Optional

Expression régulière permettant d'exclure des e-mails spécifiques de l'ingestion.

Ce paramètre fonctionne à la fois avec l'objet et le corps de l'e-mail. Vous pouvez utiliser ce paramètre pour exclure de l'ingestion les e-mails diffusés à grande échelle, comme les newsletters.
PythonProcessTimeout Obligatoire

Délai limite en secondes pour le processus Python exécutant le script actuel.

La valeur par défaut est de 60 secondes.
Folder to check for emails Obligatoire

Dossier d'e-mails dans lequel rechercher les e-mails. Ce paramètre accepte une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

Ce paramètre est sensible à la casse.

La valeur par défaut est Inbox.
Attach Original EML Optional

Si cette option est sélectionnée, l'intégration joint l'e-mail d'origine à la demande en tant que fichier EML.

(non sélectionnée par défaut).
Fetch Backwards Time Interval (minutes) Optional

Intervalle utilisé par le connecteur pour récupérer les événements de la période configurée en minutes avant maintenant. La valeur de ce paramètre est un code temporel de la dernière itération du connecteur.

Ajustez cette valeur en fonction de l'environnement (par exemple, 60 minutes ou moins).

La valeur par défaut est 0.
Proxy Server Address Optional

Adresse du serveur proxy à utiliser.
Proxy Username Optional

Nom d'utilisateur du proxy pour l'authentification.
Proxy Password Optional

Mot de passe du proxy pour l'authentification.
Extract urls from HTML email part? Optional

Si cette option est sélectionnée, le connecteur tente d'extraire les URL de la partie HTML de l'e-mail. Ce paramètre permet au connecteur d'extraire des URL complexes, mais pas celles de la partie en texte brut de l'e-mail.

Les URL extraites sont disponibles dans le champ d'événement urls_from_html_part.

(non sélectionnée par défaut).
Disable Overflow Optional

Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement.

(non sélectionnée par défaut).
Original Received Mail Prefix Optional

Préfixe à ajouter aux clés d'événement extraites, par exemple to, from ou subject de l'e-mail d'origine reçu dans la boîte aux lettres surveillée.

La valeur par défaut est orig.
Attached Mail File Prefix Optional

Préfixe à ajouter aux clés d'événement extraites, par exemple to, from ou subject à partir du fichier d'e-mail joint reçu dans la boîte aux lettres surveillée.

La valeur par défaut est attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Si cette option est sélectionnée, le connecteur crée plusieurs alertes, une pour chaque fichier d'e-mail joint.

Si vous sélectionnez ce paramètre, Google SecOps traite les e-mails comportant plusieurs pièces jointes et crée des entités à partir des pièces jointes.

(non sélectionnée par défaut).
Case Name Template Optional

Nom personnalisé de la demande.

Lorsque vous configurez ce paramètre, le connecteur ajoute une clé custom_case_name à l'événement Google SecOps.

Vous pouvez fournir des espaces réservés au format suivant : [name of the field].

Exemple : Phishing - [event_mailbox].

Pour les espaces réservés, le connecteur utilise le premier événement Google SecOps. Le connecteur ne traite que les clés contenant la valeur de chaîne.
Alert Name Template Optional

Nom personnalisé de l'alerte.

Vous pouvez fournir des espaces réservés au format suivant : [name of the field].

Exemple : Phishing - [event_mailbox].

Pour les espaces réservés, le connecteur utilise le premier événement Google SecOps. Seules les clés contenant la valeur de chaîne sont traitées. Si vous ne fournissez aucune valeur ou un modèle non valide, le connecteur utilise le nom d'alerte par défaut.
Email Padding Period (minutes) Optional

Période pendant laquelle le connecteur récupère les e-mails avant le dernier code temporel.
URL Regex Obligatoire

Connecteur d'expression régulière utilisé pour analyser les URL des e-mails traités.

Règles du connecteur

  • Le connecteur Exchange Mail v2 est compatible avec le proxy.

  • Le connecteur Exchange Mail V2 n'est pas compatible avec la règle de liste de blocage.

  • L'intégration Exchange utilise la section de liste dynamique pour définir des expressions régulières afin d'activer les éléments suivants :

    • Analyser le contenu d'un e-mail
    • Ajoutez des champs spécifiques en fonction des correspondances d'expressions régulières à l'événement d'e-mail.

Exchange Mail Connector v2 avec authentification OAuth

Utilisez le connecteur de messagerie Exchange v2 avec OAuth pour surveiller des boîtes aux lettres spécifiques sur les serveurs de messagerie Microsoft 365 qui nécessitent une authentification OAuth. Vous pouvez utiliser les actions Obtenir l'autorisation et Générer un jeton pour obtenir le jeton d'actualisation requis pour la configuration du connecteur.

Pour exécuter le connecteur Exchange Mail v2 avec OAuth, configurez l'intégration pour qu'elle prenne en charge l'authentification OAuth.

Utiliser les modèles de nom d'alerte et de nom de demande

Les paramètres Alert Name Template et Case Name Template vous permettent de remplacer la façon dont le nom de l'alerte et de la demande est créé.

Voici un exemple d'événement Google SecOps :

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Pour créer un nom personnalisé pour une alerte Google SecOps, utilisez le modèle suivant :

[EVENT_TYPE] - [EVENT_NAME]

Par exemple, pour créer une alerte Google SecOps nommée Phishing – Example Event, le modèle est le suivant :

[Phishing] - [Example Event]

Entrées du connecteur

Dans Exchange Mail Connector v2 avec OAuth, les paramètres suivants peuvent affecter le traitement des e-mails :

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Pour mapper les champs to et from des e-mails traités, le connecteur crée les deux ensembles de champs suivants :

  1. Champs to et from standards contenant des adresses e-mail, comme email@example.

  2. Champs to_raw et from_raw qui ne contiennent qu'une adresse e-mail comme valeur, telle que email@example.

Le connecteur Exchange Mail v2 avec OAuth nécessite les paramètres suivants :

Paramètre Description
Product Field Name Obligatoire

Nom du champ dans lequel le nom du produit est stocké.

La valeur par défaut est device_product.
Event Field Name Obligatoire

Nom du champ utilisé pour déterminer le nom de l'événement (sous-type).

La valeur par défaut est event_name.
Mail Server Address Obligatoire

Adresse IP d'un serveur de messagerie auquel se connecter.

Lorsque vous vous connectez à Microsoft 365, définissez l'adresse du serveur sur outlook.office365.com.
Mail Address Obligatoire

Adresse e-mail à utiliser pour le connecteur.
Client ID Obligatoire

Pour l'authentification OAuth Microsoft 365, un ID d'application (client) de l'application Microsoft Entra que vous avez utilisée pour l'intégration.
Client Secret Obligatoire

Pour l'authentification OAuth Microsoft 365, le code secret du client que vous avez fourni pour le flux d'authentification.
Tenant (Directory) ID Obligatoire

Pour l'authentification OAuth Microsoft 365, l'ID de locataire (annuaire) de l'application Microsoft Entra que vous avez utilisée pour l'intégration.
Refresh Token Obligatoire

Pour l'authentification OAuth Microsoft 365, le jeton d'actualisation obtenu après la génération d'un jeton.
Verify SSL Optional

Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Exchange est valide.

Par défaut, cette option n'est pas sélectionnée.
Unread Emails Only Optional

Si cette option est sélectionnée, l'intégration ne crée des demandes qu'à partir des e-mails non lus.

(non sélectionnée par défaut).
Mark Emails as Read Optional

Si cette option est sélectionnée, le connecteur marque les e-mails ingérés comme lus.

(non sélectionnée par défaut).
Offset Time In Days Obligatoire

Nombre de jours avant la première itération du connecteur à partir desquels récupérer les e-mails. Ce paramètre ne s'applique qu'une seule fois à l'itération initiale du connecteur après l'avoir activé pour la première fois.

La valeur par défaut est de cinq jours.
Max Emails Per Cycle Obligatoire

Nombre d'e-mails à récupérer lors d'une seule itération du connecteur.

La valeur par défaut est de 10 e-mails.
Environment Field Name Optional

Nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ d'environnement n'est pas trouvé, l'environnement est défini sur "".

Environment Regex Pattern Optional

Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Environment Field Name. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière.

Utilisez la valeur par défaut .* pour récupérer la valeur Environment Field Name brute requise.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est "".
Headers to add to events Optional

Chaîne séparée par des virgules qui spécifie les en-têtes d'e-mail à ajouter aux événements.

Vous pouvez fournir des valeurs exactes ou les définir comme une expression régulière.
Email Exclude Pattern Optional

Expression régulière permettant d'exclure des e-mails spécifiques de l'ingestion.

Ce paramètre fonctionne à la fois avec l'objet et le corps de l'e-mail. Vous pouvez utiliser ce paramètre pour exclure de l'ingestion les e-mails diffusés à grande échelle, comme les newsletters.
PythonProcessTimeout Obligatoire

Délai limite en secondes pour le processus Python exécutant le script actuel.

La valeur par défaut est 60.
Folder to check for emails Obligatoire

Dossier d'e-mails dans lequel rechercher les e-mails. Ce paramètre accepte une liste de dossiers séparés par une virgule.

L'intégration Exchange utilise des barres obliques inverses comme séparateurs pour spécifier les sous-dossiers, par exemple folder/subfolder1/subfolder2. Pour éviter l'erreur de délai d'attente ou l'échec de l'action, remplacez les barres obliques inverses dans les noms de dossiers ou de sous-dossiers par d'autres caractères, comme un trait de soulignement.

Ce paramètre est sensible à la casse.

La valeur par défaut est Inbox.
Attach Original EML Optional

Si cette option est sélectionnée, l'e-mail d'origine est joint à la demande en tant que fichier EML.

(non sélectionnée par défaut).
Fetch Backwards Time Interval (minutes) Optional

Intervalle utilisé par le connecteur pour récupérer les événements de la période configurée en minutes avant maintenant. La valeur de ce paramètre est un code temporel de la dernière itération du connecteur.

Ajustez cette valeur en fonction de l'environnement (par exemple, 60 minutes ou moins).

La valeur par défaut est 0.
Proxy Server Address Optional

Adresse du serveur proxy à utiliser.
Proxy Username Optional

Nom d'utilisateur du proxy pour l'authentification.
Proxy Password Optional

Mot de passe du proxy pour l'authentification.
Extract urls from HTML email part? Optional

Si cette option est sélectionnée, le connecteur tente d'extraire les URL de la partie HTML de l'e-mail. Ce paramètre permet au connecteur d'extraire des URL complexes, mais pas celles de la partie en texte brut de l'e-mail.

Les URL extraites sont disponibles dans le champ d'événement urls_from_html_part.

(non sélectionnée par défaut).
Disable Overflow Optional

Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement.

(non sélectionnée par défaut).
Original Received Mail Prefix Optional

Préfixe à ajouter aux clés d'événement extraites, par exemple to, from ou subject de l'e-mail d'origine reçu dans la boîte aux lettres surveillée.

La valeur par défaut est orig.
Attached Mail File Prefix Optional

Préfixe à ajouter aux clés d'événement extraites, par exemple to, from ou subject à partir du fichier d'e-mail joint reçu dans la boîte aux lettres surveillée.

La valeur par défaut est attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Si cette option est sélectionnée, le connecteur crée plusieurs alertes, une pour chaque fichier d'e-mail joint.

Si vous sélectionnez ce paramètre, Google SecOps traite les e-mails comportant plusieurs pièces jointes et crée des entités à partir des pièces jointes.

(non sélectionnée par défaut).
Case Name Template Optional

Nom personnalisé de la demande.

Lorsque vous configurez ce paramètre, le connecteur ajoute une clé custom_case_name à l'événement Google SecOps.

Vous pouvez fournir des espaces réservés au format suivant : [name of the field].

Exemple : Phishing - [event_mailbox].

Pour les espaces réservés, le connecteur utilise le premier événement Google SecOps. Le connecteur ne traite que les clés contenant la valeur de chaîne.
Alert Name Template Optional

Paramètre permettant de définir un nom d'alerte personnalisé.

Nom personnalisé de l'alerte.

Vous pouvez fournir des espaces réservés au format suivant : [name of the field].

Exemple : Phishing - [event_mailbox].

Pour les espaces réservés, le connecteur utilise le premier événement Google SecOps. Seules les clés contenant la valeur de chaîne sont traitées. Si vous ne fournissez aucune valeur ou un modèle non valide, le connecteur utilise le nom d'alerte par défaut.
Email Padding Period (minutes) Optional

Période pendant laquelle le connecteur récupère les e-mails avant le dernier code temporel.

Jobs

Avant de configurer des jobs pour l'intégration Exchange, assurez-vous que votre version de la plate-forme Google SecOps les prend en charge.

Job de renouvellement du jeton d'actualisation

L'objectif du job de renouvellement du jeton d'actualisation est de mettre à jour régulièrement le jeton d'actualisation utilisé dans l'intégration.

Par défaut, le jeton d'actualisation expire tous les 90 jours. Il est recommandé d'exécuter ce job tous les 7 ou 14 jours pour s'assurer que le jeton d'actualisation est à jour.

Entrées de tâches

Le job de renouvellement du jeton d'actualisation nécessite les paramètres suivants :

Paramètre Description
Integration Environments Optional

Environnements d'intégration pour lesquels le job met à jour les jetons d'actualisation.

Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Placez les valeurs individuelles entre guillemets (" ").
Connector Names Optional

Noms des connecteurs pour lesquels le job met à jour les jetons d'actualisation.

Ce paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Placez les valeurs individuelles entre guillemets (" ").

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.