Exchange

Versi integrasi: 102.0

Dokumen ini memberikan panduan tentang cara mengintegrasikan Exchange dengan Google Security Operations SOAR.

Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber lengkap yang di-zip dari integrasi ini dari bucket Cloud Storage.

Mengonfigurasi Exchange Online

Prasyarat dan langkah-langkah konfigurasi berbeda-beda bergantung pada apakah Anda mengonfigurasi integrasi untuk Exchange Online atau Exchange Server.

• Untuk mengonfigurasi Exchange Online, lanjutkan ke bagian berikut.

• Untuk mengonfigurasi Exchange Server, lihat Mengonfigurasi Exchange Server.

Integrasi untuk Exchange Online hanya mendukung autentikasi yang didelegasikan OAuth dengan token yang didelegasikan yang memerlukan konfigurasi tambahan.

Perubahan yang dilakukan pada izin di lingkungan Azure dapat memerlukan waktu hingga 24 jam untuk diterapkan.

Sebelum memulai

Sebelum mengonfigurasi integrasi Exchange Online, Anda harus memilih metode autentikasi dan menyelesaikan semua langkah konfigurasinya. Pilih salah satu metode berikut:

• Metode 1: Menetapkan izin untuk meniru identitas pengguna: Integrasi bertindak sebagai satu pengguna yang ditetapkan.
• Metode 2: Mendelegasikan akses: Integrasi mengakses beberapa kotak surat secara langsung.

Menetapkan izin untuk meniru identitas pengguna

Metode ini mengharuskan Anda membuat aplikasi di Microsoft Entra ID dan menetapkan izin untuk meniru identitas satu pengguna.

Membuat aplikasi Microsoft Entra

Untuk memulai penyiapan peniruan identitas, Anda harus mendaftarkan aplikasi baru di Microsoft Entra ID.

1. Login ke Microsoft Azure dan buka Microsoft Entra ID > App registrations > New registration.
2. Masukkan nama aplikasi dan pilih Jenis akun yang didukung.
3. Untuk Redirect URI, berikan nilai berikut:
   1. Platform: Web
   2. URL Pengalihan: http://localhost
4. Klik Daftar.
5. Simpan nilai Application (client) ID dan Directory (tenant) ID.

Mengonfigurasi izin API

Anda harus memberikan izin yang diperlukan kepada aplikasi Anda untuk mengakses data pengguna.

1. Buka API permissions > Add a permission.
2. Pilih Microsoft Graph > Delegated permissions.
3. Di bagian Select permissions, pilih EWS, lalu izin Ews.AccessAsUser.All.
4. Klik Add permission > Grant admin consent.

Membuat rahasia klien

Anda harus membuat rahasia klien untuk digunakan sebagai sandi aplikasi Anda.

1. Buka Certificates and secrets > New client secret.
2. Berikan deskripsi, tetapkan waktu habis masa berlaku, lalu klik Tambahkan.
3. Simpan nilai secret.

Menetapkan izin di Exchange Online:

Untuk menyelesaikan penyiapan, Anda harus menetapkan peran ApplicationImpersonation kepada pengguna yang ingin Anda tiru.

1. Di Exchange administrator center, buka Roles > Admin Roles dan temukan grup peran yang berisi peran ApplicationImpersonation (seperti Discovery Management).
2. Tambahkan pengguna yang Anda tiru identitasnya ke grup peran tersebut.

Delegasikan Akses

Metode ini mengharuskan Anda memberikan izin langsung akun layanan ke kotak surat menggunakan Exchange Online PowerShell.

1. Hubungkan ke Exchange Online PowerShell.

2. Gunakan cmdlet Add-MailboxPermission untuk menetapkan izin.

   Misalnya, untuk memberikan akses penuh akun layanan ke kotak surat tertentu:

   Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess
   

   Untuk mengetahui informasi selengkapnya, lihat Kontrol akses berbasis peran untuk aplikasi di Exchange Online untuk mengetahui informasi selengkapnya.

Mengintegrasikan Exchange Online dengan Google SecOps

Untuk mengetahui petunjuk tentang cara menginstal dan mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi Integrasi.

Untuk mengintegrasikan Exchange Online dengan platform Google SecOps, Anda harus menyelesaikan langkah-langkah berikut di Google SecOps:

1. Konfigurasi parameter awal dan simpan.

2. Buat token refresh:

   • Simulasikan kasus di Google SecOps.

   • Jalankan tindakan Get Authorization.

   • Jalankan tindakan Generate Token.

3. Masukkan refresh token yang diperoleh sebagai nilai parameter Refresh Token dan simpan konfigurasi.

Mengonfigurasi parameter awal

Integrasi Exchange Online memerlukan parameter awal berikut:

Setelah mengonfigurasi parameter, klik Simpan.

Membuat token refresh

Untuk membuat token refresh, Anda harus menjalankan tindakan manual pada kasus yang ada. Jika instance Google SecOps Anda baru dan tidak memiliki kasus yang ada, simulasikan satu kasus.

Menyimulasikan kasus

Untuk menyimulasikan kasus di Google SecOps, ikuti langkah-langkah berikut:

1. Di navigasi sebelah kiri, pilih Kasus.

2. Di halaman Kasus, klik Tambahkan > Simulasikan Kasus.

3. Pilih salah satu kasus default, lalu klik Buat. Tidak masalah kasus mana yang Anda pilih untuk disimulasikan.

4. Klik Simulasikan.

   Jika Anda memiliki lingkungan selain default dan ingin menggunakannya, pilih lingkungan yang benar, lalu klik Simulasi.

5. Di tab Cases, klik Refresh. Kasus yang telah Anda simulasikan akan muncul dalam daftar kasus.

Jalankan tindakan Mendapatkan Otorisasi

Gunakan kasus Google SecOps yang Anda simulasikan untuk menjalankan tindakan Dapatkan Otorisasi secara manual.

1. Di tab Kasus, pilih kasus simulasi Anda untuk membuka Tampilan Kasus.

2. Klik Tindakan Manual.

3. Di kolom Penelusuran Tindakan Manual, masukkan Exchange.

4. Di hasil di bagian Integrasi Exchange, pilih Dapatkan Otorisasi. Tindakan ini menampilkan link otorisasi yang digunakan untuk login secara interaktif ke aplikasi Microsoft Entra.

5. Klik Jalankan.

6. Setelah tindakan dieksekusi, buka Case Wall kasus simulasi Anda. Di catatan tindakan Exchange_Get Authorization, klik View More. Salin link otorisasi.

7. Buka jendela browser baru dalam mode samaran dan tempelkan URL otorisasi yang dihasilkan. Halaman login Azure akan terbuka.

8. Login dengan kredensial pengguna yang Anda pilih untuk integrasi. Setelah login, browser akan mengalihkan Anda ke alamat dengan kode di kolom URL.

   Browser diperkirakan akan menampilkan error saat aplikasi mengarahkan Anda ke http://localhost.

9. Salin seluruh URL dengan kode akses dari kolom URL.

Jalankan tindakan Buat Token

Gunakan kasus Google SecOps yang telah Anda simulasikan untuk menjalankan tindakan Generate Token secara manual.

1. Di tab Kasus, pilih kasus simulasi Anda untuk membuka Tampilan Kasus.

2. Klik Tindakan Manual.

3. Di kolom Penelusuran Tindakan Manual, masukkan Exchange.

4. Di hasil di bagian Integrasi Exchange, pilih Buat Token.

5. Di kolom Authorization URL, tempelkan seluruh URL dengan kode akses yang disalin setelah menjalankan tindakan Get Authentication.

6. Klik Jalankan.

7. Setelah tindakan dieksekusi, buka Case Wall kasus simulasi Anda. Di catatan tindakan Exchange_Generate Token, klik Lihat Lainnya.

8. Salin seluruh nilai token refresh yang dibuat.

Mengonfigurasi parameter Refresh Token

1. Buka dialog konfigurasi untuk integrasi Exchange.

2. Masukkan nilai token refresh yang Anda peroleh saat menjalankan tindakan Generate Token ke dalam kolom Refresh Token.

3. Klik Simpan.

4. Klik Uji untuk menguji apakah konfigurasi sudah benar dan integrasi berfungsi seperti yang diharapkan.

Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah dikonfigurasi, instance dapat digunakan dalam playbook. Untuk mengetahui informasi mendetail tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Mengonfigurasi Exchange Server

Sebelum mengintegrasikan Exchange Server dengan Google SecOps, siapkan autentikasi dasar untuk Exchange Server.

Untuk melakukan autentikasi dengan Exchange Server, gunakan nama pengguna dan sandi.

Menyiapkan autentikasi dasar

Untuk menyiapkan autentikasi dasar, selesaikan langkah-langkah berikut:

1. Verifikasi bahwa Exchange Server (salah satu server dalam cluster) dapat diakses dari server SecOps Google dan memenuhi persyaratan berikut:

   • Nama DNS Exchange Server dapat diselesaikan.

   • Alamat IP Exchange Server dapat diakses.

   • Exchange Web Services (EWS) diaktifkan dan dihosting di port yang dapat diakses oleh server Google SecOps.

   Jika Server Exchange tidak dapat diakses dari server SOAR Google SecOps, pertimbangkan untuk menggunakan agen jarak jauh Google SecOps.

2. Berikan integrasi dengan nama pengguna (akun email pengguna) dan sandi. Pilih pengguna untuk integrasi.

3. Untuk tindakan yang menggunakan izin yang didelegasikan atau di-impersonate, selesaikan langkah-langkah berikut:

   1. Berikan akses yang didelegasikan atau peniruan identitas ke kotak surat yang diperlukan ke akun email yang Anda gunakan dalam integrasi.

      Sebaiknya Anda mengonfigurasi akses dengan izin yang ditiru identitasnya. Untuk mengetahui informasi selengkapnya, lihat Peniruan Identitas dan EWS di Exchange dalam dokumentasi produk Microsoft.

   2. Untuk mengakses kotak surat lain, tetapkan peran Exchange berikut kepada pengguna (kotak surat) yang dikonfigurasi untuk integrasi:

      • Discovery Management grup peran dalam dokumentasi produk Microsoft.

      • Peran ApplicationImpersonation dalam dokumentasi produk Microsoft.

      • Peran Compliance Management dalam dokumentasi produk Microsoft.

      • Peran Organization Management dalam dokumentasi produk Microsoft.

Mengintegrasikan Exchange Server dengan Google SecOps

Untuk mengetahui petunjuk tentang cara menginstal dan mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Input integrasi

Integrasi Exchange Server memerlukan parameter berikut:

Tindakan

Tindakan yang tercantum di bagian ini termasuk dalam dua kategori:

1. Tindakan integrasi Exchange umum.

2. Tindakan yang khusus untuk fungsi Blokir Pengirim dan Domain Exchange.

Izin yang diperlukan

Untuk izin minimal yang diperlukan untuk menjalankan tindakan umum, lihat tabel berikut:

Untuk mengetahui izin minimum yang diperlukan untuk menjalankan tindakan dari fungsi Blokir Pengirim dan Domain, lihat tabel berikut:

Menghapus Email

Gunakan tindakan Hapus Email untuk menghapus satu atau beberapa email yang cocok dengan kriteria penelusuran dari kotak surat.

Menghapus email dapat berlaku untuk email pertama yang cocok dengan kriteria penelusuran atau semua email yang cocok.

Untuk mengetahui izin yang diperlukan untuk menjalankan tindakan ini, lihat bagian izin tindakan dalam dokumen ini.

Jika pengguna sedang offline, tindakan ini mungkin tidak menghapus pesan dari klien Outlook-nya hingga pengguna terhubung kembali dan menyinkronkan kotak suratnya.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Hapus Email memerlukan parameter berikut:

Output tindakan

Tindakan Delete Mail memberikan output berikut:

Pesan output

Tindakan Hapus Email dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Email:

Mendownload Lampiran

Gunakan tindakan Download Lampiran untuk mendownload lampiran email dari email ke jalur tertentu di server Google SecOps. Tindakan ini secara otomatis mengganti karakter garis miring terbalik atau spasi dalam nama lampiran yang didownload dengan karakter garis bawah.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Download Lampiran memerlukan parameter berikut:

Output tindakan

Tindakan Download Lampiran memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Download Lampiran:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]

Pesan output

Tindakan Download Lampiran dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Download Lampiran:

Mengekstrak Data EML

Gunakan tindakan Ekstrak Data EML untuk mengekstrak data dari lampiran EML email.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tindakan Ekstrak Data EML memerlukan parameter berikut:

Output tindakan

Tindakan Ekstrak Data EML memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Ekstrak Data EML:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ekstrak Data EML:

Buat Token

Gunakan tindakan Buat Token untuk mendapatkan token refresh untuk konfigurasi integrasi dengan autentikasi OAuth. Gunakan URL otorisasi yang Anda terima dalam tindakan Dapatkan Otorisasi.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Generate Token memerlukan parameter berikut:

Output tindakan

Tindakan Generate Token memberikan output berikut:

Pesan output

Tindakan Generate Token dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buat Token:

Mendapatkan Setelan Keluar dari Fasilitas Akun

Gunakan tindakan Get Account Out Of Facility Settings untuk mendapatkan setelan keluar dari fasilitas (OOF) akun untuk entitas Google SecOps User yang diberikan.

Jika target entitas pengguna adalah nama pengguna, bukan email, jalankan tindakan Active Directory Enrich Entities untuk mengambil informasi tentang email pengguna yang disimpan di Active Directory.

Tindakan ini dijalankan pada entity User Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Get Account Out Of Facility Settings memberikan output berikut:

Tabel repositori kasus

Tindakan Get Account Out Of Facility Settings menampilkan tabel berikut di Dinding Kasus di Google SecOps:

Nama tabel: Out of Facility Settings

Kolom tabel:

• Parameter
• Nilai

Pengayaan entitas

Tindakan Get Account Out Of Facility Settings mendukung pengayaan entitas berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Account Out Of Facility Settings:

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))

Pesan output

Tindakan Get Account Out Of Facility Settings dapat menampilkan pesan output berikut:

Mendapatkan Otorisasi

Gunakan tindakan Dapatkan Otorisasi untuk mendapatkan link dengan kode akses untuk konfigurasi integrasi dengan autentikasi OAuth. Salin link dan gunakan di tindakan Generate Token untuk mendapatkan token refresh.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Get Authorization memberikan output berikut:

Link repositori kasus

Tindakan Get Authorization ini akan menampilkan link berikut:

Nama: Jelajahi link otorisasi ini

Link: AUTHORIZATION_LINK

Pesan output

Tindakan Dapatkan Otorisasi ini dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Otorisasi:

Mendapatkan File EML Email

Gunakan tindakan Get Mail EML File untuk mengambil file EML pesan.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tindakan Get Mail EML File memerlukan parameter berikut:

Output tindakan

Tindakan Dapatkan File EML Email memberikan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan File EML Email:

Memindahkan Email ke Folder

Gunakan tindakan Move Mail to Folder untuk memindahkan satu atau beberapa email dari folder email sumber ke folder lain di kotak surat.

Bergantung pada kasus penggunaannya, tindakan ini menampilkan jumlah informasi yang berbeda tentang email yang diproses dalam hasil JSON.

Jika Anda memilih parameter Batasi jumlah informasi dalam hasil JSON, hasil JSON hanya berisi kolom email berikut: datetime_received, message_id, sender, subject, to_recipients. Jika tidak, hasil JSON berisi semua informasi yang tersedia tentang email yang diproses.

Jika Anda memilih parameter Nonaktifkan Hasil JSON Tindakan, tindakan tidak akan menampilkan hasil JSON sama sekali.

Tindakan Move Mail to Folder tidak berjalan di entitas Google SecOps.

Input tindakan

Tindakan Pindahkan Email ke Folder memerlukan parameter berikut:

Output tindakan

Tindakan Pindahkan Email ke Folder memberikan output berikut:

Pesan output

Tindakan Pindahkan Email ke Folder dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Pindahkan Email ke Folder:

Ping

Gunakan tindakan Ping untuk menguji koneksi ke instance Microsoft Exchange.

Anda dapat menjalankan tindakan ini secara manual dan bukan sebagai bagian dari alur playbook.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

T/A

Output tindakan

Tindakan Ping memberikan output berikut:

Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Menyimpan Lampiran Email ke Kasus

Gunakan tindakan Simpan Lampiran Email Ke Kasus untuk menyimpan lampiran email dari email yang disimpan di kotak surat yang dipantau ke Dinding Kasus di Google SecOps.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Save Mail Attachments To The Case memerlukan parameter berikut:

Output tindakan

Tindakan Save Mail Attachments To The Case memberikan output berikut:

Pesan output

Tindakan Save Mail Attachments To The Case dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Simpan Lampiran Email ke Kasus:

Menelusuri Email

Gunakan tindakan Telusuri Email untuk menelusuri email tertentu di kotak surat yang dikonfigurasi menggunakan beberapa kriteria penelusuran. Tindakan ini menampilkan informasi tentang email yang ditemukan di kotak surat dalam format JSON.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Search Mails memerlukan parameter berikut:

Output tindakan

Tindakan Search Mails memberikan output berikut:

Tabel repositori kasus

Tindakan Search Mails menampilkan tabel berikut di Dinding Kasus di Google SecOps:

Judul tabel: Email yang Cocok

Kolom tabel:

• Message_id
• Tanggal Diterima
• Pengirim
• Penerima
• Subjek
• Isi email
• Nama lampiran (sebagai daftar nama lampiran yang dipisahkan koma)

Jika Anda memilih parameter Search in all mailboxes, tindakan akan menambahkan kolom Ditemukan di kotak surat ke tabel untuk menunjukkan kotak surat tempat email ditemukan.

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Mails:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]

Pesan output

Tindakan Search Mails dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search Mails:

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]
  

Kirim Email

Gunakan tindakan Kirim Email untuk mengirim email dari kotak surat tertentu ke daftar penerima. Anda dapat menggunakan tindakan ini untuk memberi tahu pengguna tentang hal berikut:

• Pemberitahuan spesifik yang dibuat di Google SecOps.
• Hasil pemrosesan pemberitahuan tertentu.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Send Mail memerlukan parameter berikut:

Output tindakan

Tindakan Send Mail memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Send Mail:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

Selain hasil teknis JSON objek email, tindakan ini juga menampilkan ID pesan dan tanggal saat email dikirim. Data tambahan digunakan dalam tindakan Tunggu Surat, jika diperlukan:

{
…
"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}

Pesan output

Tindakan Send Mail dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Send Mail:

HTML Kirim Email

Gunakan tindakan Send Mail HTML untuk mengirim email dengan konten template HTML. Kolom Send to dipisahkan dengan koma.

Anda dapat mengonfigurasi nama pengirim di klien email pada setelan akun.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tindakan Send Mail HTML memerlukan parameter berikut:

Output tindakan

Tindakan Send Mail HTML memberikan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Mengirim Balasan Rangkaian Pesan

Gunakan tindakan Send Thread Reply untuk mengirim pesan sebagai balasan ke rangkaian pesan email.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Send Thread Reply memerlukan parameter berikut:

Output tindakan

Tindakan Send Thread Reply memberikan output berikut:

Pesan output

Tindakan Send Thread Reply dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Kirim Balasan Thread:

Mengirim Surat Suara Pemilu

Gunakan tindakan Send Vote Mail untuk mengirim email dengan opsi jawaban yang telah dikonfigurasi sebelumnya untuk menyertakan pengguna yang tidak memiliki akses ke UI Google SecOps dalam proses otomatis.

Tindakan ini mendukung fitur pemungutan suara hanya jika penerima menggunakan Exchange untuk melihat dan memilih opsi pemungutan suara dengan benar.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Send Vote Mail memerlukan parameter berikut:

Output tindakan

Tindakan Send Vote Mail memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Send Vote Mail:

{

…

"message_id": "example@example.com>",

"email_date": "1583916838"

...

}

Pesan output

Tindakan Send Vote Mail dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Send Vote Mail:

Menunggu Email Dari Pengguna

Gunakan tindakan Tunggu Email Dari Pengguna untuk menunggu respons pengguna berdasarkan email yang dikirim dengan tindakan Kirim Email.

Tindakan ini berfungsi secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Wait for Mail From User memerlukan parameter berikut:

Output tindakan

Tindakan Wait for Mail From User memberikan output berikut:

Lampiran repositori kasus

Tindakan Wait for Mail From User menampilkan lampiran berikut di dinding Kasus di Google SecOps:

Jenis lampiran Entity dipetakan ke penerima yang membalas message_id yang dilacak responsnya oleh server Google SecOps.

Hasil JSON

Sebagai hasil JSON, tindakan ini menampilkan kombinasi dari dua output berikut:

1. Output JSON objek email untuk email dengan respons yang dilacak.

   Tindakan ini melacak respons email menggunakan message_id.

2. Output JSON untuk proses pelacakan respons dari pengguna.

Metode untuk menggabungkan data output ditentukan pada tahap penerapan.

Alur untuk output JSON objek email adalah sebagai berikut:

1. tindakan menunggu setidaknya satu respons pengguna untuk melanjutkan.

2. Setelah menerima respons dari pengguna pertama, tindakan akan memperbarui hasil JSON dan melanjutkan dengan hasil tindakan.

   {
   "Responses":
   {[
       "user1@example.com": "Approved",
       "user2@example.com": "",
       "user3@example.com": ""
   ]}
   }
   

Alur untuk output proses respons pelacakan adalah sebagai berikut:

1. Tindakan menunggu semua respons pengguna untuk melanjutkan.

2. Setelah menerima balasan dari pengguna atau mencapai waktu tunggu, tindakan akan memperbarui hasil JSON.

   Dalam hal ini, jika tindakan menunggu respons dari semua penerima dan waktu tunggu habis saat menunggu respons pengguna, tindakan akan menampilkan error handled_timeout.

   {
   "Responses":
   {[
       "user1@example.com": "Approved",
       "user2@example.com": "Approved",
       "user3@example.com": "Timeout"
   ]}
   }
   

Pesan output

Tindakan Wait for Mail From User dapat menampilkan pesan output berikut:

Menunggu Hasil Pemungutan Suara melalui Surat

Gunakan tindakan Tunggu Hasil Pemilu melalui Surat untuk menunggu dan mengambil respons pemilu melalui surat yang dikirim menggunakan tindakan Kirim Pemilu melalui Surat. Tindakan Wait for Vote Mail Results meneruskan respons yang diambil ke Google SecOps.

Untuk melacak dan mengambil hasil voting dengan benar, lacak email voting. Untuk mengetahui informasi selengkapnya, lihat tindakan Send Vote Mail.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tunggu Hasil Pemungutan Suara melalui Surat memerlukan parameter berikut:

Output tindakan

Tindakan Wait for Vote Mail Results memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Wait for Vote Mail Results:

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}

Pesan output

Tindakan Wait for Vote Mail Results dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tunggu Hasil Pemilu yang Dikirim melalui Pos:

Fungsi Blokir Pengirim dan Domain

Salah satu kasus penggunaan paling umum untuk pengelolaan dan keamanan email adalah untuk mengatasi ancaman yang ada, seperti email phishing, yang sudah ada di kotak masuk organisasi, lalu memblokir pengirim atau domain yang mencurigakan untuk melindungi organisasi Anda dari serangan pada masa mendatang dan mencegah kemungkinan pelanggaran keamanan.

Di Google SecOps, integrasi Exchange memberi Anda fungsi Blokir Pengirim dan Domain yang terdiri dari tahap berurutan berikut:

1. Perlindungan dalam organisasi.

   Gunakan tindakan Blokir Pengirim menurut ID Pesan untuk menambahkan pengirim ke daftar blokir menggunakan layanan EWS Tandai sebagai Sampah.

2. Perlindungan di luar organisasi dengan aturan kotak masuk.

   Buat aturan kotak masuk untuk menambahkannya di tingkat klien dan secara otomatis mencegah email berbahaya mencapai kotak surat organisasi Anda.

3. Perlindungan di luar organisasi dengan aturan kotak masuk server.

   Buat aturan kotak masuk server untuk mencegah email mencurigakan mencapai organisasi.

Anda dapat mempelajari lebih lanjut tahap-tahap ini di bagian berikut.

Kasus penggunaan

Kasus penggunaan berikut menunjukkan contoh pelanggaran keamanan yang merupakan email mencurigakan dan berpotensi berbahaya.

Setelah mengetahui bahwa email mencurigakan dan berbahaya telah membahayakan beberapa kotak surat organisasi Anda, rutininitas untuk menangani jenis ancaman ini adalah sebagai berikut:

1. Atasi ancaman dengan tindakan Blokir Pengirim menurut ID Pesan.
2. Menangani kotak surat yang disusupi.
3. Tambahkan perlindungan terhadap email mencurigakan yang diterima di kotak surat lain juga.

Memperbaiki ancaman

Untuk mengatasi ancaman, jalankan tindakan Blokir Pengirim menurut ID Pesan untuk mendapatkan parameter untuk penyelidikan dan informasi selengkapnya tentang email mencurigakan. Tindakan ini juga memungkinkan Anda memeriksa hanya kotak surat yang disusupi dan menangani ancaman yang ada di dalamnya.

Tindakan Blokir Pengirim menurut ID Pesan memicu layanan Tandai sebagai Sampah Exchange EWS untuk melakukan hal berikut:

1. Pindahkan email yang mencurigakan ke folder Sampah.
2. Tambahkan pengirim email ke Daftar Pengirim yang Diblokir dari kotak surat yang diselidiki.

Untuk mengetahui informasi selengkapnya tentang penggunaan layanan Tandai sebagai Sampah, lihat Menambahkan dan menghapus alamat email dari Daftar Pengirim yang Diblokir menggunakan EWS di Exchange dalam dokumentasi produk Microsoft.

Di satu sisi, memulihkan ancaman dengan tindakan Blokir Pengirim menurut ID Pesan hanya menargetkan kotak surat yang disusupi dan dapat dilakukan secara otomatis. Di sisi lain, tindakan tersebut tidak dapat memblokir pengirim di kotak surat yang tidak terkompromi atau menambahkan domain menggunakan API ke Daftar Pengirim yang Diblokir.

Menangani kotak surat yang disusupi

Setelah mengatasi ancaman, langkah berikutnya adalah menangani kotak surat yang disusupi dan melindungi setiap kotak surat di organisasi dari pengirim berbahaya, bahkan yang berpotensi berbahaya.

Untuk menangani kotak surat yang disusupi, jalankan kumpulan tindakan aturan kotak masuk yang terdiri dari tindakan berikut:

1. Menambahkan Domain ke Aturan Kotak Masuk Exchange-Siemplify
2. Menambahkan Pengirim ke Aturan Kotak Masuk Exchange-Siemplify
3. Menghapus Aturan Kotak Masuk Exchange-Siemplify
4. Mencantumkan Aturan Kotak Masuk Exchange-Siemplify
5. Menghapus Domain dari Aturan Kotak Masuk Exchange-Siemplify
6. Menghapus Pengirim dari Aturan Kotak Masuk Exchange-Siemplify

Untuk mempelajari lebih lanjut layanan yang digunakan dalam tindakan, lihat bagian Mengelola aturan kotak masuk di Exchange dalam dokumentasi produk Microsoft.

Integrasi Exchange memungkinkan Anda menggunakan serangkaian aturan bawaan berikut untuk operasi yang paling umum:

• Siemplify – Senders List – Move To Junk
• Siemplify – Senders List – Delete
• Siemplify – Senders List – Permanently Delete
• Siemplify – Domains List – Move To Junk
• Siemplify – Domains List – Delete
• Siemplify – Domains List – Permanently Delete

Menghapus email pengirim berbahaya secara permanen

Untuk mempertahankan daftar aturan yang sama di semua kotak surat, tambahkan aturan untuk pengguna administrator. Untuk menerapkan aturan administrator kepada pengguna lain, jalankan operasi di semua kotak surat.

Untuk menghapus email dari pengirim berbahaya secara permanen, selesaikan langkah-langkah berikut:

1. Di Google SecOps, dari akun administrator, jalankan tindakan Add Senders to Exchange-Siemplify Inbox Rule. Masukkan email pengirim berbahaya.

2. Pilih aturan yang sesuai dari daftar untuk menentukan cara mengelola email yang mencurigakan. Untuk menghapus email berbahaya secara permanen, pilih aturan Siemplify – Senders List – Permanently Delete.

   Tindakan ini akan memperbarui aturan kotak masuk dengan pengirim berbahaya baru.

3. Pilih parameter Perform action in all mailboxes untuk menerapkan aturan ke semua kotak surat.

   Jika aturan tidak ada di kotak surat, tindakan akan membuatnya. Jika aturan sudah ada di kotak surat, tindakan akan memperbaruinya dengan nilai parameter baru.

4. Untuk menambahkan perlindungan terhadap email mencurigakan yang diterima di kotak surat lain dan memblokir domain pengirim berbahaya, pilih parameter Should add senders' domain to the corresponding Domains List rule as well?.

5. Tinjau parameter lain dalam tindakan dan sesuaikan jika diperlukan.

Tindakan Tambahkan Pengirim ke Aturan Kotak Masuk Exchange-Siemplify memperbarui beberapa aturan sekaligus sesuai dengan parameter Mailboxes to process in one batch. Tindakan Add Senders to Exchange-Siemplify Inbox Rule berfungsi pada pengirim dan domain, berlaku untuk semua kotak surat terlepas dari apakah ada email mencurigakan yang diterima, dan dapat bersifat otomatis.

Pengguna akhir dapat menghapus aturan yang diterapkan untuk kotak suratnya. Menerapkan aturan administrator ke kotak surat lain akan otomatis menghapus aturan kotak masuk pribadi yang dinonaktifkan.

Tindakan Blokir Pengirim dan Domain

Sebelum menjalankan tindakan untuk fungsi Blokir Pengirim dan Domain, konfigurasi izin minimum yang diperlukan.

Menambahkan Domain ke Aturan Kotak Masuk Exchange-Siemplify

Gunakan tindakan Add Domains to Exchange-Siemplify Inbox Rules untuk mendapatkan daftar domain sebagai parameter atau gunakan entitas Domain Google SecOps jika parameternya kosong. Tindakan ini hanya tersedia untuk Google SecOps versi 5.6 dan yang lebih baru.

Sebelum menjalankan tindakan ini, konfigurasi izin tindakan yang diperlukan.

Anda dapat membuat atau memperbarui aturan dengan memfilter domain dari kotak surat Anda. Anda dapat mengubah tindakan ini menggunakan parameter Rule to add Domains to.

Tindakan Tambahkan Domain ke Aturan Kotak Masuk Exchange-Siemplify mengubah aturan kotak masuk pengguna saat ini dengan EWS.

Tindakan ini berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Jika Anda tidak menetapkan parameter apa pun dan versi Google SecOps Anda adalah 5.6 dan yang lebih baru, tindakan ini akan berjalan di entitas Domain.

Input tindakan

Tindakan Tambahkan Domain ke Aturan Kotak Masuk Exchange-Siemplify memerlukan parameter berikut:

Output tindakan

Tindakan Add Domains to Exchange-Siemplify Inbox Rules memberikan output berikut:

Pesan output

Tindakan Add Domains to Exchange-Siemplify Inbox Rules dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Add Domains to Exchange-Siemplify Inbox Rules:

Menambahkan Pengirim ke Aturan Kotak Masuk Exchange-Siemplify

Gunakan tindakan Tambahkan Pengirim ke Aturan Kotak Masuk Exchange-Siemplify untuk mendapatkan daftar alamat email sebagai atau bekerja dengan entitas Pengguna Google SecOps jika parameternya kosong. Anda dapat menggunakan ekspresi reguler untuk tindakan ini.

Anda dapat membuat aturan baru dengan memfilter pengirim dari kotak surat Anda. Anda dapat mengubah tindakan ini menggunakan parameter Rule to add senders to.

Sebelum menjalankan tindakan ini, pastikan untuk mengonfigurasi izin tindakan yang diperlukan.

Tindakan Add Senders to Exchange-Siemplify Inbox Rule mengubah aturan kotak masuk pengguna Anda saat ini menggunakan EWS.

Tindakan ini berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Jika ekspresi reguler email valid dan Anda tidak mengonfigurasi parameter apa pun, tindakan ini akan berjalan di entitas Pengguna.

Input tindakan

Tindakan Add Senders to Exchange-Siemplify Inbox Rule memerlukan parameter berikut:

Output tindakan

Tindakan Add Senders to Exchange-Siemplify Inbox Rule memberikan output berikut:

Pesan output

Tindakan Tambahkan Pengirim ke Aturan Kotak Masuk Exchange-Siemplify dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Add Senders to Exchange-Siemplify Inbox Rule:

Memblokir Pengirim berdasarkan ID Pesan

Gunakan tindakan Blokir Pengirim menurut ID Pesan untuk mendapatkan daftar ID pesan sebagai parameter dan menandai daftar tersebut sebagai spam.

Dalam tindakan ini, menandai item sebagai sampah akan menambahkan alamat email pengirim ke Daftar Pengirim yang Diblokir dan memindahkan item ke folder Sampah.

Tindakan ini berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Tindakan Blokir Pengirim menurut ID Pesan hanya mendukung Exchange Server versi 2013 dan yang lebih baru. Jika Anda menggunakan versi sebelumnya, tindakan akan gagal dengan pesan yang sesuai.

Pesan dari alamat email yang mencurigakan harus ada di kotak surat pengguna sebelum Anda menambahkan atau menghapus alamat email tersebut dari Daftar Pengirim yang Diblokir.

Tindakan Blokir Pengirim menurut ID Pesan tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Blokir Pengirim menurut ID Pesan memerlukan parameter berikut:

Output tindakan

Tindakan Blokir Pengirim menurut ID Pesan memberikan output berikut:

Pesan output

Tindakan Blokir Pengirim menurut ID Pesan dapat menampilkan output berikut pesan:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Blokir Pengirim menurut ID Pesan:

Menghapus Aturan Kotak Masuk Exchange-Siemplify

Gunakan tindakan Delete Exchange-Siemplify Inbox Rules untuk mendapatkan nama aturan sebagai parameter dan menghapusnya dari semua kotak surat yang ditentukan.

Sebelum menjalankan tindakan ini, konfigurasi izin tindakan yang diperlukan.

Tindakan Delete Exchange-Siemplify Inbox Rules mengubah aturan kotak masuk saat ini dari pengguna Anda dengan EWS.

Tindakan ini berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Delete Exchange-Siemplify Inbox Rules memerlukan parameter berikut:

Output tindakan

Tindakan Hapus Aturan Kotak Masuk Exchange-Siemplify memberikan output berikut:

Pesan output

Tindakan Delete Exchange-Siemplify Inbox Rules dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Aturan Kotak Masuk Exchange-Siemplify:

Mencantumkan Aturan Kotak Masuk Exchange-Siemplify

Gunakan tindakan List Exchange-Siemplify Inbox Rules untuk mendapatkan nama aturan dari aturan Kotak Masuk Exchange-Siemplify sebagai parameter dan mencantumkannya. Jika tidak ada kotak surat yang akan dicantumkan, tindakan akan mencantumkan aturan untuk pengguna yang login.

Sebelum menjalankan tindakan ini, konfigurasi izin tindakan yang diperlukan.

Tindakan List Exchange-Siemplify Inbox Rules mengubah aturan kotak masuk saat ini dari pengguna Anda dengan EWS.

Tindakan ini berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan List Exchange-Siemplify Inbox Rules memerlukan parameter berikut:

Output tindakan

Tindakan List Exchange-Siemplify Inbox Rules memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Exchange-Siemplify Inbox Rules:

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}

Pesan output

Tindakan List Exchange-Siemplify Inbox Rules dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Exchange-Siemplify Inbox Rules:

Menghapus Domain dari Aturan Kotak Masuk Exchange-Siemplify

Gunakan Remove Domains from Exchange-Siemplify Inbox Rules untuk mendapatkan daftar domain sebagai parameter atau kerjakan entitas Domain jika parameter tidak diberikan. Tindakan ini hanya tersedia untuk Google SecOps versi 5.6 dan yang lebih baru. Anda dapat menghapus domain yang diberikan dari aturan yang ada.

Sebelum menjalankan tindakan ini, konfigurasi izin tindakan yang diperlukan.

Tindakan Remove Domains from Exchange-Siemplify Inbox Rules mengubah aturan kotak masuk saat ini pengguna Anda dengan EWS.

Tindakan ini berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Jika Anda tidak mengonfigurasi parameter apa pun, tindakan ini akan berjalan di entitas Domain Google SecOps.

Input tindakan

Tindakan Hapus Domain dari Aturan Kotak Masuk Exchange-Siemplify memerlukan parameter berikut:

Output tindakan

Tindakan Remove Domains from Exchange-Siemplify Inbox Rules memberikan output berikut:

Pesan output

Tindakan Remove Domains from Exchange-Siemplify Inbox Rules dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Remove Domains from Exchange-Siemplify Inbox Rules:

Menghapus Pengirim dari Aturan Kotak Masuk Exchange-Siemplify

Gunakan Remove Senders from Exchange-Siemplify Inbox Rules untuk mendapatkan daftar pengirim email sebagai parameter atau bekerja dengan entitas User jika parameter tidak diberikan.

Anda dapat menghapus pengirim yang diberikan dari aturan yang ada.

Sebelum menjalankan tindakan ini, konfigurasi izin tindakan yang diperlukan.

Tindakan Remove Senders from Exchange-Siemplify Inbox Rules mengubah aturan kotak masuk saat ini pengguna Anda dengan EWS.

Tindakan ini berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Jika tidak ada parameter yang diberikan, tindakan ini akan berjalan di entitas Pengguna Google SecOps.

Input tindakan

Tindakan Hapus Pengirim dari Aturan Kotak Masuk Exchange-Siemplify memerlukan parameter berikut:

Output tindakan

Tindakan Remove Senders from Exchange-Siemplify Inbox Rules memberikan output berikut:

Pesan output

Tindakan Remove Senders from Exchange-Siemplify Inbox Rules dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Remove Senders from Exchange-Siemplify Inbox Rules:

Berhenti Memblokir Pengirim berdasarkan ID Pesan

Gunakan tindakan Buka Blokir Pengirim menurut ID Pesan untuk mendapatkan daftar ID pesan sebagai parameter dan membatalkan penandaannya sebagai sampah.

Dalam tindakan ini, membatalkan tanda item sebagai sampah akan menghapus alamat email pengirim dari Daftar Pengirim yang Diblokir. Untuk memindahkan item kembali ke folder kotak masuk, pilih parameter Move items back to Inbox? di parameter tindakan.

Unblock Sender by Message ID berjalan secara asinkron. Sesuaikan nilai waktu tunggu skrip di Google SecOps IDE untuk tindakan sesuai kebutuhan.

Tindakan ini hanya mendukung Exchange Server versi 2013 dan yang lebih baru. Jika Anda menggunakan versi sebelumnya, tindakan akan gagal dengan pesan yang sesuai.

Pesan dari alamat email yang mencurigakan harus ada di kotak surat pengguna sebelum Anda menambahkan atau menghapus alamat email dari Daftar Pengirim yang Diblokir.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Unblock Sender by Message ID memerlukan parameter berikut:

Output tindakan

Tindakan Unblock Sender by Message ID memberikan output berikut:

Pesan output

Tindakan Unblock Sender by Message ID dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buka Blokir Pengirim menurut ID Pesan:

Konektor

Untuk mengetahui petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Saat mengonfigurasi konektor dan tindakan, perhatikan spasi dan simbol khusus dalam kredensial Anda. Jika integrasi menolak kredensial Anda, periksa ejaannya.

Untuk mengonfigurasi konektor yang dipilih, gunakan parameter khusus konektor yang tercantum dalam tabel berikut:

• Parameter konfigurasi Exchange EML Connector
• Parameter konfigurasi Exchange Mail Connector
• Parameter konfigurasi Exchange Mail Connector V2
• Parameter konfigurasi Autentikasi OAuth Exchange Mail Connector v2

Konektor EML Exchange

Exchange EML Connector mengambil email dari server Exchange dan menguraikannya. Jika ada file EML terlampir, konektor akan melampirkannya ke kasus sebagai peristiwa. Jika ada beberapa lampiran EML dalam email, konektor akan membuat beberapa kasus dan menyerap setiap lampiran sebagai satu peristiwa untuk setiap kasus.

Batasan umum

1. Microsoft 365 dan autentikasi dasar.

   • Exchange EML Connector tidak lagi mendukung autentikasi dasar dan tidak dapat digunakan dengan Microsoft 365. Untuk Microsoft 365, gunakan Exchange Mail Connector v2 dengan OAuth.

2. Berikut spesifikasi Exchange EML Connector:

   • Konektor membuat pemberitahuan Google SecOps hanya dari email yang berisi lampiran file EML atau MSG.

   • Konektor mengabaikan email yang tidak berisi lampiran email.

Input konektor

Exchange EML Connector memerlukan parameter berikut:

Aturan konektor

• Exchange EML Connector tidak mendukung aturan daftar blokir dan daftar dinamis.

• Exchange EML Connector mendukung proxy.

Exchange Mail Connector

Gunakan Exchange Mail Connector untuk berkomunikasi dengan server Exchange dan menelusuri email hampir secara real time serta meneruskannya untuk diterjemahkan dan diberi konteks sebagai pemberitahuan dalam kasus Google SecOps.

Bagian ini mengacu pada komunikasi dengan Server Microsoft Exchange 2007-2019 atau Microsoft 365 menggunakan Exchange Web Services (EWS) dan menjelaskan cara Google SecOps berinteraksi dengan antarmuka Exchange Mail serta alur kerja dan aktivitas yang dibantu dalam aplikasi.

Exchange Mail Connector memungkinkan pengambilan email dari server Exchange yang dikonfigurasi yang memindai setiap server dan kemudian membuat kasus baru. Setidaknya satu kemunculan email awal disertakan dalam setiap skenario. Perbedaan utamanya adalah konektor Email Exchange menghapus email dan membuat peristiwa yang mengurai data EML atau MSG dalam email asli server Exchange.

Batasan umum

1. Microsoft 365 dan autentikasi dasar.

   • Exchange Mail Connector tidak lagi mendukung autentikasi dasar dan tidak dapat digunakan dengan Microsoft 365. Untuk Microsoft 365, gunakan Exchange Mail Connector v2 dengan OAuth.

2. Berikut spesifikasi Exchange Mail Connector:

   • Konektor membuat pemberitahuan Google SecOps hanya dari email asli yang diterima dan ada di kotak surat.

   • Konektor mengabaikan file EML dan MSG terlampir.

Input konektor

Exchange Mail Connector memerlukan parameter berikut:

Mengonfigurasi aturan daftar dinamis

Di bagian daftar dinamis, untuk mengekstrak nilai tertentu dari email menggunakan ekspresi reguler, tambahkan aturan dalam format berikut:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Misalnya, untuk mengekstrak ID pesan dari email, masukkan aturan berikut:

message-id: (?<=Message-ID: ).*

Aturan konektor

• Exchange Mail Connector mendukung proxy.

• Exchange Mail Connector tidak mendukung aturan daftar blokir.

• Integrasi Exchange menggunakan bagian daftar dinamis untuk menentukan ekspresi reguler dan mengaktifkan hal berikut:

  • Mengurai konten email.
  • Tambahkan kolom tertentu berdasarkan regular expression yang cocok dengan peristiwa email.

Exchange Mail Connector v2

Gunakan Exchange Mail Connector v2 untuk terhubung ke server email dan memeriksa email baru di kotak surat tertentu.

Jika email baru muncul, konektor akan membuat dan menyerap di Google SecOps pemberitahuan baru yang berisi informasi dari email baru tersebut.

Jika tidak ada email baru, Exchange Mail Connector v2 akan menyelesaikan iterasi saat ini dan menunggu selama jangka waktu tertentu sebelum iterasi berikutnya dijalankan.

Alur iterasi konektor

Setelah setiap proses, Exchange Mail Connector v2 memperbarui file stempel waktu dengan tanggal dan waktu proses terakhir. Exchange Mail Connector v2 mengekstrak informasi yang dapat ditindaklanjuti untuk kasus dari email sebagai hasil teknis objek email, seperti, tetapi tidak terbatas pada:

• Pengirim dan penerima email.
• Subjek email.
• Isi email.
• URL dalam email.
• Lampiran, jika ada.

Setelah Exchange Mail Connector v2 membuat pemberitahuan (kasus) untuk diproses ke Google SecOps, iterasi konektor selesai.

Berdasarkan data kasus yang disediakan oleh Exchange Mail Connector v2, server Google SecOps menjalankan prosedur ETL untuk menyerap pemberitahuan baru dan membuat atau memperbarui kasus. Jika ada playbook terkait yang ditentukan, Google SecOps akan menjalankan playbook untuk memperkaya kasus, membuat insight, dan melakukan tindakan otomatis.

Menggunakan Template Nama Pemberitahuan dan Template Nama Kasus

Parameter Alert Name Template dan Case Name Template memungkinkan Anda mengganti cara pembuatan nama kasus dan notifikasi. Hanya pemberitahuan pertama yang menetapkan nama kasus atau pemberitahuan, semua pemberitahuan berikutnya tidak memengaruhi nama.

Contoh peristiwa Google SecOps adalah sebagai berikut:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Untuk membuat nama kustom untuk pemberitahuan Google SecOps, gunakan template berikut:

[EVENT_TYPE] - [EVENT_NAME]

Misalnya, untuk membuat pemberitahuan Google SecOps bernama Phishing – Example Event, templatenya adalah sebagai berikut:

[Phishing] - [Example Event]

Input konektor

Di Exchange Mail Connector v2, parameter berikut dapat memengaruhi pemrosesan email:

• Original Received Mail Prefix
• Attached Mail File Prefixes
• Create a Separate Siemplify Alert per Attached Mail File?

Untuk memetakan kolom to dan from dari email yang diproses, konektor membuat kumpulan kolom berikut:

1. Kolom to dan from reguler yang berisi alamat email dalam format berikut: email@example.

2. Kolom to_raw dan from_raw yang hanya berisi alamat email sebagai nilai dalam format berikut: email@example.

Exchange Mail Connector v2 memerlukan parameter berikut:

Aturan konektor

• Exchange Mail Connector v2 mendukung proxy.

• Exchange Mail Connector v2 tidak mendukung aturan daftar blokir.

• Integrasi Exchange menggunakan bagian daftar dinamis untuk menentukan ekspresi reguler guna mengaktifkan hal berikut:

  • Mengurai konten email.
  • Tambahkan kolom tertentu berdasarkan kecocokan ekspresi reguler ke peristiwa email.

Exchange Mail Connector v2 dengan Autentikasi OAuth

Gunakan Exchange Mail Connector v2 dengan OAuth untuk memantau kotak surat tertentu di server email Microsoft 365 yang memerlukan autentikasi OAuth. Anda dapat menggunakan tindakan Dapatkan Otorisasi dan Buat Token untuk mendapatkan token refresh yang diperlukan untuk konfigurasi konektor.

Untuk menjalankan Exchange Mail Connector v2 dengan OAuth, konfigurasi integrasi untuk mendukung autentikasi OAuth.

Menggunakan Template Nama Pemberitahuan dan Template Nama Kasus

Parameter Alert Name Template dan Case Name Template memungkinkan Anda mengganti cara pembuatan nama kasus dan notifikasi.

Contoh peristiwa Google SecOps adalah sebagai berikut:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Untuk membuat nama kustom untuk pemberitahuan Google SecOps, gunakan template berikut:

[EVENT_TYPE] - [EVENT_NAME]

Misalnya, untuk membuat pemberitahuan Google SecOps bernama Phishing – Example Event, templatenya adalah sebagai berikut:

[Phishing] - [Example Event]

Input konektor

Di Exchange Mail Connector v2 dengan OAuth, parameter berikut dapat memengaruhi pemrosesan email:

• Original Received Mail Prefix
• Attached Mail File Prefixes
• Create a Separate Siemplify Alert per Attached Mail File?

Untuk memetakan kolom to dan from dari email yang diproses, konektor membuat dua set kolom berikut:

1. Kolom to dan from reguler yang berisi alamat email, seperti email@example.

2. Kolom to_raw dan from_raw yang hanya berisi alamat email sebagai nilai, seperti email@example.

Exchange Mail Connector v2 dengan OAuth memerlukan parameter berikut:

Pekerjaan

Sebelum mengonfigurasi tugas untuk integrasi Exchange, pastikan versi platform Google SecOps Anda mendukungnya.

Tugas Perpanjangan Token Refresh

Tujuan Refresh Token Renewal Job adalah untuk memperbarui secara berkala token refresh yang digunakan dalam integrasi.

Secara default, masa berlaku token refresh berakhir setiap 90 hari. Sebaiknya jalankan tugas ini setiap 7 atau 14 hari untuk memastikan token refresh selalu terbaru.

Input tugas

Refresh Token Renewal Job memerlukan parameter berikut:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.