Exchange

Versione integrazione: 102.0

Questo documento fornisce indicazioni su come integrare Exchange con Google Security Operations SOAR.

Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia compressa del codice sorgente completo di questa integrazione dal bucket Cloud Storage.

Configurare Exchange Online

I prerequisiti e i passaggi di configurazione variano a seconda che tu configuri l'integrazione per Exchange Online o Exchange Server.

L'integrazione per Exchange Online supporta solo l'autenticazione delegata OAuth con token delegati, che richiede una configurazione aggiuntiva.

L'applicazione delle modifiche apportate alle autorizzazioni nell'ambiente Azure può richiedere fino a 24 ore.

Prima di iniziare

Prima di configurare l'integrazione di Exchange Online, devi scegliere un metodo di autenticazione e completare tutti i passaggi di configurazione. Scegli uno dei seguenti metodi:

Assegnare autorizzazioni per rappresentare un utente

Questo metodo richiede di creare un'applicazione in Microsoft Entra ID e assegnarle le autorizzazioni per impersonare un singolo utente.

Crea un'applicazione Microsoft Entra

Per iniziare la configurazione dell'impersonificazione, devi registrare una nuova applicazione in Microsoft Entra ID.

  1. Accedi a Microsoft Azure e vai a Microsoft Entra ID > Registrazioni app > Nuova registrazione.
  2. Inserisci un nome per l'app e seleziona un tipo di account supportato.
  3. Per l'URI di reindirizzamento, fornisci i seguenti valori:
    1. Piattaforma: Web
    2. URL di reindirizzamento: http://localhost
  4. Fai clic su Register (Registrati).
  5. Salva i valori di ID applicazione (client) e ID directory (tenant).

Configura le autorizzazioni API

Devi concedere alla tua applicazione le autorizzazioni necessarie per accedere ai dati dell'utente.

  1. Vai ad Autorizzazioni API > Aggiungi un'autorizzazione.
  2. Seleziona Microsoft Graph > Autorizzazioni delegate.
  3. Nella sezione Seleziona autorizzazioni, seleziona EWS e poi l'autorizzazione Ews.AccessAsUser.All.
  4. Fai clic su Aggiungi autorizzazione > Concedi il consenso amministratore.

Crea un client secret

Devi creare un client secret da utilizzare come password per la tua applicazione.

  1. Vai a Certificati e secret > Nuovo client secret.
  2. Fornisci una descrizione, imposta una scadenza e fai clic su Aggiungi.
  3. Salva il valore del secret.

Assegna le autorizzazioni in Exchange Online:

Per completare la configurazione, devi assegnare il ruolo ApplicationImpersonation all'utente che vuoi impersonare.

  1. Nel Centro amministrazione Exchange, vai a Ruoli > Ruoli amministratore e trova il gruppo di ruoli che contiene il ruolo ApplicationImpersonation (ad esempio Gestione della ricerca).
  2. Aggiungi l'utente di cui stai eseguendo l'impersonificazione a questo gruppo di ruoli.

Accesso delegato

Questo metodo richiede di concedere al account di servizio autorizzazioni dirette a una casella postale utilizzando Exchange Online PowerShell.

  1. Connettiti a Exchange Online PowerShell.

  2. Utilizza il cmdlet Add-MailboxPermission per assegnare le autorizzazioni.

    Ad esempio, per concedere al account di servizio l'accesso completo a una casella postale specifica:

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    Per saperne di più, vedi Controllo dell'controllo dell'accesso basato sui ruoli per le applicazioni in Exchange Online.

Integrare Exchange Online con Google SecOps

Per istruzioni su come installare e configurare l'integrazione su Google SecOps, vedi Configurare le integrazioni.

L'integrazione di Exchange Online con la piattaforma Google SecOps richiede il completamento dei seguenti passaggi in Google SecOps:

  1. Configura i parametri iniziali e salvali.

  2. Genera un token di aggiornamento:

    • Simula una richiesta in Google SecOps.

    • Esegui l'azione Ottieni autorizzazione.

    • Esegui l'azione Genera token.

  3. Inserisci il token di aggiornamento ottenuto come valore parametro Refresh Token e salva la configurazione.

Configurare i parametri iniziali

L'integrazione di Exchange Online richiede i seguenti parametri iniziali:

Parametro Descrizione
Mail Server Address Obbligatorio

Un indirizzo del server di posta (nome host o indirizzo IP) a cui connettersi.
Mail address Obbligatorio

Un indirizzo postale da utilizzare nell'integrazione per lavorare con le email inviate e ricevute nella casella di posta.
Client ID Obbligatorio

Un ID applicazione (client) dell'applicazione Microsoft Entra utilizzata per l'integrazione.

Si tratta del valore dell'ID applicazione (client) che hai salvato durante la creazione dell'applicazione Microsoft Entra.
Client Secret Obbligatorio

Un valore del client secret dell'applicazione Microsoft Entra utilizzata per l'integrazione.

Si tratta del valore del client secret che hai salvato durante la creazione di un client secret.
Tenant (Directory) ID Obbligatorio

Un ID directory (tenant) dell'applicazione Microsoft Entra ID utilizzata per l'integrazione.

Questo è il valore ID della directory (tenant) che hai salvato durante la creazione dell'applicazione Microsoft Entra.
Redirect URL Obbligatorio

Un URI di reindirizzamento configurato nell'applicazione Microsoft Entra.

Mantieni il valore predefinito http://localhost.

Dopo aver configurato i parametri, fai clic su Salva.

Generare un token di aggiornamento

La generazione di un token di aggiornamento richiede l'esecuzione di azioni manuali su una richiesta esistente. Se la tua istanza Google SecOps è nuova e non ha casi esistenti, simulane uno.

Simulare una richiesta

Per simulare un caso in Google SecOps:

  1. Nel menu di navigazione a sinistra, seleziona Richieste.

  2. Nella pagina Richieste, fai clic su Aggiungi > Simula richieste.

  3. Seleziona uno dei casi predefiniti e fai clic su Crea. Non importa quale scenario scegli di simulare.

  4. Fai clic su Simula.

    Se hai un ambiente diverso da quello predefinito e vuoi utilizzarlo, seleziona l'ambiente corretto e fai clic su Simula.

  5. Nella scheda Richieste, fai clic su Aggiorna. La richiesta che hai simulato viene visualizzata nell'elenco delle richieste.

Esegui l'azione Recupera autorizzazione

Utilizza il caso Google SecOps che hai simulato per eseguire manualmente l'azione Ottieni autorizzazione.

  1. Nella scheda Richieste, seleziona la richiesta simulata per aprire una visualizzazione della richiesta.

  2. Fai clic su Azione manuale.

  3. Nel campo Cerca dell'azione manuale, inserisci Exchange.

  4. Nei risultati dell'integrazione di Exchange, seleziona Ottieni autorizzazione. Questa azione restituisce un link di autorizzazione utilizzato per accedere in modo interattivo all'app Microsoft Entra.

  5. Fai clic su Esegui.

  6. Dopo l'esecuzione dell'azione, vai alla bacheca richieste della richiesta simulata. Nel record dell'azione Exchange_Get Authorization, fai clic su Visualizza altro. Copia il link di autorizzazione.

  7. Apri una nuova finestra del browser in modalità di navigazione in incognito e incolla l'URL di autorizzazione generato. Si apre la pagina di accesso di Azure.

  8. Accedi con le credenziali utente selezionate per l'integrazione. Dopo aver eseguito l'accesso, il browser ti reindirizza a un indirizzo con un codice nella barra degli indirizzi.

    È previsto che il browser visualizzi un errore quando l'app ti reindirizza a http://localhost.

  9. Copia l'intero URL con il codice di accesso dalla barra degli indirizzi.

Esegui l'azione Genera token

Utilizza lo scenario Google SecOps che hai simulato per eseguire manualmente l'azione Genera token.

  1. Nella scheda Richieste, seleziona la richiesta simulata per aprire una visualizzazione della richiesta.

  2. Fai clic su Azione manuale.

  3. Nel campo Cerca dell'azione manuale, inserisci Exchange.

  4. Nei risultati dell'integrazione di Exchange, seleziona Genera token.

  5. Nel campo Authorization URL, incolla l'intero URL con il codice di accesso copiato dopo aver eseguito l'azione Recupera autenticazione.

  6. Fai clic su Esegui.

  7. Dopo l'esecuzione dell'azione, vai alla bacheca richieste della richiesta simulata. Nel record dell'azione Exchange_Generate Token, fai clic su Visualizza altro.

  8. Copia l'intero valore del token di aggiornamento generato.

Configurare il parametro Token di aggiornamento

  1. Vai alla finestra di dialogo di configurazione per l'integrazione di Exchange.

  2. Inserisci il valore del token di aggiornamento ottenuto durante l'esecuzione dell'azione Genera token nel campo Token di aggiornamento.

  3. Fai clic su Salva.

  4. Fai clic su Testa per verificare se la configurazione è corretta e l'integrazione funziona come previsto.

Se necessario, potrai apportare modifiche in un secondo momento. Una volta configurate, le istanze possono essere utilizzate nei playbook. Per informazioni dettagliate sulla configurazione e sul supporto di più istanze, vedi Supporto di più istanze.

Configurare Exchange Server

Prima di integrare Exchange Server con Google SecOps, configura l'autenticazione di base per Exchange Server.

Per l'autenticazione con Exchange Server, utilizza un nome utente e una password.

Configurare l'autenticazione di base

Per configurare l'autenticazione di base, completa i seguenti passaggi:

  1. Verifica che Exchange Server (uno dei server del cluster) sia accessibile dal server Google SecOps e soddisfi i seguenti requisiti:

    • Il nome DNS del server Exchange viene risolto.

    • L'indirizzo IP di Exchange Server è accessibile.

    • Servizi Web Exchange (EWS) è abilitato e ospitato su una porta accessibile al server Google SecOps.

    Se il server Exchange non è accessibile dal server Google SecOps SOAR, valuta la possibilità di utilizzare un agente remoto Google SecOps.

  2. Fornisci l'integrazione con un nome utente (account email utente) e una password. Scegli l'utente per l'integrazione.

  3. Per le azioni che utilizzano autorizzazioni delegate o di rappresentazione, completa i seguenti passaggi:

    1. Concedi l'accesso delegato o con rappresentazione alle caselle postali richieste a un account email che utilizzi nell'integrazione.

      Ti consigliamo di configurare l'accesso con le autorizzazioni rappresentate. Per maggiori informazioni, consulta la sezione Rappresentazione e EWS in Exchange nella documentazione del prodotto Microsoft.

    2. Per accedere ad altre caselle postali, assegna i seguenti ruoli di Exchange all'utente (casella postale) configurato per l'integrazione:

Integrare Exchange Server con Google SecOps

Per istruzioni su come installare e configurare l'integrazione su Google SecOps, vedi Configurare le integrazioni.

Input di integrazione

L'integrazione di Exchange Server richiede i seguenti parametri:

Parametro Descrizione
Mail Server Address Obbligatorio

Un indirizzo del server di posta (nome host o indirizzo IP) a cui connettersi.
Mail address Obbligatorio

Un indirizzo di posta utilizzato nell'integrazione per lavorare con le email inviate e ricevute nella casella di posta.
Username Obbligatorio

Un nome utente per l'autenticazione sul server di posta, ad esempio exchange_onprem_test@exlab.local.
Password Obbligatorio

Una password per l'autenticazione sul server di posta.

Azioni

Le azioni elencate in questa sezione rientrano in due categorie:

  1. Le azioni di integrazione di Exchange comuni.

  2. Azioni specifiche della funzionalità Blocca mittente e dominio di Exchange.

Autorizzazioni obbligatorie

Per le autorizzazioni minime necessarie per eseguire azioni comuni, consulta la tabella seguente:

Azione Autorizzazioni obbligatorie
Elimina posta

ApplicationImpersonation

Mailbox Search
Scarica allegato

ApplicationImpersonation


Mailbox Search
Cerca email

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

Per le autorizzazioni minime richieste per eseguire azioni dalla funzionalità Blocca mittente e dominio, consulta la tabella seguente:

Azione Autorizzazioni obbligatorie
Aggiungere mittenti alla regola della casella di posta Exchange-Siemplify EDiscovery Group
Author
Aggiungere mittenti alla regola della casella di posta Exchange-Siemplify EDiscovery Group
Author
Elimina regole della posta in arrivo di Exchange-Siemplify EDiscovery Group
Author
Elenca le regole della posta in arrivo di Exchange-Siemplify EDiscovery Group
Author
Rimuovere i domini dalle regole della posta in arrivo di Exchange-Siemplify EDiscovery Group
Author
Rimuovere i mittenti dalle regole della posta in arrivo di Exchange-Siemplify EDiscovery Group
Author

Elimina posta

Utilizza l'azione Elimina posta per eliminare una o più email che corrispondono ai criteri di ricerca da una casella di posta.

L'eliminazione delle email può essere applicata alla prima email che corrisponde ai criteri di ricerca o a tutte le email corrispondenti.

Per le autorizzazioni richieste per eseguire questa azione, consulta la sezione Autorizzazioni dell'azione di questo documento.

Se l'utente è offline, l'azione potrebbe non eliminare il messaggio dal client Outlook finché l'utente non si riconnette e sincronizza la sua casella di posta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Elimina posta richiede i seguenti parametri:

Parametro Descrizione
Folder Name Optional

Una cartella della casella di posta in cui cercare un'email.

Questo parametro accetta un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.
Message IDs Optional

Una condizione di filtro per cercare email con ID email specifici.

Questo parametro accetta un elenco separato da virgole di ID messaggio da cercare.

Se fornisci l'ID messaggio, l'azione ignora i parametri Subject Filter, Sender Filter e Recipient Filter.
Subject Filter Optional

Una condizione di filtro che specifica l'oggetto dell'email da cercare.
Sender Filter Optional

Una condizione di filtro che specifica il mittente delle email richieste.
Recipient Filter Optional

Una condizione di filtro che specifica il destinatario delle email richieste.
Delete All Matching Emails Optional

Se selezionata, l'azione elimina tutte le email che corrispondono ai criteri. Se non selezionata, l'azione elimina solo la prima email corrispondente.

Non selezionato per impostazione predefinita.
Delete from all mailboxes Optional

Se selezionata, l'azione elimina le email in tutte le caselle postali accessibili utilizzando le impostazioni di rappresentazione correnti.
How many mailboxes to process in a single batch Obbligatorio

Il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Se hai selezionato il parametro Delete from all mailboxes, l'azione funziona in batch.

Il valore predefinito è 25.
Time Frame (minutes) Optional

Il periodo in minuti in cui cercare le email.

Output dell'azione

L'azione Elimina posta fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Elimina posta può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
NUMBER_OF_EMAILS email(s) were deleted successfully. Azione riuscita.
Error deleting emails.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elimina posta:

Nome del risultato dello script Valore
is_success True o False

Scarica allegati

Utilizza l'azione Scarica allegati per scaricare gli allegati email da un'email a un percorso specifico sul server Google SecOps. L'azione sostituisce automaticamente i caratteri barra rovesciata o spazio nei nomi degli allegati scaricati con il carattere trattino basso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Scarica allegati richiede i seguenti parametri:

Parametro Descrizione
Folder Name Optional

Una cartella della casella di posta in cui cercare un'email.

Questo parametro accetta un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.
Download Path Obbligatorio

Un percorso sul server Google SecOps per scaricare gli allegati email.
Message IDs Optional

Una condizione di filtro per cercare email con ID email specifici.

Questo parametro accetta un elenco separato da virgole di ID messaggio da cercare.

Se fornisci l'ID messaggio, l'azione ignora il parametro Subject Filter.
Subject Filter Optional

Una condizione di filtro che specifica l'oggetto dell'email da cercare.
Sender Filter Optional

Una condizione di filtro che specifica il mittente email da cercare.
Only Unread Optional

Se selezionata, l'azione scarica gli allegati solo dalle email non lette.

Non selezionato per impostazione predefinita.
Download Attachments from EML Optional

Se selezionata, l'azione scarica gli allegati dai file EML allegati.

Non selezionato per impostazione predefinita.
Download Attachments to unique path? Optional

Se selezionata, l'azione scarica gli allegati in un percorso univoco nel valore fornito nel parametro Download Path per evitare di sovrascrivere gli allegati scaricati in precedenza.

Non selezionato per impostazione predefinita.
Search in all mailboxes Optional

Se selezionata, l'azione esegue una ricerca in tutte le caselle postali accessibili utilizzando le impostazioni di rappresentazione correnti.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Obbligatorio

Il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Se hai selezionato il parametro Search in all mailboxes, l'azione funziona in batch.

Il valore predefinito è 25.
Mailboxes Optional

Un elenco separato da virgole di caselle postali in cui eseguire una ricerca.

Questo parametro ha la precedenza sul parametro Search in all mailboxes.

Output dell'azione

L'azione Scarica allegati fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Scarica allegati:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
Messaggi di output

L'azione Scarica allegati può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS Azione riuscita.
Failed to download email attachments, the error is: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Scarica allegati:

Nome del risultato dello script Valore
file_paths Una stringa di percorsi completi separati da virgole agli allegati salvati.

Estrai dati EML

Utilizza l'azione Estrai dati EML per estrarre i dati dagli allegati EML delle email.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Estrai dati EML richiede i seguenti parametri:

Parametro Descrizione
Folder Name Optional

Cartella da cui recuperare un'email.

Il valore predefinito è Inbox.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.
Message ID Obbligatorio

ID messaggio, ad esempio 1701cf01ba314032b2f1df43262a7723@example.com.
Regex Map JSON Optional

Espressione regolare per selezionare le email in base alla corrispondenza con la parte del corpo dell'email, ad esempio, {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}.

Output dell'azione

L'azione Estrai dati EML fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Risultato dello script Disponibile
Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Estrai dati EML:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Estrai dati EML:

Nome del risultato dello script Valore
eml_data EML_DATA

Genera token

Utilizza l'azione Genera token per ottenere un token di aggiornamento per la configurazione dell'integrazione con l'autenticazione OAuth. Utilizza l'URL di autorizzazione che hai ricevuto nell'azione Ottieni autorizzazione.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Genera token richiede i seguenti parametri:

Parametro Descrizione
Authorization URL Obbligatorio

URL di autorizzazione ricevuto nell'azione Ottieni autorizzazione per richiedere un token di aggiornamento.

Output dell'azione

L'azione Genera token fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Genera token può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. Azione riuscita.
Failed to get the refresh token! The Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Genera token:

Nome del risultato dello script Valore
is_success True o False

Get Account Out Of Facility Settings

Utilizza l'azione Estrai account dalle impostazioni della struttura per estrarre l'account dalle impostazioni di fuori sede (OOF) per l'entità Google SecOps User fornita.

Se l'entità utente di destinazione è un nome utente e non un indirizzo email, esegui l'azione Active Directory Arricchisci entità per recuperare le informazioni sull'email dell'utente memorizzata in Active Directory.

Questa azione viene eseguita sull'entità Google SecOps User.

Input azione

Nessuno.

Output dell'azione

L'azione Estrai account dalle impostazioni della struttura fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Disponibile
Tabella di arricchimento delle entità Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Tabella della bacheca casi

L'azione Estrai account dalle impostazioni della struttura restituisce la seguente tabella in una bacheca dei casi in Google SecOps:

Nome tabella: Out of Facility Settings

Colonne della tabella:

  • Parametro
  • Valore
Arricchimento delle entità

L'azione Estrai account dalle impostazioni della struttura supporta il seguente arricchimento dell'entità:

Campo di arricchimento Origine (chiave JSON) Logic
Exchange.oof_settings OofSettings L'azione restituisce lo stato disabilitato o abilitato in base alla risposta dell'API.
Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Account Out Of Facility Settings:

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
Messaggi di output

L'azione Estrai account dalle impostazioni della struttura può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 Azione riuscita.
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Recupero autorizzazione

Utilizza l'azione Ottieni autorizzazione per ottenere un link con il codice di accesso per la configurazione dell'integrazione con l'autenticazione OAuth. Copia il link e utilizzalo nell'azione Genera token per ottenere il token di aggiornamento.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ottieni autorizzazione fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile

L'azione Ottieni autorizzazione restituisce il seguente link:

Nome: Vai a questo link di autorizzazione

Link: AUTHORIZATION_LINK

Messaggi di output

L'azione Ottieni autorizzazione può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. Azione riuscita.
Failed to generate authorization URL! The Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni autorizzazione:

Nome del risultato dello script Valore
is_success True o False

Recuperare il file EML di Mail

Utilizza l'azione Recupera file EML di posta per recuperare un file EML di un messaggio.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Recupera file EML di posta richiede i seguenti parametri:

Parametro Descrizione
Folder Name Optional

Una cartella da cui recuperare un'email.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.
Message ID Obbligatorio

L'ID messaggio, ad esempio 1701cf01ba314032b2f1df43262a7723@example.com.
Base64 Encode Optional

Se selezionata, l'azione codifica il file di posta in formato Base64.

Non selezionato per impostazione predefinita.

Output dell'azione

L'azione Recupera file EML di posta fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Risultato dello script Disponibile
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Get Mail EML File:

Nome del risultato dello script Valore
eml_info EML_INFORMATION

Sposta posta nella cartella

Utilizza l'azione Sposta posta nella cartella per spostare una o più email dalla cartella email di origine all'altra cartella di una casella di posta.

A seconda del caso d'uso, l'azione restituisce una quantità diversa di informazioni sulle email elaborate nel risultato JSON.

Se selezioni il parametro Limita la quantità di informazioni nel risultato JSON, il risultato JSON contiene solo i seguenti campi email: datetime_received, message_id, sender, subject, to_recipients. In caso contrario, il risultato JSON contiene tutte le informazioni disponibili sull'email elaborata.

Se selezioni il parametro Disattiva il risultato JSON dell'azione, l'azione non restituisce affatto il risultato JSON.

L'azione Sposta posta nella cartella non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Sposta posta nella cartella richiede i seguenti parametri:

Parametro Descrizione
Source Folder Name Obbligatorio

Una cartella di origine da cui spostare le email.
Destination Folder Name Obbligatorio

Una cartella di destinazione in cui spostare le email.
Subject Filter Optional

Una condizione di filtro per cercare le email in base a un oggetto specifico.
Message IDs Optional

Una condizione di filtro per cercare email con ID email specifici.

Questo parametro accetta anche un elenco separato da virgole di ID messaggio da cercare.

Se fornisci l'ID messaggio, l'azione ignora il parametro Subject Filter.
Only Unread Optional

Una condizione di filtro per cercare solo le email non lette.

Non selezionato per impostazione predefinita.
Move In All Mailboxes Optional

Se selezionata, l'azione cerca e sposta le email in tutte le caselle postali accessibili tramite le impostazioni di impersonificazione correnti.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Obbligatorio

Il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Se selezioni il parametro Move In All Mailboxes, l'azione funziona in batch.

Il valore predefinito è 25.
Time Frame (minutes) Optional

Un periodo di tempo in minuti per cercare le email.
Limit the Amount of Information Returned in the JSON Result Optional

Se selezionata, l'azione restituisce informazioni solo sui campi email chiave. Se non è selezionata, l'azione restituisce informazioni su tutti i campi email.

Questa opzione è selezionata per impostazione predefinita.
Disable the Action JSON Result Optional

Se selezionata, l'azione non restituisce il risultato JSON.

Non selezionato per impostazione predefinita.

Output dell'azione

L'azione Sposta posta nella cartella fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Sposta posta nella cartella può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 Azione riuscita.
Error search emails: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Sposta posta nella cartella:

Nome del risultato dello script Valore
is_success True o False

Dindin

Utilizza l'azione Ping per testare una connessione all'istanza di Microsoft Exchange.

Puoi eseguire questa azione manualmente e non come parte del flusso del playbook.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

N/D

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully connected to the Microsoft Exchange server with the provided connection parameters! Azione riuscita.
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Salvare gli allegati di posta nella richiesta

Utilizza l'azione Salva allegati email nella richiesta per salvare gli allegati email di un'email memorizzata nella casella di posta monitorata nella bacheca della richiesta in Google SecOps.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Salva allegati email nella richiesta richiede i seguenti parametri:

Parametro Descrizione
Folder Name Obbligatorio

Una cartella della casella di posta in cui cercare un'email.

Questo parametro accetta anche un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.
Message IDs Obbligatorio

L'ID messaggio per trovare un'email specifica e scaricare gli allegati.
Attachment To Save Optional

Se non configuri questo parametro, l'azione salva tutti gli allegati email nella bacheca della richiesta per impostazione predefinita. In caso contrario, l'azione salva solo l'allegato che hai specificato nella bacheca richieste.

Output dell'azione

L'azione Salva allegati email nella richiesta fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Salva allegati email nella richiesta può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 Azione riuscita.
Failed to save the email attachments to the case, the error is: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Salva allegati email nella richiesta:

Nome del risultato dello script Valore
is_success True o False

Cerca email

Utilizza l'azione Cerca email per cercare email specifiche in una casella di posta configurata utilizzando più criteri di ricerca. Questa azione restituisce informazioni sulle email trovate in una casella di posta in formato JSON.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Cerca email richiede i seguenti parametri:

Parametro Descrizione
Folder Name Optional

Una cartella della casella di posta in cui cercare un'email.

Questo parametro accetta un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.
Subject Filter Optional

Una condizione di filtro che specifica l'oggetto dell'email da cercare.
Sender Filter Optional

Una condizione di filtro per specificare il mittente delle email richieste.
Recipient Filter Optional

Una condizione di filtro per specificare il destinatario delle email richieste.
Time Frame (minutes) Optional

Un periodo di tempo in minuti per cercare le email.
Only Unread Optional

Se selezionata, l'azione cerca solo le email non lette.

Non selezionato per impostazione predefinita.
Max Emails To Return Optional

Il numero massimo di email da restituire nel risultato dell'azione.
Search in all mailboxes Optional

Se selezionata, l'azione esegue una ricerca in tutte le caselle postali accessibili utilizzando le impostazioni di rappresentazione correnti.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Obbligatorio

Il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Se selezioni il parametro Search in all mailboxes, l'azione funziona in batch.

Il valore predefinito è 25.
Start Time Optional

L'ora di inizio dell'esecuzione della ricerca email.

Il formato da utilizzare è ISO 8601. Questo parametro ha la priorità sul parametro Time Frame (minutes).
End Time Optional

L'ora di fine dell'esecuzione della ricerca email.

Il formato da utilizzare è ISO 8601. Se non imposti un valore e il parametro Start Time è valido, l'azione imposta il valore End Time sull'ora corrente.
Mailboxes Optional

Un elenco separato da virgole di caselle postali in cui eseguire una ricerca.

Questo parametro ha la priorità sul parametro Search in all mailboxes.
Message IDs Optional

Un elenco separato da virgole di ID messaggio da cercare.

Questo filtro ha la priorità sulle altre condizioni filtro.
Body Regex Filter Optional

Un pattern di espressione regolare da cercare nel corpo dell'email.

Output dell'azione

L'azione Cerca email fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Tabella della bacheca casi

L'azione Cerca email restituisce la seguente tabella in una bacheca dei casi in Google SecOps:

Titolo della tabella: Email corrispondenti

Colonne della tabella:

  • Message_id
  • Data di ricezione
  • Mittente
  • Destinatari
  • Oggetto
  • Corpo dell'email
  • Nomi degli allegati (come elenco separato da virgole di nomi degli allegati)

Se selezioni il parametro Search in all mailboxes, l'azione aggiunge la colonna Trovato nella casella di posta alla tabella per indicare in quale casella di posta è stata trovata l'email.

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca email:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
Messaggi di output

L'azione Cerca email può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 Azione riuscita.

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca email:

Nome del risultato dello script Valore
mails_json Non disponibile

Invia email e attendi - Obsoleto

Azione Invia email e attesa. Il campo Invia a è separato da virgole. Il nome visualizzato del mittente può essere configurato nel client nelle impostazioni dell'account.

Input azione

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Oggetto Stringa N/D L'oggetto dell'email.
Invia a Stringa user@example.com

Indirizzo email del destinatario.

Più indirizzi possono essere separati da virgole.
Cc Stringa user@example.com No

Indirizzo email in Cc.

Più indirizzi possono essere separati da virgole.
Ccn Stringa N/D No

Indirizzo email Ccn.

Più indirizzi possono essere separati da virgole.
Contenuti della posta Stringa N/D Corpo dell'email.
Recupera allegati risposta Casella di controllo Deselezionata No Consente l'allegato di file dall'email di risposta.
Cartella da controllare per la risposta Stringa Posta in arrivo No

Il parametro può essere utilizzato per specificare la cartella email della casella di posta (casella di posta utilizzata per inviare l'email con la domanda) in cui cercare la risposta dell'utente.

Il parametro accetta anche un elenco di cartelle separate da virgole per controllare la risposta dell'utente in più cartelle.

Il parametro è sensibile alle maiuscole.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
Mail_body N/D N/D
Risultato JSON

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

Invia email

Utilizza l'azione Invia posta per inviare un'email da una casella di posta specifica a un elenco di destinatari. Puoi utilizzare questa azione per informare gli utenti di quanto segue:

  • Avvisi specifici creati in Google SecOps.
  • Risultati dell'elaborazione degli avvisi specifici.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Invia email richiede i seguenti parametri:

Parametro Descrizione
Subject Obbligatorio

L'oggetto dell'email.
Send to Obbligatorio

Un elenco separato da virgole di indirizzi email per i destinatari dell'email, ad esempio user1@example.com, user2@example.com.
CC Optional

Un elenco separato da virgole di indirizzi email per il campo CC dell'email, ad esempio user1@example.com, user2@example.com.
BCC Optional

Un elenco di indirizzi email separati da virgole per il campo Ccn dell'email, ad esempio user1@example.com, user2@example.com.
Attachments Paths Optional

Un elenco separato da virgole di percorsi per gli allegati di file archiviati sul server, ad esempio C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obbligatorio

Il corpo dell'email.
Reply-To Recipients Optional

Un elenco separato da virgole di destinatari utilizzati nell'intestazione Rispondi a.

L'azione aggiunge l'intestazione Rispondi a per inviare le risposte alle email a indirizzi email specifici anziché all'indirizzo del mittente indicato nel campo Da.
Base64 Encoded Certificate Optional

Un certificato con codifica Base64 utilizzato per criptare un'email.

Per criptare l'email, questo parametro è sufficiente. Per firmare l'email, fornisci anche il parametro Base64 Encoded Signature.
Base64 Encoded Signature Optional

Un certificato con codifica base64 utilizzato per firmare un'email.

Affinché la firma funzioni e contenga un certificato di firma, fornisci i parametri Base64 Encoded Signature e Base64 Encoded Certificate.

Output dell'azione

L'azione Invia email fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Invia email:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

Oltre al risultato tecnico JSON dell'oggetto mail, l'azione restituisce anche l'ID messaggio e la data di invio di un'email. I dati aggiuntivi vengono utilizzati nell'azione Attendi posta, se necessario:

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
Messaggi di output

L'azione Invia email può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Mail sent successfully. Azione riuscita.
Failed to send email! The Error is ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Invia email:

Nome del risultato dello script Valore
Success_Inidicator Non disponibile

Send Mail HTML

Utilizza l'azione Invia email HTML per inviare un'email con il contenuto del modello HTML. Il campo Send to è separato da virgole.

Puoi configurare il nome del mittente nel client di posta elettronica nelle impostazioni dell'account.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Send Mail HTML richiede i seguenti parametri:

Parametro Descrizione
Subject Obbligatorio

L'oggetto dell'email.
Send to Obbligatorio

Un elenco separato da virgole di indirizzi email dei destinatari dell'email.
CC Optional

Un elenco di indirizzi email separati da virgole per il campo Cc dell'email.
BCC Optional

Un elenco separato da virgole di indirizzi email per il campo Ccn dell'email.
Attachments Paths Optional

Un elenco separato da virgole di percorsi per gli allegati dei file archiviati sul server, ad esempio C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obbligatorio

Il corpo dell'email.

Output dell'azione

L'azione Invia email HTML fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Invia risposta al thread

Utilizza l'azione Invia risposta al thread per inviare un messaggio come risposta al thread dell'email.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Invia risposta al thread richiede i seguenti parametri:

Parametro Descrizione
Message ID Obbligatorio

L'ID del messaggio a cui inviare una risposta.
Folder Name Obbligatorio

Un elenco separato da virgole delle cartelle della casella di posta in cui eseguire una ricerca di un'email.

Puoi impostare cartelle specifiche per la posta, ad esempio, Gmail/Tutti i messaggi per eseguire una ricerca in tutte le cartelle della casella di posta Gmail.

Inoltre, il nome della cartella deve corrispondere a quello della cartella IMAP.

Se il nome della cartella contiene spazi, racchiudili tra virgolette doppie.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.
Content Obbligatorio

Il contenuto della risposta.
Attachment Paths Optional

Un elenco separato da virgole di percorsi degli allegati di file archiviati sul server.

Reply All Optional

Se selezionata, l'azione invia una risposta a tutti i destinatari correlati all'email originale e ignora il parametro Reply To.

Questa opzione è selezionata per impostazione predefinita.
Reply To Obbligatorio

Un elenco di indirizzi email separati da virgole a cui inviare la risposta.

Se non imposti un valore e non selezioni il parametro Reply All, l'azione invia una risposta solo al mittente dell'email.

Se selezioni il parametro Reply All, l'azione ignora questo parametro.

Output dell'azione

L'azione Invia risposta al thread fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Invia risposta al thread può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. Azione riuscita.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

Azione non riuscita.

Controlla il parametro Reply To per inviare le risposte solo al tuo indirizzo.
Error executing action "Send Thread Reply". Reason: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Invia risposta al thread:

Nome del risultato dello script Valore
is_success True o False

Send Vote Mail

Utilizza l'azione Invia email di voto per inviare email con opzioni di risposta preconfigurate per includere gli utenti che non hanno accesso all'interfaccia utente di Google SecOps nei processi automatizzati.

Questa azione supporta la funzionalità di voto solo se i destinatari utilizzano Exchange per visualizzare e selezionare correttamente le opzioni di voto.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Invia email di voto richiede i seguenti parametri:

Parametro Descrizione
Subject Obbligatorio

L'oggetto dell'email.
Send to Obbligatorio

Un elenco separato da virgole di indirizzi email per i destinatari dell'email, ad esempio user1@example.com, user2@example.com.
CC Optional

Un elenco separato da virgole di indirizzi email per il campo CC dell'email, ad esempio user1@example.com, user2@example.com.
BCC Optional

Un elenco di indirizzi email separati da virgole per il campo Ccn dell'email, ad esempio user1@example.com, user2@example.com.
Attachments Paths Optional

Un elenco separato da virgole di percorsi per gli allegati dei file archiviati sul server, ad esempio C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Question or Decision Description Obbligatorio

La domanda da porre ai destinatari o la decisione a cui devono rispondere.
Structure of voting options Obbligatorio

Una struttura del voto da inviare ai destinatari.

I valori possibili sono:

  • Yes/No
  • Approve/Reject

Il valore predefinito è Yes/No.

Output dell'azione

L'azione Invia email di voto fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Send Vote Mail:

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
Messaggi di output

L'azione Invia email di voto può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 Azione riuscita.
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Invia email di voto:

Nome del risultato dello script Valore
is_success True o False

Attendi la posta dall'utente

Utilizza l'azione Attendi email dall'utente per attendere la risposta dell'utente in base a un'email inviata con l'azione Invia email.

Questa azione funziona in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Attendi email dall'utente richiede i seguenti parametri:

Parametro Descrizione
Mail message_id Obbligatorio

L'ID messaggio dell'email.

Se il messaggio viene inviato utilizzando l'azione Send Mail, seleziona il campo SendEmail.JSONResult|message_id come segnaposto.
Mail Date Obbligatorio

Un timestamp dell'email inviata che l'azione attuale attende.

Se un messaggio viene inviato utilizzando l'azione Invia posta, seleziona il campo SendEmail.JSONResult|email_date come segnaposto.
Mail Recipients Obbligatorio

Un elenco separato da virgole di destinatari email da cui l'azione attuale attende la risposta.

Se un messaggio viene inviato utilizzando l'azione Invia posta, seleziona il campo SendEmail.JSONResult|to_recipients come segnaposto.
How long to wait for recipient reply (minutes) Obbligatorio

Un periodo di tempo in cui l'azione attende la risposta dell'utente prima di contrassegnarla come scaduta.

Il valore predefinito è 1440 minuti.
Wait for All Recipients to Reply? Optional

Se selezionata, l'azione attende le risposte di tutti i destinatari fino a quando non raggiunge un timeout o procede con la prima risposta.

Questa opzione è selezionata per impostazione predefinita.
Wait Stage Exclude pattern Optional

Un'espressione regolare per escludere risposte specifiche dalla fase di attesa.

Questo parametro funziona con il corpo dell'email.

Ad esempio, puoi configurare l'azione in modo che non consideri i messaggi di risposta automatica per assenza dall'ufficio come risposte dei destinatari e attenda invece una risposta effettiva dell'utente.
Folder to Check for Reply Optional

Una cartella email della casella di posta in cui cercare la risposta dell'utente. L'azione esegue una ricerca nella casella di posta da cui è stata inviata l'email contenente una domanda.

Questo parametro accetta un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Questo parametro è sensibile alle maiuscole.

Il valore predefinito è Inbox.
Fetch Response Attachments Optional

Se selezionata e la risposta del destinatario contiene allegati, l'azione recupera la risposta e la aggiunge come allegato al risultato dell'azione.

Non selezionato per impostazione predefinita.

Output dell'azione

L'azione Attendi email dall'utente fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Risultato dello script Disponibile
Allegato della bacheca casi

L'azione Attendi email dall'utente restituisce il seguente allegato in una bacheca della richiesta in Google SecOps:

Campo Allegato Descrizione
title

Allegato del destinatario Risposta RECIPIENT_EMAIL
filename

ATTACHMENT_NAME. EXTENSION
fileContent

ATTACHED_FILE_CONTENT

Il tipo di allegato Entità viene mappato al destinatario che ha risposto al message_id per cui il server Google SecOps monitora le risposte.

Risultato JSON

Come risultato JSON, l'azione restituisce una combinazione dei due output seguenti:

  1. Un output JSON dell'oggetto mail per l'email con una risposta monitorata.

    L'azione monitora la risposta all'email utilizzando message_id.

  2. Un output JSON per il processo di monitoraggio delle risposte degli utenti.

Il metodo per unire i dati di output viene definito nella fase di implementazione.

Il flusso per l'output JSON dell'oggetto mail è il seguente:

  1. l'azione attende almeno una risposta dell'utente per procedere.

  2. Dopo aver ricevuto la risposta dal primo utente, l'azione aggiorna il risultato JSON e procede con i risultati dell'azione.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

Il flusso per l'output della procedura di risposta al monitoraggio è il seguente:

  1. L'azione attende tutte le risposte degli utenti per procedere.

  2. Dopo aver ricevuto le risposte degli utenti o raggiunto il timeout, l'azione aggiorna il risultato JSON.

    In questo caso, se l'azione è in attesa di risposte da tutti i destinatari e viene raggiunto il timeout durante l'attesa delle risposte degli utenti, l'azione restituisce l'errore handled_timeout.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
Messaggi di output

L'azione Attendi email dall'utente può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 Azione riuscita.

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Attendi i risultati di Vota per posta

Utilizza l'azione Attendi risultati voto via email per attendere e recuperare le risposte di un voto via email inviato utilizzando l'azione Invia voto via email. L'azione Wait for Vote Mail Results inoltra le risposte recuperate a Google SecOps.

Per monitorare e recuperare correttamente i risultati della votazione, monitora l'email di voto. Per ulteriori informazioni, consulta l'azione Invia email di voto.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Attendi i risultati della posta elettorale richiede i seguenti parametri:

Parametro Descrizione
Vote Mail message_id Obbligatorio

L'ID messaggio dell'email di voto.

Se il messaggio viene inviato utilizzando l'azione Send Vote Mail, seleziona il campo SendVoteMail.JSONResult|message_id come segnaposto.
Mail Recipients Obbligatorio

Un elenco separato da virgole degli indirizzi email dei destinatari da cui l'azione attuale attende la risposta.

Seleziona il campo SendVoteMail.JSONResult|to_recipients come segnaposto.
Folder to Check for Reply Obbligatorio

Una cartella della casella di posta in cui cercare la risposta dell'utente. L'azione esegue una ricerca nella casella di posta da cui è stata inviata l'email contenente una domanda.

Questo parametro accetta anche un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Questo parametro è sensibile alle maiuscole.

Il valore predefinito è Inbox.
Folder to Check for Sent Mail Obbligatorio

Una cartella della casella di posta in cui cercare la posta inviata. L'azione esegue una ricerca nella casella di posta da cui è stata inviata l'email contenente una domanda.

Questo parametro accetta anche un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Questo parametro è sensibile alle maiuscole.

Il valore predefinito è Sent Items.
How long to wait for recipient reply (minutes) Obbligatorio

Un periodo di tempo durante il quale l'azione attende la risposta dell'utente prima di essere contrassegnata come timeout.

Il valore predefinito è 1440 minuti.
Wait for All Recipients to Reply? Optional

Se selezionata, l'azione attende le risposte di tutti i destinatari fino a quando non raggiunge un timeout o procede con la prima risposta.

Questa opzione è selezionata per impostazione predefinita.

Output dell'azione

L'azione Attendi i risultati della posta di voto fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Wait for Vote Mail Results:

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
Messaggi di output

L'azione Attendi risultati posta voto può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 Azione riuscita.

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Attendi i risultati della posta di voto:

Nome del risultato dello script Valore
is_success True o False

Funzionalità Blocca mittente e dominio

Uno dei casi d'uso più comuni per la gestione e la sicurezza delle email è contenere le minacce esistenti, come le email di phishing, che si trovano già nella posta in arrivo dell'organizzazione, e poi bloccare un mittente o un dominio sospetto per proteggere la tua organizzazione da attacchi futuri e prevenire possibili violazioni della sicurezza.

In Google SecOps, l'integrazione di Exchange ti offre la funzionalità Blocca mittente e dominio, che comprende le seguenti fasi sequenziali:

  1. Protezione all'interno dell'organizzazione.

    Utilizza l'azione Blocca mittente per ID messaggio per aggiungere il mittente all'elenco bloccati utilizzando il servizio EWS Contrassegna come posta indesiderata.

  2. Protezione al di fuori dell'organizzazione con le regole della posta in arrivo.

    Crea regole per la posta in arrivo per aggiungerle a livello di client e impedire automaticamente che le email dannose raggiungano le caselle di posta della tua organizzazione.

  3. Protezione al di fuori dell'organizzazione con le regole della posta in arrivo del server.

    Crea regole per la posta in arrivo del server per impedire che le email sospette raggiungano l'organizzazione.

Puoi scoprire di più su queste fasi nella sezione seguente.

Caso d'uso

Il seguente caso d'uso mostra un esempio di violazione della sicurezza che è un'email sospetta e potenzialmente dannosa.

Dopo aver scoperto che un'email sospetta e dannosa ha compromesso diverse caselle postali della tua organizzazione, la routine per la gestione di questo tipo di minaccia è la seguente:

  1. Risolvi la minaccia con l'azione Blocca mittente per ID messaggio.
  2. Gestisci le caselle postali compromesse.
  3. Aggiungi una protezione contro l'email sospetta ricevuta anche in altre caselle postali.

Correggere la minaccia

Per risolvere la minaccia, esegui l'azione Blocca mittente per ID messaggio per ottenere i parametri per l'indagine e ulteriori informazioni sull'email sospetta. L'azione ti consente anche di esaminare solo le caselle di posta compromesse e gestire la minaccia contenuta al loro interno.

L'azione Blocca mittente per ID messaggio attiva il servizio Contrassegna come posta indesiderata di Exchange EWS per eseguire le seguenti operazioni:

  1. Sposta l'email sospetta nella cartella Posta indesiderata.
  2. Aggiungi il mittente email all'elenco dei mittenti bloccati della casella postale esaminata.

Per ulteriori informazioni sull'utilizzo del servizio Contrassegna come posta indesiderata, consulta Aggiungere e rimuovere indirizzi email dall'elenco mittenti bloccati utilizzando EWS in Exchange nella documentazione del prodotto Microsoft.

Da un lato, la correzione di una minaccia con l'azione Blocca mittente per ID messaggio ha come target solo le caselle postali compromesse e può essere automatica. D'altra parte, l'azione non può bloccare un mittente nelle caselle postali non compromesse né aggiungere domini utilizzando l'API all'elenco dei mittenti bloccati.

Gestire le caselle postali compromesse

Dopo aver risolto una minaccia, i passaggi successivi consistono nel gestire le caselle postali compromesse e proteggere ogni casella postale dell'organizzazione da mittenti dannosi, anche quelli potenziali.

Per gestire le caselle postali compromesse, esegui l'insieme di azioni delle regole di posta in arrivo che consiste nelle seguenti azioni:

  1. Aggiungere domini alle regole della posta in arrivo di Exchange-Siemplify
  2. Aggiungere mittenti alla regola della posta in arrivo di Exchange-Siemplify
  3. Eliminare le regole della posta in arrivo di Exchange-Siemplify
  4. Elenco delle regole della posta in arrivo di Exchange-Siemplify
  5. Rimuovere i domini dalle regole della posta in arrivo di Exchange-Siemplify
  6. Rimuovere i mittenti dalle regole della posta in arrivo di Exchange-Siemplify

Per scoprire di più sul servizio utilizzato nelle azioni, consulta Gestire le regole della posta in arrivo in Exchange nella documentazione del prodotto Microsoft.

L'integrazione di Exchange ti consente di utilizzare un insieme delle seguenti regole predefinite per le operazioni più comuni:

  • Siemplify - Elenco mittenti - Sposta nello spam
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

Eliminare definitivamente le email del mittente dannoso

Per mantenere lo stesso elenco di regole in tutte le caselle postali, aggiungi le regole per l'utente amministratore. Per applicare le regole dell'amministratore ad altri utenti, esegui l'operazione su tutte le caselle postali.

Per eliminare definitivamente le email del mittente dannoso:

  1. In Google SecOps, dall'account amministratore, esegui l'azione Add Senders to Exchange-Siemplify Inbox Rule. Inserisci l'indirizzo email del mittente dannoso.

  2. Scegli la regola appropriata dall'elenco per definire come gestire un'email sospetta. Per eliminare definitivamente le email dannose, seleziona la regola Siemplify – Senders List – Permanently Delete.

    L'azione aggiorna la regola della posta in arrivo con il nuovo mittente dannoso.

  3. Seleziona il parametro Perform action in all mailboxes per applicare la regola a tutte le caselle postali.

    Se la regola non esiste in una casella postale, l'azione la crea. Se la regola esiste già in una casella di posta, l'azione la aggiorna con i nuovi valori dei parametri.

  4. Per aggiungere una protezione contro l'email sospetta ricevuta in altre caselle postali e bloccare il dominio del mittente dannoso, seleziona il parametro Should add senders' domain to the corresponding Domains List rule as well?.

  5. Esamina gli altri parametri nell'azione e modificali se necessario.

L'azione Aggiungi mittenti alla regola della posta in arrivo di Exchange-Siemplify aggiorna più regole contemporaneamente in base al parametro Mailboxes to process in one batch. L'azione Aggiungi mittenti alla regola della posta in arrivo di Exchange-Siemplify funziona sia su mittenti che su domini, si applica a tutte le caselle postali indipendentemente dal fatto che sia stata ricevuta un'email sospetta e può essere automatica.

L'utente finale può eliminare le regole applicate alla propria casella di posta. L'applicazione delle regole dell'amministratore ad altre caselle postali rimuove automaticamente le regole della casella privata disattivate.

Azioni Blocca mittente e Blocca dominio

Prima di eseguire le azioni per le funzionalità Blocca mittente e Blocca dominio, configura le autorizzazioni minime richieste.

Aggiungere domini alle regole della posta in arrivo di Exchange-Siemplify

Utilizza l'azione Aggiungi domini alle regole della posta in arrivo di Exchange-Siemplify per ottenere un elenco di domini come parametro o utilizza l'entità Dominio di Google SecOps se i parametri sono vuoti. Questa azione è disponibile solo per Google SecOps versione 5.6 e successive.

Prima di eseguire questa azione, configura le autorizzazioni dell'azione richieste.

Puoi creare o aggiornare una regola filtrando i domini dalle tue caselle postali. Puoi modificare questa azione utilizzando il parametro Rule to add Domains to.

L'azione Aggiungi domini alle regole della posta in arrivo di Exchange-Siemplify modifica le regole della posta in arrivo attuali dei tuoi utenti con EWS.

Questa azione viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Se non imposti alcun parametro e la tua versione di Google SecOps è 5.6 e successive, questa azione viene eseguita sull'entità Dominio.

Input azione

L'azione Aggiungi domini alle regole della casella di posta Exchange-Siemplify richiede i seguenti parametri:

Parametro Descrizione
Domains Optional

Un elenco di domini separato da virgole da aggiungere alla regola.
Rule to add Domains to Obbligatorio

Una regola a cui aggiungere i domini.

Se non esiste una regola, l'azione la crea.

I valori possibili sono:

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

Il valore predefinito è Siemplify - Domains List - Move To Junk.

Perform action in all mailboxes Optional

Se selezionata, l'azione viene applicata a tutte le caselle postali accessibili tramite le impostazioni di rappresentazione attuali.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 50.

Output dell'azione

L'azione Aggiungi domini alle regole della posta in arrivo di Exchange-Siemplify fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Aggiungi domini alle regole della posta in arrivo di Exchange-Siemplify può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Azione riuscita.

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Aggiungi domini alle regole della posta in arrivo di Exchange-Siemplify:

Nome del risultato dello script Valore
is_success True o False

Aggiungere mittenti alla regola della casella di posta Exchange-Siemplify

Utilizza l'azione Aggiungi mittenti alla regola della posta in arrivo di Exchange-Siemplify per ottenere un elenco di indirizzi email o lavora con l'entità Utente di Google SecOps se i parametri sono vuoti. Puoi utilizzare le espressioni regolari per questa azione.

Puoi creare una nuova regola filtrando i mittenti dalle tue caselle postali. Puoi modificare questa azione utilizzando il parametro Rule to add senders to.

Prima di eseguire questa azione, assicurati di configurare le autorizzazioni di azione richieste.

L'azione Aggiungi mittenti alla regola della posta in arrivo di Exchange-Siemplify modifica le regole della posta in arrivo correnti degli utenti utilizzando EWS.

Questa azione viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Se l'espressione regolare dell'email è valida e non configuri alcun parametro, questa azione viene eseguita sull'entità Utente.

Input azione

L'azione Aggiungi mittenti alla regola della posta in arrivo di Exchange-Siemplify richiede i seguenti parametri:

Parametro Descrizione
Senders Optional

Un elenco di indirizzi email separati da virgole da aggiungere alla regola.

Se non imposti un valore, l'azione funziona con l'entità Utente.
Rule to add senders to Obbligatorio

Una regola a cui aggiungere il mittente.

Se non esiste una regola, l'azione la crea.

I valori possibili sono:

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

Il valore predefinito è Siemplify - Senders List - Move To Junk.

Should add senders' domain to the corresponding Domains List rule as well? Optional

Se selezionata, l'azione aggiunge automaticamente i domini degli indirizzi email forniti alle regole di dominio corrispondenti.

Non selezionato per impostazione predefinita.
Perform action in all mailboxes Optional

Se selezionata, l'azione viene applicata a tutte le caselle postali accessibili tramite le attuali impostazioni di rappresentazione.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 50.

Output dell'azione

L'azione Aggiungi mittenti alla regola della casella di posta Exchange-Siemplify fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Aggiungi mittenti alla regola della posta in arrivo di Exchange-Siemplify può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Azione riuscita.

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Aggiungi mittenti alla regola della posta in arrivo di Exchange-Siemplify:

Nome del risultato dello script Valore
is_success True o False

Blocca mittente per ID messaggio

Utilizza l'azione Blocca mittente per ID messaggio per ottenere un elenco di ID messaggio come parametro e contrassegnare l'elenco come posta indesiderata.

In questa azione, contrassegnare un elemento come posta indesiderata aggiunge l'indirizzo del mittente dell'email all'elenco dei mittenti bloccati e sposta l'elemento nella cartella Posta indesiderata.

Questa azione viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

L'azione Blocca mittente per ID messaggio supporta solo Exchange Server versione 2013 e successive. Se utilizzi una versione precedente, l'azione non va a buon fine e viene visualizzato il messaggio corrispondente.

Prima di aggiungere o rimuovere l'indirizzo email dall'elenco dei mittenti bloccati, deve esistere un messaggio proveniente dall'indirizzo email sospetto nella casella di posta dell'utente.

L'azione Blocca mittente per ID messaggio non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Blocca mittente per ID messaggio richiede i seguenti parametri:

Parametro Descrizione
Move item to Junk folder? Obbligatorio

Se selezionata, l'azione sposta i messaggi specificati nella cartella Spam.

Questa opzione è selezionata per impostazione predefinita.
Message IDs Optional

Una condizione di filtro per trovare email con ID email specifici.

Questo parametro accetta un elenco separato da virgole di ID messaggio da contrassegnare come posta indesiderata.

Se fornisci l'ID messaggio, l'azione ignora i parametri Subject Filter, Sender Filter e Recipient Filter.
Mailboxes list to perform on Optional

Una condizione di filtro per eseguire l'operazione su un elenco specifico di caselle postali per una migliore tempistica.

Per contrassegnare come posta indesiderata i messaggi provenienti da più indirizzi email, fornisci un elenco di indirizzi email separati da virgole.

Se fornisci un elenco di caselle postali, l'azione ignora il parametro Perform Action in all Mailboxes.
Folder Name Optional

Una cartella della casella di posta in cui cercare un'email.

Questo parametro accetta un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Il valore predefinito è Inbox.
Subject Filter Optional

Una condizione di filtro che specifica l'oggetto dell'email da cercare.
Sender Filter Optional

Una condizione di filtro che specifica il mittente delle email richieste.
Recipient Filter Optional

Una condizione di filtro che specifica il destinatario delle email richieste.
Mark All Matching Emails Optional

Se selezionata, l'azione contrassegna tutte le email della casella di posta che corrispondono ai criteri. Se non è selezionata, l'azione contrassegna solo la prima email corrispondente.

Non selezionato per impostazione predefinita.
Perform action in all mailboxes Optional

Se selezionata, l'azione sposta l'email nel cestino e blocca le email del mittente in tutte le caselle postali accessibili tramite le impostazioni di rappresentazione attuali.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 25.
Time Frame (minutes) Optional

Il periodo in minuti in cui cercare le email.

Output dell'azione

L'azione Blocca mittente per ID messaggio fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Blocca mittente per ID messaggio può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 Azione riuscita.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Azione non riuscita.

La versione di Exchange Server che stai utilizzando non è supportata.
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Blocca mittente per ID messaggio:

Nome del risultato dello script Valore
is_success True o False

Elimina regole della posta in arrivo di Exchange-Siemplify

Utilizza l'azione Elimina regole della posta in arrivo di Exchange-Siemplify per ottenere il nome di una regola come parametro ed eliminarla da tutte le caselle postali specificate.

Prima di eseguire questa azione, configura le autorizzazioni di azione richieste.

L'azione Elimina regole della posta in arrivo di Exchange-Siemplify modifica le regole della posta in arrivo attuali degli utenti con EWS.

Questa azione viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Elimina regole della posta in arrivo di Exchange-Siemplify richiede i seguenti parametri:

Parametro Descrizione
Rule Name To Delete Obbligatorio

Un nome di regola da eliminare completamente dalle caselle postali pertinenti.

I valori possibili sono:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes Optional

Se selezionata, l'azione viene applicata a tutte le caselle postali accessibili tramite le impostazioni di rappresentazione attuali.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 50.

Output dell'azione

L'azione Elimina regole della posta in arrivo di Exchange-Siemplify fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Elimina regole della posta in arrivo di Exchange-Siemplify può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Azione riuscita.
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elimina regole di posta in arrivo di Exchange-Siemplify:

Nome del risultato dello script Valore
is_success True o False

Elenca le regole della posta in arrivo di Exchange-Siemplify

Utilizza l'azione List Exchange-Siemplify Inbox Rules per ottenere un nome di regola dalle regole di Exchange-Siemplify Inbox come parametro ed elencarlo. Se non ci sono caselle postali da elencare, l'azione elenca le regole per l'utente che ha eseguito l'accesso.

Prima di eseguire questa azione, configura le autorizzazioni di azione richieste.

L'azione List Exchange-Siemplify Inbox Rules modifica le regole della Posta in arrivo attuali dei tuoi utenti con EWS.

Questa azione viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione List Exchange-Siemplify Inbox Rules richiede i seguenti parametri:

Parametro Descrizione
Rule Name To List Obbligatorio

Il nome di una regola da elencare dalle caselle postali pertinenti.

I valori possibili sono:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on Optional

Una condizione di filtro che specifica l'elenco delle caselle postali su cui eseguire l'operazione, per una migliore tempistica.

Questo parametro accetta un elenco separato da virgole di indirizzi email per annullare la classificazione dei messaggi come posta indesiderata.

Se viene fornito un elenco di caselle postali, l'azione ignora il parametro Perform action in all mailboxes.
Perform action in all mailboxes Optional

Se selezionata, l'azione viene applicata a tutte le caselle postali accessibili tramite le impostazioni di rappresentazione attuali.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 50.

Output dell'azione

L'azione List Exchange-Siemplify Inbox Rules fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione List Exchange-Siemplify Inbox Rules:

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
Messaggi di output

L'azione List Exchange-Siemplify Inbox Rules può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 Azione riuscita.
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione List Exchange-Siemplify Inbox Rules:

Nome del risultato dello script Valore
is_success True o False

Rimuovere i domini dalle regole della posta in arrivo di Exchange-Siemplify

Utilizza Remove Domains from Exchange-Siemplify Inbox Rules per ottenere un elenco di domini come parametro o lavora sull'entità Domain se i parametri non vengono forniti. Questa azione è disponibile solo per Google SecOps versione 5.6 e successive. Puoi rimuovere i domini forniti dalle regole esistenti.

Prima di eseguire questa azione, configura le autorizzazioni di azione richieste.

L'azione Rimuovi domini dalle regole della posta in arrivo di Exchange-Siemplify modifica le regole della posta in arrivo attuali degli utenti con EWS.

Questa azione viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Se non configuri alcun parametro, questa azione viene eseguita sull'entità Dominio di Google SecOps.

Input azione

L'azione Rimuovi domini dalle regole della posta in arrivo di Exchange-Siemplify richiede i seguenti parametri:

Parametro Descrizione
Domains Optional

Un elenco separato da virgole di domini da rimuovere dalla regola.

Se non imposti un valore, l'azione funziona con le entità.
Rule to remove Domains from Obbligatorio

Una regola da cui rimuovere i domini.

Se non imposti una regola, l'azione non va a buon fine.

I valori possibili sono:

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

Il valore predefinito è Siemplify – Domains List – Move To Junk.

Remove Domains from all available Rules Optional

Se selezionata, l'azione cerca i domini forniti in tutte le regole della posta in arrivo di Google SecOps.

Non selezionato per impostazione predefinita.
Mailboxes list to perform on Optional

Una condizione di filtro che specifica l'elenco delle caselle postali su cui eseguire l'operazione, per una migliore tempistica.

Questo parametro accetta un elenco separato da virgole di indirizzi email per annullare la classificazione dei messaggi come posta indesiderata.

Se fornisci un elenco di caselle postali, l'azione ignora il parametro Perform action in all mailboxes.
Perform action in all mailboxes Optional

Se selezionata, l'azione viene applicata a tutte le caselle postali accessibili tramite le impostazioni di rappresentazione attuali.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 50.

Output dell'azione

L'azione Rimuovi domini dalle regole della posta in arrivo di Exchange-Siemplify fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Rimuovi domini dalle regole della posta in arrivo di Exchange-Siemplify può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Azione riuscita.

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Remove Domains from Exchange-Siemplify Inbox Rules:

Nome del risultato dello script Valore
is_success True o False

Rimuovere i mittenti dalle regole della posta in arrivo di Exchange-Siemplify

Utilizza Remove Senders from Exchange-Siemplify Inbox Rules per ottenere un elenco di mittenti email come parametro o lavora con l'entità User se i parametri non vengono forniti.

Puoi rimuovere i mittenti forniti dalle regole esistenti.

Prima di eseguire questa azione, configura le autorizzazioni di azione richieste.

L'azione Rimuovi mittenti dalle regole della posta in arrivo di Exchange-Siemplify modifica le regole della posta in arrivo attuali dei tuoi utenti con EWS.

Questa azione viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Se non vengono forniti parametri, questa azione viene eseguita sull'entità Utente di Google SecOps.

Input azione

L'azione Rimuovi mittenti dalle regole della posta in arrivo di Exchange-Siemplify richiede i seguenti parametri:

Parametro Descrizione
Senders Optional

Un elenco di indirizzi email separati da virgole da rimuovere dalla regola.

Se non imposti un valore, l'azione funziona con l'entità Utente.
Rule to remove senders from Obbligatorio

Una regola da cui rimuovere i mittenti.

Se non imposti una regola, l'azione non va a buon fine.

I valori possibili sono:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

Il valore predefinito è Siemplify – Senders List – Move To Junk.
Remove senders from all available rules Optional

Se selezionata, l'azione cerca i mittenti forniti in tutte le regole della posta in arrivo di Google SecOps.

Non selezionato per impostazione predefinita.
Should remove senders' domain from the corresponding Domains List rule as well? Optional

Se selezionata, l'azione rimuove automaticamente i domini degli indirizzi email forniti dalle regole di dominio corrispondenti.

Non selezionato per impostazione predefinita.
Perform action in all mailboxes Optional

Se selezionata, l'azione viene applicata a tutte le caselle postali accessibili tramite le attuali impostazioni di rappresentazione.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 50.

Output dell'azione

L'azione Rimuovi mittenti dalle regole della posta in arrivo di Exchange-Siemplify fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Rimuovi mittenti dalle regole della posta in arrivo di Exchange-Siemplify può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Azione riuscita.

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore per l'output del risultato dello script quando si utilizza l'azione Remove Senders from Exchange-Siemplify Inbox Rules:

Nome del risultato dello script Valore
is_success True o False

Sblocca mittente per ID messaggio

Utilizza l'azione Sblocca mittente per ID messaggio per ottenere un elenco di ID messaggio come parametro e rimuovere il contrassegno di posta indesiderata.

In questa azione, la rimozione del contrassegno di un elemento come posta indesiderata rimuove l'indirizzo email del mittente dall'elenco dei mittenti bloccati. Per spostare un elemento di nuovo nella cartella Posta in arrivo, seleziona il parametro Move items back to Inbox? nei parametri dell'azione.

L'opzione Sblocca mittente per ID messaggio viene eseguita in modo asincrono. Modifica il valore di timeout dello script nell'IDE Google SecOps per l'azione in base alle esigenze.

Questa azione supporta solo Exchange Server versione 2013 e successive. Se utilizzi una versione precedente, l'azione non va a buon fine e viene visualizzato il messaggio corrispondente.

Un messaggio proveniente dall'indirizzo email sospetto deve essere presente nella casella di posta dell'utente prima di aggiungere o rimuovere l'indirizzo email dall'elenco dei mittenti bloccati.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Sblocca mittente per ID messaggio richiede i seguenti parametri:

Parametro Descrizione
Move items back to Inbox? Obbligatorio

Se selezionata, l'azione sposta i messaggi specificati nella cartella Posta in arrivo.

Questa opzione è selezionata per impostazione predefinita.
Message IDs Optional

Una condizione di filtro per rimuovere il segno di spunta dalle email con ID email specifici.

Questo parametro accetta anche un elenco separato da virgole di ID messaggio per annullare la classificazione delle email come posta indesiderata.

Se fornisci l'ID messaggio, l'azione ignora i parametri Subject Filter, Sender Filter e Recipient Filter
Mailboxes list to perform on Optional

Una condizione di filtro per eseguire l'operazione su un elenco specifico di caselle postali per una migliore tempistica.

Per contrassegnare come posta indesiderata i messaggi provenienti da più indirizzi email, fornisci un elenco di indirizzi email separati da virgole.

Se fornisci un elenco di caselle postali, l'azione ignora il parametro Perform action in all mailboxes.
Folder Name Optional

Una cartella della casella di posta in cui cercare un'email.

Questo parametro accetta un elenco separato da virgole di cartelle da cui spostare l'elemento.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Il valore predefinito è Junk Email.
Subject Filter Optional

Una condizione di filtro che specifica l'oggetto dell'email da cercare.
Sender Filter Optional

Una condizione di filtro che specifica il mittente delle email richieste.
Recipient Filter Optional

Una condizione di filtro che specifica il destinatario delle email richieste.
Unmark All Matching Emails Optional

Se selezionata, l'azione annulla il segno di tutti i messaggi della casella postale che corrispondono ai criteri. Se non è selezionata, l'azione annulla il segno di spunta solo della prima email corrispondente.

Non selezionato per impostazione predefinita.
Perform action in all mailboxes Optional

Se selezionata, l'azione viene applicata a tutte le caselle postali accessibili tramite le impostazioni di rappresentazione attuali.

Non selezionato per impostazione predefinita.
How many mailboxes to process in a single batch Optional

Se selezioni il parametro Perform action in all mailboxes, l'azione funziona in batch.

Questo parametro definisce il numero di caselle postali da elaborare in un singolo batch (singola connessione al server di posta).

Il valore predefinito è 25.
Time Frame (minutes) Optional

Un periodo di tempo in minuti per cercare le email.

Output dell'azione

L'azione Sblocca mittente per ID messaggio fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Sblocca mittente per ID messaggio può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

Azione riuscita.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Azione non riuscita.

La versione di Exchange Server che stai utilizzando non è supportata.
Error performing action: ERROR_REASON

Azione non riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Sblocca mittente per ID messaggio:

Nome del risultato dello script Valore
is_success True o False

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, consulta Importare i dati (connettori).

Quando configuri connettori e azioni, presta attenzione agli spazi e ai simboli speciali nelle credenziali. Se l'integrazione rifiuta le tue credenziali, controlla l'ortografia.

Per configurare il connettore selezionato, utilizza i parametri specifici del connettore elencati nelle tabelle seguenti:

Connettore EML di Exchange

Exchange EML Connector recupera le email dal server Exchange e le analizza. Se sono presenti file EML allegati, il connettore li allega alla richiesta come eventi. Se nell'email sono presenti più allegati EML, il connettore crea più richieste e inserisce ogni allegato come un evento per ogni richiesta.

Limitazioni note

  1. Microsoft 365 e autenticazione di base.

    • Il connettore EML di Exchange non supporta più l'autenticazione di base e non può essere utilizzato con Microsoft 365. Per Microsoft 365, utilizza Exchange Mail Connector v2 con OAuth.

  2. Le specifiche del connettore EML di Exchange sono le seguenti:

    • Il connettore crea avvisi Google SecOps solo da email che contengono allegati di file EML o MSG.

    • Il connettore ignora le email che non contengono allegati.

Input del connettore

Il connettore EML di Exchange richiede i seguenti parametri:

Parametro Descrizione
Product Field Name Obbligatorio

Il nome del campo in cui è memorizzato il nome del prodotto.

Il valore predefinito è device_product.
EventClassId Obbligatorio

Nome di un campo utilizzato per determinare il nome dell'evento (sottotipo).

Il valore predefinito è event_name.
Server IP Obbligatorio

Un indirizzo IP del server a cui connettersi.
Domain Obbligatorio

Un valore di dominio da utilizzare per l'autenticazione.
Username Obbligatorio

Un nome utente per la casella di posta da cui estrarre le email, ad esempio user@example.com.
Password Obbligatorio

Una password per la casella di posta elettronica da cui recuperare le email.

Mail Address Obbligatorio

Un indirizzo email per la casella di posta da monitorare.

Il valore predefinito è Inbox.
Verify SSL Optional

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Exchange sia valido.

Non selezionato per impostazione predefinita.
Use Domain for Authentication Optional

Se selezionata, l'integrazione utilizza il dominio come parte delle credenziali di autenticazione, ad esempio user@domain.

Questa opzione è selezionata per impostazione predefinita.
Unread Emails Only Optional

Se selezionata, le richieste vengono create solo dalle email non lette.

Non selezionato per impostazione predefinita.
Mark Emails as Read Optional

Se selezionate, le email vengono contrassegnate come lette dopo l'importazione.

Non selezionato per impostazione predefinita.
Max Days Backwards Optional

Il numero di giorni prima della prima iterazione del connettore da cui recuperare le email. Questo parametro viene applicato una sola volta all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta.
PythonProcessTimeout Obbligatorio

Il limite di timeout in secondi per il processo Python che esegue lo script corrente.

Il valore predefinito è 30 secondi.
Folder Name Optional

Il nome di una cartella in cui eseguire una ricerca.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Il valore predefinito è Inbox.
Environment Field Name Optional

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non viene trovato, l'ambiente viene impostato su "".

Environment Regex Pattern Optional

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name grezzo richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
Encode Data as UTF-8 Optional

Se selezionata, l'integrazione codifica i dati email con UTF-8. Ti consigliamo di selezionare questo parametro.

Questa opzione è selezionata per impostazione predefinita.
Attach EML or MSG File to the Case Wall Optional

Se selezionata, l'integrazione allega il file EML o MSG inoltrato alla sezione della richiesta in Google SecOps.

Non selezionato per impostazione predefinita.
Exclusion Body Regex Optional

Un'espressione regolare per escludere le email il cui corpo corrisponde al valore fornito.

Ad esempio, l'espressione regolare '([N|n]ewsletter)|([O|o]ut of office)' esclude tutte le email contenenti le parole chiave Newsletter o Fuori sede.
Proxy Server Address Optional

L'indirizzo del server proxy da utilizzare.
Proxy Username Optional

Il nome utente del proxy con cui eseguire l'autenticazione.
Proxy Password Optional

La password del proxy per l'autenticazione.
Extract urls from HTML email part? Optional

Se selezionato, il connettore tenta di estrarre gli URL dalla parte HTML dell'email. Questo parametro consente inoltre al connettore di estrarre URL complessi, ma non gli URL dalla parte di testo normale dell'email.

Gli URL estratti sono disponibili nel campo evento urls_from_html_part.

Non selezionato per impostazione predefinita.

Regole del connettore

  • Il connettore EML di Exchange non supporta le regole di blocklist e liste dinamiche.

  • Il connettore EML di Exchange supporta i proxy.

Exchange Mail Connector

Utilizza Exchange Mail Connector per comunicare con il server Exchange e cercare le email quasi in tempo reale e inoltrarle per la traduzione e la contestualizzazione come avvisi nei casi di Google SecOps.

Questa sezione si riferisce alla comunicazione con un server Microsoft Exchange 2007-2019 o Microsoft 365 utilizzando Exchange Web Services (EWS) e spiega come Google SecOps interagisce con l'interfaccia di Exchange Mail e con i flussi di lavoro e le attività assistiti all'interno dell'applicazione.

Il connettore di posta Exchange consente di recuperare le email dal server Exchange configurato, che esegue la scansione di ogni server e crea successivamente nuovi casi. Almeno un'occorrenza di email iniziale è inclusa in ogni scenario. La differenza principale è che il connettore Exchange Mail rimuove le email e genera eventi che analizzano i dati EML o MSG nelle email originali del server Exchange.

Limitazioni note

  1. Microsoft 365 e autenticazione di base.

    • Il connettore di posta Exchange non supporta più l'autenticazione di base e non può essere utilizzato con Microsoft 365. Per Microsoft 365, utilizza Exchange Mail Connector v2 con OAuth.

  2. Le specifiche del connettore di posta Exchange sono le seguenti:

    • Il connettore crea avvisi Google SecOps solo dalle email originali ricevute contenute nella casella di posta.

    • Il connettore ignora i file EML e MSG allegati.

Input del connettore

Il connettore di posta Exchange richiede i seguenti parametri:

Parametro Descrizione
Product Field Name Obbligatorio

Il nome del campo in cui è memorizzato il nome del prodotto.

Il valore predefinito è device_product.
Event Field Name Obbligatorio

Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).

il valore predefinito è event_name.
Server IP Obbligatorio

Un indirizzo IP del server a cui connettersi.
Domain Obbligatorio

Un valore di dominio da utilizzare per l'autenticazione.
Username Obbligatorio

Un nome utente per la casella di posta da cui estrarre le email, ad esempio user@example.com.
Password Obbligatorio

Una password per la casella di posta elettronica da cui recuperare le email.

Mail Address Obbligatorio

Un indirizzo email per la casella di posta da monitorare.

Il valore predefinito è Inbox.
Verify SSL Optional

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Exchange sia valido.

Non selezionato per impostazione predefinita.

Use Domain for Authentication Optional

Se selezionato, il dominio viene utilizzato come parte delle credenziali di autenticazione, ad esempio user@domain.

Questa opzione è selezionata per impostazione predefinita.
Unread Emails Only Optional

Se selezionata, l'integrazione crea richieste solo dalle email non lette.

Questa opzione è selezionata per impostazione predefinita.
Mark Emails as Read Optional

Se selezionata, l'integrazione contrassegna tutte le email importate come lette.

Non selezionato per impostazione predefinita.
Max Days Backwards Optional

Il numero di giorni prima della prima iterazione del connettore da cui recuperare le email. Questo parametro viene applicato una sola volta all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta.
PythonProcessTimeout Obbligatorio

Il limite di timeout in secondi per il processo Python che esegue lo script corrente.

Il valore predefinito è 30 secondi.
Attach Original EML Optional

Se selezionata, l'email originale viene allegata alla richiesta come file EML.

Non selezionato per impostazione predefinita.
Folder Name Optional

Il nome di una cartella in cui eseguire una ricerca.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Il valore predefinito è Inbox.
Environment Field Name Optional

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non viene trovato, l'ambiente viene impostato su "".

Environment Regex Pattern Optional

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name grezzo richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
Exclusion Subject Regex Optional

Un'espressione regolare per escludere le email con un oggetto corrispondente al valore fornito.

Ad esempio, l'espressione regolare ([N|n]ewsletter)|([O|o]ut of office) esclude tutte le email contenenti le parole chiave Newsletter o Fuori sede nell'oggetto.
Exclusion Body Regex Optional

Un'espressione regolare per escludere le email con un corpo che corrisponde al valore fornito.

Ad esempio, l'espressione regolare ([N|n]ewsletter)|([O|o]ut of office) esclude tutte le email che contengono le parole chiave Newsletter o Fuori sede nel corpo dell'email.
Proxy Server Address Optional

Un indirizzo del server proxy da utilizzare.
Proxy Username Optional

Un nome utente proxy per l'autenticazione.
Proxy Password Optional

Una password proxy per l'autenticazione.
Extract urls from HTML email part? Optional

Se selezionato, il connettore tenta di estrarre gli URL dalla parte HTML dell'email. Questo parametro consente al connettore di estrarre URL complessi, ma non gli URL dalla parte di testo normale dell'email.

Gli URL estratti sono disponibili nel campo evento urls_from_html_part.

Non selezionato per impostazione predefinita.

Configurare le regole per gli elenchi dinamici

Nella sezione dell'elenco dinamico, per estrarre valori specifici dalle email utilizzando espressioni regolari, aggiungi una regola nel seguente formato:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Ad esempio, per estrarre l'ID messaggio dall'email, inserisci la seguente regola:

message-id: (?<=Message-ID: ).*

Regole del connettore

  • Il connettore di posta Exchange supporta i proxy.

  • Il connettore di posta Exchange non supporta la regola di blocco.

  • L'integrazione di Exchange utilizza la sezione dell'elenco dinamico per definire le espressioni regolari e attivare le seguenti funzionalità:

    • Analizzare i contenuti dell'email.
    • Aggiungi campi specifici in base all'espressione regolare che corrisponde all'evento email.

Connettore di posta Exchange v2

Utilizza Exchange Mail Connector v2 per connetterti al server di posta e controllare la presenza di nuove email in una casella di posta specifica.

Se viene visualizzata una nuova email, il connettore crea e inserisce in Google SecOps un nuovo avviso che contiene informazioni della nuova email.

Se non ci sono nuove email, Exchange Mail Connector v2 completa l'iterazione corrente e rimane in attesa per un periodo di tempo definito prima dell'esecuzione dell'iterazione successiva.

Flusso di iterazione del connettore

Dopo ogni esecuzione, Exchange Mail Connector v2 aggiorna il file timestamp con la data e l'ora dell'ultima esecuzione. Exchange Mail Connector v2 estrae informazioni utili per un caso dall'email come oggetto di posta risultato tecnico, ad esempio:

  • Mittente e destinatario dell'email.
  • Oggetto dell'email.
  • Corpo dell'email.
  • Gli URL nell'email.
  • Eventuali allegati.

Una volta che Exchange Mail Connector v2 crea gli avvisi (casi) da importare in Google SecOps, l'iterazione del connettore viene completata.

In base ai dati del caso forniti da Exchange Mail Connector v2, il server Google SecOps esegue procedure ETL per importare nuovi avvisi e creare o aggiornare i casi. Se sono definiti playbook correlati, Google SecOps esegue i playbook per arricchire il caso, generare approfondimenti ed eseguire azioni automatiche.

Utilizzare i modelli di nome avviso e nome richiesta

I parametri Alert Name Template e Case Name Template ti consentono di sovrascrivere il modo in cui vengono creati il nome dell'avviso e del caso. Solo il primo avviso imposta il nome del caso o dell'avviso, tutti gli altri avvisi successivi non influiscono sul nome.

L'esempio di un evento Google SecOps è il seguente:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Per creare un nome personalizzato per un avviso Google SecOps, utilizza il seguente modello:

[EVENT_TYPE] - [EVENT_NAME]

Ad esempio, per creare un avviso di Google SecOps denominato Phishing – Example Event, il modello è il seguente:

[Phishing] - [Example Event]

Input del connettore

In Exchange Mail Connector v2, i seguenti parametri possono influire sull'elaborazione delle email:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Per mappare i campi to e from delle email elaborate, il connettore crea i seguenti set di campi:

  1. Campi to e from regolari che contengono indirizzi email nel seguente formato: email@example.

  2. Campi to_raw e from_raw che contengono solo l'indirizzo email come valore nel seguente formato: email@example.

Exchange Mail Connector v2 richiede i seguenti parametri:

Parametro Descrizione
Product Field Name Obbligatorio

il nome del campo in cui è memorizzato il nome del prodotto.

Il valore predefinito è device_product.
Event Field Name Obbligatorio

Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).

il valore predefinito è event_name.
Mail Server Address Obbligatorio

Un indirizzo IP del server di posta a cui connettersi.

Quando ti connetti a Microsoft 365, imposta l'indirizzo del server su outlook.office365.com.
Verify SSL Optional

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Exchange sia valido.

Non selezionato per impostazione predefinita.
Mail Address Obbligatorio

Un indirizzo email per la casella di posta da monitorare.

Il valore predefinito è Inbox.
Use Domain for Authentication Optional

Se selezionato, il dominio viene utilizzato come parte delle credenziali di autenticazione, ad esempio user@domain.

Selezionata per impostazione predefinita.
Domain Obbligatorio

Un valore di dominio da utilizzare per l'autenticazione.
Username Obbligatorio

Il nome utente della casella di posta da cui estrarre le email, ad esempio user@example.com.
Password Obbligatorio

La password della casella di posta da cui recuperare le email.
Unread Emails Only Optional

Se selezionata, le richieste vengono create solo dalle email non lette.

Questa opzione è selezionata per impostazione predefinita.
Mark Emails as Read Optional

Se selezionate, le email vengono contrassegnate come lette dopo l'importazione.

Non selezionato per impostazione predefinita.
Offset Time In Days Obbligatorio

Il numero di giorni prima della prima iterazione del connettore da cui recuperare le email. Questo parametro viene applicato una sola volta all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta.

Il valore predefinito è 5.
Max Emails Per Cycle Obbligatorio

Il numero di email da recuperare in una singola iterazione del connettore.

Il valore predefinito è 10.
Environment Field Name Optional

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non viene trovato, l'ambiente viene impostato su "".

Environment Regex Pattern Optional

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name grezzo richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è "".
Headers to add to events Optional

Una stringa separata da virgole che specifica le intestazioni email da aggiungere agli eventi.

Puoi fornire valori come corrispondenze esatte o impostarli come espressione regolare.
Email Exclude Pattern Optional

Un'espressione regolare per escludere email specifiche dall'importazione.

Questo parametro funziona sia con l'oggetto che con il corpo dell'email. Puoi utilizzare questo parametro per escludere dall'importazione le email trasmesse in massa, come le notizie.
PythonProcessTimeout Obbligatorio

Il limite di timeout in secondi per il processo Python che esegue lo script corrente.

Il valore predefinito è 60 secondi.
Folder to check for emails Obbligatorio

Una cartella email in cui cercare le email. Questo parametro accetta un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Questo parametro è sensibile alle maiuscole.

Il valore predefinito è Inbox.
Attach Original EML Optional

Se selezionata, l'integrazione allega l'email originale alla richiesta come file EML.

Non selezionato per impostazione predefinita.
Fetch Backwards Time Interval (minutes) Optional

Un intervallo utilizzato dal connettore per recuperare gli eventi dal periodo configurato in minuti prima di ora. Il valore di questo parametro è un timestamp dell'ultima iterazione del connettore.

Modifica questo valore in base all'ambiente, ad esempio 60 minuti o meno.

Il valore predefinito è 0.
Proxy Server Address Optional

Un indirizzo del server proxy da utilizzare.
Proxy Username Optional

Un nome utente proxy per l'autenticazione.
Proxy Password Optional

Una password proxy per l'autenticazione.
Extract urls from HTML email part? Optional

Se selezionato, il connettore tenta di estrarre gli URL dalla parte HTML dell'email. Questo parametro consente al connettore di estrarre URL complessi, ma non gli URL dalla parte di testo normale dell'email.

Gli URL estratti sono disponibili nel campo evento urls_from_html_part.

Non selezionato per impostazione predefinita.
Disable Overflow Optional

Se selezionato, il connettore ignora il meccanismo di overflow.

Non selezionato per impostazione predefinita.
Original Received Mail Prefix Optional

Un prefisso da aggiungere alle chiavi evento estratte, ad esempio a, da o oggetto dall'email originale ricevuta nella mailbox monitorata.

Il valore predefinito è orig.
Attached Mail File Prefix Optional

Un prefisso da aggiungere alle chiavi evento estratte, ad esempio a, da o oggetto dal file email allegato ricevuto nella mailbox monitorata.

Il valore predefinito è attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Se selezionato, il connettore crea più avvisi, con un avviso per ogni file email allegato.

Se selezioni questo parametro, Google SecOps elabora le email con più file allegati e crea entità dai file allegati.

Non selezionato per impostazione predefinita.
Case Name Template Optional

Un nome di richiesta personalizzato.

Quando configuri questo parametro, il connettore aggiunge una nuova chiave chiamata custom_case_name all'evento Google SecOps.

Puoi fornire i segnaposto nel seguente formato: [name of the field].

Esempio: Phishing - [event_mailbox].

Per i segnaposto, il connettore utilizza il primo evento Google SecOps. Il connettore elabora solo le chiavi che contengono il valore stringa.
Alert Name Template Optional

Un nome avviso personalizzato.

Puoi fornire i segnaposto nel seguente formato: [name of the field].

Esempio: Phishing - [event_mailbox].

Per i segnaposto, il connettore utilizza il primo evento Google SecOps. Vengono gestite solo le chiavi contenenti il valore stringa. Se non fornisci alcun valore o un modello non valido, il connettore utilizza il nome dell'avviso predefinito.
Email Padding Period (minutes) Optional

Un periodo di tempo in cui il connettore recupera le email prima dell'ultimo timestamp.
URL Regex Obbligatorio

Il connettore di espressioni regolari utilizzato per analizzare gli URL dalle email elaborate.

Regole del connettore

  • Exchange Mail Connector v2 supporta il proxy.

  • Exchange Mail Connector v2 non supporta la regola di blocco.

  • L'integrazione di Exchange utilizza la sezione dell'elenco dinamico per definire le espressioni regolari per attivare le seguenti funzionalità:

    • Analizzare i contenuti dell'email.
    • Aggiungi campi specifici in base alle corrispondenze delle espressioni regolari all'evento email.

Exchange Mail Connector v2 con autenticazione OAuth

Utilizza Exchange Mail Connector v2 con OAuth per monitorare caselle postali specifiche sui server di posta Microsoft 365 che richiedono l'autenticazione OAuth. Puoi utilizzare le azioni Ottieni autorizzazione e Genera token per ottenere il token di aggiornamento necessario per la configurazione del connettore.

Per eseguire Exchange Mail Connector v2 con OAuth, configura l'integrazione in modo che supporti l'autenticazione OAuth.

Utilizzare i modelli di nome avviso e nome richiesta

I parametri Alert Name Template e Case Name Template ti consentono di sovrascrivere il modo in cui vengono creati il nome dell'avviso e del caso.

L'esempio di un evento Google SecOps è il seguente:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Per creare un nome personalizzato per un avviso Google SecOps, utilizza il seguente modello:

[EVENT_TYPE] - [EVENT_NAME]

Ad esempio, per creare un avviso di Google SecOps denominato Phishing – Example Event, il modello è il seguente:

[Phishing] - [Example Event]

Input del connettore

In Exchange Mail Connector v2 con OAuth, i seguenti parametri possono influire sull'elaborazione delle email:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Per mappare i campi to e from delle email elaborate, il connettore crea due insiemi di campi:

  1. Campi to e from regolari che contengono indirizzi email, ad esempio email@example.

  2. Campi to_raw e from_raw che contengono solo l'indirizzo email come valore, ad esempio email@example.

Exchange Mail Connector v2 con OAuth richiede i seguenti parametri:

Parametro Descrizione
Product Field Name Obbligatorio

Il nome del campo in cui è memorizzato il nome del prodotto.

Il valore predefinito è device_product.
Event Field Name Obbligatorio

Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).

Il valore predefinito è event_name.
Mail Server Address Obbligatorio

Un indirizzo IP del server di posta a cui connettersi.

Quando ti connetti a Microsoft 365, imposta l'indirizzo del server su outlook.office365.com.
Mail Address Obbligatorio

Un indirizzo postale da utilizzare per il connettore.
Client ID Obbligatorio

Per l'autenticazione OAuth di Microsoft 365, un ID applicazione (client) dell'applicazione Microsoft Entra che hai utilizzato per l'integrazione.
Client Secret Obbligatorio

Per l'autenticazione OAuth di Microsoft 365, il client secret che hai fornito per il flusso di autenticazione.
Tenant (Directory) ID Obbligatorio

Per l'autenticazione OAuth di Microsoft 365, l'ID tenant (directory) dell'applicazione Microsoft Entra che hai utilizzato per l'integrazione.
Refresh Token Obbligatorio

Per l'autenticazione OAuth di Microsoft 365, il token di aggiornamento ottenuto dopo aver generato un token.
Verify SSL Optional

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Exchange sia valido.

Non selezionato per impostazione predefinita.
Unread Emails Only Optional

Se selezionata, l'integrazione crea richieste solo dalle email non lette.

Non selezionato per impostazione predefinita.
Mark Emails as Read Optional

Se selezionata, il connettore contrassegna le email importate come lette.

Non selezionato per impostazione predefinita.
Offset Time In Days Obbligatorio

Il numero di giorni prima della prima iterazione del connettore da cui recuperare le email. Questo parametro viene applicato una sola volta all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta.

Il valore predefinito è 5 giorni.
Max Emails Per Cycle Obbligatorio

Il numero di email da recuperare in una singola iterazione del connettore.

Il valore predefinito è 10 email.
Environment Field Name Optional

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non viene trovato, l'ambiente viene impostato su "".

Environment Regex Pattern Optional

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name grezzo richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è "".
Headers to add to events Optional

Una stringa separata da virgole che specifica le intestazioni email da aggiungere agli eventi.

Puoi fornire valori come corrispondenze esatte o impostarli come espressione regolare.
Email Exclude Pattern Optional

Un'espressione regolare per escludere email specifiche dall'importazione.

Questo parametro funziona sia con l'oggetto che con il corpo dell'email. Puoi utilizzare questo parametro per escludere dall'importazione le email trasmesse in massa, come le notizie.
PythonProcessTimeout Obbligatorio

Il limite di timeout in secondi per il processo Python che esegue lo script corrente.

Il valore predefinito è 60.
Folder to check for emails Obbligatorio

Una cartella email in cui cercare le email. Questo parametro accetta un elenco di cartelle separate da virgole.

L'integrazione di Exchange utilizza le barre rovesciate come separatori per specificare le sottocartelle, ad esempio folder/subfolder1/subfolder2. Per evitare l'errore di timeout o l'errore di azione, sostituisci le barre rovesciate nei nomi di cartelle o sottocartelle con altri caratteri come il trattino basso.

Questo parametro è sensibile alle maiuscole.

Il valore predefinito è Inbox.
Attach Original EML Optional

Se selezionata, l'email originale viene allegata alla richiesta come file EML.

Non selezionato per impostazione predefinita.
Fetch Backwards Time Interval (minutes) Optional

Un intervallo utilizzato dal connettore per recuperare gli eventi dal periodo configurato in minuti prima di ora. Il valore di questo parametro è un timestamp dell'ultima iterazione del connettore.

Modifica questo valore in base all'ambiente, ad esempio 60 minuti o meno.

Il valore predefinito è 0.
Proxy Server Address Optional

Un indirizzo del server proxy da utilizzare.
Proxy Username Optional

Un nome utente proxy per l'autenticazione.
Proxy Password Optional

Una password proxy per l'autenticazione.
Extract urls from HTML email part? Optional

Se selezionato, il connettore tenta di estrarre gli URL dalla parte HTML dell'email. Questo parametro consente al connettore di estrarre URL complessi, ma non gli URL dalla parte di testo normale dell'email.

Gli URL estratti sono disponibili nel campo evento urls_from_html_part.

Non selezionato per impostazione predefinita.
Disable Overflow Optional

Se selezionato, il connettore ignora il meccanismo di overflow.

Non selezionato per impostazione predefinita.
Original Received Mail Prefix Optional

Un prefisso da aggiungere alle chiavi evento estratte, ad esempio a, da o oggetto dall'email originale ricevuta nella mailbox monitorata.

Il valore predefinito è orig.
Attached Mail File Prefix Optional

Un prefisso da aggiungere alle chiavi evento estratte, ad esempio a, da o oggetto dal file email allegato ricevuto nella mailbox monitorata.

Il valore predefinito è attach.
Create a Separate Siemplify Alert per Attached Mail File? Optional

Se selezionato, il connettore crea più avvisi, con un avviso per ogni file email allegato.

Se selezioni questo parametro, Google SecOps elabora le email con più file allegati e crea entità dai file allegati.

Non selezionato per impostazione predefinita.
Case Name Template Optional

Un nome di richiesta personalizzato.

Quando configuri questo parametro, il connettore aggiunge una nuova chiave chiamata custom_case_name all'evento Google SecOps.

Puoi fornire i segnaposto nel seguente formato: [name of the field].

Esempio: Phishing - [event_mailbox].

Per i segnaposto, il connettore utilizza il primo evento Google SecOps. Il connettore elabora solo le chiavi che contengono il valore stringa.
Alert Name Template Optional

Parametro per impostare un nome di avviso personalizzato.

Un nome avviso personalizzato.

Puoi fornire i segnaposto nel seguente formato: [name of the field].

Esempio: Phishing - [event_mailbox].

Per i segnaposto, il connettore utilizza il primo evento Google SecOps. Vengono gestite solo le chiavi contenenti il valore stringa. Se non fornisci alcun valore o un modello non valido, il connettore utilizza il nome dell'avviso predefinito.
Email Padding Period (minutes) Optional

Un periodo di tempo in cui il connettore recupera le email prima dell'ultimo timestamp.

Job

Prima di configurare i job per l'integrazione di Exchange, assicurati che la tua versione della piattaforma Google SecOps li supporti.

Job di rinnovo del token di aggiornamento

Lo scopo del job di rinnovo del token di aggiornamento è aggiornare periodicamente il token di aggiornamento utilizzato nell'integrazione.

Per impostazione predefinita, il token di aggiornamento scade ogni 90 giorni. Ti consigliamo di eseguire questo job ogni 7 o 14 giorni per assicurarti che il token di aggiornamento sia aggiornato.

Input del job

Il job di rinnovo del token di aggiornamento richiede i seguenti parametri:

Parametro Descrizione
Integration Environments Optional

Gli ambienti di integrazione per i quali il job aggiorna i token di aggiornamento.

Questo parametro accetta più valori come stringa separata da virgole. Racchiudi i singoli valori tra virgolette (" ").
Connector Names Optional

I nomi dei connettori per i quali il job aggiorna i token di aggiornamento.

Questo parametro accetta più valori come stringa separata da virgole. Racchiudi i singoli valori tra virgolette (" ").

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.