エクスチェンジ

統合バージョン: 102.0

このドキュメントでは、Exchange を Google Security Operations SOAR と統合する方法について説明します。

この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードの zip 形式のコピーを Cloud Storage バケットからダウンロードできます。

Exchange Online を構成する

前提条件と構成手順は、Exchange Online と Exchange Server のどちらで統合を構成するかによって異なります。

  • Exchange Online を構成するには、次のセクションに進みます。

  • Exchange Server を構成するには、Exchange Server を構成するをご覧ください。

Exchange Online の統合では、委任トークンを使用した OAuth 委任認証のみがサポートされます。これには追加の構成が必要です。

Azure 環境で権限を変更した場合、変更が有効になるまでに最大 24 時間かかることがあります。

始める前に

Exchange Online インテグレーションを構成する前に、認証方法を選択し、その構成手順をすべて完了する必要があります。次のいずれかの方法を選択します。

ユーザーを偽装する権限を割り当てる

この方法では、Microsoft Entra ID でアプリケーションを作成し、単一のユーザーを偽装する権限を割り当てる必要があります。

Microsoft Entra アプリケーションを作成する

権限借用の設定を開始するには、Microsoft Entra ID に新しいアプリケーションを登録する必要があります。

  1. Microsoft Azure にログインし、[Microsoft Entra ID] > [アプリの登録] > [新しい登録] に移動します。
  2. アプリの名前を入力し、[Supported account type] を選択します。
  3. [リダイレクト URI] には、次の値を指定します。
    1. プラットフォーム: Web
    2. リダイレクト URL: http://localhost
  4. [Register] をクリックします。
  5. [アプリケーション(クライアント)ID] と [ディレクトリ(テナント)ID] の値を保存します。

API 権限を構成する

ユーザーデータにアクセスするために必要な権限をアプリケーションに付与する必要があります。

  1. [API 権限] > [権限を追加] に移動します。
  2. [Microsoft Graph > Delegated permissions] を選択します。
  3. [権限を選択] セクションで、[EWS] を選択し、Ews.AccessAsUser.All 権限を選択します。
  4. [権限を追加> 管理者の同意を得る] をクリックします。

クライアント シークレットを作成する

アプリケーションのパスワードとして使用するクライアント シークレットを作成する必要があります。

  1. [証明書とシークレット > 新しいクライアント シークレット] に移動します。
  2. 説明を入力し、有効期限を設定して、[追加] をクリックします。
  3. シークレットの値を保存します。

Exchange Online で権限を割り当てる:

設定を完了するには、権限を借用するユーザーに ApplicationImpersonation ロールを割り当てる必要があります。

  1. Exchange 管理センターで、[Roles] > [Admin Roles] に移動し、ApplicationImpersonation ロールを含むロール グループ(Discovery Management など)を見つけます。
  2. ロール グループに、権限を借用するユーザーを追加します。

アクセス権の委任

この方法では、Exchange Online PowerShell を使用して、サービス アカウントにメールボックスへの直接権限を付与する必要があります。

  1. Exchange Online PowerShell に接続します。

  2. 権限を割り当てるには、Add-MailboxPermission コマンドレットを使用します。

    たとえば、特定のメールボックスに対するフルアクセス権をサービス アカウントに付与するには:

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    詳細については、Exchange Online のアプリケーションに対するロールベースのアクセス制御をご覧ください。

Exchange Online を Google SecOps と統合する

Google SecOps で統合をインストールして構成する方法については、統合を構成するをご覧ください。

Exchange Online を Google SecOps プラットフォームと統合するには、Google SecOps で次の手順を完了する必要があります。

  1. 初期パラメータを構成して保存します。

  2. 更新トークンを生成します。

    • Google SecOps でケースをシミュレートします。

    • [Get Authorization] アクションを実行します。

    • [Generate Token] アクションを実行します。

  3. 取得した更新トークンを Refresh Token パラメータ値として入力し、構成を保存します。

初期パラメータを構成する

Exchange Online 統合には、次の初期パラメータが必要です。

パラメータ 説明
Mail Server Address 必須

接続先のメールサーバーのアドレス(ホスト名または IP アドレス)。
Mail address 必須

メールボックス内の送信メールと受信メールを操作するために統合で使用するメールアドレス。
Client ID 必須

統合に使用される Microsoft Entra アプリケーションのアプリケーション(クライアント)ID。

これは、Microsoft Entra アプリケーションの作成時に保存したアプリケーション(クライアント)ID 値です。
Client Secret 必須

統合に使用される Microsoft Entra アプリケーションのクライアント シークレット値。

これは、クライアント シークレットの作成時に保存したクライアント シークレットの値です。
Tenant (Directory) ID 必須

統合に使用される Microsoft Entra ID アプリケーションのディレクトリ(テナント)ID。

これは、Microsoft Entra アプリケーションの作成時に保存したディレクトリ(テナント)ID 値です。
Redirect URL 必須

Microsoft Entra アプリケーションで構成されているリダイレクト URI。

値はデフォルトの http://localhost のままにします。

パラメータを構成したら、[保存] をクリックします。

更新トークンを生成する

更新トークンを生成するには、既存のケースに対して手動で対応する必要があります。Google SecOps インスタンスが新しく、既存のケースがない場合は、ケースをシミュレートします。

ケースをシミュレートする

Google SecOps でケースをシミュレートする手順は次のとおりです。

  1. 左側のナビゲーションで [ケース] を選択します。

  2. [ケース] ページで、[ 追加] > [ケースをシミュレート] をクリックします。

  3. デフォルトのケースを選択して、[作成] をクリックします。シミュレートするケースはどれでも構いません。

  4. [シミュレーション] をクリックします。

    デフォルト以外の環境があり、それを使用する場合は、正しい環境を選択して [シミュレート] をクリックします。

  5. [Cases] タブで、[Refresh] をクリックします。シミュレートしたケースがケースリストに表示されます。

Get Authorization アクションを実行する

シミュレートした Google SecOps ケースを使用して、認可を取得アクションを手動で実行します。

  1. [Cases] タブで、シミュレートされたケースを選択してケースビューを開きます。

  2. [Manual Action] をクリックします。

  3. [手動での対応] の [検索] フィールドに「Exchange」と入力します。

  4. Exchange 統合の検索結果で、[Get Authorization] を選択します。このアクションは、Microsoft Entra アプリにインタラクティブにログインするために使用される認証リンクを返します。

  5. [実行] をクリックします。

  6. アクションが実行されたら、シミュレートされたケースのケースウォールに移動します。[Exchange_Get Authorization] アクション レコードで、[詳細を表示] をクリックします。認証リンクをコピーします。

  7. シークレット モードで新しいブラウザ ウィンドウを開き、生成された認証 URL を貼り付けます。Azure のログインページが開きます。

  8. 統合用に選択したユーザー認証情報でログインします。ログインすると、ブラウザがアドレスバーにコードを含むアドレスにリダイレクトされます。

    アプリが http://localhost にリダイレクトされると、ブラウザにエラーが表示されます。

  9. アドレスバーからアクセスコードを含む URL 全体をコピーします。

トークンを生成アクションを実行する

シミュレートした Google SecOps ケースを使用して、トークンを生成アクションを手動で実行します。

  1. [Cases] タブで、シミュレートされたケースを選択してケースビューを開きます。

  2. [Manual Action] をクリックします。

  3. [手動での対応] の [検索] フィールドに「Exchange」と入力します。

  4. Exchange 統合の検索結果で、[Generate Token] を選択します。

  5. Authorization URL フィールドに、認証を取得アクションの実行後にコピーしたアクセスコードを含む URL 全体を貼り付けます。

  6. [実行] をクリックします。

  7. アクションが実行されたら、シミュレートされたケースのケースウォールに移動します。[Exchange_Generate Token] アクション レコードで、[詳細を表示] をクリックします。

  8. 生成された更新トークンの値全体をコピーします。

更新トークン パラメータを構成する

  1. Exchange 統合の設定ダイアログに移動します。

  2. Generate Token アクションの実行時に取得した更新トークン値を [Refresh Token] フィールドに入力します。

  3. [保存] をクリックします。

  4. [テスト] をクリックして、構成が正しいかどうか、統合が想定どおりに機能するかどうかをテストします。

必要に応じて、後の段階で変更できます。構成が完了すると、インスタンスはハンドブックで使用できます。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。

Exchange Server を構成する

Exchange Server を Google SecOps と統合する前に、Exchange Server の基本認証を設定します。

Exchange Server で認証するには、ユーザー名とパスワードを使用します。

Basic 認証を設定する

基本認証を設定する手順は次のとおりです。

  1. Exchange Server(クラスタ内のサーバーの 1 つ)が Google SecOps サーバーからアクセス可能であり、次の要件を満たしていることを確認します。

    • Exchange Server の DNS 名が解決されている。

    • Exchange Server の IP アドレスにアクセスできる。

    • Exchange Web サービス(EWS)が有効になっており、Google SecOps サーバーからアクセス可能なポートでホストされている。

    Exchange Server に Google SecOps SOAR サーバーからアクセスできない場合は、Google SecOps リモート エージェントの使用を検討してください。

  2. 統合にユーザー名(ユーザーのメール アカウント)とパスワードを指定します。統合のユーザーを選択します。

  3. 委任された権限または権限借用された権限を使用するアクションの場合は、次の手順を完了します。

    1. 統合で使用するメール アカウントに、必要なメールボックスへの委任アクセスまたはユーザーの権限借用アクセス権を付与します。

      偽装された権限でアクセスを構成することをおすすめします。詳細については、Microsoft のプロダクト ドキュメントの Exchange での偽装と EWS をご覧ください。

    2. 他のメールボックスにアクセスするには、統合用に構成されたユーザー(メールボックス)に次の Exchange の役割を割り当てます。

Exchange Server を Google SecOps と統合する

Google SecOps で統合をインストールして構成する方法については、統合を構成するをご覧ください。

統合の入力

Exchange Server 統合には、次のパラメータが必要です。

パラメータ 説明
Mail Server Address 必須

接続先のメールサーバーのアドレス(ホスト名または IP アドレス)。
Mail address 必須

メールボックス内の送信メールと受信メールを操作するために統合で使用されるメールアドレス。
Username 必須

メールサーバーでの認証に使用するユーザー名(exchange_onprem_test@exlab.local など)。
Password 必須

メールサーバーで認証に使用するパスワード。

操作

このセクションに記載されているアクションは、次の 2 つのカテゴリに分類されます。

  1. 一般的な Exchange 統合アクション。

  2. Exchange の送信者とドメインのブロック機能に固有のアクション。

必要な権限

一般的なアクションの実行に必要な最小権限については、次の表を参照してください。

アクション 必要な権限
メールを削除する

ApplicationImpersonation

Mailbox Search
添付ファイルをダウンロード

ApplicationImpersonation


Mailbox Search
メールを検索する

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

送信者とドメインのブロック機能からアクションを実行するために必要な最小限の権限については、次の表をご覧ください。

アクション 必要な権限
送信者を Exchange-Siemplify 受信トレイ ルールに追加する EDiscovery Group
Author
送信者を Exchange-Siemplify 受信トレイ ルールに追加する EDiscovery Group
Author
Exchange-Siemplify の受信トレイ ルールを削除する EDiscovery Group
Author
Exchange-Siemplify 受信トレイ ルールを一覧表示する EDiscovery Group
Author
Exchange-Siemplify の受信トレイ ルールからドメインを削除する EDiscovery Group
Author
Exchange-Siemplify 受信トレイ ルールから送信者を削除する EDiscovery Group
Author

メールを削除する

メールの削除アクションを使用して、検索条件に一致する 1 件または複数のメールをメールボックスから削除します。

メールの削除は、検索条件に一致する最初のメールまたは一致するすべてのメールに適用できます。

このアクションの実行に必要な権限については、このドキュメントのアクションの権限セクションをご覧ください。

ユーザーがオフラインの場合、ユーザーが再接続してメールボックスを同期するまで、Outlook クライアントからメッセージが削除されないことがあります。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールを削除] アクションには、次のパラメータが必要です。

パラメータ 説明
Folder Name 省略可

メールを検索するメールボックス フォルダ。

このパラメータには、フォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。
Message IDs 省略可

特定のメール ID のメールを検索するフィルタ条件。

このパラメータには、検索するメッセージ ID のカンマ区切りのリストを指定します。

メッセージ ID を指定すると、アクションは Subject FilterSender FilterRecipient Filter パラメータを無視します。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。
Sender Filter 省略可

リクエストされたメールの送信者を指定するフィルタ条件。
Recipient Filter 省略可

リクエストされたメールの受信者を指定するフィルタ条件。
Delete All Matching Emails 省略可

選択すると、条件に一致するすべてのメールが削除されます。選択されていない場合、最初に一致したメールのみが削除されます。

デフォルトでは選択されていません。
Delete from all mailboxes 省略可

選択すると、現在のユーザーの権限借用設定を使用してアクセスできるすべてのメールボックス内のメールが削除されます。
How many mailboxes to process in a single batch 必須

1 つのバッチで処理するメールボックスの数(メールサーバーへの単一接続)。

Delete from all mailboxes パラメータを選択した場合、アクションはバッチで動作します。

デフォルト値は 25 です。
Time Frame (minutes) 省略可

メールを検索する期間(分単位)。

アクションの出力

[メールを削除] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[メールを削除] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明
NUMBER_OF_EMAILS email(s) were deleted successfully. アクションが成功しました。
Error deleting emails.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メールを削除] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

添付ファイルをダウンロードする

添付ファイルをダウンロード アクションを使用して、メールから Google SecOps サーバーの特定のパスにメールの添付ファイルをダウンロードします。このアクションでは、ダウンロードした添付ファイルの名前にあるバックスラッシュまたはスペース文字が自動的にアンダースコア文字に置き換えられます。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Download Attachments] アクションには、次のパラメータが必要です。

パラメータ 説明
Folder Name 省略可

メールを検索するメールボックス フォルダ。

このパラメータには、フォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。
Download Path 必須

メールの添付ファイルをダウンロードする Google SecOps サーバー上のパス。
Message IDs 省略可

特定のメール ID のメールを検索するフィルタ条件。

このパラメータには、検索するメッセージ ID のカンマ区切りのリストを指定します。

メッセージ ID を指定すると、アクションは Subject Filter パラメータを無視します。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。
Sender Filter 省略可

検索するメールの送信者を指定するフィルタ条件。
Only Unread 省略可

このオプションをオンにすると、未読のメールからのみ添付ファイルがダウンロードされます。

デフォルトでは選択されていません。
Download Attachments from EML 省略可

選択すると、添付された EML ファイルから添付ファイルがダウンロードされます。

デフォルトでは選択されていません。
Download Attachments to unique path? 省略可

選択すると、アクションは、以前にダウンロードした添付ファイルが上書きされないように、Download Path パラメータで指定された値の下にある一意のパスに添付ファイルをダウンロードします。

デフォルトでは選択されていません。
Search in all mailboxes 省略可

選択すると、現在のユーザーの権限借用設定を使用してアクセス可能なすべてのメールボックスで検索が実行されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 必須

1 つのバッチで処理するメールボックスの数(メールサーバーへの単一接続)。

Search in all mailboxes パラメータを選択した場合、アクションはバッチで動作します。

デフォルト値は 25 です。
Mailboxes 省略可

検索を実行するメールボックスのカンマ区切りのリスト。

このパラメータは Search in all mailboxes パラメータよりも優先されます。

アクションの出力

[添付ファイルをダウンロード] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[添付ファイルをダウンロード] アクションを使用したときに受信した JSON 結果の出力です。

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
出力メッセージ

[添付ファイルをダウンロード] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS アクションが成功しました。
Failed to download email attachments, the error is: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[添付ファイルをダウンロード] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
file_paths 保存された添付ファイルへのカンマ区切りのフルパスの文字列。

EML データの抽出

EML データの抽出アクションを使用して、メールの EML 添付ファイルからデータを抽出します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[EML データの抽出] アクションには、次のパラメータが必要です。

パラメータ 説明
Folder Name 省略可

メールを取得するフォルダ。

デフォルト値は Inbox です。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。
Message ID 必須

メッセージ ID(1701cf01ba314032b2f1df43262a7723@example.com など)。
Regex Map JSON 省略可

メールの本文部分が一致するメールを選択するための正規表現(例: {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b})。

アクションの出力

[EML データの抽出] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、EML データの抽出アクションを使用した場合に受信される JSON 結果の出力を示しています。

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
スクリプトの結果

次の表に、[EML データの抽出] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
eml_data EML_DATA

トークンを生成

Generate Token アクションを使用して、OAuth 認証で統合構成の更新トークンを取得します。認証を取得アクションで受け取った認証 URL を使用します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Generate Token] アクションには、次のパラメータが必要です。

パラメータ 説明
Authorization URL 必須

更新トークンをリクエストするために、[認証を取得] アクションで受け取った認証 URL。

アクションの出力

[Generate Token] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Generate Token] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. アクションが成功しました。
Failed to get the refresh token! The Error is ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Generate Token] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Get Account Out Of Facility Settings

Get Account Out Of Facility Settings アクションを使用して、指定された Google SecOps User エンティティのアカウント不在(OOF)設定を取得します。

ターゲット ユーザー エンティティがメールアドレスではなくユーザー名の場合は、Active Directory のエンティティを拡充アクションを実行して、Active Directory に保存されているユーザーのメールアドレスに関する情報を取得します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

なし

アクションの出力

Get Account Out Of Facility Settings アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

Get Account Out Of Facility Settings アクションは、Google SecOps の Case Wall に次の表を返します。

テーブル名: Out of Facility Settings

テーブルの列:

  • パラメータ
エンティティ拡充

Get Account Out Of Facility Settings アクションは、次のエンティティの拡充をサポートしています。

拡充フィールド ソース(JSON キー) ロジック
Exchange.oof_settings OofSettings このアクションは、API レスポンスに基づいて無効または有効の状態を返します。
JSON の結果

次の例は、Get Account Out Of Facility Settings アクションを使用した場合に受信する JSON 結果の出力です。

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
出力メッセージ

Get Account Out Of Facility Settings アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 アクションが成功しました。
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

承認の取得

Get Authorization アクションを使用して、OAuth 認証で統合構成のアクセスコードを含むリンクを取得します。リンクをコピーし、トークンを生成アクションで使用して更新トークンを取得します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

なし

アクションの出力

[Get Authorization] アクションは次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用可能
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能

この Get Authorization アクションは、次のリンクを返します。

名前: この承認リンクに移動

リンク: AUTHORIZATION_LINK

出力メッセージ

この Get Authorization アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. アクションが成功しました。
Failed to generate authorization URL! The Error is ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get Authorization アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

メールの EML ファイルを取得する

Get Mail EML File アクションを使用して、メッセージの EML ファイルを取得します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[メールの EML ファイルを取得] アクションには、次のパラメータが必要です。

パラメータ 説明
Folder Name 省略可

メールを取得するフォルダ。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。
Message ID 必須

メッセージ ID(1701cf01ba314032b2f1df43262a7723@example.com など)。
Base64 Encode 省略可

選択すると、メールファイルが base64 形式でエンコードされます。

デフォルトでは選択されていません。

アクションの出力

[メールの EML ファイルを取得] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[メールの EML ファイルを取得] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
eml_info EML_INFORMATION

メールをフォルダに移動

Move Mail to Folder アクションを使用して、1 つまたは複数のメールを送信元メールフォルダからメールボックス内の別のフォルダに移動します。

ユースケースに応じて、アクションは処理されたメールに関するさまざまな量の情報を JSON 結果で返します。

[JSON 結果の情報量を制限する] パラメータを選択すると、JSON 結果には次のメール フィールドのみが含まれます。datetime_receivedmessage_idsendersubjectto_recipients。それ以外の場合、JSON 結果には処理されたメールに関するすべての情報が含まれます。

[アクションの JSON 結果を無効にする] パラメータを選択すると、アクションは JSON 結果をまったく返しません。

[メールをフォルダに移動] アクションは、Google SecOps エンティティでは実行されません。

アクション入力

[メールをフォルダに移動] アクションには、次のパラメータが必要です。

パラメータ 説明
Source Folder Name 必須

メールの移動元となるフォルダ。
Destination Folder Name 必須

メールの移動先のフォルダ。
Subject Filter 省略可

特定の件名でメールを検索するフィルタ条件。
Message IDs 省略可

特定のメール ID のメールを検索するフィルタ条件。

このパラメータでは、検索するメッセージ ID のカンマ区切りのリストも指定できます。

メッセージ ID を指定すると、アクションは Subject Filter パラメータを無視します。
Only Unread 省略可

未読メールのみを検索するフィルタ条件。

デフォルトでは選択されていません。
Move In All Mailboxes 省略可

選択すると、現在設定されている偽装設定でアクセス可能なすべてのメールボックスでメールが検索され、移動されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 必須

1 つのバッチ(メールサーバーへの単一接続)で処理するメールボックスの数。

Move In All Mailboxes パラメータを選択すると、アクションはバッチで動作します。

デフォルト値は 25 です。
Time Frame (minutes) 省略可

メールを検索する期間(分単位)。
Limit the Amount of Information Returned in the JSON Result 省略可

選択すると、アクションはキーメール フィールドに関する情報のみを返します。選択しない場合、アクションはすべてのメール フィールドに関する情報を返します。

デフォルトで選択されています。
Disable the Action JSON Result 省略可

選択すると、アクションは JSON の結果を返しません。

デフォルトでは選択されていません。

アクションの出力

[メールをフォルダに移動] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[メールをフォルダに移動] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 アクションが成功しました。
Error search emails: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メールをフォルダに移動] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Ping

Ping アクションを使用して、Microsoft Exchange インスタンスへの接続をテストします。

このアクションは、ハンドブック フローの一部としてではなく、手動で実行できます。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明
Successfully connected to the Microsoft Exchange server with the provided connection parameters! アクションが成功しました。
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

メールの添付ファイルをケースに保存する

メールの添付ファイルをケースに保存アクションを使用して、モニタリング対象のメールボックスに保存されているメールの添付ファイルを Google SecOps のケースウォールに保存します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Save Mail Attachments To The Case] アクションには、次のパラメータが必要です。

パラメータ 説明
Folder Name 必須

メールを検索するメールボックス フォルダ。

このパラメータには、フォルダのカンマ区切りリストも指定できます。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。
Message IDs 必須

特定のメールを見つけて添付ファイルをダウンロードするためのメッセージ ID。
Attachment To Save 省略可

このパラメータを構成しない場合、アクションはデフォルトですべてのメール添付ファイルをケースウォールに保存します。それ以外の場合、指定した添付ファイルのみがケースウォールに保存されます。

アクションの出力

[Save Mail Attachments To The Case] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Save Mail Attachments To The Case] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 アクションが成功しました。
Failed to save the email attachments to the case, the error is: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Save Mail Attachments To The Case] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

メールを検索する

メールを検索アクションを使用して、複数の検索条件を使用して構成済みのメールボックス内の特定のメールを検索します。このアクションは、メールボックスで見つかったメールに関する情報を JSON 形式で返します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

メールを検索アクションには、次のパラメータが必要です。

パラメータ 説明
Folder Name 省略可

メールを検索するメールボックス フォルダ。

このパラメータには、フォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。
Sender Filter 省略可

リクエストされたメールの送信者を指定するフィルタ条件。
Recipient Filter 省略可

リクエストされたメールの受信者を指定するフィルタ条件。
Time Frame (minutes) 省略可

メールを検索する期間(分単位)。
Only Unread 省略可

選択すると、未読メールのみが検索されます。

デフォルトでは選択されていません。
Max Emails To Return Optional

アクション結果で返されるメールの最大数。
Search in all mailboxes Optional

選択すると、現在のユーザーの権限借用設定を使用してアクセス可能なすべてのメールボックスで検索が実行されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 必須

1 つのバッチで処理するメールボックスの数(メールサーバーへの単一接続)。

Search in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

デフォルト値は 25 です。
Start Time Optional

メール検索の実行開始時間。

使用する形式は ISO 8601 です。このパラメータは Time Frame (minutes) パラメータよりも優先されます。
End Time Optional

メール検索の実行終了時刻。

使用する形式は ISO 8601 です。値を設定せず、Start Time パラメータが有効な場合、アクションは End Time 値を現在の時刻に設定します。
Mailboxes 省略可

検索を実行するメールボックスのカンマ区切りのリスト。

このパラメータは Search in all mailboxes パラメータよりも優先されます。
Message IDs 省略可

検索するメッセージ ID のカンマ区切りのリスト。

このフィルタは、他のフィルタ条件よりも優先されます。
Body Regex Filter Optional

メール本文で検索する正規表現パターン。

アクションの出力

[メールを検索] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

メールを検索アクションは、Google SecOps のケースウォールに次のテーブルを返します。

表のタイトル: 一致するメール

テーブルの列:

  • Message_id
  • 受領日
  • 送信者
  • 受信者
  • 件名
  • メールの本文
  • 添付ファイル名(添付ファイル名のカンマ区切りリスト)

Search in all mailboxes パラメータを選択すると、メールが見つかったメールボックスを示す [Found in mailbox] 列がテーブルに追加されます。

JSON の結果

次の例は、[メールを検索] アクションを使用したときに受信した JSON 結果の出力です。

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
出力メッセージ

[メールを検索] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 アクションが成功しました。

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、メールを検索アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
mails_json 利用不可

メールを送信して待機 - 非推奨

メールを送信して待機するアクション。[送信先] フィールドはカンマ区切りです。送信者の表示名は、クライアントのアカウント設定で構成できます。

アクション入力

パラメータの表示名 種類 デフォルト値 必須 説明
件名 文字列 なし メールの件名。
送信先 文字列 user@example.com はい

受信者のメールアドレス。

複数のアドレスを指定する場合は、カンマで区切りることができます。
CC 文字列 user@example.com いいえ

CC メールアドレス。

複数のアドレスを指定する場合は、カンマで区切りることができます。
BCC 文字列 なし いいえ

BCC のメールアドレス。

複数のアドレスを指定する場合は、カンマで区切りることができます。
メールの内容 文字列 なし はい メールの本文。
Fetch Response Attachments チェックボックス オフ いいえ 返信メールからのファイルの添付を許可します。
返信を確認するフォルダ 文字列 受信トレイ いいえ

このパラメータを使用して、ユーザーの返信を検索するメールボックスのメールフォルダ(質問メールの送信に使用されたメールボックス)を指定できます。

複数のフォルダでユーザーの応答を確認するため、このパラメータではカンマ区切りのフォルダのリストも受け入れられます。

パラメータでは大文字と小文字が区別されます。

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
Mail_body なし なし
JSON の結果

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

メールを送信

メールを送信アクションを使用して、特定のメールボックスから受信者リストにメールを送信します。このアクションを使用すると、ユーザーに次のことを通知できます。

  • Google SecOps で作成された特定のアラート。
  • 特定のアラート処理の結果。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールを送信] アクションには、次のパラメータが必要です。

パラメータ 説明
Subject 必須

メールの件名。
Send to 必須

メール受信者のメールアドレスのカンマ区切りリスト(user1@example.com, user2@example.com など)。
CC 省略可

メールの CC フィールドのメールアドレスのカンマ区切りのリスト(user1@example.com, user2@example.com など)。
BCC 省略可

メールの BCC 欄のメールアドレスのカンマ区切りのリスト(例: user1@example.com, user2@example.com)。
Attachments Paths 省略可

サーバーに保存されている添付ファイルのパスのカンマ区切りリスト(C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg など)。
Mail content 必須

メールの本文。
Reply-To Recipients 省略可

Reply-To ヘッダーで使用される受信者のカンマ区切りリスト。

このアクションでは、Reply-To ヘッダーを追加して、メールの返信を [From] フィールドに記載されているメール送信者のアドレスではなく、特定のメールアドレスに送信します。
Base64 Encoded Certificate 省略可

メールの暗号化に使用される Base64 でエンコードされた証明書。

メールを暗号化するには、このパラメータで十分です。メールに署名するには、Base64 Encoded Signature パラメータも指定します。
Base64 Encoded Signature 省略可

メールの署名に使用される Base64 でエンコードされた証明書。

署名が機能し、署名証明書が含まれるようにするには、Base64 Encoded Signature パラメータと Base64 Encoded Certificate パラメータの両方を指定します。

アクションの出力

[メールを送信] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、メールを送信アクションを使用した場合に受信される JSON 結果の出力です。

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

メール オブジェクトの JSON の技術結果に加えて、アクションはメールが送信されたメッセージ ID と日付も返します。必要に応じて、追加データは [メールを待機] アクションで使用されます。

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
出力メッセージ

[メールを送信] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明
Mail sent successfully. アクションが成功しました。
Failed to send email! The Error is ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、メール送信アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
Success_Inidicator 利用不可

Send Mail HTML

Send Mail HTML アクションを使用して、HTML テンプレートのコンテンツを含むメールを送信します。Send to フィールドはカンマ区切りです。

送信者名は、メール クライアントのアカウント設定で構成できます。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

[メールを HTML で送信] アクションには、次のパラメータが必要です。

パラメータ 説明
Subject 必須

メールの件名。
Send to 必須

メール受信者のメールアドレスのカンマ区切りリスト。
CC 省略可

メールの CC 欄のメールアドレスのカンマ区切りのリスト。
BCC 省略可

メールの BCC 欄に指定するメールアドレスのカンマ区切りリスト。
Attachments Paths 省略可

サーバーに保存されている添付ファイルのパスのカンマ区切りリスト(例: C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg)。
Mail content 必須

メールの本文。

アクションの出力

[メールを HTML で送信] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

スレッド返信を送信する

スレッド返信を送信アクションを使用して、メール スレッドへの返信としてメッセージを送信します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[スレッドの返信を送信] アクションには、次のパラメータが必要です。

パラメータ 説明
Message ID 必須

返信を送信するメッセージの ID。
Folder Name 必須

メールの検索を実行するメールボックス フォルダのカンマ区切りのリスト。

メール固有のフォルダ(「Gmail/すべてのメール」など)を設定すると、Gmail のメールボックスのすべてのフォルダを検索できます。

また、フォルダ名は IMAP フォルダと一致している必要があります。

フォルダ名にスペースが含まれている場合は、スペースを二重引用符で囲みます。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。
Content 必須

返信の内容。
Attachment Paths 省略可

サーバーに保存されている添付ファイルのパスのカンマ区切りリスト。
Reply All 省略可

選択すると、アクションによって元のメールに関連するすべての受信者に返信され、Reply To パラメータは無視されます。

デフォルトで選択されています。
Reply To 必須

返信の送信先となるメールのカンマ区切りのリスト。

値を設定せず、Reply All パラメータを選択しない場合、アクションによってメールの送信者にのみ返信が送信されます。

Reply All パラメータを選択すると、アクションはこのパラメータを無視します。

アクションの出力

[スレッドの返信を送信] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[スレッドへの返信を送信] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. アクションが成功しました。
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

操作を実行できませんでした。

Reply To パラメータをチェックして、自分のアドレスにのみ返信を送信します。
Error executing action "Send Thread Reply". Reason: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[スレッドの返信を送信] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Send Vote Mail

投票メールを送信アクションを使用して、事前構成された回答オプションを含むメールを送信し、Google SecOps UI にアクセスできないユーザーを自動プロセスに含めます。

この操作は、受信者が Exchange を使用して投票オプションを適切に表示して選択する場合にのみ、投票機能をサポートします。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Send Vote Mail] アクションには、次のパラメータが必要です。

パラメータ 説明
Subject 必須

メールの件名。
Send to 必須

メール受信者のメールアドレスのカンマ区切りリスト(user1@example.com, user2@example.com など)。
CC 省略可

メールの CC フィールドのメールアドレスのカンマ区切りのリスト(user1@example.com, user2@example.com など)。
BCC 省略可

メールの BCC フィールドのメールアドレスのカンマ区切りのリスト(user1@example.com, user2@example.com など)。
Attachments Paths 省略可

サーバーに保存されている添付ファイルのパスのカンマ区切りリスト(例: C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg)。
Question or Decision Description 必須

受信者に尋ねる質問、または受信者が回答する決定。
Structure of voting options 必須

受信者に送信される投票の構造。

値は次のいずれかになります。

  • Yes/No
  • Approve/Reject

デフォルト値は Yes/No です。

アクションの出力

[Send Vote Mail] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[投票メールを送信] アクションを使用したときに受信した JSON 結果の出力です。

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
出力メッセージ

[Send Vote Mail] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 アクションが成功しました。
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[投票メールを送信] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Wait for Mail From User

[ユーザーのメールを待機] アクションを使用して、[メールを送信] アクションで送信されたメールに対するユーザーの応答を待ちます。

このアクションは非同期で動作します。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[ユーザーからのメールを待機] アクションには、次のパラメータが必要です。

パラメータ 説明
Mail message_id 必須

メールのメッセージ ID。

Send Mail アクションを使用してメッセージを送信する場合は、SendEmail.JSONResult|message_id フィールドをプレースホルダとして選択します。
Mail Date 必須

現在の操作が待機している送信済みメールのタイムスタンプ。

[メールを送信] アクションを使用してメッセージを送信する場合は、SendEmail.JSONResult|email_date フィールドをプレースホルダとして選択します。
Mail Recipients 必須

現在の操作が応答を待機しているメール受信者のカンマ区切りリスト。

メールを送信アクションを使用してメッセージが送信される場合は、SendEmail.JSONResult|to_recipients フィールドをプレースホルダとして選択します。
How long to wait for recipient reply (minutes) 必須

アクションがタイムアウトとマークされる前にユーザーの返信を待つ期間。

デフォルト値は 1,440 分です。
Wait for All Recipients to Reply? 省略可

選択すると、アクションはタイムアウトになるか、最初の返信が届くまで、すべての受信者からの返信を待ちます。

デフォルトで選択されています。
Wait Stage Exclude pattern 省略可

特定の返信を待機ステージから除外する正規表現。

このパラメータはメール本文で機能します。

たとえば、自動不在メッセージを受信者の返信と見なさないようにアクションを構成し、実際のユーザーの返信を待つことができます。
Folder to Check for Reply 省略可

ユーザーの返信を検索するメールボックスのメールフォルダ。質問を含むメールの送信元メールボックスで検索が実行されます。

このパラメータには、フォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

このパラメータでは大文字と小文字が区別されます。

デフォルト値は Inbox です。
Fetch Response Attachments 省略可

選択すると、受信者の返信に添付ファイルが含まれている場合、アクションは返信を取得し、アクション結果の添付ファイルとして追加します。

デフォルトでは選択されていません。

アクションの出力

[ユーザーからのメールを待機] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用可能
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
スクリプトの結果 利用可能
ケースウォールのアタッチメント

[Wait for Mail From User] アクションは、Google SecOps のケースウォールに次の添付ファイルを返します。

添付ファイル フィールド 説明
title

受信者からの添付ファイル RECIPIENT_EMAIL への返信
filename

ATTACHMENT_NAMEEXTENSION
fileContent

ATTACHED_FILE_CONTENT

添付ファイルのタイプが Entity の場合、Google SecOps サーバーがレスポンスを追跡する message_id に返信した受信者にマッピングされます。

JSON の結果

JSON 結果として、アクションは次の 2 つの出力の組み合わせを返します。

  1. 追跡された返信を含むメールのメール オブジェクトの JSON 出力。

    このアクションは、message_id を使用してメールの返信を追跡します。

  2. ユーザーからの回答を追跡するプロセスの JSON 出力。

出力データを統合する方法は、実装段階で定義されます。

メール オブジェクトの JSON 出力のフローは次のとおりです。

  1. アクションは、続行するために少なくとも 1 つのユーザー レスポンスを待機します。

  2. 最初のお客様から回答を受け取ると、アクションは JSON 結果を更新し、アクション結果に進みます。

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

トラッキング レスポンス プロセス出力のフローは次のとおりです。

  1. アクションは、すべてのユーザーの回答を待ってから続行します。

  2. ユーザーから返信を受け取った後、またはタイムアウトに達した後、アクションは JSON 結果を更新します。

    この場合、アクションがすべての受信者からの応答を待機しており、ユーザーからの応答を待機中にタイムアウトに達すると、アクションは handled_timeout エラーを返します。

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
出力メッセージ

[ユーザーからのメールを待機] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 アクションが成功しました。

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。

投票メールの結果を待つ

投票メールの結果を待機アクションを使用して、投票メールを送信アクションで送信された投票メールの回答を待機して取得します。[Wait for Vote Mail Results] アクションは、取得したレスポンスを Google SecOps に転送します。

投票結果を適切に追跡して取得するには、投票メールを追跡します。詳細については、投票メールを送信アクションをご覧ください。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Wait for Vote Mail Results] アクションには、次のパラメータが必要です。

パラメータ 説明
Vote Mail message_id 必須

投票メールのメッセージ ID。

Send Vote Mail アクションを使用してメッセージを送信する場合は、SendVoteMail.JSONResult|message_id フィールドをプレースホルダとして選択します。
Mail Recipients 必須

現在のアクションがレスポンスを待機している受信者のメールアドレスのカンマ区切りリスト。

プレースホルダとして SendVoteMail.JSONResult|to_recipients フィールドを選択します。
Folder to Check for Reply 必須

ユーザーの返信を検索するメールボックス フォルダ。質問を含むメールの送信元メールボックスで検索が実行されます。

このパラメータには、フォルダのカンマ区切りリストも指定できます。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

このパラメータでは大文字と小文字が区別されます。

デフォルト値は Inbox です。
Folder to Check for Sent Mail 必須

送信メールを検索するメールボックス フォルダ。質問を含むメールの送信元メールボックスで検索が実行されます。

このパラメータには、フォルダのカンマ区切りリストも指定できます。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

このパラメータでは大文字と小文字が区別されます。

デフォルト値は Sent Items です。
How long to wait for recipient reply (minutes) 必須

アクションがタイムアウトとマークされる前にユーザーの返信を待つ期間。

デフォルト値は 1,440 分です。
Wait for All Recipients to Reply? 省略可

選択すると、アクションはタイムアウトになるか、最初の返信が届くまで、すべての受信者からの返信を待ちます。

デフォルトで選択されています。

アクションの出力

[Wait for Vote Mail Results] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[Wait for Vote Mail Results] アクションを使用した場合に受信される JSON 結果の出力です。

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
出力メッセージ

[Wait for Vote Mail Results] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 アクションが成功しました。

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Wait for Vote Mail Results] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

送信者とドメインのブロック機能

メール管理とセキュリティの最も一般的なユースケースの 1 つは、組織の受信トレイにすでに存在するフィッシング メールなどの既存の脅威を封じ込め、疑わしい送信者またはドメインをブロックして、組織を将来の攻撃から保護し、セキュリティ侵害の可能性を防ぐことです。

Google SecOps では、Exchange 統合により、次の順次ステージで構成される送信者とドメインのブロック機能が提供されます。

  1. 組織内の保護。

    メッセージ ID で送信者をブロック アクションを使用して、Mark as Junk EWS サービスを使用して送信者をブロックリストに追加します。

  2. 受信トレイ ルールによる組織外の保護。

    受信トレイ ルールを作成してクライアント レベルで追加し、有害なメールが組織のメールボックスに届かないように自動的にブロックします。

  3. サーバーの受信トレイ ルールによる組織外の保護。

    サーバーの受信トレイ ルールを作成して、疑わしいメールが組織に届かないようにします。

これらのステージについては、次のセクションで詳しく説明します。

ユースケース

次のユースケースは、不審で有害な可能性のあるメールによるセキュリティ侵害の例を示しています。

組織の複数のメールボックスが疑わしい有害なメールによって侵害されたことが判明した場合、この種の脅威を処理する手順は次のとおりです。

  1. [メール ID で送信者をブロック] アクションを使用して脅威を修復します。
  2. 侵害されたメールボックスを処理します。
  3. 他のメールボックスで受信した不審なメールに対する保護も追加します。

脅威を修復する

脅威を修復するには、[メッセージ ID で送信者をブロック] アクションを実行して、調査用のパラメータと疑わしいメールに関する詳細情報を取得します。また、侵害されたメールボックスのみを調査し、そのメールボックスに含まれる脅威に対処することもできます。

[メール ID で送信者をブロックする] アクションは、Exchange EWS の [迷惑メールとしてマークする] サービスをトリガーして、次の処理を行います。

  1. 不審なメールを [迷惑メール] フォルダに移動します。
  2. 調査対象のメールボックスのブロックされた送信者リストにメールの送信者を追加します。

Mark as Junk サービスの使用方法については、Microsoft 製品ドキュメントの Exchange の EWS を使用して Blocked Sender List にメールアドレスを追加または削除するをご覧ください。

一方、メッセージ ID で送信者をブロックするアクションで脅威を修復すると、侵害されたメールボックスのみが対象となり、自動化できます。一方、このアクションでは、侵害されていないメールボックスの送信者をブロックしたり、API を使用してドメインをブロックされている送信者のリストに追加したりすることはできません。

不正使用されたメールボックスへの対応

脅威を修復したら、次の手順として、侵害されたメールボックスを処理し、組織内のすべてのメールボックスを悪意のある送信者(潜在的な送信者を含む)から保護します。

侵害されたメールボックスを処理するには、次のアクションで構成される受信トレイ ルール アクション セットを実行します。

  1. Exchange-Siemplify の受信トレイ ルールにドメインを追加する
  2. Exchange-Siemplify 受信トレイのルールに送信者を追加する
  3. Exchange-Siemplify 受信トレイのルールを削除する
  4. Exchange-Siemplify 受信トレイ ルールを一覧表示する
  5. Exchange-Siemplify の受信トレイ ルールからドメインを削除する
  6. Exchange-Siemplify 受信トレイ ルールから送信者を削除する

アクションで使用されるサービスの詳細については、Microsoft のプロダクト ドキュメントの Exchange で受信トレイ ルールを管理するをご覧ください。

Exchange 統合では、最も一般的なオペレーションに次の事前定義ルールのセットを使用できます。

  • Siemplify - 送信者リスト - 迷惑メールに移動
  • Siemplify - 送信者リスト - 削除
  • Siemplify - 送信者リスト - 完全に削除
  • Siemplify - ドメインリスト - 迷惑メールに移動
  • Siemplify – ドメインリスト – 削除
  • Siemplify - ドメインリスト - 完全に削除

悪意のある送信者のメールを完全に削除する

すべてのメールボックスで同じルールのリストを維持するには、管理者ユーザーのルールを追加します。管理者ルールを他のユーザーに適用するには、すべてのメールボックスでオペレーションを実行します。

悪意のある送信者のメールを完全に削除するには、次の手順を行います。

  1. Google SecOps で、管理者アカウントから [Add Senders to Exchange-Siemplify Inbox Rule] アクションを実行します。悪意のある送信者のメールアドレスを入力します。

  2. リストから適切なルールを選択して、不審なメールの管理方法を定義します。不正なメールを完全に削除するには、[Siemplify – Senders List – Permanently Delete] ルールを選択します。

    このアクションにより、受信トレイ ルールが新しい悪意のある送信者で更新されます。

  3. Perform action in all mailboxes パラメータを選択して、すべてのメールボックスにルールを適用します。

    ルールがメールボックスに存在しない場合、アクションによって作成されます。ルールがメールボックスにすでに存在する場合、アクションは新しいパラメータ値でルールを更新します。

  4. 他のメールボックスで受信した疑わしいメールに対する保護を追加し、悪意のある送信者のドメインをブロックするには、Should add senders' domain to the corresponding Domains List rule as well? パラメータを選択します。

  5. アクションの他のパラメータを確認し、必要に応じて調整します。

[Add Senders to Exchange-Siemplify Inbox Rule] アクションは、Mailboxes to process in one batch パラメータに従って複数のルールを一度に更新します。[Add Senders to Exchange-Siemplify Inbox Rule] アクションは、送信者とドメインの両方で機能し、不審なメールを受信したかどうかに関係なくすべてのメールボックスに適用され、自動化できます。

エンドユーザーは、メールボックスに適用されたルールを削除できます。他のメールボックスに管理者ルールを適用すると、無効になっているプライベート受信トレイ ルールが自動的に削除されます。

[Block Sender] アクションと [Domain] アクション

送信者とドメインのブロック機能のアクションを実行する前に、必要な最小限の権限を構成します。

Exchange-Siemplify の受信トレイ ルールにドメインを追加する

Add Domains to Exchange-Siemplify Inbox Rules アクションを使用して、パラメータとしてドメインのリストを取得するか、パラメータが空の場合は Google SecOps の Domain エンティティを使用します。このアクションは、Google SecOps バージョン 5.6 以降でのみ使用できます。

このアクションを実行する前に、必要なアクション権限を構成します。

メールボックスからドメインをフィルタリングして、ルールを作成または更新できます。このアクションは、Rule to add Domains to パラメータを使用して変更できます。

[Add Domains to Exchange-Siemplify Inbox Rules] アクションは、EWS を使用してユーザーの現在の受信トレイ ルールを変更します。

このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

パラメータを設定せず、Google SecOps のバージョンが 5.6 以降の場合、このアクションは Domain エンティティで実行されます。

アクション入力

Add Domains to Exchange-Siemplify Inbox Rules アクションには、次のパラメータが必要です。

パラメータ 説明
Domains 省略可

ルールに追加するドメインのカンマ区切りのリスト。
Rule to add Domains to 必須

ドメインを追加するルール。

ルールがない場合、アクションによって作成されます。

値は次のいずれかになります。

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

デフォルト値は Siemplify - Domains List - Move To Junk です。
Perform action in all mailboxes 省略可

選択すると、現在設定されているユーザーの権限借用設定でアクセス可能なすべてのメールボックスにアクションが適用されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 50 です。

アクションの出力

[Add Domains to Exchange-Siemplify Inbox Rules] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Add Domains to Exchange-Siemplify Inbox Rules アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 アクションが成功しました。

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Add Domains to Exchange-Siemplify Inbox Rules アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

送信者を Exchange-Siemplify 受信トレイ ルールに追加する

パラメータが空の場合、Add Senders to Exchange-Siemplify Inbox Rule アクションを使用して、メールアドレスのリストを取得するか、Google SecOps の User エンティティを使用します。このアクションには正規表現を使用できます。

メールボックスから送信者をフィルタして、新しいルールを作成できます。このアクションは、Rule to add senders to パラメータを使用して変更できます。

このアクションを実行する前に、必要なアクション権限を構成してください。

[Add Senders to Exchange-Siemplify Inbox Rule] アクションは、EWS を使用してユーザーの現在の受信トレイ ルールを変更します。

このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

メールの正規表現が有効で、パラメータを構成していない場合、このアクションは User エンティティで実行されます。

アクション入力

Add Senders to Exchange-Siemplify Inbox Rule アクションには、次のパラメータが必要です。

パラメータ 説明
Senders 省略可

ルールに追加するメールアドレスのカンマ区切りのリスト。

値を設定しない場合、アクションは User エンティティで動作します。
Rule to add senders to 必須

送信者を追加するルール。

ルールがない場合、アクションによって作成されます。

値は次のいずれかになります。

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

デフォルト値は Siemplify - Senders List - Move To Junk です。
Should add senders' domain to the corresponding Domains List rule as well? 省略可

選択すると、指定されたメールアドレスのドメインが対応するドメインルールに自動的に追加されます。

デフォルトでは選択されていません。
Perform action in all mailboxes 省略可

選択すると、現在のユーザーの偽装設定でアクセス可能なすべてのメールボックスにアクションが適用されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 50 です。

アクションの出力

[Add Senders to Exchange-Siemplify Inbox Rule] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Add Senders to Exchange-Siemplify Inbox Rule アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 アクションが成功しました。

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Add Senders to Exchange-Siemplify Inbox Rule アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

メッセージ ID で送信者をブロックする

メッセージ ID で送信者をブロック アクションを使用して、メッセージ ID のリストをパラメータとして取得し、そのリストを迷惑メールとしてマークします。

この操作では、アイテムを迷惑メールとしてマークすると、メールの送信者のアドレスがブロックされている送信者のリストに追加され、アイテムが迷惑メール フォルダに移動します。

このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

[メッセージ ID で送信者をブロック] アクションは、Exchange Server バージョン 2013 以降でのみサポートされています。以前のバージョンを使用している場合、アクションは対応するメッセージで失敗します。

疑わしいメールアドレスからのメールがユーザーのメールボックスに存在している必要があります。そのメールアドレスを [ブロックされている送信者リスト] に追加または削除する前に、

[Block Sender by Message ID] アクションは、Google SecOps エンティティに対して実行されません。

アクション入力

[メッセージ ID で送信者をブロック] アクションには、次のパラメータが必要です。

パラメータ 説明
Move item to Junk folder? 必須

選択すると、指定したメッセージが迷惑メール フォルダに移動します。

デフォルトで選択されています。
Message IDs 省略可

特定のメール ID のメールを検索するフィルタ条件。

このパラメータには、迷惑メールとしてマークするメッセージ ID のカンマ区切りのリストを指定します。

メッセージ ID を指定すると、アクションは Subject FilterSender FilterRecipient Filter パラメータを無視します。
Mailboxes list to perform on 省略可

タイミングを調整するために、特定のメールボックスのリストでオペレーションを実行するフィルタ条件。

複数のメールアドレスからのメッセージを迷惑メールとしてマークするには、メールアドレスをカンマ区切りのリストで指定します。

メールボックス リストを指定すると、アクションは Perform Action in all Mailboxes パラメータを無視します。
Folder Name 省略可

メールを検索するメールボックス フォルダ。

このパラメータには、フォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

デフォルト値は Inbox です。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。
Sender Filter 省略可

リクエストされたメールの送信者を指定するフィルタ条件。
Recipient Filter 省略可

リクエストされたメールの受信者を指定するフィルタ条件。
Mark All Matching Emails 省略可

選択すると、条件に一致するメールボックス内のすべてのメールにマークが付けられます。選択されていない場合、アクションは最初に一致したメールのみをマークします。

デフォルトでは選択されていません。
Perform action in all mailboxes 省略可

選択すると、アクションは迷惑メールに移動し、現在のユーザーになりすまし設定でアクセス可能なすべてのメールボックスで送信者のメールがブロックされます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 25 です。
Time Frame (minutes) 省略可

メールを検索する期間(分単位)。

アクションの出力

[Block Sender by Message ID] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[メッセージ ID で送信者をブロック] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 アクションが成功しました。
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

操作を実行できませんでした。

使用している Exchange Server のバージョンがサポートされていない。
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メッセージ ID で送信者をブロック] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Exchange-Siemplify の受信トレイ ルールを削除する

Delete Exchange-Siemplify Inbox Rules アクションを使用して、ルール名をパラメータとして取得し、指定されたすべてのメールボックスから削除します。

このアクションを実行する前に、必要なアクション権限を構成します。

[Delete Exchange-Siemplify Inbox Rules] アクションは、EWS を使用してユーザーの現在の受信トレイ ルールを変更します。

このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Delete Exchange-Siemplify Inbox Rules] アクションには、次のパラメータが必要です。

パラメータ 説明
Rule Name To Delete 必須

関連するメールボックスから完全に削除するルールの名前。

値は次のいずれかになります。

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes 省略可

選択すると、現在設定されているユーザーの権限借用設定でアクセス可能なすべてのメールボックスにアクションが適用されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 50 です。

アクションの出力

[Delete Exchange-Siemplify Inbox Rules] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Delete Exchange-Siemplify Inbox Rules] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 アクションが成功しました。
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Delete Exchange-Siemplify Inbox Rules アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Exchange-Siemplify 受信トレイ ルールを一覧表示する

List Exchange-Siemplify Inbox Rules アクションを使用して、Exchange-Siemplify Inbox ルールからルール名をパラメータとして取得し、一覧表示します。リストするメールボックスがない場合、このアクションはログインしているユーザーのルールをリストします。

このアクションを実行する前に、必要なアクション権限を構成します。

[List Exchange-Siemplify Inbox Rules] アクションは、EWS を使用してユーザーの現在の受信トレイ ルールを変更します。

このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

List Exchange-Siemplify Inbox Rules アクションには、次のパラメータが必要です。

パラメータ 説明
Rule Name To List 必須

関連するメールボックスから一覧表示するルールの名前。

値は次のいずれかになります。

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on Optional

オペレーションを実行するメールボックスのリストを指定するフィルタ条件。タイミングを調整するために使用します。

このパラメータには、メッセージを迷惑メールから除外するメールアドレスのカンマ区切りのリストを指定します。

メールボックス リストが指定されている場合、アクションは Perform action in all mailboxes パラメータを無視します。
Perform action in all mailboxes 省略可

選択すると、現在設定されているユーザーの権限借用設定でアクセス可能なすべてのメールボックスにアクションが適用されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 50 です。

アクションの出力

[List Exchange-Siemplify Inbox Rules] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、List Exchange-Siemplify Inbox Rules アクションを使用した場合に受信される JSON 結果の出力です。

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
出力メッセージ

List Exchange-Siemplify Inbox Rules アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 アクションが成功しました。
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、List Exchange-Siemplify Inbox Rules アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Exchange-Siemplify の受信トレイ ルールからドメインを削除する

Remove Domains from Exchange-Siemplify Inbox Rules を使用して、パラメータとしてドメインのリストを取得するか、パラメータが指定されていない場合は Domain エンティティを操作します。このアクションは、Google SecOps バージョン 5.6 以降でのみ使用できます。指定されたドメインを既存のルールから削除できます。

このアクションを実行する前に、必要なアクション権限を構成します。

[Remove Domains from Exchange-Siemplify Inbox Rules] アクションは、EWS を使用してユーザーの現在の受信トレイ ルールを変更します。

このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

パラメータを構成しない場合、このアクションは Google SecOps のドメイン エンティティで実行されます。

アクション入力

Remove Domains from Exchange-Siemplify Inbox Rules アクションには、次のパラメータが必要です。

パラメータ 説明
Domains 省略可

ルールから削除するドメインのカンマ区切りのリスト。

値を設定しない場合、アクションはエンティティで動作します。
Rule to remove Domains from 必須

ドメインを削除するルール。

ルールを設定しないと、アクションは失敗します。

値は次のいずれかになります。

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

デフォルト値は Siemplify – Domains List – Move To Junk です。
Remove Domains from all available Rules Optional

選択すると、このアクションは、指定されたドメインをすべての Google SecOps 受信トレイ ルールで検索します。

デフォルトでは選択されていません。
Mailboxes list to perform on Optional

オペレーションを実行するメールボックスのリストを指定するフィルタ条件。タイミングを調整するために使用します。

このパラメータには、メッセージを迷惑メールから除外するメールアドレスのカンマ区切りのリストを指定します。

メールボックス リストを指定すると、アクションは Perform action in all mailboxes パラメータを無視します。
Perform action in all mailboxes 省略可

選択すると、現在設定されているユーザーの権限借用設定でアクセス可能なすべてのメールボックスにアクションが適用されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 50 です。

アクションの出力

[Remove Domains from Exchange-Siemplify Inbox Rules] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Remove Domains from Exchange-Siemplify Inbox Rules] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 アクションが成功しました。

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Remove Domains from Exchange-Siemplify Inbox Rules アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Exchange-Siemplify 受信トレイ ルールから送信者を削除する

Remove Senders from Exchange-Siemplify Inbox Rules を使用して、メール送信者のリストをパラメータとして取得するか、パラメータが指定されていない場合は User エンティティを使用します。

指定された送信者を既存のルールから削除できます。

このアクションを実行する前に、必要なアクション権限を構成します。

[Remove Senders from Exchange-Siemplify Inbox Rules] アクションは、EWS を使用してユーザーの現在の受信トレイ ルールを変更します。

このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE でスクリプト タイムアウト値を調整します。

パラメータが指定されていない場合、このアクションは Google SecOps の ユーザー エンティティに対して実行されます。

アクション入力

Remove Senders from Exchange-Siemplify Inbox Rules アクションには、次のパラメータが必要です。

パラメータ 説明
Senders 省略可

ルールから削除するメールアドレスのカンマ区切りのリスト。

値を設定しない場合、アクションは User エンティティで動作します。
Rule to remove senders from 必須

送信者を削除するルール。

ルールを設定しないと、アクションは失敗します。

値は次のいずれかになります。

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

デフォルト値は Siemplify – Senders List – Move To Junk です。
Remove senders from all available rules Optional

選択すると、指定された送信者がすべての Google SecOps 受信トレイ ルールで検索されます。

デフォルトでは選択されていません。
Should remove senders' domain from the corresponding Domains List rule as well? 省略可

選択すると、指定されたメールアドレスのドメインが対応するドメインルールから自動的に削除されます。

デフォルトでは選択されていません。
Perform action in all mailboxes 省略可

選択すると、現在のユーザーの偽装設定でアクセス可能なすべてのメールボックスにアクションが適用されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 50 です。

アクションの出力

[Remove Senders from Exchange-Siemplify Inbox Rules] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Remove Senders from Exchange-Siemplify Inbox Rules] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 アクションが成功しました。

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Remove Senders from Exchange-Siemplify Inbox Rules アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

メッセージ ID で送信者のブロックを解除する

メッセージ ID で送信者のブロックを解除アクションを使用して、メッセージ ID のリストをパラメータとして取得し、迷惑メールのマークを解除します。

この操作では、アイテムを迷惑メールとしてマーク解除すると、送信者のメールアドレスがブロック済み送信者リストから削除されます。アイテムを受信トレイ フォルダに戻すには、アクション パラメータで Move items back to Inbox? パラメータを選択します。

[メッセージ ID で送信者のブロックを解除] は非同期で実行されます。必要に応じて、Google SecOps IDE でアクションのスクリプト タイムアウト値を調整します。

この操作は、Exchange Server バージョン 2013 以降でのみサポートされています。以前のバージョンを使用している場合、アクションは対応するメッセージで失敗します。

メールアドレスを [ブロックされている送信者リスト] に追加または削除する前に、不審なメールアドレスからのメールがユーザーのメールボックスに存在している必要があります。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メッセージ ID で送信者のブロックを解除] アクションには、次のパラメータが必要です。

パラメータ 説明
Move items back to Inbox? 必須

選択すると、指定されたメッセージが受信トレイ フォルダに戻されます。

デフォルトで選択されています。
Message IDs 省略可

特定のメール ID のメールのマークを解除するフィルタ条件。

このパラメータでは、メールを迷惑メールとしてマーク解除するメッセージ ID のカンマ区切りのリストも指定できます。

メッセージ ID を指定すると、アクションは Subject FilterSender FilterRecipient Filter パラメータを無視します。
Mailboxes list to perform on 省略可

タイミングを調整するために、特定のメールボックスのリストでオペレーションを実行するフィルタ条件。

複数のメールアドレスからのメッセージを迷惑メールとしてマークするには、メールアドレスをカンマ区切りのリストで指定します。

メールボックス リストを指定すると、アクションは Perform action in all mailboxes パラメータを無視します。
Folder Name 省略可

メールを検索するメールボックス フォルダ。

このパラメータには、アイテムの移動元となるフォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

デフォルト値は Junk Email です。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。
Sender Filter 省略可

リクエストされたメールの送信者を指定するフィルタ条件。
Recipient Filter 省略可

リクエストされたメールの受信者を指定するフィルタ条件。
Unmark All Matching Emails 省略可

選択すると、条件に一致するメールボックス内のすべてのメールのマークが解除されます。選択されていない場合、このアクションは最初に一致したメールのみのマークを解除します。

デフォルトでは選択されていません。
Perform action in all mailboxes 省略可

選択すると、現在設定されているユーザーの権限借用設定でアクセス可能なすべてのメールボックスにアクションが適用されます。

デフォルトでは選択されていません。
How many mailboxes to process in a single batch 省略可

Perform action in all mailboxes パラメータを選択すると、アクションはバッチで動作します。

このパラメータは、1 つのバッチ(メールサーバーへの 1 つの接続)で処理するメールボックスの数を定義します。

デフォルト値は 25 です。
Time Frame (minutes) 省略可

メールを検索する期間(分単位)。

アクションの出力

[Unblock Sender by Message ID] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[メッセージ ID で送信者のブロックを解除] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

アクションが成功しました。
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

操作を実行できませんでした。

使用している Exchange Server のバージョンがサポートされていない。
Error performing action: ERROR_REASON

操作を実行できませんでした。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メッセージ ID で送信者のブロックを解除] アクションを使用した場合のスクリプト結果の出力値を示します。

スクリプトの結果名
is_success True または False

コネクタ

Google SecOps でコネクタを構成する手順については、データを取り込む(コネクタ)をご覧ください。

コネクタとアクションを構成するときは、認証情報のスペースと特殊記号に注意してください。統合で認証情報が拒否された場合は、スペルを確認します。

選択したコネクタを構成するには、次の表に示すコネクタ固有のパラメータを使用します。

Exchange EML コネクタ

Exchange EML コネクタは、Exchange サーバーからメールを取得して解析します。EML ファイルが添付されている場合、コネクタはそれらをイベントとしてケースに添付します。メールに複数の EML 添付ファイルがある場合、コネクタは複数のケースを作成し、各ケースの 1 つのイベントとして各添付ファイルを取り込みます。

既知の制限事項

  1. Microsoft 365 と基本認証。

    • Exchange EML Connector は基本認証をサポートしなくなり、Microsoft 365 で使用できなくなりました。Microsoft 365 の場合は、OAuth を使用した Exchange Mail Connector v2 を使用します。

  2. Exchange EML Connector の仕様は次のとおりです。

    • コネクタは、EML または MSG ファイルの添付ファイルを含むメールからのみ Google SecOps アラートを作成します。

    • コネクタは、メールの添付ファイルが含まれていないメールを無視します。

コネクタの入力

Exchange EML Connector には、次のパラメータが必要です。

パラメータ 説明
Product Field Name 必須

商品名が保存されるフィールドの名前。

デフォルト値は device_product です。
EventClassId 必須

イベント名(サブタイプ)を特定するために使用されるフィールド名。

デフォルト値は event_name です。
Server IP 必須

接続先のサーバーの IP アドレス。
Domain 必須

認証に使用するドメイン値。
Username 必須

メールを pull するメールボックスのユーザー名(user@example.com など)。
Password 必須

メールを pull するメールのメールボックスのパスワード。
Mail Address 必須

モニタリングするメールボックスのメールアドレス。

デフォルト値は Inbox です。
Verify SSL 省略可

選択すると、統合によって Exchange サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。

デフォルトでは選択されていません。
Use Domain for Authentication 省略可

選択すると、統合では user@domain などの認証情報の一部としてドメインが使用されます。

デフォルトで選択されています。
Unread Emails Only 省略可

選択すると、未読のメールからのみケースが作成されます。

デフォルトでは選択されていません。
Mark Emails as Read 省略可

選択すると、メールは取り込み後に既読としてマークされます。

デフォルトでは選択されていません。
Max Days Backwards 省略可

最初のコネクタ イテレーションの前にメールを取得する日数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーションに 1 回だけ適用されます。
PythonProcessTimeout 必須

現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 30 秒です。
Folder Name Optional

検索するフォルダ名。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

デフォルト値は Inbox です。
Environment Field Name 省略可

環境名が保存されるフィールドの名前。

環境フィールドが見つからない場合、環境は "" に設定されます。
Environment Regex Pattern 省略可

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。
Encode Data as UTF-8 省略可

選択すると、統合によってメールデータが UTF-8 でエンコードされます。このパラメータを選択することをおすすめします。

デフォルトで選択されています。
Attach EML or MSG File to the Case Wall 省略可

選択すると、転送された EML ファイルまたは MSG ファイルが Google SecOps のケースウォールに添付されます。

デフォルトでは選択されていません。
Exclusion Body Regex 省略可

本文が指定された値に一致するメールを除外する正規表現。

たとえば、正規表現 '([N|n]ewsletter)|([O|o]ut of office)' は、「Newsletter」または「Out of office」のキーワードを含むすべてのメールを除外します。
Proxy Server Address Optional

使用するプロキシ サーバーのアドレス。
Proxy Username Optional

認証に使用するプロキシのユーザー名。
Proxy Password Optional

認証に使用するプロキシ パスワード。
Extract urls from HTML email part? 省略可

このオプションを選択すると、コネクタはメールの HTML 部分から URL を抽出します。このパラメータを使用すると、コネクタは複雑な URL を抽出できますが、メールのプレーン テキスト部分の URL は抽出できません。

抽出された URL は urls_from_html_part イベント フィールドで確認できます。

デフォルトでは選択されていません。

コネクタルール

  • Exchange EML Connector は、ブロックリストと動的リストのルールをサポートしていません。

  • Exchange EML Connector はプロキシをサポートしています。

Exchange Mail Connector

Exchange Mail Connector を使用して Exchange サーバーと通信し、準リアルタイムでメールを検索して、Google SecOps ケースのアラートとして翻訳とコンテキスト化のために転送します。

このセクションでは、Exchange Web サービス(EWS)を使用して Microsoft Exchange 2007 ~ 2019 Server または Microsoft 365 と通信する方法について説明し、Google SecOps が Exchange Mail インターフェース、アプリケーション内のアシスト ワークフロー、アクティビティとどのように連携するかについて説明します。

Exchange Mail Connector を使用すると、構成された Exchange サーバーからメールを取得し、各サーバーをスキャンして新しいケースを作成できます。各シナリオには、少なくとも 1 つの初回メールの発生が含まれています。主な違いは、Exchange Mail コネクタがメールを削除し、Exchange サーバーの元のメールの EML または MSG データを解析するイベントを生成することです。

既知の制限事項

  1. Microsoft 365 と基本認証。

    • Exchange Mail Connector は基本認証をサポートしなくなり、Microsoft 365 で使用できなくなりました。Microsoft 365 の場合は、OAuth を使用した Exchange Mail Connector v2 を使用します。

  2. Exchange Mail Connector の仕様は次のとおりです。

    • コネクタは、メールボックスに含まれる受信した元のメールからのみ Google SecOps アラートを作成します。

    • コネクタは、添付された EML ファイルと MSG ファイルを無視します。

コネクタの入力

Exchange Mail Connector には、次のパラメータが必要です。

パラメータ 説明
Product Field Name 必須

商品名が保存されるフィールドの名前。

デフォルト値は device_product です。
Event Field Name 必須

イベント名(サブタイプ)を特定するために使用されるフィールド名。

デフォルト値は event_name です。
Server IP 必須

接続先のサーバーの IP アドレス。
Domain 必須

認証に使用するドメイン値。
Username 必須

メールを pull するメールボックスのユーザー名(user@example.com など)。
Password 必須

メールを pull するメールのメールボックスのパスワード。
Mail Address 必須

モニタリングするメールボックスのメールアドレス。

デフォルト値は Inbox です。
Verify SSL 省略可

選択すると、統合によって Exchange サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。

デフォルトでは選択されていません。
Use Domain for Authentication 省略可

選択すると、ドメインは user@domain などの認証情報の一部として使用されます。

デフォルトで選択されています。
Unread Emails Only 省略可

選択すると、インテグレーションは未読メールからのみケースを作成します。

デフォルトで選択されています。
Mark Emails as Read 省略可

選択すると、インテグレーションは取り込んだすべてのメールを既読にします。

デフォルトでは選択されていません。
Max Days Backwards 省略可

最初のコネクタ イテレーションの前にメールを取得する日数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーションに 1 回だけ適用されます。
PythonProcessTimeout 必須

現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 30 秒です。
Attach Original EML Optional

選択すると、元のメールが EML ファイルとしてケースに添付されます。

デフォルトでは選択されていません。
Folder Name Optional

検索するフォルダ名。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

デフォルト値は Inbox です。
Environment Field Name 省略可

環境名が保存されるフィールドの名前。

環境フィールドが見つからない場合、環境は "" に設定されます。
Environment Regex Pattern 省略可

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。
Exclusion Subject Regex 省略可

指定された値に一致する件名のメールを除外する正規表現。

たとえば、正規表現 ([N|n]ewsletter)|([O|o]ut of office) は、メールの件名に Newsletter または Out of office のキーワードを含むすべてのメールを除外します。
Exclusion Body Regex 省略可

指定された値に一致する本文を含むメールを除外する正規表現。

たとえば、正規表現 ([N|n]ewsletter)|([O|o]ut of office) は、メールの本文に Newsletter または Out of office のキーワードが含まれているすべてのメールを除外します。
Proxy Server Address Optional

使用するプロキシ サーバーのアドレス。
Proxy Username Optional

認証に使用するプロキシのユーザー名。
Proxy Password Optional

認証に使用するプロキシ パスワード。
Extract urls from HTML email part? 省略可

このオプションを選択すると、コネクタはメールの HTML 部分から URL を抽出します。このパラメータを使用すると、コネクタは複雑な URL を抽出できますが、メールのプレーン テキスト部分の URL は抽出できません。

抽出された URL は urls_from_html_part イベント フィールドで確認できます。

デフォルトでは選択されていません。

動的リストのルールを設定する

[動的リスト] セクションで、正規表現を使用してメールから特定の値を抽出するには、次の形式でルールを追加します。

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

たとえば、メールからメッセージ ID を抽出するには、次のルールを入力します。

message-id: (?<=Message-ID: ).*

コネクタルール

  • Exchange Mail Connector はプロキシをサポートしています。

  • Exchange Mail Connector は、ブロックリスト ルールをサポートしていません。

  • Exchange 統合では、動的リスト セクションを使用して正規表現を定義し、次のことを可能にします。

    • メールのコンテンツを解析します。
    • メールイベントに一致する正規表現に基づいて、特定のフィールドを追加します。

Exchange Mail Connector v2

Exchange Mail Connector v2 を使用してメールサーバーに接続し、特定のメールボックスに新しいメールがないか確認します。

新しいメールが表示されると、コネクタがトリガーされ、新しいメールの情報を含む新しいアラートが Google SecOps で作成されて取り込まれます。

新しいメールがない場合、Exchange Mail Connector v2 は現在のイテレーションを完了し、次のイテレーションの実行まで定義された期間待機します。

コネクタの反復フロー

実行のたびに、Exchange Mail Connector v2 は、前回の実行の日時でタイムスタンプ ファイルを更新します。Exchange Mail Connector v2 は、メールからケースの対応可能な情報をメール オブジェクトの技術的な結果として抽出します。たとえば、次のような情報です。

  • メールの送信者と受信者。
  • メールの件名。
  • メールの本文。
  • メール内の URL。
  • 添付ファイル(ある場合)。

Exchange Mail Connector v2 が Google SecOps に取り込むアラート(ケース)を作成すると、コネクタの反復処理が完了します。

Exchange Mail Connector v2 から提供されたケースデータに基づいて、Google SecOps サーバーは ETL 手順を実行して新しいアラートを取り込み、ケースを作成または更新します。関連するハンドブックが定義されている場合、Google SecOps はハンドブックを実行して、ケースを拡充し、分析情報を生成し、自動アクションを実行します。

アラート名テンプレートとケース名テンプレートを使用する

Alert Name Template パラメータと Case Name Template パラメータを使用すると、アラート名とケース名の作成方法をオーバーライドできます。最初の 1 つのアラートのみがケース名またはアラート名を設定し、後続の他のアラートは名前に影響しません。

Google SecOps イベントの例を次に示します。

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Google SecOps アラートのカスタム名を作成するには、次のテンプレートを使用します。

[EVENT_TYPE] - [EVENT_NAME]

たとえば、Phishing – Example Event という名前の Google SecOps アラートを作成する場合、テンプレートは次のようになります。

[Phishing] - [Example Event]

コネクタの入力

Exchange Mail Connector v2 では、次のパラメータがメール処理に影響する可能性があります。

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

処理されたメールの to フィールドと from フィールドをマッピングするために、コネクタは次のフィールドのセットを作成します。

  1. 次の形式のメールアドレスを含む通常の to フィールドと from フィールド: email@example

  2. to_raw フィールドと from_raw フィールド。値としてメールアドレスのみが email@example の形式で含まれています。

Exchange Mail Connector v2 には、次のパラメータが必要です。

パラメータ 説明
Product Field Name 必須

商品名が保存されるフィールドの名前。

デフォルト値は device_product です。
Event Field Name 必須

イベント名(サブタイプ)を特定するために使用されるフィールド名。

デフォルト値は event_name です。
Mail Server Address 必須

接続先のメールサーバーの IP アドレス。

Microsoft 365 に接続する場合は、サーバー アドレスを outlook.office365.com に設定します。
Verify SSL 省略可

選択すると、統合によって Exchange サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。

デフォルトでは選択されていません。
Mail Address 必須

モニタリングするメールボックスのメールアドレス。

デフォルト値は Inbox です。
Use Domain for Authentication 省略可

選択すると、ドメインは user@domain などの認証情報の一部として使用されます。

デフォルトで選択されます。
Domain 必須

認証に使用するドメイン値。
Username 必須

メールを pull するメールボックスのユーザー名(user@example.com など)。
Password 必須

メールを pull するメールのメールボックスのパスワード。
Unread Emails Only 省略可

選択すると、未読のメールからのみケースが作成されます。

デフォルトで選択されています。
Mark Emails as Read 省略可

選択すると、メールは取り込み後に既読としてマークされます。

デフォルトでは選択されていません。
Offset Time In Days 必須

最初のコネクタ イテレーションの前にメールを取得する日数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーションに 1 回だけ適用されます。

デフォルト値は 5 です。
Max Emails Per Cycle 必須

1 回のコネクタの反復処理で取得するメールの数。

デフォルト値は 10 です。
Environment Field Name 省略可

環境名が保存されるフィールドの名前。

環境フィールドが見つからない場合、環境は "" に設定されます。
Environment Regex Pattern 省略可

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は "" になります。
Headers to add to events Optional

イベントに追加するメール ヘッダーを指定するカンマ区切りの文字列。

値は完全一致として指定するか、正規表現として設定できます。
Email Exclude Pattern 省略可

特定のメールの取り込みを除外する正規表現。

このパラメータは、メールの件名と本文の両方で機能します。このパラメータを使用すると、ニュースなどの一斉送信メールを取り込みから除外できます。
PythonProcessTimeout 必須

現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 60 秒です。
Folder to check for emails 必須

メールを検索するメールフォルダ。このパラメータには、フォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

このパラメータでは大文字と小文字が区別されます。

デフォルト値は Inbox です。
Attach Original EML Optional

選択すると、インテグレーションによって元のメールが EML ファイルとしてケースに添付されます。

デフォルトでは選択されていません。
Fetch Backwards Time Interval (minutes) Optional

コネクタが、構成された期間のイベントを現在より前の分単位で取得するために使用する間隔。このパラメータ値は、コネクタの最後の反復処理のタイムスタンプです。

この値は、環境に応じて調整します(60 分以下など)。

デフォルト値は 0 です。
Proxy Server Address Optional

使用するプロキシ サーバーのアドレス。
Proxy Username Optional

認証に使用するプロキシのユーザー名。
Proxy Password Optional

認証に使用するプロキシ パスワード。
Extract urls from HTML email part? 省略可

このオプションを選択すると、コネクタはメールの HTML 部分から URL を抽出します。このパラメータを使用すると、コネクタは複雑な URL を抽出できますが、メールのプレーン テキスト部分の URL は抽出できません。

抽出された URL は urls_from_html_part イベント フィールドで確認できます。

デフォルトでは選択されていません。
Disable Overflow Optional

選択すると、コネクタはオーバーフロー メカニズムを無視します。

デフォルトでは選択されていません。
Original Received Mail Prefix Optional

監視対象メールボックスで受信した元のメールから抽出されたイベントキー(tofromsubject など)に追加するプレフィックス。

デフォルト値は orig です。
Attached Mail File Prefix Optional

監視対象のメールボックスでメール受信した添付ファイルから抽出されたイベントキー(tofromsubject など)に追加するプレフィックス。

デフォルト値は attach です。
Create a Separate Siemplify Alert per Attached Mail File? Optional

このオプションを選択すると、コネクタは複数のアラートを作成します。添付されたメールファイルごとに 1 つのアラートが作成されます。

このパラメータを選択すると、Google SecOps は複数の添付ファイルを含むメールを処理し、添付ファイルからエンティティを作成します。

デフォルトでは選択されていません。
Case Name Template Optional

カスタム ケース名。

このパラメータを構成すると、コネクタは custom_case_name という新しいキーを Google SecOps イベントに追加します。

プレースホルダは [name of the field] の形式で指定できます。

例: Phishing - [event_mailbox]

プレースホルダの場合、コネクタは最初の Google SecOps イベントを使用します。コネクタは、文字列値を含むキーのみを処理します。
Alert Name Template Optional

カスタム アラート名。

プレースホルダは [name of the field] の形式で指定できます。

例: Phishing - [event_mailbox]

プレースホルダの場合、コネクタは最初の Google SecOps イベントを使用します。文字列値を含むキーのみが処理されます。値を指定しない場合や、無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。
Email Padding Period (minutes) 省略可

コネクタが最新のタイムスタンプより前のメールを取得する期間。
URL Regex 必須

処理されたメールから URL を解析するために使用される正規表現コネクタ。

コネクタルール

  • Exchange Mail Connector v2 はプロキシをサポートしています。

  • Exchange Mail Connector v2 は、ブロックリスト ルールをサポートしていません。

  • Exchange 統合では、動的リスト セクションを使用して正規表現を定義し、次のことを可能にします。

    • メールのコンテンツを解析します。
    • 正規表現の一致に基づいて、特定のフィールドをメールイベントに追加します。

OAuth 認証を使用した Exchange Mail Connector v2

OAuth を使用した Exchange Mail Connector v2 を使用して、OAuth 認証を必要とする Microsoft 365 メールサーバー上の特定のメールボックスをモニタリングします。認証情報の取得アクションとトークンの生成アクションを使用して、コネクタ構成に必要な更新トークンを取得できます。

OAuth を使用した Exchange Mail Connector v2 を実行するには、OAuth 認証をサポートするようにインテグレーションを構成します。

アラート名テンプレートとケース名テンプレートを使用する

Alert Name Template パラメータと Case Name Template パラメータを使用すると、アラート名とケース名の作成方法をオーバーライドできます。

Google SecOps イベントの例を次に示します。

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Google SecOps アラートのカスタム名を作成するには、次のテンプレートを使用します。

[EVENT_TYPE] - [EVENT_NAME]

たとえば、Phishing – Example Event という名前の Google SecOps アラートを作成する場合、テンプレートは次のようになります。

[Phishing] - [Example Event]

コネクタの入力

OAuth を使用した Exchange メール コネクタ v2 では、次のパラメータがメール処理に影響する可能性があります。

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

処理されたメールの to フィールドと from フィールドをマッピングするために、コネクタは次の 2 つのフィールド セットを作成します。

  1. メールアドレスを含む通常の to フィールドと from フィールド(email@example など)。

  2. 値としてメールアドレスのみを含む to_raw フィールドと from_raw フィールド(email@example など)。

OAuth を使用した Exchange Mail Connector v2 には、次のパラメータが必要です。

パラメータ 説明
Product Field Name 必須

商品名が保存されるフィールドの名前。

デフォルト値は device_product です。
Event Field Name 必須

イベント名(サブタイプ)を特定するために使用されるフィールド名。

デフォルト値は event_name です。
Mail Server Address 必須

接続先のメールサーバーの IP アドレス。

Microsoft 365 に接続する場合は、サーバー アドレスを outlook.office365.com に設定します。
Mail Address 必須

コネクタに使用するメールアドレス。
Client ID 必須

Microsoft 365 OAuth 認証の場合、統合に使用した Microsoft Entra アプリケーションのアプリケーション(クライアント)ID。
Client Secret 必須

Microsoft 365 OAuth 認証の場合、認証フロー用に指定したクライアント シークレット。
Tenant (Directory) ID 必須

Microsoft 365 OAuth 認証の場合、統合に使用した Microsoft Entra アプリケーションのテナント(ディレクトリ)ID。
Refresh Token 必須

Microsoft 365 OAuth 認証の場合、トークンの生成後に取得した更新トークン。
Verify SSL 省略可

選択すると、統合によって Exchange サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。

デフォルトでは選択されていません。
Unread Emails Only 省略可

選択すると、インテグレーションは未読メールからのみケースを作成します。

デフォルトでは選択されていません。
Mark Emails as Read 省略可

選択すると、コネクタは取り込んだメールを既読としてマークします。

デフォルトでは選択されていません。
Offset Time In Days 必須

最初のコネクタ イテレーションの前にメールを取得する日数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーションに 1 回だけ適用されます。

デフォルト値は 5 日です。
Max Emails Per Cycle 必須

1 回のコネクタの反復処理で取得するメールの数。

デフォルト値は 10 件のメールです。
Environment Field Name 省略可

環境名が保存されるフィールドの名前。

環境フィールドが見つからない場合、環境は "" に設定されます。
Environment Regex Pattern 省略可

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は "" になります。
Headers to add to events Optional

イベントに追加するメール ヘッダーを指定するカンマ区切りの文字列。

値は完全一致として指定するか、正規表現として設定できます。
Email Exclude Pattern 省略可

特定のメールの取り込みを除外する正規表現。

このパラメータは、メールの件名と本文の両方で機能します。このパラメータを使用すると、ニュースなどの一斉送信メールを取り込みから除外できます。
PythonProcessTimeout 必須

現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 60 です。
Folder to check for emails 必須

メールを検索するメールフォルダ。このパラメータには、フォルダのカンマ区切りのリストを指定します。

Exchange 統合では、サブフォルダを指定する区切り文字としてバックスラッシュが使用されます(例: folder/subfolder1/subfolder2)。タイムアウト エラーやアクションの失敗を回避するには、フォルダ名またはサブフォルダ名のバックスラッシュをアンダースコアなどの他の文字に置き換えます。

このパラメータでは大文字と小文字が区別されます。

デフォルト値は Inbox です。
Attach Original EML Optional

選択すると、元のメールが EML ファイルとしてケースに添付されます。

デフォルトでは選択されていません。
Fetch Backwards Time Interval (minutes) Optional

コネクタが、構成された期間のイベントを現在より前の分単位で取得するために使用する間隔。このパラメータ値は、コネクタの最後の反復処理のタイムスタンプです。

この値は、環境に応じて調整します(60 分以下など)。

デフォルト値は 0 です。
Proxy Server Address Optional

使用するプロキシ サーバーのアドレス。
Proxy Username Optional

認証に使用するプロキシのユーザー名。
Proxy Password Optional

認証に使用するプロキシ パスワード。
Extract urls from HTML email part? 省略可

このオプションを選択すると、コネクタはメールの HTML 部分から URL を抽出します。このパラメータを使用すると、コネクタは複雑な URL を抽出できますが、メールのプレーン テキスト部分の URL は抽出できません。

抽出された URL は urls_from_html_part イベント フィールドで確認できます。

デフォルトでは選択されていません。
Disable Overflow Optional

選択すると、コネクタはオーバーフロー メカニズムを無視します。

デフォルトでは選択されていません。
Original Received Mail Prefix Optional

監視対象メールボックスで受信した元のメールから抽出されたイベントキー(tofromsubject など)に追加するプレフィックス。

デフォルト値は orig です。
Attached Mail File Prefix Optional

監視対象のメールボックスでメール受信した添付ファイルから抽出されたイベントキー(tofromsubject など)に追加するプレフィックス。

デフォルト値は attach です。
Create a Separate Siemplify Alert per Attached Mail File? Optional

このオプションを選択すると、コネクタは複数のアラートを作成します。添付されたメールファイルごとに 1 つのアラートが作成されます。

このパラメータを選択すると、Google SecOps は複数の添付ファイルを含むメールを処理し、添付ファイルからエンティティを作成します。

デフォルトでは選択されていません。
Case Name Template Optional

カスタム ケース名。

このパラメータを構成すると、コネクタは custom_case_name という新しいキーを Google SecOps イベントに追加します。

プレースホルダは [name of the field] の形式で指定できます。

例: Phishing - [event_mailbox]

プレースホルダの場合、コネクタは最初の Google SecOps イベントを使用します。コネクタは、文字列値を含むキーのみを処理します。
Alert Name Template Optional

カスタム アラート名を設定するパラメータ。

カスタム アラート名。

プレースホルダは [name of the field] の形式で指定できます。

例: Phishing - [event_mailbox]

プレースホルダの場合、コネクタは最初の Google SecOps イベントを使用します。文字列値を含むキーのみが処理されます。値を指定しない場合や、無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。
Email Padding Period (minutes) 省略可

コネクタが最新のタイムスタンプより前のメールを取得する期間。

ジョブ

Exchange インテグレーションのジョブを構成する前に、Google SecOps プラットフォームのバージョンでジョブがサポートされていることを確認してください。

更新トークン更新ジョブ

更新トークン更新ジョブの目的は、統合で使用される更新トークンを定期的に更新することです。

デフォルトでは、更新トークンは 90 日ごとに有効期限が切れます。更新トークンが最新の状態であることを確認するために、このジョブを 7 日または 14 日ごとに実行することをおすすめします。

ジョブ入力

更新トークン更新ジョブには、次のパラメータが必要です。

パラメータ 説明
Integration Environments 省略可

ジョブが更新トークンを更新する統合環境。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。個々の値は引用符(" ")で囲みます。
Connector Names 省略可

ジョブが更新トークンを更新するコネクタの名前。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。個々の値は引用符(" ")で囲みます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。