Exchange

통합 버전: 102.0

이 문서에서는 Exchange를 Google Security Operations SOAR와 통합하는 방법을 안내합니다.

이 통합은 오픈소스 구성요소를 하나 이상 사용합니다. Cloud Storage 버킷에서 이 통합의 전체 소스 코드의 압축된 사본을 다운로드할 수 있습니다.

Exchange Online 구성

Exchange Online 또는 Exchange Server용 통합을 구성하는지에 따라 사전 요구사항과 구성 단계가 다릅니다.

  • Exchange Online을 구성하려면 다음 섹션으로 이동하세요.

  • Exchange 서버를 구성하려면 Exchange 서버 구성을 참고하세요.

Exchange Online 통합은 추가 구성이 필요한 위임된 토큰을 사용한 OAuth 위임 인증만 지원합니다.

Azure 환경에서 권한을 변경하면 변경사항이 적용되는 데 최대 24시간이 걸릴 수 있습니다.

시작하기 전에

Exchange Online 통합을 구성하기 전에 인증 방법을 선택하고 모든 구성 단계를 완료해야 합니다. 다음 방법 중 하나를 선택합니다.

사용자 가장 권한 할당

이 방법을 사용하려면 Microsoft Entra ID에서 애플리케이션을 만들고 단일 사용자를 가장할 수 있는 권한을 할당해야 합니다.

Microsoft Entra 애플리케이션 만들기

가장 설정하려면 Microsoft Entra ID에 새 애플리케이션을 등록해야 합니다.

  1. Microsoft Azure에 로그인하고 Microsoft Entra ID > App registrations(앱 등록) > New registration(새 등록)으로 이동합니다.
  2. 앱 이름을 입력하고 지원되는 계정 유형을 선택합니다.
  3. 리디렉션 URI에 다음 값을 제공합니다.
    1. 플랫폼: Web
    2. 리디렉션 URL: http://localhost
  4. 등록을 클릭합니다.
  5. 애플리케이션 (클라이언트) ID디렉터리 (테넌트) ID 값을 저장합니다.

API 권한 구성

사용자 데이터에 액세스할 수 있는 필요한 권한을 애플리케이션에 부여해야 합니다.

  1. API 권한 > 권한 추가로 이동합니다.
  2. Microsoft Graph > 위임된 권한을 선택합니다.
  3. 권한 선택 섹션에서 EWS를 선택한 다음 Ews.AccessAsUser.All 권한을 선택합니다.
  4. 권한 추가 > 관리자 동의 허용을 클릭합니다.

클라이언트 보안 비밀번호 만들기

애플리케이션의 비밀번호로 사용할 클라이언트 보안 비밀번호를 만들어야 합니다.

  1. 인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.
  2. 설명을 입력하고 만료를 설정한 다음 추가를 클릭합니다.
  3. 보안 비밀 값을 저장합니다.

Exchange Online에서 권한을 할당합니다.

설정을 완료하려면 가장할 사용자에게 ApplicationImpersonation 역할을 할당해야 합니다.

  1. Exchange 관리자 센터에서 역할 > 관리자 역할로 이동하여 ApplicationImpersonation 역할이 포함된 역할 그룹 (예: 검색 관리)을 찾습니다.
  2. 가장하는 사용자를 해당 역할 그룹에 추가합니다.

액세스 권한 위임

이 방법을 사용하려면 Exchange Online PowerShell을 사용하여 서비스 계정에 사서함에 대한 직접 권한을 부여해야 합니다.

  1. Exchange Online PowerShell에 연결합니다.

  2. Add-MailboxPermission cmdlet을 사용하여 권한을 할당합니다.

    예를 들어 서비스 계정에 특정 메일함에 대한 전체 액세스 권한을 부여하려면 다음을 실행합니다.

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    자세한 내용은 Exchange Online의 애플리케이션에 대한 역할 기반 액세스 제어를 참고하세요.

Exchange Online을 Google SecOps와 통합

Google SecOps에서 통합을 설치하고 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

Exchange Online을 Google SecOps 플랫폼과 통합하려면 Google SecOps에서 다음 단계를 완료해야 합니다.

  1. 초기 매개변수를 구성하고 저장합니다.

  2. 갱신 토큰을 생성합니다.

    • Google SecOps에서 케이스를 시뮬레이션합니다.

    • 승인 받기 작업을 실행합니다.

    • 토큰 생성 작업을 실행합니다.

  3. 획득한 새로고침 토큰을 Refresh Token 매개변수 값으로 입력하고 구성을 저장합니다.

초기 매개변수 구성

Exchange Online 통합에는 다음 초기 매개변수가 필요합니다.

매개변수 설명
Mail Server Address 필수

연결할 메일 서버 주소 (호스트 이름 또는 IP 주소)입니다.
Mail address 필수

통합에서 메일함의 전송 및 수신 이메일을 처리하는 데 사용할 메일 주소입니다.
Client ID 필수

통합에 사용되는 Microsoft Entra 애플리케이션의 애플리케이션 (클라이언트) ID입니다.

Microsoft Entra 애플리케이션을 만들 때 저장한 애플리케이션(클라이언트) ID 값입니다.
Client Secret 필수

통합에 사용되는 Microsoft Entra 애플리케이션의 클라이언트 보안 비밀번호 값입니다.

이 값은 클라이언트 보안 비밀번호를 만들 때 저장한 클라이언트 보안 비밀번호 값입니다.
Tenant (Directory) ID 필수

통합에 사용되는 Microsoft Entra ID 애플리케이션의 디렉터리 (테넌트) ID입니다.

Microsoft Entra 애플리케이션을 만들 때 저장한 디렉터리(테넌트) ID 값입니다.
Redirect URL 필수

Microsoft Entra 애플리케이션에 구성된 리디렉션 URI입니다.

값을 기본값인 http://localhost로 유지합니다.

매개변수를 구성한 후 저장을 클릭합니다.

새로고침 토큰 생성

갱신 토큰을 생성하려면 기존 케이스에서 수동 작업을 실행해야 합니다. Google SecOps 인스턴스가 새로 만들어졌고 기존 케이스가 없는 경우 케이스를 시뮬레이션합니다.

케이스 시뮬레이션

Google SecOps에서 케이스를 시뮬레이션하려면 다음 단계를 따르세요.

  1. 왼쪽 탐색 메뉴에서 케이스를 선택합니다.

  2. 케이스 페이지에서 추가 > 케이스 시뮬레이션을 클릭합니다.

  3. 기본 케이스를 선택하고 만들기를 클릭합니다. 어떤 사례를 시뮬레이션하든 상관없습니다.

  4. 시뮬레이션을 클릭합니다.

    기본값이 아닌 환경이 있고 이를 사용하려면 올바른 환경을 선택하고 시뮬레이션을 클릭합니다.

  5. 케이스 탭에서 새로고침을 클릭합니다. 시뮬레이션한 케이스가 케이스 목록에 표시됩니다.

승인 가져오기 작업 실행

시뮬레이션한 Google SecOps 케이스를 사용하여 승인 받기 작업을 수동으로 실행합니다.

  1. Cases 탭에서 시뮬레이션된 케이스를 선택하여 케이스 보기를 엽니다.

  2. 수동 작업을 클릭합니다.

  3. 직접 조치 검색 필드에 Exchange를 입력합니다.

  4. Exchange 통합 아래의 검색 결과에서 인증 받기를 선택합니다. 이 작업은 Microsoft Entra 앱에 대화형으로 로그인하는 데 사용되는 승인 링크를 반환합니다.

  5. 실행을 클릭합니다.

  6. 작업이 실행된 후 시뮬레이션된 케이스의 케이스 월로 이동합니다. Exchange_Get Authorization 작업 레코드에서 View More를 클릭합니다. 승인 링크를 복사합니다.

  7. 시크릿 모드로 새 브라우저 창을 열고 생성된 승인 URL을 붙여넣습니다. Azure 로그인 페이지가 열립니다.

  8. 통합에 선택한 사용자 인증 정보로 로그인합니다. 로그인하면 브라우저가 주소 표시줄에 코드가 있는 주소로 리디렉션됩니다.

    앱이 http://localhost로 리디렉션되므로 브라우저에 오류가 표시될 것으로 예상됩니다.

  9. 주소 표시줄에서 액세스 코드가 포함된 전체 URL을 복사합니다.

토큰 생성 작업 실행

시뮬레이션한 Google SecOps 케이스를 사용하여 토큰 생성 작업을 수동으로 실행합니다.

  1. Cases 탭에서 시뮬레이션된 케이스를 선택하여 케이스 보기를 엽니다.

  2. 수동 작업을 클릭합니다.

  3. 직접 조치 검색 필드에 Exchange를 입력합니다.

  4. Exchange 통합 아래의 결과에서 토큰 생성을 선택합니다.

  5. Authorization URL 필드에 인증 가져오기 작업을 실행한 후 복사한 액세스 코드가 포함된 전체 URL을 붙여넣습니다.

  6. 실행을 클릭합니다.

  7. 작업이 실행된 후 시뮬레이션된 케이스의 케이스 월로 이동합니다. Exchange_Generate Token 작업 레코드에서 View More(더보기)을 클릭합니다.

  8. 생성된 갱신 토큰의 전체 값을 복사합니다.

새로고침 토큰 매개변수 구성

  1. Exchange 통합의 구성 대화상자로 이동합니다.

  2. 토큰 생성 작업을 실행할 때 획득한 새로고침 토큰 값을 새로고침 토큰 필드에 입력합니다.

  3. 저장을 클릭합니다.

  4. 테스트를 클릭하여 구성이 올바른지, 통합이 예상대로 작동하는지 테스트합니다.

필요한 경우 이후 단계에서 변경할 수 있습니다. 구성하면 인스턴스를 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.

Exchange 서버 구성

Exchange Server를 Google SecOps와 통합하기 전에 Exchange Server의 기본 인증을 설정합니다.

Exchange Server로 인증하려면 사용자 이름과 비밀번호를 사용하세요.

기본 인증 설정

기본 인증을 설정하려면 다음 단계를 완료하세요.

  1. Exchange Server (클러스터의 서버 중 하나)에 Google SecOps 서버에서 액세스할 수 있고 다음 요구사항을 충족하는지 확인합니다.

    • Exchange 서버 DNS 이름이 확인되고 있습니다.

    • Exchange 서버 IP 주소에 액세스할 수 있습니다.

    • Exchange Web Services (EWS)가 사용 설정되어 Google SecOps 서버에서 액세스할 수 있는 포트에서 호스팅됩니다.

    Google SecOps SOAR 서버에서 Exchange Server에 액세스할 수 없는 경우 Google SecOps 원격 에이전트를 사용하는 것이 좋습니다.

  2. 통합에 사용자 이름 (사용자 이메일 계정)과 비밀번호를 제공합니다. 통합에 사용할 사용자를 선택합니다.

  3. 위임된 권한 또는 가장된 권한을 사용하는 작업의 경우 다음 단계를 완료하세요.

    1. 통합에서 사용하는 이메일 계정에 필요한 메일함에 대한 위임 또는 가장된 액세스 권한을 부여합니다.

      명의 도용된 권한으로 액세스를 구성하는 것이 좋습니다. 자세한 내용은 Microsoft 제품 문서의 Exchange의 가장 및 EWS를 참고하세요.

    2. 다른 편지함에 액세스하려면 통합을 위해 구성된 사용자 (편지함)에게 다음 Exchange 역할을 할당합니다.

Exchange Server와 Google SecOps 통합

Google SecOps에서 통합을 설치하고 구성하는 방법은 통합 구성을 참고하세요.

통합 입력

Exchange Server 통합에는 다음 매개변수가 필요합니다.

매개변수 설명
Mail Server Address 필수

연결할 메일 서버 주소 (호스트 이름 또는 IP 주소)입니다.
Mail address 필수

통합에서 메일함의 전송 및 수신 이메일과 함께 작동하는 데 사용되는 메일 주소입니다.
Username 필수

메일 서버에서 인증할 사용자 이름입니다(예: exchange_onprem_test@exlab.local).
Password 필수

메일 서버에서 인증하는 데 사용할 비밀번호입니다.

작업

이 섹션에 나열된 작업은 다음 두 가지 카테고리로 분류됩니다.

  1. 일반적인 Exchange 통합 작업입니다.

  2. Exchange 발신자 및 도메인 차단 기능에 해당하는 작업입니다.

필수 권한

일반적인 작업을 실행하는 데 필요한 최소 권한은 다음 표를 참고하세요.

작업 필수 권한
메일 삭제

ApplicationImpersonation

Mailbox Search
첨부파일 다운로드

ApplicationImpersonation


Mailbox Search
메일 검색

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

발신자 및 도메인 차단 기능에서 작업을 실행하는 데 필요한 최소 권한은 다음 표를 참고하세요.

작업 필수 권한
Exchange-Siemplify 받은편지함 규칙에 발신자 추가 EDiscovery Group
Author
Exchange-Siemplify 받은편지함 규칙에 발신자 추가 EDiscovery Group
Author
Exchange-Siemplify 받은편지함 규칙 삭제 EDiscovery Group
Author
Exchange-Siemplify 받은편지함 규칙 나열 EDiscovery Group
Author
Exchange-Siemplify 받은편지함 규칙에서 도메인 삭제 EDiscovery Group
Author
Exchange-Siemplify 받은편지함 규칙에서 발신자 삭제 EDiscovery Group
Author

메일 삭제

메일 삭제 작업을 사용하여 검색 기준과 일치하는 이메일을 사서함에서 하나 또는 여러 개 삭제합니다.

이메일 삭제는 검색 기준과 일치하는 첫 번째 이메일 또는 일치하는 모든 이메일에 적용될 수 있습니다.

이 작업을 실행하는 데 필요한 권한은 이 문서의 작업 권한 섹션을 참고하세요.

사용자가 오프라인 상태인 경우 사용자가 다시 연결하고 편지함을 동기화할 때까지 Outlook 클라이언트에서 메시지가 삭제되지 않을 수 있습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

메일 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Folder Name 선택사항

이메일을 검색할 메일함 폴더입니다.

이 매개변수는 쉼표로 구분된 폴더 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.
Message IDs 선택사항

특정 이메일 ID가 있는 이메일을 검색하는 필터 조건입니다.

이 매개변수는 검색할 메시지 ID의 쉼표로 구분된 목록을 허용합니다.

메시지 ID를 제공하면 작업에서 Subject Filter, Sender Filter, Recipient Filter 매개변수를 무시합니다.
Subject Filter 선택사항

검색할 이메일 제목을 지정하는 필터 조건입니다.
Sender Filter 선택사항

요청된 이메일의 발신자를 지정하는 필터 조건입니다.
Recipient Filter 선택사항

요청된 이메일의 수신자를 지정하는 필터 조건입니다.
Delete All Matching Emails 선택사항

선택하면 기준과 일치하는 모든 이메일이 삭제됩니다. 선택하지 않으면 작업에서 첫 번째로 일치하는 이메일만 삭제합니다.

기본적으로 선택되지 않습니다.
Delete from all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함의 이메일을 삭제합니다.
How many mailboxes to process in a single batch 필수

단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수입니다.

Delete from all mailboxes 매개변수를 선택한 경우 작업이 일괄적으로 실행됩니다.

기본값은 25입니다.
Time Frame (minutes) 선택사항

이메일을 검색할 기간(분)입니다.

작업 출력

메일 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

메일 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
NUMBER_OF_EMAILS email(s) were deleted successfully. 작업이 완료되었습니다.
Error deleting emails.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 메일 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

첨부파일 다운로드

첨부파일 다운로드 작업을 사용하여 이메일의 첨부파일을 Google SecOps 서버의 특정 경로에 다운로드합니다. 이 작업은 다운로드된 첨부파일의 이름에 있는 백슬래시 또는 공백 문자를 밑줄 문자로 자동 대체합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

첨부파일 다운로드 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Folder Name 선택사항

이메일을 검색할 메일함 폴더입니다.

이 매개변수는 쉼표로 구분된 폴더 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.
Download Path 필수

이메일 첨부파일을 다운로드할 Google SecOps 서버의 경로입니다.
Message IDs 선택사항

특정 이메일 ID가 있는 이메일을 검색하는 필터 조건입니다.

이 매개변수는 검색할 메시지 ID의 쉼표로 구분된 목록을 허용합니다.

메시지 ID를 제공하면 작업에서 Subject Filter 매개변수를 무시합니다.
Subject Filter 선택사항

검색할 이메일 제목을 지정하는 필터 조건입니다.
Sender Filter 선택사항

검색할 이메일 발신자를 지정하는 필터 조건입니다.
Only Unread 선택사항

선택하면 작업에서 읽지 않은 이메일의 첨부파일만 다운로드합니다.

기본적으로 선택되지 않습니다.
Download Attachments from EML 선택사항

선택하면 첨부된 EML 파일에서 첨부파일을 다운로드합니다.

기본적으로 선택되지 않습니다.
Download Attachments to unique path? 선택사항

선택하면 작업에서 이전에 다운로드한 첨부파일을 덮어쓰지 않도록 Download Path 매개변수에 제공된 값 아래의 고유한 경로에 첨부파일을 다운로드합니다.

기본적으로 선택되지 않습니다.
Search in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에서 검색이 실행됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 필수

단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수입니다.

Search in all mailboxes 매개변수를 선택한 경우 작업이 일괄적으로 실행됩니다.

기본값은 25입니다.
Mailboxes 선택사항

검색을 실행할 사서함의 쉼표로 구분된 목록입니다.

이 매개변수는 Search in all mailboxes 매개변수보다 우선순위가 높습니다.

작업 출력

첨부파일 다운로드 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 첨부파일 다운로드 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
출력 메시지

첨부파일 다운로드 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS 작업이 완료되었습니다.
Failed to download email attachments, the error is: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 첨부파일 다운로드 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
file_paths 저장된 첨부파일의 쉼표로 구분된 전체 경로 문자열입니다.

EML 데이터 추출

EML 데이터 추출 작업을 사용하여 이메일 EML 첨부파일에서 데이터를 추출합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

EML 데이터 추출 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Folder Name 선택사항

이메일을 가져올 폴더입니다.

기본값은 Inbox입니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.
Message ID 필수

메시지 ID입니다(예: 1701cf01ba314032b2f1df43262a7723@example.com).
Regex Map JSON 선택사항

이메일 본문 부분과 일치하는 항목을 기반으로 이메일을 선택하는 정규 표현식입니다. 예를 들어 {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}입니다.

작업 출력

EML 데이터 추출 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 EML 데이터 추출 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
스크립트 결과

다음 표에는 EML 데이터 추출 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
eml_data EML_DATA

토큰 생성

토큰 생성 작업을 사용하여 OAuth 인증으로 통합 구성의 갱신 토큰을 가져옵니다. 승인 받기 작업에서 받은 승인 URL을 사용합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

토큰 생성 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Authorization URL 필수

갱신 토큰을 요청하기 위해 승인 가져오기 작업에서 수신된 승인 URL입니다.

작업 출력

토큰 생성 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Generate Token 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. 작업이 완료되었습니다.
Failed to get the refresh token! The Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 토큰 생성 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Get Account Out Of Facility Settings(시설 외부 계정 설정 가져오기)

Get Account Out Of Facility Settings 작업을 사용하여 제공된 Google SecOps User 엔티티의 계정 부재중 (OOF) 설정을 가져옵니다.

타겟 사용자 엔티티가 이메일이 아닌 사용자 이름인 경우 Active Directory 엔티티 보강 작업을 실행하여 Active Directory에 저장된 사용자 이메일에 관한 정보를 가져옵니다.

이 작업은 Google SecOps User 항목에서 실행됩니다.

작업 입력

없음

작업 출력

Get Account Out Of Facility Settings 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용 가능
항목 보강 테이블 사용 가능
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
케이스 월 테이블

Get Account Out Of Facility Settings 작업은 Google SecOps의 케이스 월에 다음 표를 반환합니다.

표 이름: Out of Facility Settings

표 열:

  • 매개변수
항목 보강

Get Account Out Of Facility Settings 작업은 다음 엔티티 강화를 지원합니다.

보강 필드 소스 (JSON 키) 논리
Exchange.oof_settings OofSettings 이 작업은 API 응답에 따라 사용 중지 또는 사용 설정 상태를 반환합니다.
JSON 결과

다음 예는 Get Account Out Of Facility Settings 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
출력 메시지

Get Account Out Of Facility Settings 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 작업이 완료되었습니다.
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

승인 가져오기

승인 가져오기 작업을 사용하여 OAuth 인증을 통해 통합 구성의 액세스 코드가 포함된 링크를 가져옵니다. 링크를 복사하여 토큰 생성 작업에서 사용하여 갱신 토큰을 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

인증 받기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용 가능
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능

Get Authorization 작업은 다음 링크를 반환합니다.

이름: 이 승인 링크로 이동

링크: AUTHORIZATION_LINK

출력 메시지

Get Authorization 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. 작업이 완료되었습니다.
Failed to generate authorization URL! The Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Get Authorization 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

메일 EML 파일 가져오기

Get Mail EML File 작업을 사용하여 메일 EML 파일을 가져옵니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

메일 EML 파일 가져오기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Folder Name 선택사항

이메일을 가져올 폴더입니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.
Message ID 필수

메시지 ID입니다(예: 1701cf01ba314032b2f1df43262a7723@example.com).
Base64 Encode 선택사항

선택하면 작업에서 메일 파일을 base64 형식으로 인코딩합니다.

기본적으로 선택되지 않습니다.

작업 출력

Get Mail EML File 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
스크립트 결과 사용 가능
스크립트 결과

다음 표에는 메일 EML 파일 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
eml_info EML_INFORMATION

메일을 폴더로 이동

Move Mail to Folder 작업을 사용하여 소스 이메일 폴더에서 사서함의 다른 폴더로 하나 이상의 이메일을 이동합니다.

사용 사례에 따라 작업은 JSON 결과에서 처리된 이메일에 관한 다양한 양의 정보를 반환합니다.

JSON 결과의 정보 양 제한 매개변수를 선택하면 JSON 결과에 다음 이메일 필드만 포함됩니다. datetime_received, message_id, sender, subject, to_recipients 그렇지 않으면 JSON 결과에는 처리된 이메일에 관한 모든 사용 가능한 정보가 포함됩니다.

작업 JSON 결과 사용 중지 매개변수를 선택하면 작업에서 JSON 결과를 전혀 반환하지 않습니다.

메일을 폴더로 이동 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

메일을 폴더로 이동 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Source Folder Name 필수

이메일을 이동할 소스 폴더입니다.
Destination Folder Name 필수

이메일을 이동할 대상 폴더입니다.
Subject Filter 선택사항

특정 제목으로 이메일을 검색하는 필터 조건입니다.
Message IDs 선택사항

특정 이메일 ID가 있는 이메일을 검색하는 필터 조건입니다.

이 매개변수는 검색할 메시지 ID의 쉼표로 구분된 목록도 허용합니다.

메시지 ID를 제공하면 작업에서 Subject Filter 매개변수를 무시합니다.
Only Unread 선택사항

읽지 않은 이메일만 검색하는 필터 조건입니다.

기본적으로 선택되지 않습니다.
Move In All Mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에서 이메일을 검색하고 이동합니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 필수

단일 배치(메일 서버에 대한 단일 연결)에서 처리할 메일함 수입니다.

Move In All Mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

기본값은 25입니다.
Time Frame (minutes) 선택사항

이메일을 검색할 기간(분)입니다.
Limit the Amount of Information Returned in the JSON Result 선택사항

선택하면 작업에서 주요 이메일 필드에 관한 정보만 반환합니다. 선택하지 않으면 작업에서 모든 이메일 필드에 관한 정보를 반환합니다.

기본적으로 선택되어 있습니다.
Disable the Action JSON Result 선택사항

선택하면 작업에서 JSON 결과를 반환하지 않습니다.

기본적으로 선택되지 않습니다.

작업 출력

메일을 폴더로 이동 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

메일을 폴더로 이동 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 작업이 완료되었습니다.
Error search emails: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 메일을 폴더로 이동 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Ping 작업을 사용하여 Microsoft Exchange 인스턴스에 대한 연결을 테스트합니다.

이 작업은 플레이북 흐름의 일부가 아닌 수동으로 실행할 수 있습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

해당 사항 없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Successfully connected to the Microsoft Exchange server with the provided connection parameters! 작업이 완료되었습니다.
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

메일 첨부파일을 케이스에 저장

Save Mail Attachments To The Case 작업을 사용하여 모니터링된 메일함에 저장된 이메일의 이메일 첨부파일을 Google SecOps의 케이스 월에 저장합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

Save Mail Attachments To The Case 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Folder Name 필수

이메일을 검색할 메일함 폴더입니다.

이 매개변수는 쉼표로 구분된 폴더 목록도 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.
Message IDs 필수

특정 이메일을 찾아 첨부파일을 다운로드할 메시지 ID입니다.
Attachment To Save 선택사항

이 매개변수를 구성하지 않으면 기본적으로 이메일 첨부파일이 모두 케이스 월에 저장됩니다. 그렇지 않으면 작업에서 케이스 월에 지정한 첨부파일만 저장합니다.

작업 출력

Save Mail Attachments To The Case 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Save Mail Attachments To The Case 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 작업이 완료되었습니다.
Failed to save the email attachments to the case, the error is: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Save Mail Attachments To The Case(이메일 첨부파일을 케이스에 저장) 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

메일 검색

메일 검색 작업을 사용하여 구성된 메일함에서 여러 검색 기준을 사용하여 특정 이메일을 검색합니다. 이 작업은 JSON 형식으로 사서함에서 발견된 이메일에 관한 정보를 반환합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

메일 검색 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Folder Name 선택사항

이메일을 검색할 메일함 폴더입니다.

이 매개변수는 쉼표로 구분된 폴더 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.
Subject Filter 선택사항

검색할 이메일 제목을 지정하는 필터 조건입니다.
Sender Filter 선택사항

요청된 이메일의 발신자를 지정하는 필터 조건입니다.
Recipient Filter 선택사항

요청된 이메일의 수신자를 지정하는 필터 조건입니다.
Time Frame (minutes) 선택사항

이메일을 검색할 기간(분)입니다.
Only Unread 선택사항

선택하면 작업에서 읽지 않은 이메일만 검색합니다.

기본적으로 선택되지 않습니다.
Max Emails To Return 선택사항

작업 결과에서 반환할 최대 이메일 수입니다.
Search in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에서 검색이 실행됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 필수

단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수입니다.

Search in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

기본값은 25입니다.
Start Time 선택사항

이메일 검색을 실행할 시작 시간입니다.

사용할 형식은 ISO 8601입니다. 이 매개변수는 Time Frame (minutes) 매개변수보다 우선순위가 높습니다.
End Time 선택사항

이메일 검색을 실행하는 종료 시간입니다.

사용할 형식은 ISO 8601입니다. 값을 설정하지 않고 Start Time 매개변수가 유효하면 작업에서 End Time 값을 현재 시간으로 설정합니다.
Mailboxes 선택사항

검색을 실행할 사서함의 쉼표로 구분된 목록입니다.

이 매개변수는 Search in all mailboxes 매개변수보다 우선 적용됩니다.
Message IDs 선택사항

검색할 메시지 ID의 쉼표로 구분된 목록입니다.

이 필터는 다른 필터 조건보다 우선순위가 높습니다.
Body Regex Filter 선택사항

이메일 본문에서 검색할 정규 표현식 패턴입니다.

작업 출력

메일 검색 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용 가능
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
케이스 월 테이블

이메일 검색 작업은 Google SecOps의 케이스 월에 다음 표를 반환합니다.

표 제목: 일치하는 메일

표 열:

  • Message_id
  • 수신일
  • 발신자
  • 수신자
  • 제목
  • 이메일 본문
  • 첨부파일 이름 (첨부파일 이름을 쉼표로 구분된 목록으로)

Search in all mailboxes 매개변수를 선택하면 이메일이 발견된 메일함을 나타내는 메일함에서 발견됨 열이 표에 추가됩니다.

JSON 결과

다음 예는 메일 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
출력 메시지

메일 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 작업이 완료되었습니다.

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 메일 검색 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
mails_json 사용할 수 없음

이메일 보내기 및 대기 - 지원 중단됨

이메일을 보내고 작업을 기다립니다. '보내기' 필드는 쉼표로 구분됩니다. 발신자의 표시 이름은 계정 설정의 클라이언트에서 구성할 수 있습니다.

작업 입력

매개변수 표시 이름 유형 기본값 필수 항목 설명
Subject 문자열 해당 사항 없음 이메일의 제목입니다.
받는 사람 문자열 user@example.com

받는 사람의 이메일 주소입니다.

여러 주소는 쉼표로 구분할 수 있습니다.
CC 문자열 user@example.com 아니요

참조 이메일 주소입니다.

여러 주소는 쉼표로 구분할 수 있습니다.
BCC 문자열 해당 사항 없음 아니요

숨은참조 이메일 주소입니다.

여러 주소는 쉼표로 구분할 수 있습니다.
메일 콘텐츠 문자열 해당 사항 없음 이메일 본문입니다.
응답 첨부파일 가져오기 체크박스 선택 해제 아니요 답장 메일에서 파일 첨부를 허용합니다.
답장을 확인할 폴더 문자열 받은편지함 아니요

이 매개변수를 사용하여 이 폴더에서 사용자 답장을 검색할 메일함 이메일 폴더 (질문이 포함된 이메일을 보내는 데 사용된 메일함)를 지정할 수 있습니다.

이 매개변수는 여러 폴더에서 사용자 응답을 확인하기 위해 쉼표로 구분된 폴더 목록도 허용합니다.

매개변수는 대소문자를 구분합니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
Mail_body 해당 사항 없음 해당 사항 없음
JSON 결과

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

메일 보내기

메일 보내기 작업을 사용하여 특정 메일함에서 수신자 목록으로 이메일을 보냅니다. 이 작업을 사용하여 사용자에게 다음 사항을 알릴 수 있습니다.

  • Google SecOps에서 생성된 특정 알림입니다.
  • 특정 알림 처리 결과입니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

메일 보내기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Subject 필수

이메일 제목입니다.
Send to 필수

이메일 수신자의 이메일 주소를 쉼표로 구분한 목록입니다(예: user1@example.com, user2@example.com).
CC 선택사항

이메일 참조 필드의 이메일 주소를 쉼표로 구분한 목록입니다(예: user1@example.com, user2@example.com).
BCC 선택사항

이메일 숨은참조 필드의 쉼표로 구분된 이메일 주소 목록입니다(예: user1@example.com, user2@example.com).
Attachments Paths 선택사항

서버에 저장된 파일 첨부파일의 경로를 쉼표로 구분한 목록입니다(예: C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg).
Mail content 필수

이메일 본문입니다.
Reply-To Recipients 선택사항

Reply-To 헤더에 사용되는 수신자의 쉼표로 구분된 목록입니다.

이 작업은 보낸사람 필드에 명시된 이메일 발신자 주소 대신 특정 이메일 주소로 이메일 회신을 전송하기 위해 회신 헤더를 추가합니다.
Base64 Encoded Certificate 선택사항

이메일을 암호화하는 데 사용되는 base64로 인코딩된 인증서입니다.

이메일을 암호화하려면 이 매개변수로 충분합니다. 이메일에 서명하려면 Base64 Encoded Signature 매개변수도 제공하세요.
Base64 Encoded Signature 선택사항

이메일에 서명하는 데 사용되는 base64 인코딩 인증서입니다.

서명이 작동하고 서명 인증서를 포함하려면 Base64 Encoded SignatureBase64 Encoded Certificate 매개변수를 모두 제공하세요.

작업 출력

메일 보내기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 메일 보내기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

작업은 메일 객체 JSON 기술 결과 외에도 메시지 ID와 이메일이 전송된 날짜를 반환합니다. 추가 데이터는 필요한 경우 메일 대기 작업에 사용됩니다.

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
출력 메시지

메일 보내기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Mail sent successfully. 작업이 완료되었습니다.
Failed to send email! The Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 메일 보내기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
Success_Inidicator 사용할 수 없음

Send Mail HTML

메일 HTML 보내기 작업을 사용하여 HTML 템플릿 콘텐츠가 포함된 이메일을 보냅니다. Send to 필드는 쉼표로 구분됩니다.

이메일 클라이언트의 계정 설정에서 발신자 이름을 구성할 수 있습니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

메일 HTML 보내기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Subject 필수

이메일 제목입니다.
Send to 필수

이메일 수신자의 이메일 주소를 쉼표로 구분한 목록입니다.
CC 선택사항

이메일 참조 필드의 이메일 주소를 쉼표로 구분한 목록입니다.
BCC 선택사항

이메일 숨은참조 필드의 이메일 주소를 쉼표로 구분한 목록입니다.
Attachments Paths 선택사항

서버에 저장된 파일 첨부파일의 경로를 쉼표로 구분한 목록입니다(예: C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg).
Mail content 필수

이메일 본문입니다.

작업 출력

메일 HTML 보내기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

대화목록 답장 보내기

Send Thread Reply(대화목록 답장 보내기) 작업을 사용하여 이메일 대화목록에 대한 답장으로 메시지를 보냅니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

Send Thread Reply 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Message ID 필수

답장을 보낼 메시지의 ID입니다.
Folder Name 필수

이메일을 검색할 사서함 폴더의 쉼표로 구분된 목록입니다.

예를 들어 Gmail/전체보관함을 설정하여 모든 Gmail 편지함 폴더에서 검색을 실행할 수 있습니다.

또한 폴더 이름은 IMAP 폴더와 일치해야 합니다.

폴더 이름에 공백이 포함된 경우 공백을 큰따옴표로 묶습니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.
Content 필수

답장의 콘텐츠입니다.
Attachment Paths 선택사항

서버에 저장된 파일 첨부파일의 쉼표로 구분된 경로 목록입니다.

Reply All 선택사항

선택하면 작업에서 원본 이메일과 관련된 모든 수신자에게 답장을 보내고 Reply To 매개변수를 무시합니다.

기본적으로 선택되어 있습니다.
Reply To 필수

답장을 보낼 이메일을 쉼표로 구분한 목록입니다.

값을 설정하지 않고 Reply All 매개변수를 선택하지 않으면 작업에서 이메일 발신자에게만 답장을 보냅니다.

Reply All 매개변수를 선택하면 작업에서 이 매개변수를 무시합니다.

작업 출력

Send Thread Reply 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Send Thread Reply 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. 작업이 완료되었습니다.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

작업이 실패했습니다.

Reply To 매개변수를 확인하여 내 주소에만 답장을 보냅니다.
Error executing action "Send Thread Reply". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Send Thread Reply(스레드 답장 보내기) 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

투표 메일 보내기

투표 메일 보내기 작업을 사용하여 사전 구성된 답변 옵션이 포함된 이메일을 자동화된 프로세스에서 Google SecOps UI에 액세스할 수 없는 사용자를 포함하여 보냅니다.

이 작업은 수신자가 Exchange를 사용하여 투표 옵션을 올바르게 보고 선택하는 경우에만 투표 기능을 지원합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

투표 메일 보내기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Subject 필수

이메일 제목입니다.
Send to 필수

이메일 수신자의 이메일 주소를 쉼표로 구분한 목록입니다(예: user1@example.com, user2@example.com).
CC 선택사항

이메일 참조 필드의 이메일 주소를 쉼표로 구분한 목록입니다(예: user1@example.com, user2@example.com).
BCC 선택사항

이메일 숨은참조 필드의 쉼표로 구분된 이메일 주소 목록입니다(예: user1@example.com, user2@example.com).
Attachments Paths 선택사항

서버에 저장된 파일 첨부파일의 경로를 쉼표로 구분한 목록입니다(예: C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg).
Question or Decision Description 필수

수신자에게 질문하거나 수신자가 응답해야 하는 결정입니다.
Structure of voting options 필수

수신자에게 전송할 투표 구조입니다.

가능한 값은 다음과 같습니다.

  • Yes/No
  • Approve/Reject

기본값은 Yes/No입니다.

작업 출력

투표 메일 보내기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 투표 메일 보내기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
출력 메시지

투표 메일 보내기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 작업이 완료되었습니다.
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 투표 메일 보내기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

사용자로부터 메일 대기

사용자로부터 메일 대기 작업을 사용하여 메일 보내기 작업으로 보낸 이메일을 기반으로 사용자 응답을 기다립니다.

이 작업은 비동기식으로 작동합니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

사용자로부터 메일 대기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Mail message_id 필수

이메일의 메시지 ID입니다.

Send Mail 작업을 사용하여 메시지를 전송하는 경우 SendEmail.JSONResult|message_id 필드를 자리표시자로 선택합니다.
Mail Date 필수

현재 작업이 대기 중인 전송된 이메일의 타임스탬프입니다.

메일 보내기 작업을 사용하여 메일을 보내는 경우 SendEmail.JSONResult|email_date 필드를 자리표시자로 선택합니다.
Mail Recipients 필수

현재 작업이 응답을 기다리는 이메일 수신자의 쉼표로 구분된 목록입니다.

메일 보내기 작업을 사용하여 메시지를 보내는 경우 SendEmail.JSONResult|to_recipients 필드를 자리표시자로 선택합니다.
How long to wait for recipient reply (minutes) 필수

작업이 시간 초과로 표시되기 전에 사용자 응답을 기다리는 기간입니다.

기본값은 1440분입니다.
Wait for All Recipients to Reply? 선택사항

선택하면 작업은 시간 제한에 도달하거나 첫 번째 응답이 진행될 때까지 모든 수신자의 응답을 기다립니다.

기본적으로 선택되어 있습니다.
Wait Stage Exclude pattern 선택사항

대기 단계에서 특정 답글을 제외하는 정규 표현식입니다.

이 매개변수는 이메일 본문과 함께 작동합니다.

예를 들어 자동 부재중 메시지를 수신자 답장으로 간주하지 않고 실제 사용자 답장을 기다리도록 작업을 구성할 수 있습니다.
Folder to Check for Reply 선택사항

사용자 답장을 검색할 메일함 이메일 폴더입니다. 이 작업은 질문이 포함된 이메일이 전송된 메일함에서 검색을 실행합니다.

이 매개변수는 쉼표로 구분된 폴더 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

이 매개변수는 대소문자를 구분합니다.

기본값은 Inbox입니다.
Fetch Response Attachments 선택사항

선택되고 수신자 답장에 첨부파일이 포함된 경우 이 작업은 답장을 가져와 작업 결과의 첨부파일로 추가합니다.

기본적으로 선택되지 않습니다.

작업 출력

사용자로부터 메일 대기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용 가능
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
스크립트 결과 사용 가능
케이스 월 연결

사용자로부터 메일 대기 작업은 Google SecOps의 케이스 월에 다음 첨부파일을 반환합니다.

첨부파일 필드 설명
title

수신자의 첨부파일 RECIPIENT_EMAIL 답장
filename

ATTACHMENT_NAME. EXTENSION
fileContent

ATTACHED_FILE_CONTENT

첨부파일 유형이 Entity인 경우 Google SecOps 서버에서 응답을 추적하는 message_id에 회신한 수신자에게 매핑됩니다.

JSON 결과

JSON 결과로 작업은 다음 두 출력의 조합을 반환합니다.

  1. 추적된 응답이 있는 이메일의 메일 객체 JSON 출력입니다.

    작업은 message_id을 사용하여 이메일 응답을 추적합니다.

  2. 사용자의 응답을 추적하는 프로세스의 JSON 출력입니다.

출력 데이터를 병합하는 방법은 구현 단계에서 정의됩니다.

메일 객체 JSON 출력의 흐름은 다음과 같습니다.

  1. 작업이 진행되려면 하나 이상의 사용자 응답을 기다립니다.

  2. 첫 번째 사용자의 응답을 받은 후 작업은 JSON 결과를 업데이트하고 작업 결과를 진행합니다.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

추적 응답 프로세스 출력의 흐름은 다음과 같습니다.

  1. 작업은 계속 진행하기 위해 모든 사용자 응답을 기다립니다.

  2. 사용자로부터 답장을 받거나 제한 시간에 도달하면 작업이 JSON 결과를 업데이트합니다.

    이 경우 작업이 모든 수신자의 응답을 기다리고 사용자 응답을 기다리는 동안 제한 시간에 도달하면 작업은 handled_timeout 오류를 반환합니다.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
출력 메시지

사용자로부터 메일 대기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 작업이 완료되었습니다.

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

투표 메일 결과 대기

투표 메일 결과 대기 작업을 사용하여 투표 메일 보내기 작업을 사용하여 보낸 투표 메일의 응답을 대기하고 검색합니다. Wait for Vote Mail Results 작업은 검색된 응답을 Google SecOps로 전달합니다.

투표 결과를 올바르게 추적하고 가져오려면 투표 이메일을 추적하세요. 자세한 내용은 Send Vote Mail 작업을 참고하세요.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

투표 메일 결과 대기 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Vote Mail message_id 필수

투표 이메일의 메시지 ID입니다.

Send Vote Mail 작업을 사용하여 메시지를 전송하는 경우 SendVoteMail.JSONResult|message_id 필드를 자리표시자로 선택합니다.
Mail Recipients 필수

현재 작업이 응답을 기다리는 수신자 이메일의 쉼표로 구분된 목록입니다.

SendVoteMail.JSONResult|to_recipients 필드를 자리표시자로 선택합니다.
Folder to Check for Reply 필수

사용자 답장을 검색할 편지함 폴더입니다. 이 작업은 질문이 포함된 이메일이 전송된 메일함에서 검색을 실행합니다.

이 매개변수는 쉼표로 구분된 폴더 목록도 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

이 매개변수는 대소문자를 구분합니다.

기본값은 Inbox입니다.
Folder to Check for Sent Mail 필수

보낸 메일을 검색할 메일함 폴더입니다. 이 작업은 질문이 포함된 이메일이 전송된 메일함에서 검색을 실행합니다.

이 매개변수는 쉼표로 구분된 폴더 목록도 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

이 매개변수는 대소문자를 구분합니다.

기본값은 Sent Items입니다.
How long to wait for recipient reply (minutes) 필수

작업이 시간 초과로 표시되기 전에 사용자 응답을 기다리는 기간입니다.

기본값은 1440분입니다.
Wait for All Recipients to Reply? 선택사항

선택하면 작업은 시간 제한에 도달하거나 첫 번째 응답이 진행될 때까지 모든 수신자의 응답을 기다립니다.

기본적으로 선택되어 있습니다.

작업 출력

투표 메일 결과 대기 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 투표 메일 결과 대기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
출력 메시지

투표 메일 결과 대기 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 작업이 완료되었습니다.

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 투표 메일 결과 대기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

발신자 및 도메인 차단 기능

이메일 관리 및 보안의 가장 일반적인 사용 사례 중 하나는 조직 받은편지함에 이미 있는 피싱 이메일과 같은 기존 위협을 차단한 다음 의심스러운 발신자 또는 도메인을 차단하여 향후 공격으로부터 조직을 보호하고 보안 침해를 방지하는 것입니다.

Google SecOps에서 Exchange 통합은 다음과 같은 순차적 단계로 구성된 발신자 및 도메인 차단 기능을 제공합니다.

  1. 조직 내 보호

    Mark as Junk EWS 서비스를 사용하여 발신자를 차단 목록에 추가하려면 Block Sender by Message ID 작업을 사용하세요.

  2. 받은편지함 규칙을 사용하여 조직 외부에서 보호

    클라이언트 수준에서 추가하고 유해한 이메일이 조직 메일함에 도달하지 않도록 자동으로 차단하는 받은편지함 규칙을 만드세요.

  3. 서버 받은편지함 규칙을 사용하여 조직 외부에서 보호

    의심스러운 이메일이 조직에 도달하지 못하도록 서버 받은편지함 규칙을 만듭니다.

다음 섹션에서 이러한 단계에 대해 자세히 알아보세요.

사용 사례

다음 사용 사례는 의심스럽고 잠재적으로 유해한 이메일인 보안 침해의 예를 보여줍니다.

의심스럽고 유해한 이메일로 인해 조직의 여러 메일함이 손상된 것을 발견한 후 이러한 유형의 위협을 처리하는 절차는 다음과 같습니다.

  1. 메일 ID로 발신자 차단 조치를 사용하여 위협을 해결합니다.
  2. 보안 침해된 편지함을 처리합니다.
  3. 다른 메일함에서도 수신된 의심스러운 이메일을 차단합니다.

위협 해결

위협을 해결하려면 메일 ID로 발신자 차단 작업을 실행하여 조사 매개변수와 의심스러운 이메일에 관한 자세한 정보를 확인하세요. 이 작업을 사용하면 보안이 침해된 메일함만 검사하고 포함된 위협을 처리할 수도 있습니다.

메일 ID로 발신자 차단 작업은 Exchange EWS 스팸으로 표시 서비스를 트리거하여 다음 작업을 실행합니다.

  1. 의심스러운 이메일을 정크 폴더로 이동합니다.
  2. 조사 중인 메일함의 차단된 발신자 목록에 이메일 발신자를 추가합니다.

스팸으로 표시 서비스 사용에 대한 자세한 내용은 Microsoft 제품 문서의 Exchange에서 EWS를 사용하여 차단된 발신자 목록에 이메일 주소 추가 및 삭제를 참고하세요.

한편, 메일 ID로 발신자 차단 조치를 사용하여 위협을 해결하면 손상된 메일함만 타겟팅할 수 있으며 자동으로 처리할 수 있습니다. 반면, 이 작업은 보안이 침해되지 않은 메일함에서 발신자를 차단하거나 API를 사용하여 도메인을 차단된 발신자 목록에 추가할 수 없습니다.

보안 침해된 편지함 처리

위협을 해결한 후 다음 단계는 손상된 메일함을 처리하고 조직의 모든 메일함을 악성 발신자(잠재적 발신자 포함)로부터 보호하는 것입니다.

도용된 메일함을 처리하려면 다음 작업으로 구성된 받은편지함 규칙 작업 집합을 실행하세요.

  1. Exchange-Siemplify 받은편지함 규칙에 도메인 추가
  2. Exchange-Siemplify 받은편지함 규칙에 발신자 추가
  3. Exchange-Siemplify 받은편지함 규칙 삭제
  4. List Exchange-Siemplify Inbox Rules
  5. Exchange-Siemplify 받은편지함 규칙에서 도메인 삭제
  6. Exchange-Siemplify Inbox Rules에서 발신자 삭제

작업에 사용되는 서비스에 대해 자세히 알아보려면 Microsoft 제품 문서의 Exchange에서 받은편지함 규칙 관리하기를 참고하세요.

Exchange 통합을 사용하면 가장 일반적인 작업에 대해 다음 사전 정의된 규칙 집합을 사용할 수 있습니다.

  • Siemplify – 발신자 목록 – 스팸으로 이동
  • Siemplify – 발신자 목록 – 삭제
  • Siemplify – 발신자 목록 – 영구 삭제
  • Siemplify – Domains List – Move To Junk(Siemplify – 도메인 목록 – 스팸으로 이동)
  • Siemplify – 도메인 목록 – 삭제
  • Siemplify – 도메인 목록 – 영구 삭제

악성 발신자 이메일 완전 삭제

모든 편지함에서 동일한 규칙 목록을 유지하려면 관리자 사용자의 규칙을 추가하세요. 관리자 규칙을 다른 사용자에게 적용하려면 모든 편지함에서 작업을 실행하세요.

악성 발신자 이메일을 영구적으로 삭제하려면 다음 단계를 완료하세요.

  1. Google SecOps에서 관리자 계정으로 Add Senders to Exchange-Siemplify Inbox Rule 작업을 실행합니다. 악성 발신자 이메일을 입력합니다.

  2. 목록에서 적절한 규칙을 선택하여 의심스러운 이메일을 관리하는 방법을 정의합니다. 악성 이메일을 영구 삭제하려면 Siemplify – Senders List – Permanently Delete 규칙을 선택합니다.

    이 작업은 새로운 악성 발신자로 받은 편지함 규칙을 업데이트합니다.

  3. 모든 메일함에 규칙을 적용하려면 Perform action in all mailboxes 매개변수를 선택합니다.

    사서함에 규칙이 없으면 작업에서 규칙을 만듭니다. 규칙이 이미 사서함에 있는 경우 작업은 새 매개변수 값으로 규칙을 업데이트합니다.

  4. 다른 메일함에서 수신된 의심스러운 이메일을 차단하고 악성 발신자 도메인을 차단하려면 Should add senders' domain to the corresponding Domains List rule as well? 매개변수를 선택합니다.

  5. 작업의 다른 매개변수를 검토하고 필요한 경우 조정합니다.

Add Senders to Exchange-Siemplify Inbox Rule 작업은 Mailboxes to process in one batch 매개변수에 따라 한 번에 여러 규칙을 업데이트합니다. Add Senders to Exchange-Siemplify Inbox Rule(발신자를 Exchange-Siemplify 받은편지함 규칙에 추가) 작업은 발신자와 도메인 모두에 적용되며, 수신된 이메일이 의심스러운지 여부와 관계없이 모든 메일함에 적용될 수 있으며 자동화될 수 있습니다.

최종 사용자는 사서함에 적용된 규칙을 삭제할 수 있습니다. 다른 메일함에 관리자 규칙을 적용하면 사용 중지된 비공개 받은편지함 규칙이 자동으로 삭제됩니다.

발신자 및 도메인 차단 작업

발신자 및 도메인 차단 기능을 위한 작업을 실행하기 전에 최소 필수 권한을 구성하세요.

Exchange-Siemplify 받은편지함 규칙에 도메인 추가

Exchange-Siemplify 받은편지함 규칙에 도메인 추가 작업을 사용하여 도메인 목록을 매개변수로 가져오거나 매개변수가 비어 있는 경우 Google SecOps 도메인 항목을 사용합니다. 이 작업은 Google SecOps 버전 5.6 이상에서만 사용할 수 있습니다.

이 작업을 실행하기 전에 필요한 작업 권한을 구성하세요.

메일함에서 도메인을 필터링하여 규칙을 만들거나 업데이트할 수 있습니다. Rule to add Domains to 매개변수를 사용하여 이 작업을 수정할 수 있습니다.

Exchange-Siemplify 받은편지함 규칙에 도메인 추가 작업은 EWS를 사용하는 사용자의 현재 받은편지함 규칙을 수정합니다.

이 작업은 비동기식으로 실행됩니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

매개변수를 설정하지 않고 Google SecOps 버전이 5.6 이상인 경우 이 작업은 도메인 항목에서 실행됩니다.

작업 입력

Exchange-Siemplify 받은편지함 규칙에 도메인 추가 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Domains 선택사항

규칙에 추가할 도메인의 쉼표로 구분된 목록입니다.
Rule to add Domains to 필수

도메인을 추가할 규칙입니다.

규칙이 없으면 작업에서 규칙을 만듭니다.

가능한 값은 다음과 같습니다.

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

기본값은 Siemplify - Domains List - Move To Junk입니다.

Perform action in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에 작업이 적용됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 50개입니다.

작업 출력

Add Domains to Exchange-Siemplify Inbox Rules 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Exchange-Siemplify 받은편지함 규칙에 도메인 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 작업이 완료되었습니다.

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Exchange-Siemplify 받은편지함 규칙에 도메인 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Exchange-Siemplify 받은편지함 규칙에 발신자 추가

Add Senders to Exchange-Siemplify Inbox Rule 작업을 사용하여 이메일 주소 목록을 가져오거나 매개변수가 비어 있는 경우 Google SecOps User 항목을 사용합니다. 이 작업에 정규 표현식을 사용할 수 있습니다.

메일함에서 발신자를 필터링하여 새 규칙을 만들 수 있습니다. Rule to add senders to 매개변수를 사용하여 이 작업을 수정할 수 있습니다.

이 작업을 실행하기 전에 필요한 작업 권한을 구성해야 합니다.

Add Senders to Exchange-Siemplify Inbox Rule 작업은 EWS를 사용하여 사용자의 현재 받은편지함 규칙을 수정합니다.

이 작업은 비동기식으로 실행됩니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

이메일 정규 표현식이 유효하고 매개변수를 구성하지 않으면 이 작업은 User 엔티티에서 실행됩니다.

작업 입력

Add Senders to Exchange-Siemplify Inbox Rule 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Senders 선택사항

규칙에 추가할 이메일 주소를 쉼표로 구분한 목록입니다.

값을 설정하지 않으면 작업이 사용자 항목과 함께 작동합니다.
Rule to add senders to 필수

발신자를 추가할 규칙입니다.

규칙이 없으면 작업에서 규칙을 만듭니다.

가능한 값은 다음과 같습니다.

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

기본값은 Siemplify - Senders List - Move To Junk입니다.

Should add senders' domain to the corresponding Domains List rule as well? 선택사항

선택하면 작업에서 제공된 이메일 주소의 도메인을 해당 도메인 규칙에 자동으로 추가합니다.

기본적으로 선택되지 않습니다.
Perform action in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에 작업이 적용됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 50개입니다.

작업 출력

Add Senders to Exchange-Siemplify Inbox Rule(Exchange-Siemplify 받은편지함 규칙에 발신자 추가) 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Add Senders to Exchange-Siemplify Inbox Rule 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 작업이 완료되었습니다.

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Add Senders to Exchange-Siemplify Inbox Rule 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

메시지 ID로 발신자 차단

메시지 ID로 발신자 차단 작업을 사용하여 메시지 ID 목록을 매개변수로 가져오고 목록을 스팸으로 표시합니다.

이 작업에서 항목을 스팸으로 표시하면 이메일 발신자 주소가 차단된 발신자 목록에 추가되고 항목이 스팸 폴더로 이동합니다.

이 작업은 비동기식으로 실행됩니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

메일 ID로 보낸 사람 차단 작업은 Exchange Server 버전 2013 이상만 지원합니다. 이전 버전을 사용하는 경우 해당 메시지와 함께 작업이 실패합니다.

의심스러운 이메일 주소를 차단된 발신자 목록에 추가하거나 목록에서 삭제하려면 먼저 해당 이메일 주소에서 보낸 메일이 사용자 사서함에 있어야 합니다.

메시지 ID로 발신자 차단 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

메일 ID로 발신자 차단 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Move item to Junk folder? 필수

선택하면 지정된 메일이 스팸 폴더로 이동됩니다.

기본적으로 선택되어 있습니다.
Message IDs 선택사항

특정 이메일 ID가 있는 이메일을 찾는 필터 조건입니다.

이 매개변수는 스팸으로 표시할 메시지 ID의 쉼표로 구분된 목록을 허용합니다.

메시지 ID를 제공하면 작업에서 Subject Filter, Sender Filter, Recipient Filter 매개변수를 무시합니다.
Mailboxes list to perform on 선택사항

더 나은 타이밍을 위해 특정 메일함 목록에서 작업을 실행하는 필터 조건입니다.

여러 이메일 주소의 메일을 스팸으로 표시하려면 이메일 주소를 쉼표로 구분하여 입력합니다.

메일함 목록을 제공하면 작업에서 Perform Action in all Mailboxes 매개변수를 무시합니다.
Folder Name 선택사항

이메일을 검색할 메일함 폴더입니다.

이 매개변수는 쉼표로 구분된 폴더 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

기본값은 Inbox입니다.
Subject Filter 선택사항

검색할 이메일 제목을 지정하는 필터 조건입니다.
Sender Filter 선택사항

요청된 이메일의 발신자를 지정하는 필터 조건입니다.
Recipient Filter 선택사항

요청된 이메일의 수신자를 지정하는 필터 조건입니다.
Mark All Matching Emails 선택사항

선택하면 작업에서 기준과 일치하는 사서함의 모든 이메일을 표시합니다. 선택하지 않으면 작업에서 일치하는 첫 번째 이메일만 표시합니다.

기본적으로 선택되지 않습니다.
Perform action in all mailboxes 선택사항

선택하면 작업이 스팸으로 이동하고 현재 가장 설정으로 액세스할 수 있는 모든 메일함에서 발신자 이메일이 차단됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 25입니다.
Time Frame (minutes) 선택사항

이메일을 검색할 기간(분)입니다.

작업 출력

메일 ID로 발신자 차단 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

메일 ID로 발신자 차단 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 작업이 완료되었습니다.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

작업이 실패했습니다.

사용 중인 Exchange Server 버전이 지원되지 않습니다.
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 메시지 ID로 발신자 차단 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Exchange-Siemplify 받은편지함 규칙 삭제

Delete Exchange-Siemplify Inbox Rules 작업을 사용하여 규칙 이름을 매개변수로 가져와 지정된 모든 메일함에서 삭제합니다.

이 작업을 실행하기 전에 필요한 작업 권한을 구성합니다.

Exchange-Siemplify 받은편지함 규칙 삭제 작업은 EWS를 사용하는 사용자의 현재 받은편지함 규칙을 수정합니다.

이 작업은 비동기식으로 실행됩니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

Delete Exchange-Siemplify Inbox Rules 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Rule Name To Delete 필수

관련 사서함에서 완전히 삭제할 규칙 이름입니다.

가능한 값은 다음과 같습니다.

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에 작업이 적용됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 50개입니다.

작업 출력

Delete Exchange-Siemplify Inbox Rules 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Delete Exchange-Siemplify Inbox Rules 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 작업이 완료되었습니다.
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Exchange-Siemplify 받은편지함 규칙 삭제 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Exchange-Siemplify 받은편지함 규칙 나열

List Exchange-Siemplify Inbox Rules 작업을 사용하여 Exchange-Siemplify Inbox 규칙에서 규칙 이름을 매개변수로 가져와 나열합니다. 나열할 메일함이 없으면 이 작업은 로그인한 사용자의 규칙을 나열합니다.

이 작업을 실행하기 전에 필요한 작업 권한을 구성합니다.

List Exchange-Siemplify Inbox Rules 작업은 EWS를 사용하는 사용자의 현재 받은편지함 규칙을 수정합니다.

이 작업은 비동기식으로 실행됩니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

List Exchange-Siemplify Inbox Rules 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Rule Name To List 필수

관련 메일함에서 나열할 규칙 이름입니다.

가능한 값은 다음과 같습니다.

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on 선택사항

더 나은 타이밍을 위해 작업을 실행할 메일함 목록을 지정하는 필터 조건입니다.

이 매개변수는 메일을 스팸으로 표시 해제할 메일 주소의 쉼표로 구분된 목록을 허용합니다.

메일함 목록이 제공되면 작업에서 Perform action in all mailboxes 매개변수를 무시합니다.
Perform action in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에 작업이 적용됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 50개입니다.

작업 출력

List Exchange-Siemplify Inbox Rules 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 Exchange-Siemplify Inbox Rules 나열 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
출력 메시지

List Exchange-Siemplify Inbox Rules 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 작업이 완료되었습니다.
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 List Exchange-Siemplify Inbox Rules 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Exchange-Siemplify 받은편지함 규칙에서 도메인 삭제

Remove Domains from Exchange-Siemplify Inbox Rules를 사용하여 도메인 목록을 매개변수로 가져오거나 매개변수가 제공되지 않은 경우 Domain 항목에서 작업합니다. 이 작업은 Google SecOps 버전 5.6 이상에서만 사용할 수 있습니다. 기존 규칙에서 제공된 도메인을 삭제할 수 있습니다.

이 작업을 실행하기 전에 필요한 작업 권한을 구성합니다.

Exchange-Siemplify 받은편지함 규칙에서 도메인 삭제 작업은 EWS를 사용하는 사용자의 현재 받은편지함 규칙을 수정합니다.

이 작업은 비동기식으로 실행됩니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

매개변수를 구성하지 않으면 이 작업이 Google SecOps 도메인 엔티티에서 실행됩니다.

작업 입력

Exchange-Siemplify 받은편지함 규칙에서 도메인 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Domains 선택사항

규칙에서 삭제할 도메인의 쉼표로 구분된 목록입니다.

값을 설정하지 않으면 작업이 항목과 함께 작동합니다.
Rule to remove Domains from 필수

도메인을 삭제할 규칙입니다.

규칙을 설정하지 않으면 작업이 실패합니다.

가능한 값은 다음과 같습니다.

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

기본값은 Siemplify – Domains List – Move To Junk입니다.

Remove Domains from all available Rules 선택사항

선택하면 작업에서 모든 Google SecOps 받은편지함 규칙에서 제공된 도메인을 검색합니다.

기본적으로 선택되지 않습니다.
Mailboxes list to perform on 선택사항

더 나은 타이밍을 위해 작업을 실행할 메일함 목록을 지정하는 필터 조건입니다.

이 매개변수는 메일을 스팸으로 표시 해제할 메일 주소의 쉼표로 구분된 목록을 허용합니다.

메일함 목록을 제공하면 작업에서 Perform action in all mailboxes 매개변수를 무시합니다.
Perform action in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에 작업이 적용됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 50개입니다.

작업 출력

Exchange-Siemplify 받은편지함 규칙에서 도메인 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Remove Domains from Exchange-Siemplify Inbox Rules 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 작업이 완료되었습니다.

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Exchange-Siemplify Inbox Rules에서 도메인 삭제 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Exchange-Siemplify 받은편지함 규칙에서 발신자 삭제

Remove Senders from Exchange-Siemplify Inbox Rules를 사용하여 이메일 발신자 목록을 매개변수로 가져오거나 매개변수가 제공되지 않은 경우 User 엔티티를 사용합니다.

기존 규칙에서 제공된 발신자를 삭제할 수 있습니다.

이 작업을 실행하기 전에 필요한 작업 권한을 구성합니다.

Exchange-Siemplify 받은편지함 규칙에서 발신자 삭제 작업은 EWS를 사용하는 사용자의 현재 받은편지함 규칙을 수정합니다.

이 작업은 비동기식으로 실행됩니다. 필요에 따라 작업의 Google SecOps IDE에서 스크립트 제한 시간 값을 조정합니다.

매개변수가 제공되지 않으면 이 작업은 Google SecOps 사용자 항목에서 실행됩니다.

작업 입력

Exchange-Siemplify 받은편지함 규칙에서 발신자 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Senders 선택사항

규칙에서 삭제할 이메일 주소를 쉼표로 구분한 목록입니다.

값을 설정하지 않으면 작업이 사용자 항목과 함께 작동합니다.
Rule to remove senders from 필수

발신자를 삭제할 규칙입니다.

규칙을 설정하지 않으면 작업이 실패합니다.

가능한 값은 다음과 같습니다.

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

기본값은 Siemplify – Senders List – Move To Junk입니다.
Remove senders from all available rules 선택사항

선택하면 작업에서 제공된 발신자를 모든 Google SecOps 받은편지함 규칙에서 검색합니다.

기본적으로 선택되지 않습니다.
Should remove senders' domain from the corresponding Domains List rule as well? 선택사항

선택하면 작업에서 제공된 이메일 주소의 도메인을 해당 도메인 규칙에서 자동으로 삭제합니다.

기본적으로 선택되지 않습니다.
Perform action in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에 작업이 적용됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 50개입니다.

작업 출력

Exchange-Siemplify 받은편지함 규칙에서 발신자 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Exchange-Siemplify 받은편지함 규칙에서 발신자 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 작업이 완료되었습니다.

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Exchange-Siemplify 받은편지함 규칙에서 발신자 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

메시지 ID로 발신자 차단 해제

메일 ID로 보낸 사람 차단 해제 작업을 사용하여 메일 ID 목록을 매개변수로 가져오고 스팸으로 표시를 해제합니다.

이 작업에서 항목을 스팸으로 표시 해제하면 발신자 이메일 주소가 차단된 발신자 목록에서 삭제됩니다. 항목을 받은편지함 폴더로 다시 이동하려면 작업 매개변수에서 Move items back to Inbox? 매개변수를 선택합니다.

메일 ID로 발신자 차단 해제는 비동기적으로 실행됩니다. 필요에 따라 Google SecOps IDE에서 작업의 스크립트 제한 시간 값을 조정합니다.

이 작업은 Exchange Server 버전 2013 이상만 지원합니다. 이전 버전을 사용하는 경우 해당 메시지와 함께 작업이 실패합니다.

의심스러운 이메일 주소에서 보낸 메일이 사용자 편지함에 있어야 이메일 주소를 차단된 발신자 목록에 추가하거나 목록에서 삭제할 수 있습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

메시지 ID로 발신자 차단 해제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Move items back to Inbox? 필수

선택하면 지정된 메시지가 받은편지함 폴더로 다시 이동됩니다.

기본적으로 선택되어 있습니다.
Message IDs 선택사항

특정 이메일 ID가 있는 이메일의 표시를 해제하는 필터 조건입니다.

이 파라미터는 이메일을 스팸으로 표시 해제할 메시지 ID의 쉼표로 구분된 목록도 허용합니다.

메시지 ID를 제공하면 작업에서 Subject Filter, Sender Filter, Recipient Filter 매개변수를 무시합니다.
Mailboxes list to perform on 선택사항

더 나은 타이밍을 위해 특정 메일함 목록에서 작업을 실행하는 필터 조건입니다.

여러 이메일 주소의 메일을 스팸으로 표시하려면 이메일 주소를 쉼표로 구분하여 입력합니다.

메일함 목록을 제공하면 작업에서 Perform action in all mailboxes 매개변수를 무시합니다.
Folder Name 선택사항

이메일을 검색할 메일함 폴더입니다.

이 매개변수는 항목을 이동할 폴더의 쉼표로 구분된 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

기본값은 Junk Email입니다.
Subject Filter 선택사항

검색할 이메일 제목을 지정하는 필터 조건입니다.
Sender Filter 선택사항

요청된 이메일의 발신자를 지정하는 필터 조건입니다.
Recipient Filter 선택사항

요청된 이메일의 수신자를 지정하는 필터 조건입니다.
Unmark All Matching Emails 선택사항

선택하면 기준과 일치하는 메일함의 모든 이메일이 선택 해제됩니다. 선택하지 않으면 작업에서 일치하는 첫 번째 이메일만 표시 해제합니다.

기본적으로 선택되지 않습니다.
Perform action in all mailboxes 선택사항

선택하면 현재 가장 설정으로 액세스할 수 있는 모든 메일함에 작업이 적용됩니다.

기본적으로 선택되지 않습니다.
How many mailboxes to process in a single batch 선택사항

Perform action in all mailboxes 매개변수를 선택하면 작업이 일괄적으로 실행됩니다.

이 매개변수는 단일 배치 (메일 서버에 대한 단일 연결)에서 처리할 메일함 수를 정의합니다.

기본값은 25입니다.
Time Frame (minutes) 선택사항

이메일을 검색할 기간(분)입니다.

작업 출력

메일 ID로 발신자 차단 해제 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

메일 ID로 발신자 차단 해제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

작업이 완료되었습니다.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

작업이 실패했습니다.

사용 중인 Exchange Server 버전이 지원되지 않습니다.
Error performing action: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 메일 ID로 발신자 차단 해제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집(커넥터)을 참고하세요.

커넥터와 작업을 구성할 때 사용자 인증 정보의 공백과 특수 기호에 유의하세요. 통합에서 사용자 인증 정보를 거부하는 경우 철자를 확인하세요.

선택한 커넥터를 구성하려면 다음 표에 나열된 커넥터별 매개변수를 사용하세요.

Exchange EML 커넥터

Exchange EML 커넥터는 Exchange 서버에서 이메일을 가져와 파싱합니다. 첨부된 EML 파일이 있으면 커넥터가 이를 케이스에 이벤트로 첨부합니다. 이메일에 EML 첨부파일이 여러 개 있는 경우 커넥터는 케이스를 여러 개 만들고 각 케이스에 대해 모든 첨부파일을 하나의 이벤트로 인그레션합니다.

알려진 제한사항

  1. Microsoft 365 및 기본 인증

    • Exchange EML 커넥터는 더 이상 기본 인증을 지원하지 않으며 Microsoft 365와 함께 사용할 수 없습니다. Microsoft 365의 경우 OAuth를 사용하는 Exchange Mail Connector v2를 사용합니다.

  2. Exchange EML 커넥터 관련 세부정보는 다음과 같습니다.

    • 커넥터는 EML 또는 MSG 파일 첨부파일이 포함된 이메일에서만 Google SecOps 알림을 생성합니다.

    • 커넥터는 메일 첨부파일이 포함되지 않은 이메일을 무시합니다.

커넥터 입력

Exchange EML 커넥터에는 다음 매개변수가 필요합니다.

매개변수 설명
Product Field Name 필수

제품 이름이 저장된 필드의 이름입니다.

기본값은 device_product입니다.
EventClassId 필수

이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다.

기본값은 event_name입니다.
Server IP 필수

연결할 서버의 IP 주소입니다.
Domain 필수

인증에 사용할 도메인 값입니다.
Username 필수

이메일을 가져올 편지함의 사용자 이름입니다(예: user@example.com).
Password 필수

이메일을 가져올 이메일 편지함의 비밀번호입니다.

Mail Address 필수

모니터링할 메일함의 이메일 주소입니다.

기본값은 Inbox입니다.
Verify SSL 선택사항

선택하면 통합에서 Exchange 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되지 않습니다.
Use Domain for Authentication 선택사항

선택하면 통합에서 user@domain과 같은 인증 사용자 인증 정보의 일부로 도메인을 사용합니다.

기본적으로 선택되어 있습니다.
Unread Emails Only 선택사항

이 옵션을 선택하면 읽지 않은 이메일에서만 케이스가 생성됩니다.

기본적으로 선택되지 않습니다.
Mark Emails as Read 선택사항

선택하면 이메일이 수집된 후 읽음으로 표시됩니다.

기본적으로 선택되지 않습니다.
Max Days Backwards 선택사항

첫 번째 커넥터 반복 전에 이메일을 가져올 일수입니다. 이 파라미터는 커넥터를 처음 사용 설정한 후 초기 커넥터 반복에 한 번만 적용됩니다.
PythonProcessTimeout 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.

기본값은 30초입니다.
Folder Name 선택사항

검색할 폴더 이름입니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

기본값은 Inbox입니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.

환경 필드를 찾을 수 없는 경우 환경은 ""로 설정됩니다.

Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
Encode Data as UTF-8 선택사항

선택하면 통합에서 이메일 데이터를 UTF-8로 인코딩합니다. 이 매개변수를 선택하는 것이 좋습니다.

기본적으로 선택되어 있습니다.
Attach EML or MSG File to the Case Wall 선택사항

선택하면 통합에서 전달된 EML 또는 MSG 파일을 Google SecOps의 케이스 월에 첨부합니다.

기본적으로 선택되지 않습니다.
Exclusion Body Regex 선택사항

본문이 제공된 값과 일치하는 이메일을 제외하는 정규 표현식입니다.

예를 들어 '([N|n]ewsletter)|([O|o]ut of office)' 정규 표현식은 뉴스레터 또는 부재중 키워드가 포함된 모든 이메일을 제외합니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.
Extract urls from HTML email part? 선택사항

선택하면 커넥터가 이메일의 HTML 부분에서 URL을 추출하려고 시도합니다. 이 매개변수를 사용하면 커넥터가 복잡한 URL을 추출할 수 있지만 이메일의 일반 텍스트 부분에 있는 URL은 추출할 수 없습니다.

추출된 URL은 urls_from_html_part 이벤트 필드에서 확인할 수 있습니다.

기본적으로 선택되지 않습니다.

커넥터 규칙

  • Exchange EML 커넥터는 차단 목록 및 동적 목록 규칙을 지원하지 않습니다.

  • Exchange EML 커넥터는 프록시를 지원합니다.

Exchange Mail Connector

Exchange Mail Connector를 사용하여 Exchange 서버와 통신하고, 거의 실시간으로 이메일을 검색하고, Google SecOps 케이스에서 번역 및 맥락화하여 알림으로 전달합니다.

이 섹션에서는 Exchange Web Services (EWS)를 사용하여 Microsoft Exchange 2007~2019 서버 또는 Microsoft 365와 통신하는 방법을 설명하고 Google SecOps가 Exchange Mail 인터페이스 및 애플리케이션 내 지원 워크플로 및 활동과 상호작용하는 방법을 설명합니다.

Exchange 메일 커넥터를 사용하면 구성된 Exchange 서버에서 이메일을 가져올 수 있습니다. 이메일은 각 서버를 스캔한 후 새 케이스를 생성합니다. 각 시나리오에는 하나 이상의 초기 이메일 발생이 포함됩니다. 주요 차이점은 Exchange Mail 커넥터가 이메일을 삭제하고 Exchange 서버의 원본 이메일에서 EML 또는 MSG 데이터를 파싱하는 이벤트를 생성한다는 것입니다.

알려진 제한사항

  1. Microsoft 365 및 기본 인증

    • Exchange Mail Connector는 더 이상 기본 인증을 지원하지 않으며 Microsoft 365와 함께 사용할 수 없습니다. Microsoft 365의 경우 OAuth를 사용하는 Exchange Mail Connector v2를 사용합니다.

  2. Exchange Mail Connector 관련 세부정보는 다음과 같습니다.

    • 커넥터는 메일함에 포함된 원래 수신 이메일에서만 Google SecOps 알림을 생성합니다.

    • 커넥터는 첨부된 EML 및 MSG 파일을 무시합니다.

커넥터 입력

Exchange Mail Connector에는 다음 매개변수가 필요합니다.

매개변수 설명
Product Field Name 필수

제품 이름이 저장된 필드의 이름입니다.

기본값은 device_product입니다.
Event Field Name 필수

이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다.

기본값은 event_name입니다.
Server IP 필수

연결할 서버의 IP 주소입니다.
Domain 필수

인증에 사용할 도메인 값입니다.
Username 필수

이메일을 가져올 편지함의 사용자 이름입니다(예: user@example.com).
Password 필수

이메일을 가져올 이메일 편지함의 비밀번호입니다.

Mail Address 필수

모니터링할 메일함의 이메일 주소입니다.

기본값은 Inbox입니다.
Verify SSL 선택사항

선택하면 통합에서 Exchange 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되지 않습니다.

Use Domain for Authentication 선택사항

선택하면 도메인이 user@domain과 같은 인증 사용자 인증 정보의 일부로 사용됩니다.

기본적으로 선택되어 있습니다.
Unread Emails Only 선택사항

선택하면 통합에서 읽지 않은 이메일로만 케이스를 만듭니다.

기본적으로 선택되어 있습니다.
Mark Emails as Read 선택사항

선택하면 통합에서 수집된 모든 이메일을 읽음으로 표시합니다.

기본적으로 선택되지 않습니다.
Max Days Backwards 선택사항

첫 번째 커넥터 반복 전에 이메일을 가져올 일수입니다. 이 파라미터는 커넥터를 처음 사용 설정한 후 초기 커넥터 반복에 한 번만 적용됩니다.
PythonProcessTimeout 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.

기본값은 30초입니다.
Attach Original EML 선택사항

선택하면 원본 이메일이 케이스에 EML 파일로 첨부됩니다.

기본적으로 선택되지 않습니다.
Folder Name 선택사항

검색할 폴더 이름입니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

기본값은 Inbox입니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.

환경 필드를 찾을 수 없는 경우 환경은 ""로 설정됩니다.

Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
Exclusion Subject Regex 선택사항

제공된 값과 제목이 일치하는 이메일을 제외하는 정규 표현식입니다.

예를 들어 ([N|n]ewsletter)|([O|o]ut of office) 정규 표현식은 이메일 제목에 뉴스레터 또는 부재중 키워드가 포함된 모든 이메일을 제외합니다.
Exclusion Body Regex 선택사항

제공된 값과 일치하는 본문이 있는 이메일을 제외하는 정규 표현식입니다.

예를 들어 ([N|n]ewsletter)|([O|o]ut of office) 정규 표현식은 이메일 본문에 뉴스레터 또는 부재중 키워드가 포함된 모든 이메일을 제외합니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.
Extract urls from HTML email part? 선택사항

선택하면 커넥터가 이메일의 HTML 부분에서 URL을 추출하려고 시도합니다. 이 매개변수를 사용하면 커넥터가 복잡한 URL을 추출할 수 있지만 이메일의 일반 텍스트 부분에 있는 URL은 추출할 수 없습니다.

추출된 URL은 urls_from_html_part 이벤트 필드에서 확인할 수 있습니다.

기본적으로 선택되지 않습니다.

동적 목록 규칙 구성

동적 목록 섹션에서 정규식을 사용하여 이메일에서 특정 값을 추출하려면 다음 형식으로 규칙을 추가합니다.

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

예를 들어 이메일에서 메시지 ID를 추출하려면 다음 규칙을 입력합니다.

message-id: (?<=Message-ID: ).*

커넥터 규칙

  • Exchange Mail Connector는 프록시를 지원합니다.

  • Exchange Mail Connector는 차단 목록 규칙을 지원하지 않습니다.

  • Exchange 통합은 동적 목록 섹션을 사용하여 정규 표현식을 정의하고 다음을 사용 설정합니다.

    • 이메일 콘텐츠를 파싱합니다.
    • 이메일 이벤트와 일치하는 정규 표현식을 기반으로 특정 필드를 추가합니다.

Exchange Mail Connector v2

Exchange Mail Connector v2를 사용하여 메일 서버에 연결하고 특정 메일함에서 새 이메일을 확인합니다.

새 이메일이 표시되면 커넥터가 트리거되어 Google SecOps에서 새 이메일의 정보가 포함된 새 알림을 만들고 수집합니다.

새 이메일이 없으면 Exchange Mail Connector v2가 현재 반복을 완료하고 다음 반복이 실행되기 전에 정의된 기간 동안 대기합니다.

커넥터 반복 흐름

각 실행 후 Exchange Mail Connector v2는 마지막 실행의 날짜와 시간으로 타임스탬프 파일을 업데이트합니다. Exchange Mail Connector v2는 다음과 같은 이메일의 조치 가능한 정보를 메일 객체 기술 결과로 추출합니다.

  • 이메일 발신자 및 수신자입니다.
  • 이메일 제목입니다.
  • 이메일 본문입니다.
  • 이메일의 URL
  • 첨부파일(있는 경우)

Exchange Mail Connector v2가 Google SecOps로 수집할 알림 (케이스)을 생성하면 커넥터 반복이 완료됩니다.

Exchange Mail Connector v2에서 제공하는 케이스 데이터를 기반으로 Google SecOps 서버는 ETL 절차를 실행하여 새 알림을 수집하고 케이스를 만들거나 업데이트합니다. 정의된 관련 플레이북이 있는 경우 Google SecOps는 플레이북을 실행하여 케이스를 보강하고, 유용한 정보를 생성하고, 자동 작업을 실행합니다.

알림 이름 템플릿 및 케이스 이름 템플릿 작업

Alert Name TemplateCase Name Template 매개변수를 사용하면 알림 및 케이스 이름이 생성되는 방식을 덮어쓸 수 있습니다. 첫 번째 알림만 케이스 또는 알림 이름을 설정하며, 이후의 다른 모든 알림은 이름에 영향을 주지 않습니다.

Google SecOps 이벤트의 예는 다음과 같습니다.

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Google SecOps 알림의 맞춤 이름을 만들려면 다음 템플릿을 사용하세요.

[EVENT_TYPE] - [EVENT_NAME]

예를 들어 피싱 - 예시 이벤트라는 Google SecOps 알림을 만들려면 템플릿은 다음과 같습니다.

[Phishing] - [Example Event]

커넥터 입력

Exchange Mail Connector v2에서 다음 매개변수는 이메일 처리에 영향을 줄 수 있습니다.

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

처리된 이메일의 tofrom 필드를 매핑하기 위해 커넥터는 다음 필드 집합을 만듭니다.

  1. 다음 형식의 이메일 주소가 포함된 일반 tofrom 필드: email@example

  2. to_rawfrom_raw 필드에는 다음 형식의 이메일 주소만 값으로 포함됩니다. email@example

Exchange Mail Connector v2에는 다음 매개변수가 필요합니다.

매개변수 설명
Product Field Name 필수

제품 이름이 저장된 필드의 이름입니다.

기본값은 device_product입니다.
Event Field Name 필수

이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다.

기본값은 event_name입니다.
Mail Server Address 필수

연결할 메일 서버 IP 주소입니다.

Microsoft 365에 연결할 때는 서버 주소를 outlook.office365.com로 설정합니다.
Verify SSL 선택사항

선택하면 통합에서 Exchange 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되지 않습니다.
Mail Address 필수

모니터링할 메일함의 이메일 주소입니다.

기본값은 Inbox입니다.
Use Domain for Authentication 선택사항

선택하면 도메인이 user@domain과 같은 인증 사용자 인증 정보의 일부로 사용됩니다.

기본적으로 선택됩니다.
Domain 필수

인증에 사용할 도메인 값입니다.
Username 필수

이메일을 가져올 편지함의 사용자 이름입니다(예: user@example.com).
Password 필수

이메일을 가져올 이메일 편지함의 비밀번호입니다.
Unread Emails Only 선택사항

이 옵션을 선택하면 읽지 않은 이메일에서만 케이스가 생성됩니다.

기본적으로 선택되어 있습니다.
Mark Emails as Read 선택사항

선택하면 이메일이 수집된 후 읽음으로 표시됩니다.

기본적으로 선택되지 않습니다.
Offset Time In Days 필수

첫 번째 커넥터 반복 전에 이메일을 가져올 일수입니다. 이 파라미터는 커넥터를 처음 사용 설정한 후 초기 커넥터 반복에 한 번만 적용됩니다.

기본값은 5입니다.
Max Emails Per Cycle 필수

단일 커넥터 반복에서 가져올 이메일 수입니다.

기본값은 10입니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.

환경 필드를 찾을 수 없는 경우 환경은 ""로 설정됩니다.

Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 ""입니다.
Headers to add to events 선택사항

이메일 헤더를 이벤트에 추가할지 지정하는 쉼표로 구분된 문자열입니다.

정확히 일치하는 값으로 제공하거나 정규 표현식으로 설정할 수 있습니다.
Email Exclude Pattern 선택사항

특정 이메일의 수집을 제외하는 정규 표현식입니다.

이 매개변수는 이메일의 제목과 본문 부분 모두에서 작동합니다. 이 매개변수를 사용하여 뉴스 같은 대량 브로드캐스트 이메일이 수집되지 않도록 할 수 있습니다.
PythonProcessTimeout 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.

기본값은 60초입니다.
Folder to check for emails 필수

이메일을 검색할 이메일 폴더입니다. 이 매개변수는 쉼표로 구분된 폴더 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

이 매개변수는 대소문자를 구분합니다.

기본값은 Inbox입니다.
Attach Original EML 선택사항

선택하면 통합에서 원본 이메일을 케이스에 EML 파일로 첨부합니다.

기본적으로 선택되지 않습니다.
Fetch Backwards Time Interval (minutes) 선택사항

커넥터가 현재 시점으로부터 구성된 기간의 이벤트를 가져오는 데 사용하는 간격입니다(분). 이 매개변수 값은 마지막 커넥터 반복의 타임스탬프입니다.

환경에 따라 이 값을 조정합니다(예: 60분 이하).

기본값은 0입니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.
Extract urls from HTML email part? 선택사항

선택하면 커넥터가 이메일의 HTML 부분에서 URL을 추출하려고 시도합니다. 이 매개변수를 사용하면 커넥터가 복잡한 URL을 추출할 수 있지만 이메일의 일반 텍스트 부분에 있는 URL은 추출할 수 없습니다.

추출된 URL은 urls_from_html_part 이벤트 필드에서 확인할 수 있습니다.

기본적으로 선택되지 않습니다.
Disable Overflow 선택사항

선택하면 커넥터가 오버플로 메커니즘을 무시합니다.

기본적으로 선택되지 않습니다.
Original Received Mail Prefix 선택사항

추출된 이벤트 키에 추가할 접두사입니다. 예를 들어 모니터링된 사서함에서 수신된 원본 이메일의 to, from 또는 subject입니다.

기본값은 orig입니다.
Attached Mail File Prefix 선택사항

추출된 이벤트 키에 추가할 접두사입니다. 예를 들어 모니터링된 사서함에서 수신된 첨부 이메일 파일의 to, from 또는 subject입니다.

기본값은 attach입니다.
Create a Separate Siemplify Alert per Attached Mail File? 선택사항

선택하면 커넥터가 첨부된 이메일 파일마다 하나의 알림을 포함하여 여러 알림을 생성합니다.

이 매개변수를 선택하면 Google SecOps에서 첨부파일이 여러 개인 이메일을 처리하고 첨부파일에서 엔티티를 생성합니다.

기본적으로 선택되지 않습니다.
Case Name Template 선택사항

맞춤 케이스 이름입니다.

이 매개변수를 구성하면 커넥터가 Google SecOps 이벤트에 custom_case_name이라는 새 키를 추가합니다.

[name of the field] 형식으로 자리표시자를 제공할 수 있습니다.

예: Phishing - [event_mailbox]

자리표시자의 경우 커넥터는 첫 번째 Google SecOps 이벤트를 사용합니다. 커넥터는 문자열 값을 포함하는 키만 처리합니다.
Alert Name Template 선택사항

맞춤 알림 이름입니다.

[name of the field] 형식으로 자리표시자를 제공할 수 있습니다.

예: Phishing - [event_mailbox]

자리표시자의 경우 커넥터는 첫 번째 Google SecOps 이벤트를 사용합니다. 문자열 값을 포함하는 키만 처리됩니다. 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 알림 이름을 사용합니다.
Email Padding Period (minutes) 선택사항

커넥터가 최신 타임스탬프 이전의 이메일을 가져오는 기간입니다.
URL Regex 필수

처리된 이메일에서 URL을 파싱하는 데 사용되는 정규 표현식 커넥터입니다.

커넥터 규칙

  • Exchange Mail Connector v2는 프록시를 지원합니다.

  • Exchange Mail Connector v2는 차단 목록 규칙을 지원하지 않습니다.

  • Exchange 통합은 동적 목록 섹션을 사용하여 정규 표현식을 정의하여 다음을 사용 설정합니다.

    • 이메일 콘텐츠를 파싱합니다.
    • 정규 표현식 일치를 기반으로 특정 필드를 이메일 이벤트에 추가합니다.

OAuth 인증을 사용하는 Exchange Mail Connector v2

OAuth를 사용하는 Exchange Mail Connector v2를 사용하여 OAuth 인증이 필요한 Microsoft 365 메일 서버의 특정 메일함을 모니터링합니다. 승인 가져오기토큰 생성 작업을 사용하여 커넥터 구성에 필요한 갱신 토큰을 가져올 수 있습니다.

OAuth를 사용하는 Exchange Mail Connector v2를 실행하려면 OAuth 인증을 지원하도록 통합을 구성하세요.

알림 이름 템플릿 및 케이스 이름 템플릿 작업

Alert Name TemplateCase Name Template 매개변수를 사용하면 알림 및 케이스 이름이 생성되는 방식을 덮어쓸 수 있습니다.

Google SecOps 이벤트의 예는 다음과 같습니다.

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Google SecOps 알림의 맞춤 이름을 만들려면 다음 템플릿을 사용하세요.

[EVENT_TYPE] - [EVENT_NAME]

예를 들어 피싱 - 예시 이벤트라는 Google SecOps 알림을 만들려면 템플릿은 다음과 같습니다.

[Phishing] - [Example Event]

커넥터 입력

OAuth를 사용하는 Exchange 메일 커넥터 v2에서 다음 매개변수는 이메일 처리에 영향을 줄 수 있습니다.

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

처리된 이메일의 tofrom 필드를 매핑하기 위해 커넥터는 다음 두 필드 집합을 만듭니다.

  1. 이메일 주소가 포함된 일반 tofrom 필드(예: email@example)

  2. email@example와 같이 이메일 주소만 값으로 포함하는 to_rawfrom_raw 필드

OAuth를 사용하는 Exchange Mail Connector v2에는 다음 매개변수가 필요합니다.

매개변수 설명
Product Field Name 필수

제품 이름이 저장된 필드의 이름입니다.

기본값은 device_product입니다.
Event Field Name 필수

이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다.

기본값은 event_name입니다.
Mail Server Address 필수

연결할 메일 서버 IP 주소입니다.

Microsoft 365에 연결할 때는 서버 주소를 outlook.office365.com로 설정합니다.
Mail Address 필수

커넥터에 사용할 메일 주소입니다.
Client ID 필수

Microsoft 365 OAuth 인증의 경우 통합에 사용한 Microsoft Entra 애플리케이션의 애플리케이션 (클라이언트) ID입니다.
Client Secret 필수

Microsoft 365 OAuth 인증의 경우 인증 흐름에 제공한 클라이언트 보안 비밀번호입니다.
Tenant (Directory) ID 필수

Microsoft 365 OAuth 인증의 경우 통합에 사용한 Microsoft Entra 애플리케이션의 테넌트(디렉터리) ID입니다.
Refresh Token 필수

Microsoft 365 OAuth 인증의 경우 토큰 생성 후 획득한 갱신 토큰입니다.
Verify SSL 선택사항

선택하면 통합에서 Exchange 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되지 않습니다.
Unread Emails Only 선택사항

선택하면 통합에서 읽지 않은 이메일로만 케이스를 만듭니다.

기본적으로 선택되지 않습니다.
Mark Emails as Read 선택사항

선택하면 커넥터가 수집된 이메일을 읽음으로 표시합니다.

기본적으로 선택되지 않습니다.
Offset Time In Days 필수

첫 번째 커넥터 반복 전에 이메일을 가져올 일수입니다. 이 파라미터는 커넥터를 처음 사용 설정한 후 초기 커넥터 반복에 한 번만 적용됩니다.

기본값은 5일입니다.
Max Emails Per Cycle 필수

단일 커넥터 반복에서 가져올 이메일 수입니다.

기본값은 이메일 10개입니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.

환경 필드를 찾을 수 없는 경우 환경은 ""로 설정됩니다.

Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 ""입니다.
Headers to add to events 선택사항

이메일 헤더를 이벤트에 추가할지 지정하는 쉼표로 구분된 문자열입니다.

정확히 일치하는 값으로 제공하거나 정규 표현식으로 설정할 수 있습니다.
Email Exclude Pattern 선택사항

특정 이메일의 수집을 제외하는 정규 표현식입니다.

이 매개변수는 이메일의 제목과 본문 부분 모두에서 작동합니다. 이 매개변수를 사용하여 뉴스 같은 대량 브로드캐스트 이메일이 수집되지 않도록 할 수 있습니다.
PythonProcessTimeout 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.

기본값은 60입니다.
Folder to check for emails 필수

이메일을 검색할 이메일 폴더입니다. 이 매개변수는 쉼표로 구분된 폴더 목록을 허용합니다.

Exchange 통합은 백슬래시를 구분 기호로 사용하여 folder/subfolder1/subfolder2와 같은 하위 폴더를 지정합니다. 시간 제한 오류 또는 작업 실패를 방지하려면 폴더 또는 하위 폴더 이름의 백슬래시를 밑줄과 같은 다른 문자로 바꿉니다.

이 매개변수는 대소문자를 구분합니다.

기본값은 Inbox입니다.
Attach Original EML 선택사항

선택하면 원본 이메일이 케이스에 EML 파일로 첨부됩니다.

기본적으로 선택되지 않습니다.
Fetch Backwards Time Interval (minutes) 선택사항

커넥터가 현재 시점으로부터 구성된 기간의 이벤트를 가져오는 데 사용하는 간격입니다(분). 이 매개변수 값은 마지막 커넥터 반복의 타임스탬프입니다.

환경에 따라 이 값을 조정합니다(예: 60분 이하).

기본값은 0입니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.
Extract urls from HTML email part? 선택사항

선택하면 커넥터가 이메일의 HTML 부분에서 URL을 추출하려고 시도합니다. 이 매개변수를 사용하면 커넥터가 복잡한 URL을 추출할 수 있지만 이메일의 일반 텍스트 부분에 있는 URL은 추출할 수 없습니다.

추출된 URL은 urls_from_html_part 이벤트 필드에서 확인할 수 있습니다.

기본적으로 선택되지 않습니다.
Disable Overflow 선택사항

선택하면 커넥터가 오버플로 메커니즘을 무시합니다.

기본적으로 선택되지 않습니다.
Original Received Mail Prefix 선택사항

추출된 이벤트 키에 추가할 접두사입니다. 예를 들어 모니터링된 사서함에서 수신된 원본 이메일의 to, from 또는 subject입니다.

기본값은 orig입니다.
Attached Mail File Prefix 선택사항

추출된 이벤트 키에 추가할 접두사입니다. 예를 들어 모니터링된 사서함에서 수신된 첨부 이메일 파일의 to, from 또는 subject입니다.

기본값은 attach입니다.
Create a Separate Siemplify Alert per Attached Mail File? 선택사항

선택하면 커넥터가 첨부된 이메일 파일마다 하나의 알림을 포함하여 여러 알림을 생성합니다.

이 매개변수를 선택하면 Google SecOps에서 첨부파일이 여러 개인 이메일을 처리하고 첨부파일에서 엔티티를 생성합니다.

기본적으로 선택되지 않습니다.
Case Name Template 선택사항

맞춤 케이스 이름입니다.

이 매개변수를 구성하면 커넥터가 Google SecOps 이벤트에 custom_case_name이라는 새 키를 추가합니다.

[name of the field] 형식으로 자리표시자를 제공할 수 있습니다.

예: Phishing - [event_mailbox]

자리표시자의 경우 커넥터는 첫 번째 Google SecOps 이벤트를 사용합니다. 커넥터는 문자열 값을 포함하는 키만 처리합니다.
Alert Name Template 선택사항

맞춤 알림 이름을 설정하는 매개변수입니다.

맞춤 알림 이름입니다.

[name of the field] 형식으로 자리표시자를 제공할 수 있습니다.

예: Phishing - [event_mailbox]

자리표시자의 경우 커넥터는 첫 번째 Google SecOps 이벤트를 사용합니다. 문자열 값을 포함하는 키만 처리됩니다. 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터에서 기본 알림 이름을 사용합니다.
Email Padding Period (minutes) 선택사항

커넥터가 최신 타임스탬프 이전의 이메일을 가져오는 기간입니다.

작업

Exchange 통합 작업을 구성하기 전에 Google SecOps 플랫폼 버전에서 해당 작업을 지원하는지 확인하세요.

갱신 토큰 갱신 작업

갱신 토큰 갱신 작업의 목표는 통합에 사용되는 갱신 토큰을 주기적으로 업데이트하는 것입니다.

기본적으로 갱신 토큰은 90일마다 만료됩니다. 갱신 토큰이 최신 상태인지 확인하려면 7일 또는 14일마다 이 작업을 실행하는 것이 좋습니다.

작업 입력

새로고침 토큰 갱신 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Integration Environments 선택사항

작업이 갱신 토큰을 업데이트하는 통합 환경입니다.

이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 개별 값을 따옴표 (" ")로 묶습니다.
Connector Names 선택사항

작업이 갱신 토큰을 업데이트하는 커넥터 이름입니다.

이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 개별 값을 따옴표 (" ")로 묶습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.