Exchange

Versão da integração: 102.0

Este documento fornece orientações sobre como integrar o Exchange com o SOAR do Google Security Operations.

Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia comprimida do código-fonte completo desta integração a partir do contentor do Cloud Storage.

Configure o Exchange Online

Os pré-requisitos e os passos de configuração diferem consoante configure a integração para o Exchange Online ou o Exchange Server.

  • Para configurar o Exchange Online, avance para a secção seguinte.

  • Para configurar o servidor Exchange, consulte o artigo Configure o servidor Exchange.

A integração do Exchange Online só suporta a autenticação delegada OAuth com tokens delegados, o que requer uma configuração adicional.

As alterações feitas às autorizações no ambiente do Azure podem demorar até 24 horas a entrar em vigor.

Antes de começar

Antes de configurar a integração do Exchange Online, tem de escolher um método de autenticação e concluir todos os passos de configuração. Escolha um dos seguintes métodos:

Atribua autorizações para se fazer passar por um utilizador

Este método requer que crie uma aplicação no Microsoft Entra ID e lhe atribua autorizações para assumir a identidade de um único utilizador.

Crie uma aplicação do Microsoft Entra

Para iniciar a configuração da representação, tem de registar uma nova aplicação no Microsoft Entra ID.

  1. Inicie sessão no Microsoft Azure e aceda a Microsoft Entra ID > Registos de apps > Novo registo.
  2. Introduza um nome para a app e selecione um Tipo de conta suportado.
  3. Para o URI de redirecionamento, indique os seguintes valores:
    1. Plataforma: Web
    2. URL de redirecionamento: http://localhost
  4. Clique em Registar.
  5. Guarde os valores do ID (de cliente) da aplicação e do ID (do inquilino) do diretório.

Configure autorizações da API

Tem de conceder à sua aplicação as autorizações necessárias para aceder aos dados do utilizador.

  1. Aceda a Autorizações da API > Adicionar uma autorização.
  2. Selecione Microsoft Graph > Autorizações delegadas.
  3. Na secção Selecionar autorizações, selecione EWS e, de seguida, a autorização Ews.AccessAsUser.All.
  4. Clique em Adicionar autorização > Conceder consentimento do administrador.

Crie um segredo do cliente

Tem de criar um segredo do cliente para usar como palavra-passe para a sua aplicação.

  1. Navegue para Certificados e segredos > Novo segredo do cliente.
  2. Indique uma descrição, defina uma data de validade e clique em Adicionar.
  3. Guarde o valor do segredo.

Atribua autorizações no Exchange Online:

Para concluir a configuração, tem de atribuir a função ApplicationImpersonation ao utilizador cuja identidade quer assumir.

  1. No centro de administração do Exchange, aceda a Funções > Funções de administrador e encontre o grupo de funções que contém a função ApplicationImpersonation (como Gestão de deteção).
  2. Adicione o utilizador cuja identidade está a roubar a esse grupo de funções.

Delegue o acesso

Este método requer que conceda autorizações diretas à conta de serviço para uma caixa de correio através do Exchange Online PowerShell.

  1. Associe o Exchange Online PowerShell.

  2. Use o cmdlet Add-MailboxPermission para atribuir autorizações.

    Por exemplo, para conceder à conta de serviço acesso total a uma caixa de correio específica:

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    Para mais informações, consulte o artigo Controlo de acesso baseado em funções para aplicações no Exchange Online.

Integre o Exchange Online com o Google SecOps

Para ver instruções sobre como instalar e configurar a integração no Google SecOps, consulte o artigo Configurar Integrações.

A integração do Exchange Online com a plataforma Google SecOps requer que conclua os seguintes passos no Google SecOps:

  1. Configure os parâmetros iniciais e guarde-os.

  2. Gere um token de atualização:

    • Simule um registo no Google SecOps.

    • Execute a ação Get Authorization.

    • Execute a ação Gerar token.

  3. Introduza o token de atualização obtido como o valor do parâmetro Refresh Token e guarde a configuração.

Configure os parâmetros iniciais

A integração do Exchange Online requer os seguintes parâmetros iniciais:

Parâmetro Descrição
Mail Server Address Obrigatório

Um endereço do servidor de correio (nome de anfitrião ou endereço IP) ao qual se ligar.
Mail address Obrigatório

Um endereço de email a usar na integração para trabalhar com os emails enviados e recebidos na caixa de correio.
Client ID Obrigatório

Um ID da aplicação (cliente) da aplicação Microsoft Entra que é usado para a integração.

Este é o valor do ID da aplicação (cliente) que guardou quando criou a aplicação Microsoft Entra.
Client Secret Obrigatório

Um valor de segredo do cliente da aplicação Microsoft Entra que é usado para a integração.

Este é o valor do segredo do cliente que guardou quando criou um segredo do cliente.
Tenant (Directory) ID Obrigatório

Um ID do diretório (inquilino) da aplicação Microsoft Entra ID que é usado para a integração.

Este é o valor do ID do diretório (inquilino) que guardou quando criou a aplicação Microsoft Entra.
Redirect URL Obrigatório

Um URI de redirecionamento configurado na aplicação Microsoft Entra.

Mantenha o valor predefinido como http://localhost.

Depois de configurar os parâmetros, clique em Guardar.

Gere um token de atualização

A geração de um token de atualização requer a execução de ações manuais num registo existente. Se a sua instância do Google SecOps for nova e não tiver registos existentes, simule um.

Simule um registo

Para simular um registo no Google SecOps, siga estes passos:

  1. Na navegação do lado esquerdo, selecione Registos.

  2. Na página Casos, clique em adicionar > Simular casos.

  3. Selecione qualquer um dos exemplos predefinidos e clique em Criar. Não importa que cenário escolha simular.

  4. Clique em Simular.

    Se tiver um ambiente diferente do predefinido e quiser usá-lo, selecione o ambiente correto e clique em Simular.

  5. No separador Registos, clique em Atualizar. O registo que simulou é apresentado na lista de registos.

Execute a ação Get Authorization

Use o registo do Google SecOps que simulou para executar manualmente a ação Obter autorização.

  1. No separador Registos, selecione o registo simulado para abrir uma vista de registo.

  2. Clique em Ação manual.

  3. No campo Pesquisar de ação manual, introduza Exchange.

  4. Nos resultados abaixo da integração do Exchange, selecione Obter autorização. Esta ação devolve um link de autorização que é usado para iniciar sessão interativamente na app Microsoft Entra.

  5. Clique em Executar.

  6. Depois de a ação ser executada, navegue para a página de registo do caso simulado. No registo de ações Exchange_Get Authorization, clique em Ver mais. Copie o link de autorização.

  7. Abra uma nova janela do navegador no modo de navegação anónima e cole o URL de autorização gerado. É apresentada a página de início de sessão do Azure.

  8. Inicie sessão com as credenciais de utilizador que selecionou para a integração. Depois de iniciar sessão, o navegador redireciona o utilizador para um endereço com um código na barra de endereço.

    O navegador deve apresentar um erro, uma vez que a app faz o redirecionamento para http://localhost.

  9. Copie o URL completo com o código de acesso da barra de endereço.

Execute a ação Gerar token

Use o registo do Google SecOps que simulou para executar a ação Gerar token manualmente.

  1. No separador Registos, selecione o registo simulado para abrir uma vista de registo.

  2. Clique em Ação manual.

  3. No campo Pesquisar de ação manual, introduza Exchange.

  4. Nos resultados da integração do Exchange, selecione Gerar token.

  5. No campo Authorization URL, cole o URL completo com o código de acesso copiado após executar a ação Obter autenticação.

  6. Clique em Executar.

  7. Depois de a ação ser executada, navegue para a página de registo do caso simulado. No registo da ação Exchange_Generate Token, clique em Ver mais.

  8. Copie o valor completo do token de atualização gerado.

Configure o parâmetro do token de atualização

  1. Navegue para a caixa de diálogo de configuração da integração do Exchange.

  2. Introduza o valor do token de atualização que obteve quando executou a ação Generate Token no campo Token de atualização.

  3. Clique em Guardar.

  4. Clique em Testar para testar se a configuração está correta e se a integração funciona como esperado.

Se necessário, pode fazer alterações numa fase posterior. Depois de configuradas, as instâncias podem ser usadas em manuais de procedimentos. Para obter informações detalhadas sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Configure o servidor Exchange

Antes de integrar o Exchange Server com o Google SecOps, configure a autenticação básica para o Exchange Server.

Para fazer a autenticação com o servidor Exchange, use um nome de utilizador e uma palavra-passe.

Configure a autenticação básica

Para configurar a autenticação básica, conclua os seguintes passos:

  1. Verifique se o servidor Exchange (um dos servidores no cluster) está acessível a partir do servidor do Google SecOps e cumpre os seguintes requisitos:

    • O nome DNS do servidor Exchange está a ser resolvido.

    • O endereço IP do servidor Exchange é acessível.

    • Os Serviços Web do Exchange (EWS) estão ativados e alojados numa porta acessível ao servidor do Google SecOps.

    Se o Exchange Server não estiver acessível a partir do servidor do Google SecOps SOAR, considere usar um agente remoto do Google SecOps.

  2. Forneça à integração um nome de utilizador (conta de email do utilizador) e uma palavra-passe. Escolha o utilizador para a integração.

  3. Para ações que usam autorizações delegadas ou roubadas, conclua os seguintes passos:

    1. Conceda um acesso delegado ou representado às caixas de correio necessárias a uma conta de email que usa na integração.

      Recomendamos que configure o acesso com autorizações roubadas. Para mais informações, consulte o artigo Roubo de identidade e EWS no Exchange na documentação do produto Microsoft.

    2. Para aceder a outras caixas de correio, atribua as seguintes funções do Exchange ao utilizador (caixa de correio) configurado para a integração:

Integre o Exchange Server com o Google SecOps

Para ver instruções sobre como instalar e configurar a integração no Google SecOps, consulte o artigo Configure integrações.

Entradas de integração

A integração do servidor Exchange requer os seguintes parâmetros:

Parâmetro Descrição
Mail Server Address Obrigatório

Um endereço do servidor de correio (nome de anfitrião ou endereço IP) ao qual se ligar.
Mail address Obrigatório

Um endereço de email usado na integração para trabalhar com os emails enviados e recebidos na caixa de correio.
Username Obrigatório

Um nome de utilizador para autenticação no servidor de correio, como exchange_onprem_test@exlab.local.
Password Obrigatório

Uma palavra-passe para autenticação no servidor de email.

Ações

As ações apresentadas nesta secção dividem-se em duas categorias:

  1. As ações de integração comuns do Exchange.

  2. Ações específicas da funcionalidade de bloqueio de remetente e domínio da Exchange.

Autorizações necessárias

Para ver as autorizações mínimas necessárias para executar ações comuns, consulte a tabela seguinte:

Ação Autorizações necessárias
Eliminar correio

ApplicationImpersonation

Mailbox Search
Transferir anexo

ApplicationImpersonation


Mailbox Search
Pesquise emails

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

Para as autorizações mínimas necessárias para executar ações a partir da funcionalidade Bloquear remetente e domínio, consulte a tabela seguinte:

Ação Autorizações necessárias
Adicione remetentes à regra da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Adicione remetentes à regra da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Elimine regras da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
List Exchange-Siemplify Inbox Rules EDiscovery Group
Author
Remova domínios das regras da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Remova remetentes das regras da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author

Eliminar correio

Use a ação Eliminar correio para eliminar um ou vários emails que correspondam aos critérios de pesquisa de uma caixa de correio.

A eliminação de emails pode aplicar-se ao primeiro email que corresponda aos critérios de pesquisa ou a todos os emails correspondentes.

Para ver as autorizações necessárias para executar esta ação, consulte a secção autorizações de ações deste documento.

Se o utilizador estiver offline, a ação pode não eliminar a mensagem do cliente do Outlook até que o utilizador volte a estabelecer ligação e sincronize a caixa de correio.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Delete Mail requer os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um email.

Este parâmetro aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.
Message IDs Opcional

Uma condição de filtro para pesquisar emails com IDs de email específicos.

Este parâmetro aceita uma lista de IDs de mensagens separada por vírgulas para pesquisar.

Se indicar o ID da mensagem, a ação ignora os parâmetros Subject Filter, Sender Filter e Recipient Filter.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do email a pesquisar.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente dos emails pedidos.
Recipient Filter Opcional

Uma condição de filtro que especifica o destinatário dos emails pedidos.
Delete All Matching Emails Opcional

Se estiver selecionada, a ação elimina todos os emails que correspondem aos critérios. Se não estiver selecionada, a ação elimina apenas o primeiro email correspondente.

Não selecionado por predefinição.
Delete from all mailboxes Opcional

Se estiver selecionada, a ação elimina emails em todas as caixas de correio que são acessíveis através das definições de roubo de identidade atuais.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

Se selecionou o parâmetro Delete from all mailboxes, a ação funciona em lotes.

O valor predefinido é 25.
Time Frame (minutes) Opcional

O período em minutos para pesquisar emails.

Resultados da ação

A ação Eliminar email fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Delete Mail pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
NUMBER_OF_EMAILS email(s) were deleted successfully. Ação efetuada com êxito.
Error deleting emails.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Delete Mail:

Nome do resultado do script Valor
is_success True ou False

Transferir anexos

Use a ação Transferir anexos para transferir anexos de email de um email para um caminho específico no servidor do Google SecOps. A ação substitui automaticamente os carateres de barra invertida ou espaço nos nomes dos anexos transferidos pelo caráter de sublinhado.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Transferir anexos requer os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um email.

Este parâmetro aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.
Download Path Obrigatório

Um caminho no servidor do Google SecOps para transferir anexos de email.
Message IDs Opcional

Uma condição de filtro para pesquisar emails com IDs de email específicos.

Este parâmetro aceita uma lista de IDs de mensagens separada por vírgulas para pesquisar.

Se fornecer o ID da mensagem, a ação ignora o parâmetro Subject Filter.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do email a pesquisar.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente do email a pesquisar.
Only Unread Opcional

Se esta opção estiver selecionada, a ação transfere anexos apenas de emails não lidos.

Não selecionado por predefinição.
Download Attachments from EML Opcional

Se estiver selecionada, a ação transfere anexos de ficheiros EML anexados.

Não selecionado por predefinição.
Download Attachments to unique path? Opcional

Se estiver selecionada, a ação transfere anexos para um caminho único no valor fornecido no parâmetro Download Path para evitar substituir os anexos transferidos anteriormente.

Não selecionado por predefinição.
Search in all mailboxes Opcional

Se estiver selecionada, a ação executa uma pesquisa em todas as caixas de correio acessíveis através das definições de roubo de identidade atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

Se selecionou o parâmetro Search in all mailboxes, a ação funciona em lotes.

O valor predefinido é 25.
Mailboxes Opcional

Uma lista de caixas de correio separadas por vírgulas nas quais executar uma pesquisa.

Este parâmetro tem prioridade sobre o parâmetro Search in all mailboxes.

Resultados da ação

A ação Transferir anexos fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Transferir anexos:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
Mensagens de saída

A ação Transferir anexos pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS Ação efetuada com êxito.
Failed to download email attachments, the error is: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Transferir anexos:

Nome do resultado do script Valor
file_paths Uma string de caminhos completos separados por vírgulas para os anexos guardados.

Extraia dados EML

Use a ação Extrair dados EML para extrair dados dos anexos EML de email.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

A ação Extrair dados EML requer os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Pasta a partir da qual obter um email.

O valor predefinido é Inbox.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.
Message ID Obrigatório

ID da mensagem, como 1701cf01ba314032b2f1df43262a7723@example.com.
Regex Map JSON Opcional

Expressão regular para selecionar emails com base na correspondência da parte do corpo do email, por exemplo, {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}.

Resultados da ação

A ação Extrair dados EML fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Extrair dados EML:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
Resultado do script

A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Extrair dados EML:

Nome do resultado do script Valor
eml_data EML_DATA

Gerar token

Use a ação Gerar token para obter um token de atualização para a configuração de integração com a autenticação OAuth. Use o URL de autorização que recebeu na ação Get Authorization.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Gerar token requer os seguintes parâmetros:

Parâmetro Descrição
Authorization URL Obrigatório

URL de autorização recebido na ação Get Authorization para pedir um token de atualização.

Resultados da ação

A ação Gerar token fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Gerar token pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. Ação efetuada com êxito.
Failed to get the refresh token! The Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Gerar token:

Nome do resultado do script Valor
is_success True ou False

Retire a conta das definições da instalação

Use a ação Get Account Out Of Facility Settings para obter as definições de ausência do local (OOF) da entidade User do Google SecOps fornecida.

Se a entidade de utilizador de destino for um nome de utilizador e não um email, execute a ação Active Directory Enrich Entities para obter informações sobre o email do utilizador armazenado no Active Directory.

Esta ação é executada na entidade User do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Get Account Out Of Facility Settings fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Disponível
Tabela de enriquecimento de entidades Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mesa de parede para caixas

A ação Get Account Out Of Facility Settings devolve a seguinte tabela numa Case Wall no Google SecOps:

Nome da tabela: Out of Facility Settings

Colunas da tabela:

  • Parâmetro
  • Valor
Enriquecimento de entidades

A ação Get Account Out Of Facility Settings suporta o seguinte enriquecimento de entidades:

Campo de enriquecimento Origem (chave JSON) Lógica
Exchange.oof_settings OofSettings A ação devolve o estado desativado ou ativado com base na resposta da API.
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Account Out Of Facility Settings:

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
Mensagens de saída

A ação Get Account Out Of Facility Settings pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 Ação efetuada com êxito.
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Obter autorização

Use a ação Get Authorization para obter um link com o código de acesso para a configuração de integração com a autenticação OAuth. Copie o link e use-o na ação Generate Token para obter o token de atualização.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Get Authorization fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível

Esta ação Get Authorization devolve o seguinte link:

Nome: aceda a este link de autorização

Link: AUTHORIZATION_LINK

Mensagens de saída

Esta ação Get Authorization pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. Ação efetuada com êxito.
Failed to generate authorization URL! The Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Get Authorization:

Nome do resultado do script Valor
is_success True ou False

Obtenha o ficheiro EML do Mail

Use a ação Get Mail EML File para obter um ficheiro EML de mensagem.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

A ação Get Mail EML File requer os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta a partir da qual obter um email.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.
Message ID Obrigatório

O ID da mensagem, como 1701cf01ba314032b2f1df43262a7723@example.com.
Base64 Encode Opcional

Se selecionada, a ação codifica o ficheiro de correio num formato base64.

Não selecionado por predefinição.

Resultados da ação

A ação Get Mail EML File fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Resultado do script Disponível
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Get Mail EML File:

Nome do resultado do script Valor
eml_info EML_INFORMATION

Mova correio para a pasta

Use a ação Mover correio para pasta para mover um ou vários emails da pasta de email de origem para a outra pasta numa caixa de correio.

Consoante o exemplo de utilização, a ação devolve uma quantidade diferente de informações sobre os emails processados no resultado JSON.

Se selecionar o parâmetro Limit the amount of information in the JSON result (Limitar a quantidade de informações no resultado JSON), o resultado JSON contém apenas os seguintes campos de email: datetime_received, message_id, sender, subject e to_recipients. Caso contrário, o resultado JSON contém todas as informações disponíveis sobre o email processado.

Se selecionar o parâmetro Desativar resultado JSON da ação, a ação não devolve o resultado JSON.

A ação Mover email para pasta não é executada em entidades do Google SecOps.

Dados de ações

A ação Mover email para pasta requer os seguintes parâmetros:

Parâmetro Descrição
Source Folder Name Obrigatório

Uma pasta de origem a partir da qual mover os emails.
Destination Folder Name Obrigatório

Uma pasta de destino para mover emails.
Subject Filter Opcional

Uma condição de filtro para pesquisar emails por assunto específico.
Message IDs Opcional

Uma condição de filtro para pesquisar emails com IDs de email específicos.

Este parâmetro também aceita uma lista de IDs de mensagens separados por vírgulas para pesquisar.

Se fornecer o ID da mensagem, a ação ignora o parâmetro Subject Filter.
Only Unread Opcional

Uma condição de filtro para pesquisar apenas emails não lidos.

Não selecionado por predefinição.
Move In All Mailboxes Opcional

Se selecionada, a ação pesquisa e move emails em todas as caixas de correio acessíveis através das definições de despersonalização atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a processar num único lote (ligação única ao servidor de correio).

Se selecionar o parâmetro Move In All Mailboxes, a ação funciona em lotes.

O valor predefinido é 25.
Time Frame (minutes) Opcional

Um período em minutos para pesquisar emails.
Limit the Amount of Information Returned in the JSON Result Opcional

Se selecionada, a ação devolve informações apenas sobre os campos de email principais. Se não for selecionada, a ação devolve informações sobre todos os campos de email.

Selecionado por predefinição.
Disable the Action JSON Result Opcional

Se estiver selecionada, a ação não devolve o resultado JSON.

Não selecionado por predefinição.

Resultados da ação

A ação Mover email para pasta fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Mover email para pasta pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 Ação efetuada com êxito.
Error search emails: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Mover email para pasta:

Nome do resultado do script Valor
is_success True ou False

Tchim-tchim

Use a ação Ping para testar uma ligação à instância do Microsoft Exchange.

Pode executar esta ação manualmente e não como parte do fluxo do manual de soluções.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

N/A

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully connected to the Microsoft Exchange server with the provided connection parameters! Ação efetuada com êxito.
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Guarde anexos de email no registo

Use a ação Guardar anexos de email no registo para guardar anexos de email de um email armazenado na caixa de correio monitorizada no registo do Google SecOps.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Guardar anexos de email no registo requer os seguintes parâmetros:

Parâmetro Descrição
Folder Name Obrigatório

Uma pasta da caixa de correio para pesquisar um email.

Este parâmetro também aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.
Message IDs Obrigatório

O ID da mensagem para encontrar um email específico e transferir anexos do mesmo.
Attachment To Save Opcional

Se não configurar este parâmetro, a ação guarda todos os anexos de email na cronologia do registo por predefinição. Caso contrário, a ação guarda apenas o anexo que especificou no mural do registo.

Resultados da ação

A ação Guardar anexos de email no registo fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Guardar anexos de email no registo pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 Ação efetuada com êxito.
Failed to save the email attachments to the case, the error is: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Save Mail Attachments To The Case:

Nome do resultado do script Valor
is_success True ou False

Pesquise emails

Use a ação Pesquisar emails para pesquisar emails específicos numa caixa de correio configurada através de vários critérios de pesquisa. Esta ação devolve informações sobre os emails encontrados numa caixa de correio no formato JSON.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Pesquisar emails requer os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um email.

Este parâmetro aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do email a pesquisar.
Sender Filter Opcional

Uma condição de filtro para especificar o remetente dos emails pedidos.
Recipient Filter Opcional

Uma condição de filtro para especificar o destinatário dos emails pedidos.
Time Frame (minutes) Opcional

Um período em minutos para pesquisar emails.
Only Unread Opcional

Se estiver selecionada, a ação pesquisa apenas emails não lidos.

Não selecionado por predefinição.
Max Emails To Return Opcional

O número máximo de emails a devolver no resultado da ação.
Search in all mailboxes Opcional

Se estiver selecionada, a ação executa uma pesquisa em todas as caixas de correio acessíveis através das definições de representação atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

Se selecionar o parâmetro Search in all mailboxes, a ação funciona em lotes.

O valor predefinido é 25.
Start Time Opcional

A hora de início da execução da pesquisa de email.

O formato a usar é o ISO 8601. Este parâmetro tem prioridade sobre o parâmetro Time Frame (minutes).
End Time Opcional

A hora de fim da execução da pesquisa de email.

O formato a usar é o ISO 8601. Se não definir um valor e o parâmetro Start Time for válido, a ação define o valor End Time para a hora atual.
Mailboxes Opcional

Uma lista de caixas de correio separadas por vírgulas nas quais executar uma pesquisa.

Este parâmetro tem prioridade sobre o parâmetro Search in all mailboxes.
Message IDs Opcional

Uma lista de IDs de mensagens separados por vírgulas para pesquisar.

Este filtro tem prioridade sobre outras condições de filtro.
Body Regex Filter Opcional

Um padrão de expressão regular a pesquisar no corpo do email.

Resultados da ação

A ação Pesquisar emails fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mesa de parede para caixas

A ação Pesquisar emails devolve a seguinte tabela numa cronologia de registos no Google SecOps:

Título da tabela: Emails correspondentes

Colunas da tabela:

  • Message_id
  • Data de receção
  • Remetente
  • Destinatários
  • Assunto
  • Corpo do email
  • Nomes dos anexos (como uma lista de nomes dos anexos separados por vírgulas)

Se selecionar o parâmetro Search in all mailboxes, a ação adiciona a coluna Encontrado na caixa de correio à tabela para indicar em que caixa de correio o email foi encontrado.

Resultado JSON

O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação Search Mails:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
Mensagens de saída

A ação Pesquisar emails pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 Ação efetuada com êxito.

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Search Mails:

Nome do resultado do script Valor
mails_json Não disponível

Enviar email e aguardar – Descontinuado

Enviar email e aguardar ação. O campo Enviar para está separado por vírgulas. O nome a apresentar do remetente pode ser configurado no cliente nas definições da conta.

Dados de ações

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Assunto String N/A Sim O assunto do email.
Enviar para String user@example.com Sim

Endereço de email do destinatário.

Pode separar vários endereços por vírgulas.
CC String user@example.com Não

Endereço de email em cc.

Pode separar vários endereços por vírgulas.
BCC String N/A Não

Endereço de email em BCC.

Pode separar vários endereços por vírgulas.
Conteúdo do email String N/A Sim Corpo do email.
Obter anexos de respostas Caixa de verificação Desmarcado Não Permite anexar ficheiros de emails de respostas.
Pasta para verificar se existem respostas String Caixa de entrada Não

O parâmetro pode ser usado para especificar a pasta de email da caixa de correio (caixa de correio que foi usada para enviar o email com a pergunta) para pesquisar a resposta do utilizador nesta pasta.

O parâmetro também aceita uma lista de pastas separada por vírgulas para verificar a resposta do utilizador em várias pastas.

O parâmetro é sensível a maiúsculas e minúsculas.

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
Mail_body N/A N/A
Resultado JSON

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

Enviar correio

Use a ação Enviar correio para enviar um email de uma caixa de correio específica para uma lista de destinatários. Pode usar esta ação para informar os utilizadores sobre o seguinte:

  • Alertas específicos criados no Google SecOps.
  • Resultados do processamento de alertas específicos.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Enviar email requer os seguintes parâmetros:

Parâmetro Descrição
Subject Obrigatório

O assunto do email.
Send to Obrigatório

Uma lista de endereços de email separados por vírgulas para os destinatários do email, como user1@example.com, user2@example.com.
CC Opcional

Uma lista de endereços de email separados por vírgulas para o campo CC do email, como user1@example.com, user2@example.com.
BCC Opcional

Uma lista de endereços de email separados por vírgulas para o campo BCC do email, como user1@example.com, user2@example.com.
Attachments Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de ficheiros armazenados no servidor, como C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obrigatório

O corpo do email.
Reply-To Recipients Opcional

Uma lista de destinatários separada por vírgulas usada no cabeçalho Reply-To.

A ação adiciona o cabeçalho Reply-To para enviar respostas por email para endereços de email específicos em vez do endereço de email do remetente indicado no campo From.
Base64 Encoded Certificate Opcional

Um certificado codificado em base64 usado para encriptar um email.

Para encriptar o email, este parâmetro é suficiente. Para assinar o email, também tem de indicar o parâmetro Base64 Encoded Signature.
Base64 Encoded Signature Opcional

Um certificado codificado em base64 usado para assinar um email.

Para que a assinatura funcione e contenha um certificado de assinatura, indique os parâmetros Base64 Encoded Signature e Base64 Encoded Certificate.

Resultados da ação

A ação Enviar email fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação Enviar email:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

Além do resultado técnico JSON do objeto de correio, a ação também devolve o ID da mensagem e a data em que um email foi enviado. Os dados adicionais são usados na ação Aguardar correio, se necessário:

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
Mensagens de saída

A ação Enviar email pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Mail sent successfully. Ação efetuada com êxito.
Failed to send email! The Error is ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Enviar email:

Nome do resultado do script Valor
Success_Inidicator Não disponível

Enviar correio HTML

Use a ação Enviar email HTML para enviar um email com o conteúdo do modelo HTML. O campo Send to está separado por vírgulas.

Pode configurar o nome do remetente no cliente de email nas definições da conta.

Esta ação é executada em todas as entidades do Google SecOps.

Dados de ações

A ação Enviar email HTML requer os seguintes parâmetros:

Parâmetro Descrição
Subject Obrigatório

O assunto do email.
Send to Obrigatório

Uma lista de endereços de email separados por vírgulas para os destinatários do email.
CC Opcional

Uma lista de endereços de email separados por vírgulas para o campo CC do email.
BCC Opcional

Uma lista de endereços de email separados por vírgulas para o campo BCC do email.
Attachments Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de ficheiros armazenados no servidor, por exemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obrigatório

O corpo do email.

Resultados da ação

A ação Enviar email HTML fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Enviar resposta à discussão

Use a ação Enviar resposta na discussão para enviar uma mensagem como resposta à discussão de email.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Send Thread Reply requer os seguintes parâmetros:

Parâmetro Descrição
Message ID Obrigatório

O ID da mensagem à qual enviar uma resposta.
Folder Name Obrigatório

Uma lista de pastas da caixa de correio separadas por vírgulas nas quais executar uma pesquisa de um email.

Pode definir pastas específicas de correio, por exemplo, Gmail/Todo o correio para executar uma pesquisa em todas as pastas da caixa de correio do Gmail.

Além disso, o nome da pasta tem de corresponder à pasta IMAP.

Se o nome da pasta contiver espaços, coloque-os entre aspas duplas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.
Content Obrigatório

Um conteúdo da resposta.
Attachment Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de ficheiros armazenados no servidor.

Reply All Opcional

Se estiver selecionada, a ação envia uma resposta a todos os destinatários relacionados com o email original e ignora o parâmetro Reply To.

Selecionado por predefinição.
Reply To Obrigatório

Uma lista de emails separados por vírgulas para onde enviar a resposta.

Se não definir um valor e não selecionar o parâmetro Reply All, a ação envia apenas uma resposta ao remetente do email.

Se selecionar o parâmetro Reply All, a ação ignora este parâmetro.

Resultado da ação

A ação Send Thread Reply (Enviar resposta à discussão) fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Send Thread Reply pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. Ação efetuada com êxito.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

Falha na ação.

Verifique o parâmetro Reply To para enviar respostas apenas para a sua morada.
Error executing action "Send Thread Reply". Reason: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Send Thread Reply:

Nome do resultado do script Valor
is_success True ou False

Enviar correio de voto

Use a ação Enviar email de votação para enviar emails com opções de resposta pré-configuradas para incluir utilizadores que não têm acesso à IU do Google SecOps em processos automatizados.

Esta ação suporta a funcionalidade de votação apenas se os destinatários usarem o Exchange para ver e selecionar corretamente as opções de votação.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Send Vote Mail requer os seguintes parâmetros:

Parâmetro Descrição
Subject Obrigatório

O assunto do email.
Send to Obrigatório

Uma lista de endereços de email separados por vírgulas para os destinatários do email, como user1@example.com, user2@example.com.
CC Opcional

Uma lista de endereços de email separados por vírgulas para o campo CC do email, como user1@example.com, user2@example.com.
BCC Opcional

Uma lista de endereços de email separados por vírgulas para o campo BCC do email, como user1@example.com, user2@example.com.
Attachments Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de ficheiros armazenados no servidor, por exemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Question or Decision Description Obrigatório

A pergunta a fazer aos destinatários ou a decisão para os destinatários responderem.
Structure of voting options Obrigatório

Uma estrutura da votação a enviar aos destinatários.

Os valores possíveis são os seguintes:

  • Yes/No
  • Approve/Reject

O valor predefinido é Yes/No.

Resultados da ação

A ação Send Vote Mail fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Send Vote Mail:

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
Mensagens de saída

A ação Send Vote Mail pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 Ação efetuada com êxito.
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Send Vote Mail:

Nome do resultado do script Valor
is_success True ou False

Aguardar email do utilizador

Use a ação Aguardar email do utilizador para aguardar a resposta do utilizador com base num email enviado com a ação Enviar email.

Esta ação funciona de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Aguardar email do utilizador requer os seguintes parâmetros:

Parâmetro Descrição
Mail message_id Obrigatório

O ID da mensagem do email.

Se a mensagem for enviada através da ação Send Mail, selecione o campo SendEmail.JSONResult|message_id como marcador de posição.
Mail Date Obrigatório

Uma data/hora do email enviado que a ação atual aguarda.

Se uma mensagem for enviada através da ação Enviar correio, selecione o campo SendEmail.JSONResult|email_date como marcador de posição.
Mail Recipients Obrigatório

Uma lista de destinatários de email separados por vírgulas dos quais a ação atual aguarda uma resposta.

Se uma mensagem for enviada através da ação Enviar correio, selecione o campo SendEmail.JSONResult|to_recipients como um marcador de posição.
How long to wait for recipient reply (minutes) Obrigatório

Um período durante o qual a ação aguarda a resposta do utilizador antes de a marcar como com tempo limite excedido.

O valor predefinido é de 1440 minutos.
Wait for All Recipients to Reply? Opcional

Se esta opção estiver selecionada, a ação aguarda respostas de todos os destinatários até atingir um limite de tempo ou avançar com a primeira resposta.

Selecionado por predefinição.
Wait Stage Exclude pattern Opcional

Uma expressão regular para excluir respostas específicas da fase de espera.

Este parâmetro funciona com o corpo do email.

Por exemplo, pode configurar a ação para não considerar as mensagens automáticas de ausência do escritório como respostas de destinatários e, em vez disso, aguardar uma resposta real do utilizador.
Folder to Check for Reply Opcional

Uma pasta de email da caixa de correio para pesquisar a resposta do utilizador. A ação executa uma pesquisa na caixa de correio a partir da qual o email que contém uma pergunta foi enviado.

Este parâmetro aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

Este parâmetro é sensível a maiúsculas e minúsculas.

O valor predefinido é Inbox.
Fetch Response Attachments Opcional

Se esta opção for selecionada e a resposta do destinatário contiver anexos, a ação obtém a resposta e adiciona-a como um anexo para o resultado da ação.

Não selecionado por predefinição.

Resultados da ação

A ação Aguardar email do utilizador fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Resultado do script Disponível
Fixação à parede da caixa

A ação Aguardar email do utilizador devolve o seguinte anexo num mural de registos no Google SecOps:

Campo de anexo Descrição
title

Anexo do destinatário RECIPIENT_EMAIL resposta
filename

ATTACHMENT_NAME. EXTENSION
fileContent

ATTACHED_FILE_CONTENT

O tipo de anexo Entidade é mapeado para o destinatário que respondeu ao message_id que o servidor do Google SecOps monitoriza as respostas.

Resultado JSON

Como resultado JSON, a ação devolve uma combinação das duas seguintes saídas:

  1. Uma saída JSON de objeto de email para o email com uma resposta monitorizada.

    A ação acompanha a resposta por email através de message_id.

  2. Uma saída JSON para o processo de acompanhamento das respostas dos utilizadores.

O método para unir os dados de saída é definido na fase de implementação.

O fluxo para a saída JSON do objeto de correio é o seguinte:

  1. A ação aguarda, pelo menos, uma resposta do utilizador para continuar.

  2. Depois de receber a resposta do primeiro utilizador, a ação atualiza o resultado JSON e prossegue com os resultados da ação.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

O fluxo para a saída do processo de resposta de acompanhamento é o seguinte:

  1. A ação aguarda todas as respostas dos utilizadores para continuar.

  2. Depois de receber respostas dos utilizadores ou atingir o limite de tempo, a ação atualiza o resultado JSON.

    Neste caso, se a ação estiver a aguardar respostas de todos os destinatários e o tempo limite for atingido enquanto aguarda respostas do utilizador, a ação devolve o erro handled_timeout.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
Mensagens de saída

A ação Aguardar email do utilizador pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 Ação efetuada com êxito.

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Aguarde pelos resultados do correio de votos

Use a ação Aguardar resultados do correio de voto para aguardar e obter as respostas de um correio de voto que foi enviado através da ação Enviar correio de voto. A ação Wait for Vote Mail Results encaminha as respostas obtidas para o Google SecOps.

Para acompanhar e obter corretamente os resultados da votação, acompanhe o email de votação. Para mais informações, consulte a ação Enviar email de votação.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Aguardar resultados do email de votação requer os seguintes parâmetros:

Parâmetro Descrição
Vote Mail message_id Obrigatório

O ID da mensagem do email de votação.

Se a mensagem for enviada através da ação Send Vote Mail, selecione o campo SendVoteMail.JSONResult|message_id como marcador de posição.
Mail Recipients Obrigatório

Uma lista de emails de destinatários separados por vírgulas dos quais a ação atual aguarda a resposta.

Selecione o campo SendVoteMail.JSONResult|to_recipients como um marcador de posição.
Folder to Check for Reply Obrigatório

Uma pasta da caixa de correio na qual pesquisar a resposta do utilizador. A ação executa uma pesquisa na caixa de correio a partir da qual o email que contém uma pergunta foi enviado.

Este parâmetro também aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

Este parâmetro é sensível a maiúsculas e minúsculas.

O valor predefinido é Inbox.
Folder to Check for Sent Mail Obrigatório

Uma pasta da caixa de correio para pesquisar o correio enviado. A ação executa uma pesquisa na caixa de correio a partir da qual o email que contém uma pergunta foi enviado.

Este parâmetro também aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

Este parâmetro é sensível a maiúsculas e minúsculas.

O valor predefinido é Sent Items.
How long to wait for recipient reply (minutes) Obrigatório

Um período durante o qual a ação aguarda a resposta do utilizador antes de a marcar como com tempo limite excedido.

O valor predefinido é de 1440 minutos.
Wait for All Recipients to Reply? Opcional

Se esta opção estiver selecionada, a ação aguarda respostas de todos os destinatários até atingir um limite de tempo ou prosseguir com a primeira resposta.

Selecionado por predefinição.

Resultados da ação

A ação Aguardar resultados do voto por correio fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Wait for Vote Mail Results:

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
Mensagens de saída

A ação Wait for Vote Mail Results pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 Ação efetuada com êxito.

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Aguardar resultados do envio por correio de votos:

Nome do resultado do script Valor
is_success True ou False

A funcionalidade de bloqueio de remetentes e domínios

Um dos exemplos de utilização mais comuns para a gestão e a segurança de email é conter ameaças existentes, como emails de phishing, que já se encontram na caixa de entrada da organização e, em seguida, bloquear um remetente ou um domínio suspeito para proteger a sua organização de ataques futuros e evitar possíveis violações de segurança.

No Google SecOps, a integração do Exchange oferece-lhe a funcionalidade Bloquear remetente e domínio, que compreende as seguintes fases sequenciais:

  1. Proteção na organização.

    Use a ação Bloquear remetente por ID da mensagem para adicionar o remetente à lista de bloqueios através do serviço EWS Marcar como lixo eletrónico.

  2. Proteção fora da organização com regras da caixa de entrada.

    Crie regras da caixa de entrada para as adicionar ao nível do cliente e impedir automaticamente que emails prejudiciais cheguem às caixas de correio da sua organização.

  3. Proteção fora da organização com regras da caixa de entrada do servidor.

    Crie regras de caixa de entrada do servidor para impedir que emails suspeitos cheguem à organização.

Pode saber mais acerca destas fases na secção seguinte.

Exemplo de utilização

O exemplo de utilização seguinte mostra um exemplo de uma violação de segurança que é um email suspeito e potencialmente prejudicial.

Depois de descobrir que um email suspeito e prejudicial comprometeu várias caixas de correio da sua organização, a rotina para lidar com este tipo de ameaça é a seguinte:

  1. Corrija a ameaça com a ação Bloquear remetente por ID da mensagem.
  2. Faça a gestão de caixas de correio comprometidas.
  3. Adicionar uma proteção contra o email suspeito recebido noutras caixas de correio também.

Corrija a ameaça

Para corrigir a ameaça, execute a ação Bloquear remetente por ID da mensagem para obter os parâmetros para investigação e mais informações sobre o email suspeito. A ação também lhe permite examinar apenas as caixas de correio comprometidas e processar a ameaça nelas contida.

A ação Bloquear remetente por ID da mensagem aciona o serviço Marcar como lixo do EWS do Exchange para fazer o seguinte:

  1. Mova o email suspeito para a pasta Lixo eletrónico.
  2. Adicionar o remetente do email à lista de remetentes bloqueados da caixa de correio investigada.

Para mais informações sobre a utilização do serviço Marcar como lixo eletrónico, consulte o artigo Adicione e remova endereços de email da lista de remetentes bloqueados através do EWS no Exchange na documentação de produtos Microsoft.

Por um lado, a correção de uma ameaça com a ação Bloquear remetente por ID da mensagem destina-se apenas a caixas de correio comprometidas e pode ser automática. Por outro lado, a ação não pode bloquear um remetente nas caixas de correio não comprometidas nem adicionar domínios através da API à lista de remetentes bloqueados.

Faça a gestão de caixas de correio comprometidas

Depois de corrigir uma ameaça, os passos seguintes consistem em processar caixas de correio comprometidas e proteger todas as caixas de correio na organização contra remetentes maliciosos, mesmo os potenciais.

Para processar caixas de correio comprometidas, execute o conjunto de ações de regras da caixa de entrada que consiste nas seguintes ações:

  1. Adicione domínios às regras da caixa de entrada do Exchange-Siemplify
  2. Adicione remetentes à regra da caixa de entrada do Exchange-Siemplify
  3. Elimine regras da caixa de entrada do Exchange-Siemplify
  4. Listar regras da caixa de entrada do Exchange-Siemplify
  5. Remova domínios das regras da caixa de entrada do Exchange-Siemplify
  6. Remova remetentes das regras da caixa de entrada do Exchange-Siemplify

Para saber mais sobre o serviço usado nas ações, consulte o artigo Gerir regras da caixa de entrada no Exchange na documentação do produto Microsoft.

A integração do Exchange permite-lhe usar um conjunto das seguintes regras predefinidas para as operações mais comuns:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

Elimine permanentemente os emails de remetentes maliciosos

Para manter a mesma lista de regras em todas as caixas de correio, adicione as regras para o utilizador administrador. Para aplicar as regras de administrador a outros utilizadores, execute a operação em todas as caixas de correio.

Para eliminar permanentemente os emails de remetentes maliciosos, conclua os seguintes passos:

  1. No Google SecOps, a partir da conta de administrador, execute a ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify. Introduza o email do remetente malicioso.

  2. Escolha a regra adequada na lista para definir como gerir um email suspeito. Para eliminar permanentemente emails maliciosos, selecione a regra Siemplify – Lista de remetentes – Eliminar permanentemente.

    A ação atualiza a regra da caixa de entrada com o novo remetente malicioso.

  3. Selecione o parâmetro Perform action in all mailboxes para aplicar a regra a todas as caixas de correio.

    Se a regra não existir numa caixa de correio, a ação cria-a. Se a regra já existir numa caixa de correio, a ação atualiza-a com os novos valores dos parâmetros.

  4. Para adicionar uma proteção contra o email suspeito recebido noutras caixas de correio e bloquear o domínio do remetente malicioso, selecione o parâmetro Should add senders' domain to the corresponding Domains List rule as well?.

  5. Reveja outros parâmetros na ação e ajuste-os, se necessário.

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify atualiza várias regras de cada vez de acordo com o parâmetro Mailboxes to process in one batch. A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify funciona em remetentes e domínios, aplica-se a todas as caixas de correio, independentemente de ter sido recebido um email suspeito, e pode ser automática.

O utilizador final pode eliminar as regras aplicadas à respetiva caixa de correio. A aplicação de regras de administrador a outras caixas de correio remove automaticamente as regras de caixa de entrada privadas desativadas.

As ações Bloquear remetente e domínio

Antes de executar as ações da funcionalidade Bloquear remetente e domínio, configure as autorizações mínimas necessárias.

Adicione domínios às regras da caixa de entrada do Exchange-Siemplify

Use a ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify para obter uma lista de domínios como parâmetro ou trabalhe com a entidade Domínio do Google SecOps se os parâmetros estiverem vazios. Esta ação só está disponível para a versão 5.6 e posteriores do Google SecOps.

Antes de executar esta ação, configure as autorizações de ações necessárias.

Pode criar ou atualizar uma regra filtrando os domínios das suas caixas de correio. Pode modificar esta ação através do parâmetro Rule to add Domains to.

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify modifica as regras da caixa de entrada atuais dos seus utilizadores com EWS.

Esta ação é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

Se não definir parâmetros e a versão do Google SecOps for 5.6 ou posterior, esta ação é executada na entidade Domínio.

Dados de ações

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify requer os seguintes parâmetros:

Parâmetro Descrição
Domains Opcional

Uma lista de domínios separada por vírgulas a adicionar à regra.
Rule to add Domains to Obrigatório

Uma regra à qual adicionar domínios.

Se não existir nenhuma regra, a ação cria-a.

Os valores possíveis são os seguintes:

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

O valor predefinido é Siemplify - Domains List - Move To Junk.

Perform action in all mailboxes Opcional

Se estiver selecionada, a ação aplica-se a todas as caixas de correio acessíveis através das definições de roubo de identidade atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 50.

Resultados da ação

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Ação efetuada com êxito.

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Adicione remetentes à regra da caixa de entrada do Exchange-Siemplify

Use a ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify para obter uma lista de endereços de email ou trabalhe com a entidade Utilizador do Google SecOps se os parâmetros estiverem vazios. Pode usar expressões regulares para esta ação.

Pode criar uma nova regra filtrando os remetentes das suas caixas de correio. Pode modificar esta ação através do parâmetro Rule to add senders to.

Antes de executar esta ação, certifique-se de que configura as autorizações de ação necessárias.

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify modifica as regras da caixa de entrada atuais dos seus utilizadores através do EWS.

Esta ação é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

Se a expressão regular de email for válida e não configurar parâmetros, esta ação é executada na entidade User.

Dados de ações

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify requer os seguintes parâmetros:

Parâmetro Descrição
Senders Opcional

Uma lista de endereços de email separados por vírgulas a adicionar à regra.

Se não definir um valor, a ação funciona com a entidade User.
Rule to add senders to Obrigatório

Uma regra à qual adicionar o remetente.

Se não existir nenhuma regra, a ação cria-a.

Os valores possíveis são os seguintes:

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

O valor predefinido é Siemplify - Senders List - Move To Junk.

Should add senders' domain to the corresponding Domains List rule as well? Opcional

Se estiver selecionada, a ação adiciona automaticamente os domínios dos endereços de email fornecidos às regras de domínio correspondentes.

Não selecionado por predefinição.
Perform action in all mailboxes Opcional

Se estiver selecionada, a ação aplica-se a todas as caixas de correio acessíveis através das definições de despersonalização atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 50.

Resultados da ação

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Ação efetuada com êxito.

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte apresenta o valor do resultado do script quando usa a ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Bloqueie o remetente através do ID da mensagem

Use a ação Bloquear remetente por ID da mensagem para obter uma lista de IDs de mensagens como parâmetro e marcar a lista como lixo eletrónico.

Nesta ação, marcar um item como lixo eletrónico adiciona o endereço do remetente do email à lista de remetentes bloqueados e move o item para a pasta Lixo eletrónico.

Esta ação é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

A ação Bloquear remetente por ID da mensagem só é compatível com a versão 2013 e posteriores do Exchange Server. Se usar uma versão anterior, a ação falha com a mensagem correspondente.

Tem de existir uma mensagem do endereço de email suspeito na caixa de correio do utilizador antes de adicionar ou remover o endereço de email da lista de remetentes bloqueados.

A ação Bloquear remetente por ID da mensagem não é executada em entidades do Google SecOps.

Dados de ações

A ação Bloquear remetente por ID da mensagem requer os seguintes parâmetros:

Parâmetro Descrição
Move item to Junk folder? Obrigatório

Se estiver selecionada, a ação move as mensagens especificadas para a pasta Lixo eletrónico.

Selecionado por predefinição.
Message IDs Opcional

Uma condição de filtro para encontrar emails com IDs de email específicos.

Este parâmetro aceita uma lista separada por vírgulas de IDs de mensagens para marcar como lixo eletrónico.

Se indicar o ID da mensagem, a ação ignora os parâmetros Subject Filter, Sender Filter e Recipient Filter.
Mailboxes list to perform on Opcional

Uma condição de filtro para executar a operação numa lista específica de caixas de correio para uma melhor sincronização.

Para marcar mensagens de vários endereços de email como lixo eletrónico, indique uma lista de endereços de email separados por vírgulas.

Se fornecer uma lista de caixas de correio, a ação ignora o parâmetro Perform Action in all Mailboxes.
Folder Name Opcional

Uma pasta da caixa de correio onde pesquisar um email.

Este parâmetro aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

O valor predefinido é Inbox.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do email a pesquisar.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente dos emails pedidos.
Recipient Filter Opcional

Uma condição de filtro que especifica o destinatário dos emails pedidos.
Mark All Matching Emails Opcional

Se selecionada, a ação marca todos os emails da caixa de correio que correspondem aos critérios. Se não estiver selecionada, a ação marca apenas o primeiro email correspondente.

Não selecionado por predefinição.
Perform action in all mailboxes Opcional

Se selecionada, a ação move o email para o lixo eletrónico e bloqueia os emails do remetente em todas as caixas de correio acessíveis através das definições de roubo de identidade atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 25.
Time Frame (minutes) Opcional

O período em minutos para pesquisar emails.

Resultados da ação

A ação Bloquear remetente por ID da mensagem fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Bloquear remetente por ID da mensagem pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 Ação efetuada com êxito.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Falha na ação.

A versão do Exchange Server que está a usar não é suportada.
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Bloquear remetente por ID da mensagem:

Nome do resultado do script Valor
is_success True ou False

Elimine regras da caixa de entrada do Exchange-Siemplify

Use a ação Delete Exchange-Siemplify Inbox Rules para obter um nome de regra como parâmetro e eliminá-lo de todas as caixas de correio especificadas.

Antes de executar esta ação, configure as autorizações de ação necessárias.

A ação Eliminar regras da caixa de entrada do Exchange-Siemplify modifica as regras da caixa de entrada atuais dos seus utilizadores com EWS.

Esta ação é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Eliminar regras da caixa de entrada do Exchange-Siemplify requer os seguintes parâmetros:

Parâmetro Descrição
Rule Name To Delete Obrigatório

Um nome de regra a eliminar completamente das caixas de correio relevantes.

Os valores possíveis são os seguintes:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes Opcional

Se estiver selecionada, a ação aplica-se a todas as caixas de correio acessíveis através das definições de roubo de identidade atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 50.

Resultados da ação

A ação Eliminar regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Eliminar regras da caixa de entrada do Exchange-Siemplify pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Ação efetuada com êxito.
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Delete Exchange-Siemplify Inbox Rules:

Nome do resultado do script Valor
is_success True ou False

List Exchange-Siemplify Inbox Rules

Use a ação List Exchange-Siemplify Inbox Rules para obter um nome de regra das regras da caixa de entrada do Exchange-Siemplify como um parâmetro e listá-lo. Se não existirem caixas de correio para listar, a ação lista as regras para o utilizador com sessão iniciada.

Antes de executar esta ação, configure as autorizações de ação necessárias.

A ação List Exchange-Siemplify Inbox Rules modifica as regras da caixa de entrada atuais dos seus utilizadores com EWS.

Esta ação é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação List Exchange-Siemplify Inbox Rules requer os seguintes parâmetros:

Parâmetro Descrição
Rule Name To List Obrigatório

Um nome de regra a listar das caixas de correio relevantes.

Os valores possíveis são os seguintes:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on Opcional

Uma condição de filtro que especifica a lista de caixas de correio nas quais executar a operação, para uma melhor sincronização.

Este parâmetro aceita uma lista de endereços de email separados por vírgulas para desmarcar as mensagens como lixo eletrónico.

Se for fornecida uma lista de caixas de correio, a ação ignora o parâmetro Perform action in all mailboxes.
Perform action in all mailboxes Opcional

Se estiver selecionada, a ação aplica-se a todas as caixas de correio acessíveis através das definições de roubo de identidade atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 50.

Resultados da ação

A ação List Exchange-Siemplify Inbox Rules fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação List Exchange-Siemplify Inbox Rules:

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
Mensagens de saída

A ação List Exchange-Siemplify Inbox Rules pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 Ação efetuada com êxito.
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação List Exchange-Siemplify Inbox Rules:

Nome do resultado do script Valor
is_success True ou False

Remova domínios das regras da caixa de entrada do Exchange-Siemplify

Use a ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify para obter uma lista de domínios como parâmetro ou trabalhar na entidade Domínio se os parâmetros não forem fornecidos. Esta ação só está disponível para o Google SecOps versão 5.6 e posterior. Pode remover os domínios fornecidos das regras existentes.

Antes de executar esta ação, configure as autorizações de ação necessárias.

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify modifica as regras da caixa de entrada atuais dos seus utilizadores com EWS.

Esta ação é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

Se não configurar parâmetros, esta ação é executada na entidade Domain do Google SecOps.

Dados de ações

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify requer os seguintes parâmetros:

Parâmetro Descrição
Domains Opcional

Uma lista de domínios separados por vírgulas a remover da regra.

Se não definir um valor, a ação funciona com entidades.
Rule to remove Domains from Obrigatório

Uma regra da qual remover domínios.

Se não definir uma regra, a ação falha.

Os valores possíveis são os seguintes:

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

O valor predefinido é Siemplify – Domains List – Move To Junk.

Remove Domains from all available Rules Opcional

Se selecionada, a ação procura os domínios fornecidos em todas as regras da caixa de entrada do Google SecOps.

Não selecionado por predefinição.
Mailboxes list to perform on Opcional

Uma condição de filtro que especifica a lista de caixas de correio nas quais executar a operação, para uma melhor sincronização.

Este parâmetro aceita uma lista de endereços de email separados por vírgulas para desmarcar as mensagens como lixo eletrónico.

Se fornecer uma lista de caixas de correio, a ação ignora o parâmetro Perform action in all mailboxes.
Perform action in all mailboxes Opcional

Se estiver selecionada, a ação aplica-se a todas as caixas de correio acessíveis através das definições de roubo de identidade atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 50.

Resultados da ação

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Ação efetuada com êxito.

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Remova remetentes das regras da caixa de entrada do Exchange-Siemplify

Use o comando Remove Senders from Exchange-Siemplify Inbox Rules para obter uma lista de remetentes de email como parâmetro ou trabalhe com a entidade User se os parâmetros não forem fornecidos.

Pode remover os remetentes indicados das regras existentes.

Antes de executar esta ação, configure as autorizações de ação necessárias.

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify modifica as regras da caixa de entrada atuais dos seus utilizadores com EWS.

Esta ação é executada de forma assíncrona. Ajuste o valor do limite de tempo do script no IDE do Google SecOps para a ação, conforme necessário.

Se não forem fornecidos parâmetros, esta ação é executada na entidade User do Google SecOps.

Dados de ações

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify requer os seguintes parâmetros:

Parâmetro Descrição
Senders Opcional

Uma lista de endereços de email separados por vírgulas a remover da regra.

Se não definir um valor, a ação funciona com a entidade User.
Rule to remove senders from Obrigatório

Uma regra para remover os remetentes.

Se não definir uma regra, a ação falha.

Os valores possíveis são os seguintes:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

O valor predefinido é Siemplify – Senders List – Move To Junk.
Remove senders from all available rules Opcional

Se selecionada, a ação procura os remetentes indicados em todas as regras da caixa de entrada do Google SecOps.

Não selecionado por predefinição.
Should remove senders' domain from the corresponding Domains List rule as well? Opcional

Se estiver selecionada, a ação remove automaticamente os domínios dos endereços de email fornecidos das regras de domínio correspondentes.

Não selecionado por predefinição.
Perform action in all mailboxes Opcional

Se estiver selecionada, a ação aplica-se a todas as caixas de correio acessíveis através das definições de despersonalização atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 50.

Resultados da ação

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 Ação efetuada com êxito.

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Desbloquear remetente por ID da mensagem

Use a ação Desbloquear remetente por ID da mensagem para obter uma lista de IDs de mensagens como parâmetro e desmarcar como lixo eletrónico.

Nesta ação, a desmarcação de um item como lixo eletrónico remove o endereço de email do remetente da lista de remetentes bloqueados. Para mover um item novamente para a pasta de entrada, selecione o parâmetro Move items back to Inbox? nos parâmetros de ação.

O comando Unblock Sender by Message ID é executado de forma assíncrona. Ajuste o valor de tempo limite do script no IDE do Google SecOps para a ação, conforme necessário.

Esta ação só é compatível com o Exchange Server versão 2013 e posteriores. Se usar uma versão anterior, a ação falha com a mensagem correspondente.

Tem de existir uma mensagem do endereço de email suspeito na caixa de correio do utilizador antes de adicionar ou remover o endereço de email da lista de remetentes bloqueados.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Desbloquear remetente por ID da mensagem requer os seguintes parâmetros:

Parâmetro Descrição
Move items back to Inbox? Obrigatório

Se estiver selecionada, a ação move as mensagens especificadas de volta para a pasta Caixa de entrada.

Selecionado por predefinição.
Message IDs Opcional

Uma condição de filtro para desmarcar emails com IDs de email específicos.

Este parâmetro também aceita uma lista separada por vírgulas de IDs de mensagens para desmarcar emails como lixo eletrónico.

Se indicar o ID da mensagem, a ação ignora os parâmetros Subject Filter, Sender Filter e Recipient Filter

Mailboxes list to perform on Opcional

Uma condição de filtro para executar a operação numa lista específica de caixas de correio para uma melhor sincronização.

Para marcar mensagens de vários endereços de email como lixo eletrónico, indique uma lista de endereços de email separados por vírgulas.

Se fornecer uma lista de caixas de correio, a ação ignora o parâmetro Perform action in all mailboxes.
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um email.

Este parâmetro aceita uma lista separada por vírgulas de pastas a partir das quais mover o item.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

O valor predefinido é Junk Email.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do email a pesquisar.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente dos emails pedidos.
Recipient Filter Opcional

Uma condição de filtro que especifica o destinatário dos emails pedidos.
Unmark All Matching Emails Opcional

Se selecionada, a ação desmarca todos os emails da caixa de correio que correspondem aos critérios. Se não estiver selecionada, a ação desmarca apenas o primeiro email correspondente.

Não selecionado por predefinição.
Perform action in all mailboxes Opcional

Se estiver selecionada, a ação aplica-se a todas as caixas de correio acessíveis através das definições de roubo de identidade atuais.

Não selecionado por predefinição.
How many mailboxes to process in a single batch Opcional

Se selecionar o parâmetro Perform action in all mailboxes, a ação funciona em lotes.

Este parâmetro define o número de caixas de correio a processar num único lote (uma única ligação ao servidor de correio).

O valor predefinido é 25.
Time Frame (minutes) Opcional

Um período em minutos para pesquisar emails.

Resultados da ação

A ação Desbloquear remetente por ID da mensagem fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Desbloquear remetente por ID da mensagem pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

Ação efetuada com êxito.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Falha na ação.

A versão do Exchange Server que está a usar não é suportada.
Error performing action: ERROR_REASON

Falha na ação.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Desbloquear remetente por ID da mensagem:

Nome do resultado do script Valor
is_success True ou False

Conetores

Para ver instruções detalhadas sobre como configurar um conector no Google SecOps, consulte o artigo Carregue os seus dados (conectores).

Quando configurar conetores e ações, preste atenção aos espaços e aos símbolos especiais nas suas credenciais. Se a integração rejeitar as suas credenciais, verifique a ortografia.

Para configurar o conector selecionado, use os parâmetros específicos do conector indicados nas tabelas seguintes:

Conector EML do Exchange

O conector EML do Exchange obtém emails do servidor do Exchange e analisa-os. Se existirem ficheiros EML anexados, o conector anexa-os ao registo como eventos. Se existirem vários anexos EML no email, o conector cria vários registos e carrega cada anexo como um evento para cada registo.

Restrições conhecidas

  1. Microsoft 365 e autenticação básica.

    • O conetor EML do Exchange já não suporta a autenticação básica e não pode ser usado com o Microsoft 365. Para o Microsoft 365, use o conector de email do Exchange v2 com OAuth.

  2. As especificações do conector EML do Exchange são as seguintes:

    • O conetor cria alertas do Google SecOps apenas a partir de emails que contêm anexos de ficheiros EML ou MSG.

    • O conetor ignora emails que não contêm anexos de correio.

Entradas do conetor

O conector EML do Exchange requer os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo onde o nome do produto está armazenado.

O valor predefinido é device_product.
EventClassId Obrigatório

Um nome de campo usado para determinar o nome do evento (subtipo).

O valor predefinido é event_name.
Server IP Obrigatório

Um endereço IP do servidor ao qual estabelecer ligação.
Domain Obrigatório

Um valor de domínio a usar para autenticação.
Username Obrigatório

Um nome de utilizador para a caixa de correio a partir da qual quer extrair emails, como user@example.com.
Password Obrigatório

Uma palavra-passe para a caixa de correio de email a partir da qual quer extrair emails.

Mail Address Obrigatório

Um endereço de email para a caixa de correio a monitorizar.

O valor predefinido é Inbox.
Verify SSL Opcional

Se estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao servidor do Exchange é válido.

Não selecionado por predefinição.
Use Domain for Authentication Opcional

Se esta opção for selecionada, a integração usa o domínio como parte das credenciais de autenticação, como user@domain.

Selecionado por predefinição.
Unread Emails Only Opcional

Se esta opção estiver selecionada, os registos são criados apenas a partir de emails não lidos.

Não selecionado por predefinição.
Mark Emails as Read Opcional

Se selecionada, os emails são marcados como lidos após a ingestão.

Não selecionado por predefinição.
Max Days Backwards Opcional

O número de dias antes da primeira iteração do conector para obter os emails. Este parâmetro aplica-se apenas uma vez à iteração inicial do conector depois de ativar o conector pela primeira vez.
PythonProcessTimeout Obrigatório

O limite de tempo limite em segundos para o processo Python que executa o script atual.

O valor predefinido é 30 segundos.
Folder Name Opcional

Um nome de pasta para executar uma pesquisa.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

O valor predefinido é Inbox.
Environment Field Name Opcional

O nome do campo onde o nome do ambiente está armazenado.

Se o campo de ambiente não for encontrado, o ambiente é definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Encode Data as UTF-8 Opcional

Se estiver selecionada, a integração codifica os dados de email com UTF-8. Recomendamos que selecione este parâmetro.

Selecionado por predefinição.
Attach EML or MSG File to the Case Wall Opcional

Se selecionada, a integração anexa o ficheiro EML ou MSG encaminhado à cronologia do registo no Google SecOps.

Não selecionado por predefinição.
Exclusion Body Regex Opcional

Uma expressão regular para excluir emails cujo corpo corresponda ao valor fornecido.

Por exemplo, a expressão regular exclui todos os emails que contenham as palavras-chave Newsletter ou Ausente.'([N|n]ewsletter)|([O|o]ut of office)'
Proxy Server Address Opcional

O endereço do servidor proxy a usar.
Proxy Username Opcional

O nome de utilizador do proxy para autenticação.
Proxy Password Opcional

A palavra-passe do proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionada, o conector tenta extrair URLs da parte HTML do email. Este parâmetro também permite que o conetor extraia URLs complexos, mas não os URLs da parte de texto simples do email.

Os URLs extraídos estão disponíveis no campo do evento urls_from_html_part.

Não selecionado por predefinição.

Regras de conector

  • O conetor EML do Exchange não suporta regras de listas de bloqueio nem listas dinâmicas.

  • O conetor EML do Exchange suporta proxies.

Exchange Mail Connector

Use o Exchange Mail Connector para comunicar com o servidor Exchange e pesquisar emails quase em tempo real e encaminhá-los para tradução e contextualização como alertas em registos do Google SecOps.

Esta secção refere-se à comunicação com um servidor Microsoft Exchange 2007-2019 ou Microsoft 365 através dos serviços Web do Exchange (EWS) e explica como o Google SecOps interage com a interface de correio do Exchange e os fluxos de trabalho e as atividades assistidos na aplicação.

O conector de correio do Exchange permite obter emails do servidor Exchange configurado que analisa cada servidor e, posteriormente, cria novos registos. Pelo menos, uma ocorrência de email inicial está incluída em cada cenário. A principal diferença é que o conetor de correio do Exchange remove emails e gera eventos que analisam os dados EML ou MSG nos emails originais do servidor do Exchange.

Restrições conhecidas

  1. Microsoft 365 e autenticação básica.

    • O conetor de correio do Exchange já não suporta a autenticação básica e não pode ser usado com o Microsoft 365. Para o Microsoft 365, use o conector de email do Exchange v2 com OAuth.

  2. Os requisitos específicos do conetor de correio do Exchange são os seguintes:

    • O conetor cria alertas do Google SecOps apenas a partir de emails originais recebidos contidos na caixa de correio.

    • O conetor ignora os ficheiros EML e MSG anexados.

Entradas do conetor

O conector de correio do Exchange requer os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo onde o nome do produto está armazenado.

O valor predefinido é device_product.
Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor predefinido é event_name.
Server IP Obrigatório

Um endereço IP do servidor ao qual estabelecer ligação.
Domain Obrigatório

Um valor de domínio a usar para autenticação.
Username Obrigatório

Um nome de utilizador para a caixa de correio a partir da qual quer obter emails, como user@example.com.
Password Obrigatório

Uma palavra-passe para a caixa de correio de email a partir da qual quer extrair emails.

Mail Address Obrigatório

Um endereço de email para a caixa de correio a monitorizar.

O valor predefinido é Inbox.
Verify SSL Opcional

Se estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao servidor do Exchange é válido.

Não selecionado por predefinição.

Use Domain for Authentication Opcional

Se selecionado, o domínio é usado como parte das credenciais de autenticação, como user@domain.

Selecionado por predefinição.
Unread Emails Only Opcional

Se selecionada, a integração cria registos apenas a partir de emails não lidos.

Selecionado por predefinição.
Mark Emails as Read Opcional

Se estiver selecionada, a integração marca todos os emails carregados como lidos.

Não selecionado por predefinição.
Max Days Backwards Opcional

O número de dias antes da primeira iteração do conector para obter os emails. Este parâmetro aplica-se apenas uma vez à iteração inicial do conector depois de ativar o conector pela primeira vez.
PythonProcessTimeout Obrigatório

O limite de tempo limite em segundos para o processo Python que executa o script atual.

O valor predefinido é 30 segundos.
Attach Original EML Opcional

Se selecionado, o email original é anexado ao registo como um ficheiro EML.

Não selecionado por predefinição.
Folder Name Opcional

Um nome de pasta para executar uma pesquisa.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

O valor predefinido é Inbox.
Environment Field Name Opcional

Um nome do campo onde o nome do ambiente está armazenado.

Se o campo de ambiente não for encontrado, o ambiente é definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Exclusion Subject Regex Opcional

Uma expressão regular para excluir emails com um assunto que corresponda ao valor fornecido.

Por exemplo, a expressão regular exclui todos os emails que contenham as palavras-chave Newsletter ou Ausente no assunto do email.([N|n]ewsletter)|([O|o]ut of office)
Exclusion Body Regex Opcional

Uma expressão regular para excluir emails com um corpo que corresponda ao valor fornecido.

Por exemplo, a expressão regular exclui todos os emails que contenham as palavras-chave Newsletter ou Ausente no corpo do email.([N|n]ewsletter)|([O|o]ut of office)
Proxy Server Address Opcional

Uma morada do servidor proxy a usar.
Proxy Username Opcional

Um nome de utilizador do proxy para autenticação.
Proxy Password Opcional

Uma palavra-passe do proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionada, o conector tenta extrair URLs da parte HTML do email. Este parâmetro permite que o conetor extraia URLs complexos, mas não os URLs da parte de texto simples do email.

Os URLs extraídos estão disponíveis no campo do evento urls_from_html_part.

Não selecionado por predefinição.

Configure regras de listas dinâmicas

Na secção da lista dinâmica, para extrair valores específicos de emails através de expressões regulares, adicione uma regra no seguinte formato:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Por exemplo, para extrair o ID da mensagem do email, introduza a seguinte regra:

message-id: (?<=Message-ID: ).*

Regras de conector

  • O conetor de correio do Exchange suporta proxies.

  • O conetor de correio do Exchange não suporta a regra de lista de bloqueio.

  • A integração do Exchange usa a secção de listas dinâmicas para definir expressões regulares e ativar o seguinte:

    • Analisar o conteúdo do email.
    • Adicione campos específicos com base na expressão regular que correspondem ao evento de email.

Exchange Mail Connector v2

Use o Exchange Mail Connector v2 para estabelecer ligação ao servidor de correio e verificar se existem novos emails numa caixa de correio específica.

Se aparecer um novo email, o conector aciona a criação e a ingestão de um novo alerta no Google SecOps que contém informações do novo email.

Se não existirem novos emails, o Exchange Mail Connector v2 conclui a iteração atual e aguarda um período definido antes da execução da próxima iteração.

Fluxo de iteração do conetor

Após cada execução, o Exchange Mail Connector v2 atualiza o ficheiro de data/hora com a data e a hora da última execução. O Exchange Mail Connector v2 extrai informações acionáveis para um registo do email como um objeto de email resultado técnico, como, entre outros:

  • Remetente e destinatário do email.
  • Assunto do email.
  • Corpo do email.
  • URLs no email.
  • Anexos, se existirem.

Depois de o Exchange Mail Connector v2 criar os alertas (registos) para carregar para o Google SecOps, a iteração do conector é concluída.

Com base nos dados de registos fornecidos pelo Exchange Mail Connector v2, o servidor do Google SecOps executa procedimentos ETL para carregar novos alertas e criar ou atualizar registos. Se existirem guias interativos relacionados definidos, o Google SecOps executa guias interativos para enriquecer o registo, gerar estatísticas e realizar ações automáticas.

Trabalhe com o modelo de nome de alerta e o modelo de nome de registo

Os parâmetros Alert Name Template e Case Name Template permitem-lhe substituir a forma como o nome do alerta e do registo são criados. Apenas o primeiro alerta define o nome do registo ou do alerta. Todos os outros alertas subsequentes não afetam o nome.

Segue-se um exemplo de um evento do Google SecOps:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para criar um nome personalizado para um alerta do Google SecOps, use o seguinte modelo:

[EVENT_TYPE] - [EVENT_NAME]

Por exemplo, para criar um alerta do Google SecOps denominado Phishing – Example Event, o modelo é o seguinte:

[Phishing] - [Example Event]

Entradas do conetor

No Exchange Mail Connector v2, os seguintes parâmetros podem afetar o processamento de emails:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para mapear os campos to e from dos emails processados, o conector cria os seguintes conjuntos de campos:

  1. Campos normais to e from que contêm endereços de email no seguinte formato: email@example.

  2. to_raw e from_raw que contêm apenas o endereço de email como valor no seguinte formato: email@example.

O Exchange Mail Connector v2 requer os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo onde o nome do produto está armazenado.

O valor predefinido é device_product.
Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor predefinido é event_name.
Mail Server Address Obrigatório

Um endereço IP do servidor de correio para estabelecer ligação.

Quando estabelecer ligação ao Microsoft 365, defina o endereço do servidor como outlook.office365.com.
Verify SSL Opcional

Se estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao servidor do Exchange é válido.

Não selecionado por predefinição.
Mail Address Obrigatório

Um endereço de email para a caixa de correio a monitorizar.

O valor predefinido é Inbox.
Use Domain for Authentication Opcional

Se selecionado, o domínio é usado como parte das credenciais de autenticação, como user@domain.

Selecionado por predefinição.
Domain Obrigatório

Um valor de domínio a usar para autenticação.
Username Obrigatório

O nome de utilizador da caixa de correio a partir da qual extrair emails, como user@example.com.
Password Obrigatório

A palavra-passe da caixa de correio eletrónico a partir da qual quer obter emails.
Unread Emails Only Opcional

Se esta opção estiver selecionada, os registos são criados apenas a partir de emails não lidos.

Selecionado por predefinição.
Mark Emails as Read Opcional

Se selecionada, os emails são marcados como lidos após a ingestão.

Não selecionado por predefinição.
Offset Time In Days Obrigatório

O número de dias antes da primeira iteração do conector para obter os emails. Este parâmetro aplica-se apenas uma vez à iteração inicial do conector depois de ativar o conector pela primeira vez.

O valor predefinido é 5.
Max Emails Per Cycle Obrigatório

O número de emails a obter numa única iteração do conector.

O valor predefinido é 10.
Environment Field Name Opcional

O nome do campo onde o nome do ambiente está armazenado.

Se o campo de ambiente não for encontrado, o ambiente é definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é "".
Headers to add to events Opcional

Uma string separada por vírgulas que especifica os cabeçalhos de email a adicionar aos eventos.

Pode fornecer valores como correspondências exatas ou definir como uma expressão regular.
Email Exclude Pattern Opcional

Uma expressão regular para excluir emails específicos da carregamento.

Este parâmetro funciona com o assunto e o corpo do email. Pode usar este parâmetro para excluir da carregamento emails enviados em massa, como notícias.
PythonProcessTimeout Obrigatório

O limite de tempo limite em segundos para o processo Python que executa o script atual.

O valor predefinido é 60 segundos.
Folder to check for emails Obrigatório

Uma pasta de email para pesquisar os emails. Este parâmetro aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

Este parâmetro é sensível a maiúsculas e minúsculas.

O valor predefinido é Inbox.
Attach Original EML Opcional

Se selecionada, a integração anexa o email original ao registo como um ficheiro EML.

Não selecionado por predefinição.
Fetch Backwards Time Interval (minutes) Opcional

Um intervalo que o conetor usa para obter eventos do período configurado em minutos antes do momento atual. O valor deste parâmetro é uma data/hora da última iteração do conector.

Ajuste este valor de acordo com o ambiente, por exemplo, 60 minutos ou menos.

O valor predefinido é 0.
Proxy Server Address Opcional

Uma morada do servidor proxy a usar.
Proxy Username Opcional

Um nome de utilizador do proxy para autenticação.
Proxy Password Opcional

Uma palavra-passe do proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionada, o conector tenta extrair URLs da parte HTML do email. Este parâmetro permite que o conetor extraia URLs complexos, mas não os URLs da parte de texto simples do email.

Os URLs extraídos estão disponíveis no campo do evento urls_from_html_part.

Não selecionado por predefinição.
Disable Overflow Opcional

Se selecionado, o conetor ignora o mecanismo de overflow.

Não selecionado por predefinição.
Original Received Mail Prefix Opcional

Um prefixo a adicionar às chaves de eventos extraídas, por exemplo, to, from ou subject do email original recebido na caixa de correio monitorizada.

O valor predefinido é orig.
Attached Mail File Prefix Opcional

Um prefixo a adicionar às chaves de eventos extraídas, por exemplo, para, de ou assunto do ficheiro de email anexado recebido na caixa de correio monitorizada.

O valor predefinido é attach.
Create a Separate Siemplify Alert per Attached Mail File? Opcional

Se selecionada, o conector cria vários alertas, com um alerta para cada ficheiro de email anexado.

Se selecionar este parâmetro, o Google SecOps processa emails com vários ficheiros anexados e cria entidades a partir de ficheiros anexados.

Não selecionado por predefinição.
Case Name Template Opcional

Um nome do registo personalizado.

Quando configura este parâmetro, o conetor adiciona uma nova chave denominada custom_case_name ao evento do Google SecOps.

Pode fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conetor usa o primeiro evento do Google SecOps. O conector processa apenas chaves que contêm o valor de string.
Alert Name Template Opcional

Um nome de alerta personalizado.

Pode fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conetor usa o primeiro evento do Google SecOps. Apenas são processadas as chaves que contêm o valor da string. Se não fornecer nenhum valor ou um modelo inválido, o conetor usa o nome do alerta predefinido.
Email Padding Period (minutes) Opcional

Um período para o conetor obter emails antes da data/hora mais recente.
URL Regex Obrigatório

O conetor de expressão regular usado para analisar URLs dos emails processados.

Regras de conector

  • O conetor de correio do Exchange v2 suporta proxy.

  • O Exchange Mail Connector v2 não suporta a regra de lista de bloqueio.

  • A integração do Exchange usa a secção de listas dinâmicas para definir expressões regulares para ativar o seguinte:

    • Analisar o conteúdo do email.
    • Adicione campos específicos com base nas correspondências de expressões regulares ao evento de email.

Conetor de correio do Exchange v2 com autenticação OAuth

Use o conetor de correio do Exchange v2 com OAuth para monitorizar caixas de correio específicas em servidores de correio do Microsoft 365 que requerem autenticação OAuth. Pode usar as ações Obter autorização e Gerar token para obter o token de atualização necessário para a configuração do conetor.

Para executar o Exchange Mail Connector v2 com OAuth, configure a integração para suportar a autenticação OAuth.

Trabalhe com o modelo de nome de alerta e o modelo de nome de registo

Os parâmetros Alert Name Template e Case Name Template permitem-lhe substituir a forma como o nome do alerta e do registo é criado.

Segue-se um exemplo de um evento do Google SecOps:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para criar um nome personalizado para um alerta do Google SecOps, use o seguinte modelo:

[EVENT_TYPE] - [EVENT_NAME]

Por exemplo, para criar um alerta do Google SecOps denominado Phishing – Example Event, o modelo é o seguinte:

[Phishing] - [Example Event]

Entradas do conetor

Em Troque o conector de correio do Exchange v2 pelo OAuth, os seguintes parâmetros podem afetar o processamento de emails:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para mapear os campos to e from dos emails processados, o conetor cria os dois conjuntos de campos seguintes:

  1. Campos to e from normais que contêm endereços de email, como email@example.

  2. Campos to_raw e from_raw que contêm apenas o endereço de email como valor, como email@example.

O Exchange Mail Connector v2 com OAuth requer os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo onde o nome do produto está armazenado.

O valor predefinido é device_product.
Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor predefinido é event_name.
Mail Server Address Obrigatório

Um endereço IP do servidor de correio para estabelecer ligação.

Quando estabelecer ligação ao Microsoft 365, defina o endereço do servidor como outlook.office365.com.
Mail Address Obrigatório

Um endereço de email a usar para o conector.
Client ID Obrigatório

Para a autenticação OAuth do Microsoft 365, um ID da aplicação (cliente) da aplicação Microsoft Entra que usou para a integração.
Client Secret Obrigatório

Para a autenticação OAuth do Microsoft 365, o segredo do cliente que forneceu para o fluxo de autenticação.
Tenant (Directory) ID Obrigatório

Para a autenticação OAuth do Microsoft 365, o ID do inquilino (diretório) da aplicação Microsoft Entra que usou para a integração.
Refresh Token Obrigatório

Para a autenticação OAuth do Microsoft 365, o token de atualização é obtido após gerar um token.
Verify SSL Opcional

Se estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao servidor do Exchange é válido.

Não selecionado por predefinição.
Unread Emails Only Opcional

Se selecionada, a integração cria registos apenas a partir de emails não lidos.

Não selecionado por predefinição.
Mark Emails as Read Opcional

Se selecionado, o conector marca os emails carregados como lidos.

Não selecionado por predefinição.
Offset Time In Days Obrigatório

O número de dias antes da primeira iteração do conector para obter os emails. Este parâmetro aplica-se apenas uma vez à iteração inicial do conector depois de ativar o conector pela primeira vez.

O valor predefinido é 5 dias.
Max Emails Per Cycle Obrigatório

O número de emails a obter numa única iteração do conector.

O valor predefinido é de 10 emails.
Environment Field Name Opcional

O nome do campo onde o nome do ambiente está armazenado.

Se o campo de ambiente não for encontrado, o ambiente é definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é "".
Headers to add to events Opcional

Uma string separada por vírgulas que especifica os cabeçalhos de email a adicionar aos eventos.

Pode fornecer valores como correspondências exatas ou definir como uma expressão regular.
Email Exclude Pattern Opcional

Uma expressão regular para excluir emails específicos da carregamento.

Este parâmetro funciona com o assunto e o corpo do email. Pode usar este parâmetro para excluir da carregamento emails enviados em massa, como notícias.
PythonProcessTimeout Obrigatório

O limite de tempo limite em segundos para o processo Python que executa o script atual.

O valor predefinido é 60.
Folder to check for emails Obrigatório

Uma pasta de email para pesquisar os emails. Este parâmetro aceita uma lista de pastas separadas por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de limite de tempo ou a falha da ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros carateres, como o sublinhado.

Este parâmetro é sensível a maiúsculas e minúsculas.

O valor predefinido é Inbox.
Attach Original EML Opcional

Se selecionado, o email original é anexado ao registo como um ficheiro EML.

Não selecionado por predefinição.
Fetch Backwards Time Interval (minutes) Opcional

Um intervalo que o conetor usa para obter eventos do período configurado em minutos antes do momento atual. O valor deste parâmetro é uma data/hora da última iteração do conector.

Ajuste este valor de acordo com o ambiente, por exemplo, 60 minutos ou menos.

O valor predefinido é 0.
Proxy Server Address Opcional

Uma morada do servidor proxy a usar.
Proxy Username Opcional

Um nome de utilizador do proxy para autenticação.
Proxy Password Opcional

Uma palavra-passe do proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionada, o conector tenta extrair URLs da parte HTML do email. Este parâmetro permite que o conetor extraia URLs complexos, mas não os URLs da parte de texto simples do email.

Os URLs extraídos estão disponíveis no campo do evento urls_from_html_part.

Não selecionado por predefinição.
Disable Overflow Opcional

Se selecionado, o conetor ignora o mecanismo de overflow.

Não selecionado por predefinição.
Original Received Mail Prefix Opcional

Um prefixo a adicionar às chaves de eventos extraídas, por exemplo, to, from ou subject do email original recebido na caixa de correio monitorizada.

O valor predefinido é orig.
Attached Mail File Prefix Opcional

Um prefixo a adicionar às chaves de eventos extraídas, por exemplo, para, de ou assunto do ficheiro de email anexado recebido na caixa de correio monitorizada.

O valor predefinido é attach.
Create a Separate Siemplify Alert per Attached Mail File? Opcional

Se selecionada, o conector cria vários alertas, com um alerta para cada ficheiro de email anexado.

Se selecionar este parâmetro, o Google SecOps processa emails com vários ficheiros anexados e cria entidades a partir de ficheiros anexados.

Não selecionado por predefinição.
Case Name Template Opcional

Um nome do registo personalizado.

Quando configura este parâmetro, o conetor adiciona uma nova chave denominada custom_case_name ao evento do Google SecOps.

Pode fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conetor usa o primeiro evento do Google SecOps. O conector processa apenas chaves que contêm o valor de string.
Alert Name Template Opcional

Parâmetro para definir um nome de alerta personalizado.

Um nome de alerta personalizado.

Pode fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conetor usa o primeiro evento do Google SecOps. Apenas são processadas as chaves que contêm o valor da string. Se não fornecer nenhum valor ou um modelo inválido, o conetor usa o nome do alerta predefinido.
Email Padding Period (minutes) Opcional

Um período para o conetor obter emails antes da data/hora mais recente.

Empregos

Antes de configurar tarefas para a integração do Exchange, certifique-se de que a versão da plataforma Google SecOps as suporta.

Tarefa de renovação do token de atualização

O objetivo da tarefa de renovação do token de atualização é atualizar periodicamente o token de atualização usado na integração.

Por predefinição, o token de atualização expira a cada 90 dias. Recomendamos que execute esta tarefa a cada 7 ou 14 dias para garantir que o token de atualização está atualizado.

Dados de tarefas

A tarefa de renovação do token de atualização requer os seguintes parâmetros:

Parâmetro Descrição
Integration Environments Opcional

Os ambientes de integração para os quais a tarefa atualiza os tokens de atualização.

Este parâmetro aceita vários valores como uma string separada por vírgulas. Inclua os valores individuais entre aspas (" ").
Connector Names Opcional

Os nomes dos conetores para os quais a tarefa atualiza os tokens de atualização.

Este parâmetro aceita vários valores como uma string separada por vírgulas. Inclua os valores individuais entre aspas (" ").

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.