Troca

Versão da integração: 102.0

Este documento fornece orientações sobre como integrar o Exchange ao Google Security Operations SOAR.

Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia compactada do código-fonte completo dessa integração no bucket do Cloud Storage.

Configurar o Exchange Online

Os pré-requisitos e as etapas de configuração variam dependendo de você configurar a integração para o Exchange Online ou o Exchange Server.

A integração do Exchange Online só é compatível com a autenticação delegada do OAuth com tokens delegados, o que exige mais configurações.

As mudanças feitas nas permissões no ambiente do Azure podem levar até 24 horas para entrar em vigor.

Antes de começar

Antes de configurar a integração do Exchange Online, escolha um método de autenticação e conclua todas as etapas de configuração dele. Escolha um dos seguintes métodos:

Atribuir permissões para representar um usuário

Esse método exige que você crie um aplicativo no Microsoft Entra ID e atribua permissões para representar um único usuário.

Criar um aplicativo do Microsoft Entra

Para começar a configuração de representação, registre um novo aplicativo no Microsoft Entra ID.

  1. Faça login no Microsoft Azure e acesse Microsoft Entra ID > Registros de app > Novo registro.
  2. Insira um nome para o app e selecione um Tipo de conta compatível.
  3. Para o URI de redirecionamento, forneça os seguintes valores:
    1. Plataforma: Web
    2. URL de redirecionamento: http://localhost
  4. Clique em Registrar.
  5. Salve os valores de ID do aplicativo (cliente) e ID do diretório (locatário).

Configurar permissões da API

Você precisa conceder ao aplicativo as permissões necessárias para acessar os dados do usuário.

  1. Acesse Permissões da API > Adicionar uma permissão.
  2. Selecione Microsoft Graph > Permissões delegadas.
  3. Na seção Selecionar permissões, escolha EWS e a permissão Ews.AccessAsUser.All.
  4. Clique em Adicionar permissão > Conceder consentimento de administrador.

Criar uma chave secreta do cliente

É necessário criar uma chave secreta do cliente para usar como senha do aplicativo.

  1. Navegue até Certificados e chaves secretas > Nova chave secreta do cliente.
  2. Forneça uma descrição, defina uma validade e clique em Adicionar.
  3. Salve o valor do secret.

Atribua permissões no Exchange Online:

Para concluir a configuração, atribua a função ApplicationImpersonation ao usuário que você quer personificar.

  1. Na Central de administração do Exchange, acesse Funções > Funções de administrador e encontre o grupo de funções que contém a função ApplicationImpersonation (como Gerenciamento de descoberta).
  2. Adicione o usuário que você está representando a esse grupo de funções.

Acesso delegado

Esse método exige que você conceda à conta de serviço permissões diretas a uma caixa de correio usando o PowerShell do Exchange Online.

  1. Conecte-se ao PowerShell do Exchange Online.

  2. Use o cmdlet Add-MailboxPermission para atribuir permissões.

    Por exemplo, para conceder acesso total a uma caixa de correio específica:

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    Para mais informações, consulte Controle de acesso baseado em função para aplicativos no Exchange Online.

Integrar o Exchange Online ao Google SecOps

Para instruções sobre como instalar e configurar a integração no Google SecOps, consulte Configurar integrações.

Para integrar o Exchange Online à plataforma Google SecOps, siga estas etapas no Google SecOps:

  1. Configure os parâmetros iniciais e salve-os.

  2. Gere um token de atualização:

    • Simule um caso no Google SecOps.

    • Execute a ação Receber autorização.

    • Execute a ação Gerar token.

  3. Insira o token de atualização obtido como o valor do parâmetro Refresh Token e salve a configuração.

Configurar parâmetros iniciais

A integração do Exchange Online exige os seguintes parâmetros iniciais:

Parâmetro Descrição
Mail Server Address Obrigatório

Um endereço de servidor de e-mail (nome do host ou endereço IP) a que se conectar.
Mail address Obrigatório

Um endereço de e-mail para usar na integração e trabalhar com os e-mails enviados e recebidos na caixa de correio.
Client ID Obrigatório

Um ID de aplicativo (cliente) do aplicativo Microsoft Entra usado para a integração.

Esse é o valor do ID do aplicativo (cliente) que você salvou ao criar o aplicativo Microsoft Entra.
Client Secret Obrigatório

Um valor de chave secreta do cliente do aplicativo Microsoft Entra usado para a integração.

Esse é o valor da chave secreta do cliente que você salvou ao criar uma chave secreta do cliente.
Tenant (Directory) ID Obrigatório

Um ID de diretório (locatário) do aplicativo Microsoft Entra ID usado para a integração.

Esse é o valor do ID do diretório (locatário) que você salvou ao criar o aplicativo do Microsoft Entra.
Redirect URL Obrigatório

Um URI de redirecionamento configurado no aplicativo do Microsoft Entra.

Mantenha o valor padrão como http://localhost.

Depois de configurar os parâmetros, clique em Salvar.

Gerar um token de atualização

Para gerar um token de atualização, é necessário executar ações manuais em um caso aberto. Se a instância do Google SecOps for nova e não tiver casos, simule um.

Simular um caso

Para simular um caso no Google SecOps, siga estas etapas:

  1. Na navegação à esquerda, selecione Casos.

  2. Na página "Casos", clique em add > Simular casos.

  3. Selecione um dos casos padrão e clique em Criar. Não importa qual caso você escolha simular.

  4. Clique em Simular.

    Se você tiver um ambiente diferente do padrão e quiser usá-lo, selecione o ambiente correto e clique em Simular.

  5. Na guia Casos, clique em Atualizar. O caso simulado aparece na lista de casos.

Executar a ação "Receber autorização"

Use o caso do Google SecOps que você simulou para executar a ação Receber autorização manualmente.

  1. Na guia Casos, selecione o caso simulado para abrir uma visualização de caso.

  2. Clique em Ação manual.

  3. No campo Pesquisar da ação manual, insira Exchange.

  4. Nos resultados da integração do Exchange, selecione Receber autorização. Essa ação retorna um link de autorização usado para fazer login de forma interativa no app do Microsoft Entra.

  5. Clique em Executar.

  6. Depois que a ação for executada, navegue até o mural de casos do caso simulado. No registro de ação Exchange_Get Authorization, clique em Ver mais. Copie o link de autorização.

  7. Abra uma nova janela do navegador no modo de navegação anônima e cole o URL de autorização gerado. A página de login do Azure é aberta.

  8. Faça login com as credenciais de usuário selecionadas para a integração. Depois de fazer login, o navegador vai redirecionar você para um endereço com um código na barra de endereço.

    É esperado que o navegador mostre um erro quando o app redirecionar você para http://localhost.

  9. Copie todo o URL com o código de acesso da barra de endereço.

Executar a ação "Gerar token"

Use o caso do Google SecOps simulado para executar a ação Gerar token manualmente.

  1. Na guia Casos, selecione o caso simulado para abrir uma visualização de caso.

  2. Clique em Ação manual.

  3. No campo Pesquisar da ação manual, insira Exchange.

  4. Nos resultados da integração do Exchange, selecione Gerar token.

  5. No campo Authorization URL, cole o URL inteiro com o código de acesso copiado depois de executar a ação Get Authentication.

  6. Clique em Executar.

  7. Depois que a ação for executada, navegue até o mural de casos do caso simulado. No registro de ação Exchange_Generate Token, clique em Ver mais.

  8. Copie todo o valor do token de atualização gerado.

Configurar o parâmetro "Refresh Token"

  1. Acesse a caixa de diálogo de configuração da integração do Exchange.

  2. Insira o valor do token de atualização que você recebeu ao executar a ação Generate Token no campo Token de atualização.

  3. Clique em Salvar.

  4. Clique em Testar para verificar se a configuração está correta e se a integração funciona conforme o esperado.

Você pode fazer mudanças mais tarde, se necessário. Depois de configuradas, as instâncias podem ser usadas em playbooks. Para informações detalhadas sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Configurar o servidor Exchange

Antes de integrar o Exchange Server ao Google SecOps, configure a autenticação básica para o Exchange Server.

Para autenticar com o Exchange Server, use um nome de usuário e uma senha.

Configurar a autenticação básica

Para configurar a autenticação básica, siga estas etapas:

  1. Verifique se o Exchange Server (um dos servidores no cluster) está acessível no servidor do Google SecOps e atende aos seguintes requisitos:

    • O nome DNS do Exchange Server está sendo resolvido.

    • O endereço IP do Exchange Server está acessível.

    • O Exchange Web Services (EWS) está ativado e hospedado em uma porta acessível ao servidor do Google SecOps.

    Se o servidor Exchange não estiver acessível no servidor SOAR do Google SecOps, use um agente remoto do Google SecOps.

  2. Forneça à integração um nome de usuário (conta de e-mail do usuário) e uma senha. Escolha o usuário para a integração.

  3. Para ações que usam permissões delegadas ou representadas, siga estas etapas:

    1. Conceda acesso delegado ou representação às caixas de correio necessárias a uma conta de e-mail que você usa na integração.

      Recomendamos que você configure o acesso com permissões representadas. Para mais informações, consulte Representação e EWS no Exchange na documentação do produto da Microsoft.

    2. Para acessar outras caixas de correio, atribua as seguintes funções do Exchange ao usuário (caixa de correio) configurado para a integração:

Integrar o Exchange Server ao Google SecOps

Para instruções sobre como instalar e configurar a integração no Google SecOps, consulte Configurar integrações.

Entradas de integração

A integração do Exchange Server exige os seguintes parâmetros:

Parâmetro Descrição
Mail Server Address Obrigatório

Um endereço de servidor de e-mail (nome do host ou endereço IP) a que se conectar.
Mail address Obrigatório

Um endereço de e-mail usado na integração para trabalhar com os e-mails enviados e recebidos na caixa de correio.
Username Obrigatório

Um nome de usuário para autenticar no servidor de e-mail, como exchange_onprem_test@exlab.local.
Password Obrigatório

Uma senha para autenticação no servidor de e-mail.

Ações

As ações listadas nesta seção se enquadram em duas categorias:

  1. As ações comuns de integração do Exchange.

  2. Ações específicas da funcionalidade de bloqueio de remetente e domínio do Exchange.

Permissões necessárias

Para conferir as permissões mínimas necessárias para executar ações comuns, consulte a tabela a seguir:

Ação Permissões necessárias
Excluir e-mail

ApplicationImpersonation

Mailbox Search
Baixar anexo

ApplicationImpersonation


Mailbox Search
Pesquisar e-mails

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

Para conferir as permissões mínimas necessárias para executar ações na funcionalidade "Bloquear remetente e domínio", consulte a tabela a seguir:

Ação Permissões necessárias
Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Excluir regras da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Listar regras da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Remover domínios das regras da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author
Remover remetentes das regras da caixa de entrada do Exchange-Siemplify EDiscovery Group
Author

Excluir e-mail

Use a ação Excluir e-mail para excluir um ou vários e-mails que correspondem aos critérios de pesquisa de uma caixa de e-mails.

A exclusão pode ser aplicada ao primeiro e-mail que corresponde aos critérios de pesquisa ou a todos os e-mails correspondentes.

Para saber quais permissões são necessárias para executar essa ação, consulte a seção permissões de ação deste documento.

Se o usuário estiver off-line, a ação poderá não excluir a mensagem do cliente do Outlook até que ele se reconecte e sincronize a caixa de correio.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Excluir e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um e-mail.

Esse parâmetro aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.
Message IDs Opcional

Uma condição de filtro para pesquisar e-mails com IDs específicos.

Esse parâmetro aceita uma lista separada por vírgulas de IDs de mensagens a serem pesquisadas.

Se você fornecer o ID da mensagem, a ação vai ignorar os parâmetros Subject Filter, Sender Filter e Recipient Filter.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente dos e-mails solicitados.
Recipient Filter Opcional

Uma condição de filtro que especifica o destinatário dos e-mails solicitados.
Delete All Matching Emails Opcional

Se selecionada, a ação exclui todos os e-mails que correspondem aos critérios. Se não estiver marcada, a ação vai excluir apenas o primeiro e-mail correspondente.

Não selecionada por padrão.
Delete from all mailboxes Opcional

Se selecionada, a ação exclui e-mails em todas as caixas de correio acessíveis usando as configurações atuais de representação.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

Se você selecionou o parâmetro Delete from all mailboxes, a ação funciona em lotes.

O valor padrão é 25.
Time Frame (minutes) Opcional

O período em minutos para pesquisar e-mails.

Saídas de ação

A ação Excluir e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Excluir e-mail pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
NUMBER_OF_EMAILS email(s) were deleted successfully. A ação foi concluída.
Error deleting emails.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Excluir e-mail:

Nome do resultado do script Valor
is_success True ou False

Baixar anexos

Use a ação Fazer o download de anexos para baixar anexos de e-mail de um e-mail para um caminho específico no servidor do Google SecOps. A ação substitui automaticamente a barra invertida ou os caracteres de espaço em branco nos nomes dos anexos baixados pelo caractere de sublinhado.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Baixar anexos exige os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um e-mail.

Esse parâmetro aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.
Download Path Obrigatório

Um caminho no servidor do Google SecOps para baixar anexos de e-mail.
Message IDs Opcional

Uma condição de filtro para pesquisar e-mails com IDs específicos.

Esse parâmetro aceita uma lista separada por vírgulas de IDs de mensagens a serem pesquisadas.

Se você fornecer o ID da mensagem, a ação vai ignorar o parâmetro Subject Filter.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente de e-mail a ser pesquisado.
Only Unread Opcional

Se selecionada, a ação baixa anexos apenas de e-mails não lidos.

Não selecionada por padrão.
Download Attachments from EML Opcional

Se selecionada, a ação baixa os anexos dos arquivos EML anexados.

Não selecionada por padrão.
Download Attachments to unique path? Opcional

Se selecionada, a ação baixa os anexos para um caminho exclusivo no valor fornecido no parâmetro Download Path para evitar a substituição dos anexos baixados anteriormente.

Não selecionada por padrão.
Search in all mailboxes Opcional

Se selecionada, a ação executa uma pesquisa em todas as caixas de correio acessíveis usando as configurações de representação atuais.

Não selecionada por padrão.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

Se você selecionou o parâmetro Search in all mailboxes, a ação funciona em lotes.

O valor padrão é 25.
Mailboxes Opcional

Uma lista separada por vírgulas de caixas de correio para pesquisar.

Esse parâmetro tem prioridade sobre o parâmetro Search in all mailboxes.

Saídas de ação

A ação Baixar anexos fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Baixar anexos:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
Mensagens de saída

A ação Baixar anexos pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS A ação foi concluída.
Failed to download email attachments, the error is: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Fazer o download dos anexos:

Nome do resultado do script Valor
file_paths Uma string de caminhos completos separados por vírgulas para os anexos salvos.

Extrair dados EML

Use a ação Extrair dados EML para extrair dados dos anexos EML de e-mail.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Extrair dados EML exige os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Pasta de onde um e-mail será buscado.

O valor padrão é Inbox.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.
Message ID Obrigatório

ID da mensagem, como 1701cf01ba314032b2f1df43262a7723@example.com.
Regex Map JSON Opcional

Expressão regular para selecionar e-mails com base na correspondência da parte do corpo do e-mail, por exemplo, {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}.

Saídas de ação

A ação Extrair dados EML fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Extrair dados EML:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Extrair dados de EML:

Nome do resultado do script Valor
eml_data EML_DATA

Gerar token

Use a ação Gerar token para receber um token de atualização da configuração de integração com autenticação OAuth. Use o URL de autorização que você recebeu na ação Receber autorização.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Gerar token exige os seguintes parâmetros:

Parâmetro Descrição
Authorization URL Obrigatório

URL de autorização recebido na ação Receber autorização para solicitar um token de atualização.

Saídas de ação

A ação Gerar token fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Gerar token pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. A ação foi concluída.
Failed to get the refresh token! The Error is ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Gerar token:

Nome do resultado do script Valor
is_success True ou False

Get Account Out Of Facility Settings

Use a ação Get Account Out Of Facility Settings para extrair as configurações de fora da instalação (OOF) da entidade User do Google SecOps fornecida.

Se a entidade de usuário de destino for um nome de usuário e não um e-mail, execute a ação Enriquecer entidades do Active Directory para recuperar informações sobre o e-mail do usuário armazenado no Active Directory.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Get Account Out Of Facility Settings fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Disponível
Tabela de enriquecimento de entidades Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela do painel de casos

A ação Get Account Out Of Facility Settings retorna a seguinte tabela em um painel de casos no Google SecOps:

Nome da tabela: Configurações fora da unidade

Colunas da tabela:

  • Parâmetro
  • Valor
Enriquecimento de entidade

A ação Get Account Out Of Facility Settings é compatível com o seguinte enriquecimento de entidade:

Campo de aprimoramento Origem (chave JSON) Lógica
Exchange.oof_settings OofSettings A ação retorna o estado desativado ou ativado com base na resposta da API.
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Get Account Out Of Facility Settings:

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
Mensagens de saída

A ação Get Account Out Of Facility Settings pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 A ação foi concluída.
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Receber autorização

Use a ação Receber autorização para receber um link com o código de acesso para a configuração de integração com autenticação OAuth. Copie o link e use-o na ação Gerar token para receber o token de atualização.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Receber autorização fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Disponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível

A ação Receber autorização retorna o seguinte link:

Nome: Acesse este link de autorização

Link: AUTHORIZATION_LINK

Mensagens de saída

A ação Receber autorização pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. A ação foi concluída.
Failed to generate authorization URL! The Error is ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber autorização:

Nome do resultado do script Valor
is_success True ou False

Receber arquivo EML de e-mail

Use a ação Get Mail EML File para recuperar um arquivo EML de mensagem.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Receber arquivo EML de e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta para buscar um e-mail.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.
Message ID Obrigatório

O ID da mensagem, como 1701cf01ba314032b2f1df43262a7723@example.com.
Base64 Encode Opcional

Se selecionada, a ação codifica o arquivo de e-mail em formato base64.

Não selecionada por padrão.

Saídas de ação

A ação Receber arquivo EML de e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber arquivo EML de e-mail:

Nome do resultado do script Valor
eml_info EML_INFORMATION

Mover e-mail para pasta

Use a ação Mover e-mail para pasta para mover um ou vários e-mails da pasta de e-mail de origem para outra pasta em uma caixa de e-mails.

Dependendo do caso de uso, a ação retorna uma quantidade diferente de informações sobre e-mails processados no resultado JSON.

Se você selecionar o parâmetro Limitar a quantidade de informações no resultado JSON, o resultado JSON vai conter apenas os seguintes campos de e-mail: datetime_received, message_id, sender, subject, to_recipients. Caso contrário, o resultado JSON vai conter todas as informações disponíveis sobre o e-mail processado.

Se você selecionar o parâmetro Desativar o resultado JSON da ação, a ação não vai retornar o resultado JSON.

A ação Mover e-mail para pasta não é executada em entidades do Google SecOps.

Entradas de ação

A ação Mover e-mail para pasta exige os seguintes parâmetros:

Parâmetro Descrição
Source Folder Name Obrigatório

Uma pasta de origem para mover e-mails.
Destination Folder Name Obrigatório

Uma pasta de destino para mover os e-mails.
Subject Filter Opcional

Uma condição de filtro para pesquisar e-mails por assunto específico.
Message IDs Opcional

Uma condição de filtro para pesquisar e-mails com IDs específicos.

Esse parâmetro também aceita uma lista separada por vírgulas de IDs de mensagens para pesquisar.

Se você fornecer o ID da mensagem, a ação vai ignorar o parâmetro Subject Filter.
Only Unread Opcional

Uma condição de filtro para pesquisar apenas e-mails não lidos.

Não selecionada por padrão.
Move In All Mailboxes Opcional

Se selecionada, a ação pesquisa e move e-mails em todas as caixas de correio acessíveis pelas configurações atuais de despersonalização.

Não selecionada por padrão.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

Se você selecionar o parâmetro Move In All Mailboxes, a ação vai funcionar em lotes.

O valor padrão é 25.
Time Frame (minutes) Opcional

Um período em minutos para pesquisar e-mails.
Limit the Amount of Information Returned in the JSON Result Opcional

Se selecionada, a ação vai retornar informações apenas sobre os campos principais de e-mail. Se não for selecionada, a ação vai retornar informações sobre todos os campos de e-mail.

Essa opção é selecionada por padrão.
Disable the Action JSON Result Opcional

Se selecionada, a ação não vai retornar o resultado JSON.

Não selecionada por padrão.

Saídas de ação

A ação Mover e-mail para pasta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Mover e-mail para pasta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 A ação foi concluída.
Error search emails: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mover e-mail para pasta:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação Ping para testar uma conexão com a instância do Microsoft Exchange.

É possível executar essa ação manualmente, não como parte do fluxo do manual.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

N/A

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully connected to the Microsoft Exchange server with the provided connection parameters! A ação foi concluída.
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Salvar anexos de e-mail no caso

Use a ação Salvar anexos de e-mail no caso para salvar anexos de e-mail de um e-mail armazenado na caixa de correio monitorada no mural do caso do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Salvar anexos de e-mail no caso exige os seguintes parâmetros:

Parâmetro Descrição
Folder Name Obrigatório

Uma pasta da caixa de correio para pesquisar um e-mail.

Esse parâmetro também aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.
Message IDs Obrigatório

O ID da mensagem para encontrar um e-mail específico e baixar anexos dele.
Attachment To Save Opcional

Se você não configurar esse parâmetro, a ação vai salvar todos os anexos de e-mail na linha do tempo do caso por padrão. Caso contrário, a ação salva apenas o anexo especificado no mural de casos.

Saídas de ação

A ação Salvar anexos de e-mail no caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Salvar anexos de e-mail no caso pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 A ação foi concluída.
Failed to save the email attachments to the case, the error is: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Salvar anexos de e-mail no caso:

Nome do resultado do script Valor
is_success True ou False

Pesquisar e-mails

Use a ação Pesquisar e-mails para encontrar mensagens específicas em uma caixa de correio configurada usando vários critérios de pesquisa. Essa ação retorna informações sobre e-mails encontrados em uma caixa de correio no formato JSON.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Pesquisar e-mails exige os seguintes parâmetros:

Parâmetro Descrição
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um e-mail.

Esse parâmetro aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.
Sender Filter Opcional

Uma condição de filtro para especificar o remetente dos e-mails solicitados.
Recipient Filter Opcional

Uma condição de filtro para especificar o destinatário dos e-mails solicitados.
Time Frame (minutes) Opcional

Um período em minutos para pesquisar e-mails.
Only Unread Opcional

Se selecionada, a ação pesquisa apenas e-mails não lidos.

Não selecionada por padrão.
Max Emails To Return Opcional

O número máximo de e-mails a serem retornados no resultado da ação.
Search in all mailboxes Opcional

Se selecionada, a ação executa uma pesquisa em todas as caixas de correio acessíveis usando as configurações atuais de representação.

Não selecionada por padrão.
How many mailboxes to process in a single batch Obrigatório

O número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

Se você selecionar o parâmetro Search in all mailboxes, a ação vai funcionar em lotes.

O valor padrão é 25.
Start Time Opcional

O horário de início da pesquisa de e-mail.

O formato a ser usado é ISO 8601. Esse parâmetro tem prioridade sobre o parâmetro Time Frame (minutes).
End Time Opcional

O horário de término da pesquisa de e-mail.

O formato a ser usado é ISO 8601. Se você não definir um valor e o parâmetro Start Time for válido, a ação vai definir o valor End Time como a hora atual.
Mailboxes Opcional

Uma lista separada por vírgulas de caixas de correio para pesquisar.

Esse parâmetro tem prioridade sobre o Search in all mailboxes.
Message IDs Opcional

Uma lista separada por vírgulas de IDs de mensagens a serem pesquisadas.

Esse filtro tem prioridade sobre outras condições de filtro.
Body Regex Filter Opcional

Um padrão de expressão regular para pesquisar no corpo do e-mail.

Saídas de ação

A ação Search Mails fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Disponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela do painel de casos

A ação Pesquisar e-mails retorna a seguinte tabela em um mural de caso no Google SecOps:

Título da tabela: Correspondências

Colunas da tabela:

  • Message_id
  • Data de recebimento
  • Remetente
  • Destinatários
  • Assunto
  • Corpo do e-mail
  • Nomes dos anexos (como uma lista separada por vírgulas)

Se você selecionar o parâmetro Search in all mailboxes, a ação vai adicionar a coluna Encontrado na caixa de correio à tabela para indicar em qual caixa de correio o e-mail foi encontrado.

Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar e-mails:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
Mensagens de saída

A ação Pesquisar e-mails pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 A ação foi concluída.

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar e-mails:

Nome do resultado do script Valor
mails_json Indisponível

Enviar e-mail e aguardar (descontinuado)

Enviar e-mail e aguardar ação. O campo "Enviar para" é separado por vírgulas. O nome de exibição do remetente pode ser configurado no cliente em "Configurações da conta".

Entradas de ação

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Assunto String N/A Sim O assunto do e-mail.
Enviar para String user@example.com Sim

Endereço de e-mail do destinatário.

Vários endereços podem ser separados por vírgulas.
CC String user@example.com Não

Endereço de e-mail em Cc.

Vários endereços podem ser separados por vírgulas.
BCC String N/A Não

Endereço de e-mail CCO.

Vários endereços podem ser separados por vírgulas.
Conteúdo do e-mail String N/A Sim Corpo do e-mail
Buscar anexos de resposta Caixa de seleção Desmarcado Não Permite anexar arquivos do e-mail de resposta.
Pasta para verificar se há uma resposta String Caixa de entrada Não

O parâmetro pode ser usado para especificar a pasta de e-mail da caixa de correio (a caixa de correio usada para enviar o e-mail com a pergunta) e pesquisar a resposta do usuário nessa pasta.

O parâmetro também aceita uma lista separada por vírgulas de pastas para verificar a resposta do usuário em várias pastas.

O parâmetro diferencia maiúsculas de minúsculas.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Mail_body N/A N/A
Resultado do JSON

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

Enviar e-mail

Use a ação Enviar e-mail para enviar um e-mail de uma caixa de e-mails específica para uma lista de destinatários. Você pode usar essa ação para informar os usuários sobre o seguinte:

  • Alertas específicos criados no Google SecOps.
  • Resultados do processamento de alertas específicos.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Enviar e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Subject Obrigatório

O assunto do e-mail.
Send to Obrigatório

Uma lista separada por vírgulas de endereços de e-mail dos destinatários, como user1@example.com, user2@example.com.
CC Opcional

Uma lista de endereços de e-mail separados por vírgulas para o campo "Cc" do e-mail, como user1@example.com, user2@example.com.
BCC Opcional

Uma lista de endereços de e-mail separados por vírgulas para o campo Cco do e-mail, como user1@example.com, user2@example.com.
Attachments Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de arquivos armazenados no servidor, como C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obrigatório

O corpo do e-mail.
Reply-To Recipients Opcional

Uma lista separada por vírgulas de destinatários usada no cabeçalho Reply-To.

A ação adiciona o cabeçalho Responder a para enviar respostas de e-mail a endereços específicos em vez do endereço do remetente indicado no campo De.
Base64 Encoded Certificate Opcional

Um certificado codificado em base64 usado para criptografar um e-mail.

Para criptografar o e-mail, esse parâmetro é suficiente. Para assinar o e-mail, forneça também o parâmetro Base64 Encoded Signature.
Base64 Encoded Signature Opcional

Um certificado codificado em base64 usado para assinar um e-mail.

Para que a assinatura funcione e contenha um certificado de assinatura, forneça os parâmetros Base64 Encoded Signature e Base64 Encoded Certificate.

Saídas de ação

A ação Enviar e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enviar e-mail:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

Além do resultado técnico JSON do objeto de e-mail, a ação também retorna o ID da mensagem e a data em que um e-mail foi enviado. Os dados adicionais são usados na ação Aguardar e-mail, se necessário:

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
Mensagens de saída

A ação Enviar e-mail pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Mail sent successfully. A ação foi concluída.
Failed to send email! The Error is ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar e-mail:

Nome do resultado do script Valor
Success_Inidicator Indisponível

Enviar e-mail HTML

Use a ação Enviar e-mail HTML para enviar um e-mail com o conteúdo do modelo HTML. O campo Send to é separado por vírgulas.

É possível configurar o nome do remetente no cliente de e-mail nas configurações da conta.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Enviar e-mail HTML exige os seguintes parâmetros:

Parâmetro Descrição
Subject Obrigatório

O assunto do e-mail.
Send to Obrigatório

Uma lista separada por vírgulas de endereços de e-mail dos destinatários da mensagem.
CC Opcional

Uma lista de endereços de e-mail separados por vírgula para o campo "Cc" do e-mail.
BCC Opcional

Uma lista de endereços de e-mail separados por vírgula para o campo CCO do e-mail.
Attachments Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de arquivos armazenados no servidor, por exemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Mail content Obrigatório

O corpo do e-mail.

Saídas de ação

A ação Enviar e-mail HTML fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Enviar resposta na conversa

Use a ação Enviar resposta na conversa para enviar uma mensagem como resposta à conversa por e-mail.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Enviar resposta de conversa exige os seguintes parâmetros:

Parâmetro Descrição
Message ID Obrigatório

O ID da mensagem a ser respondida.
Folder Name Obrigatório

Uma lista separada por vírgulas de pastas da caixa de correio em que uma pesquisa de um e-mail será executada.

Você pode definir pastas específicas de e-mail, por exemplo, Gmail/Todos os e-mails para fazer uma pesquisa em todas as pastas da caixa de e-mails do Gmail.

Além disso, o nome da pasta precisa corresponder à pasta IMAP.

Se o nome da pasta contiver espaços, coloque-os entre aspas duplas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.
Content Obrigatório

O conteúdo da resposta.
Attachment Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de arquivos armazenados no servidor.

Reply All Opcional

Se selecionada, a ação envia uma resposta a todos os destinatários relacionados ao e-mail original e ignora o parâmetro Reply To.

Essa opção é selecionada por padrão.
Reply To Obrigatório

Uma lista de e-mails separados por vírgulas para enviar a resposta.

Se você não definir um valor nem selecionar o parâmetro Reply All, a ação vai enviar uma resposta apenas para o remetente do e-mail.

Se você selecionar o parâmetro Reply All, a ação vai ignorar esse parâmetro.

Saída da ação

A ação Enviar resposta da conversa fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Enviar resposta na conversa pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. A ação foi concluída.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

Falha na ação.

Marque o parâmetro Reply To para enviar respostas apenas para seu endereço.
Error executing action "Send Thread Reply". Reason: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar resposta da conversa:

Nome do resultado do script Valor
is_success True ou False

Enviar voto por correio

Use a ação Enviar e-mail de votação para enviar e-mails com opções de resposta pré-configuradas e incluir usuários que não têm acesso à interface do Google SecOps em processos automatizados.

Essa ação só é compatível com o recurso de votação se os destinatários usarem o Exchange para visualizar e selecionar corretamente as opções de voto.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Enviar correspondência de votação exige os seguintes parâmetros:

Parâmetro Descrição
Subject Obrigatório

O assunto do e-mail.
Send to Obrigatório

Uma lista separada por vírgulas de endereços de e-mail dos destinatários, como user1@example.com, user2@example.com.
CC Opcional

Uma lista de endereços de e-mail separados por vírgulas para o campo "Cc" do e-mail, como user1@example.com, user2@example.com.
BCC Opcional

Uma lista de endereços de e-mail separados por vírgulas para o campo Cco do e-mail, como user1@example.com, user2@example.com.
Attachments Paths Opcional

Uma lista separada por vírgulas de caminhos para anexos de arquivos armazenados no servidor, por exemplo, C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg.
Question or Decision Description Obrigatório

A pergunta a ser feita aos destinatários ou a decisão que eles precisam tomar.
Structure of voting options Obrigatório

Uma estrutura da votação a ser enviada aos destinatários.

Os valores possíveis são:

  • Yes/No
  • Approve/Reject

O valor padrão é Yes/No.

Saídas de ação

A ação Enviar correspondência de voto fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enviar e-mail de votação:

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
Mensagens de saída

A ação Enviar e-mail de votação pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 A ação foi concluída.
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar e-mail de voto:

Nome do resultado do script Valor
is_success True ou False

Aguardar e-mail do usuário

Use a ação Aguardar e-mail do usuário para esperar a resposta do usuário com base em um e-mail enviado com a ação Enviar e-mail.

Essa ação funciona de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Aguardar e-mail do usuário exige os seguintes parâmetros:

Parâmetro Descrição
Mail message_id Obrigatório

O ID da mensagem do e-mail.

Se a mensagem for enviada usando a ação Send Mail, selecione o campo SendEmail.JSONResult|message_id como um marcador de posição.
Mail Date Obrigatório

Um carimbo de data/hora do e-mail enviado que a ação atual aguarda.

Se uma mensagem for enviada usando a ação Enviar e-mail, selecione o campo SendEmail.JSONResult|email_date como um marcador de posição.
Mail Recipients Obrigatório

Uma lista separada por vírgulas de destinatários de e-mail de quem a ação atual aguarda uma resposta.

Se uma mensagem for enviada usando a ação Enviar e-mail, selecione o campo SendEmail.JSONResult|to_recipients como um espaço reservado.
How long to wait for recipient reply (minutes) Obrigatório

Um período para a ação aguardar a resposta do usuário antes de marcá-la como expirada.

O valor padrão é 1440 minutos.
Wait for All Recipients to Reply? Opcional

Se selecionada, a ação aguarda respostas de todos os destinatários até atingir um tempo limite ou prosseguir com a primeira resposta.

Essa opção é selecionada por padrão.
Wait Stage Exclude pattern Opcional

Uma expressão regular para excluir respostas específicas da etapa de espera.

Esse parâmetro funciona com o corpo do e-mail.

Por exemplo, você pode configurar a ação para não considerar as mensagens automáticas de ausência do trabalho como respostas do destinatário e, em vez disso, aguardar uma resposta real do usuário.
Folder to Check for Reply Opcional

Uma pasta de e-mail da caixa de correio para pesquisar a resposta do usuário. A ação faz uma pesquisa na caixa de correio de onde o e-mail com uma pergunta foi enviado.

Esse parâmetro aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

Esse parâmetro diferencia maiúsculas de minúsculas.

O valor padrão é Inbox.
Fetch Response Attachments Opcional

Se selecionada e a resposta do destinatário contiver anexos, a ação vai recuperar a resposta e adicioná-la como um anexo ao resultado da ação.

Não selecionada por padrão.

Saídas de ação

A ação Aguardar e-mail do usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Disponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Anexo do Painel de Casos

A ação Aguardar e-mail do usuário retorna o seguinte anexo em um mural de caso no Google SecOps:

Campo de anexo Descrição
title

Anexo do destinatário Resposta RECIPIENT_EMAIL
filename

ATTACHMENT_NAME. EXTENSION
fileContent

ATTACHED_FILE_CONTENT

O tipo de anexo Entidade é mapeado para o destinatário que respondeu ao message_id que o servidor do Google SecOps rastreia as respostas para.

Resultado JSON

Como um resultado JSON, a ação retorna uma combinação das duas saídas a seguir:

  1. Uma saída JSON de objeto de e-mail para o e-mail com uma resposta rastreada.

    A ação rastreia a resposta por e-mail usando message_id.

  2. Uma saída JSON para o processo de rastreamento de respostas dos usuários.

O método para mesclar os dados de saída é definido na fase de implementação.

O fluxo para a saída JSON do objeto de e-mail é o seguinte:

  1. a ação aguarda pelo menos uma resposta do usuário para continuar.

  2. Depois de receber a resposta do primeiro usuário, a ação atualiza o resultado JSON e continua com os resultados da ação.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

O fluxo para a saída do processo de resposta de rastreamento é o seguinte:

  1. A ação aguarda todas as respostas do usuário para continuar.

  2. Depois de receber respostas dos usuários ou atingir o tempo limite, a ação atualiza o resultado JSON.

    Nesse caso, se a ação estiver aguardando respostas de todos os destinatários e o tempo limite for atingido enquanto aguarda as respostas do usuário, a ação vai retornar o erro handled_timeout.

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
Mensagens de saída

A ação Aguardar e-mail do usuário pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 A ação foi concluída.

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Aguarde os resultados da votação por correio

Use a ação Aguardar resultados do correio de votação para aguardar e recuperar as respostas de um correio de votação enviado com a ação Enviar correio de votação. A ação Aguardar resultados da votação por correio encaminha as respostas recuperadas para o Google SecOps.

Para rastrear e recuperar corretamente os resultados da votação, rastreie o e-mail de votação. Para mais informações, consulte a ação Enviar e-mail de voto.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Aguardar resultados da votação por correio exige os seguintes parâmetros:

Parâmetro Descrição
Vote Mail message_id Obrigatório

O ID da mensagem do e-mail de votação.

Se a mensagem for enviada usando a ação Send Vote Mail, selecione o campo SendVoteMail.JSONResult|message_id como um marcador de posição.
Mail Recipients Obrigatório

Uma lista separada por vírgulas de e-mails dos destinatários de quem a ação atual aguarda uma resposta.

Selecione o campo SendVoteMail.JSONResult|to_recipients como um marcador de posição.
Folder to Check for Reply Obrigatório

Uma pasta da caixa de e-mails para pesquisar a resposta do usuário. A ação faz uma pesquisa na caixa de correio de onde o e-mail com uma pergunta foi enviado.

Esse parâmetro também aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

Esse parâmetro diferencia maiúsculas de minúsculas.

O valor padrão é Inbox.
Folder to Check for Sent Mail Obrigatório

Uma pasta da caixa de e-mails para pesquisar o e-mail enviado. A ação faz uma pesquisa na caixa de correio de onde o e-mail com uma pergunta foi enviado.

Esse parâmetro também aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

Esse parâmetro diferencia maiúsculas de minúsculas.

O valor padrão é Sent Items.
How long to wait for recipient reply (minutes) Obrigatório

Um período para a ação aguardar a resposta do usuário antes de marcá-la como tempo limite excedido.

O valor padrão é 1440 minutos.
Wait for All Recipients to Reply? Opcional

Se selecionada, a ação aguarda respostas de todos os destinatários até atingir um tempo limite ou prosseguir com a primeira resposta.

Essa opção é selecionada por padrão.

Saídas de ação

A ação Aguardar resultados da votação por correio fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Aguardar resultados da votação por correio:

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
Mensagens de saída

A ação Aguardar resultados da votação por correio pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 A ação foi concluída.

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Aguardar resultados da correspondência de voto:

Nome do resultado do script Valor
is_success True ou False

A funcionalidade "Bloquear remetente e domínio"

Um dos casos de uso mais comuns para gerenciamento e segurança de e-mail é conter ameaças atuais, como e-mails de phishing, que já estão na caixa de entrada da organização. Depois, é possível bloquear um remetente ou domínio suspeito para proteger a organização contra ataques futuros e evitar possíveis violações de segurança.

No Google SecOps, a integração do Exchange oferece a funcionalidade Bloquear remetente e domínio, que inclui as seguintes etapas sequenciais:

  1. Proteção na organização.

    Use a ação Bloquear remetente por ID da mensagem para adicionar o remetente à lista de bloqueio usando o serviço EWS Marcar como lixo eletrônico.

  2. Proteção fora da organização com regras da caixa de entrada.

    Crie regras de caixa de entrada para adicioná-las no nível do cliente e impedir automaticamente que e-mails nocivos cheguem às caixas de correio da sua organização.

  3. Proteção fora da organização com regras da caixa de entrada do servidor.

    Crie regras de caixa de entrada do servidor para impedir que e-mails suspeitos cheguem à organização.

Saiba mais sobre essas etapas na seção a seguir.

Caso de uso

O caso de uso a seguir mostra um exemplo de violação de segurança que é um e-mail suspeito e potencialmente prejudicial.

Depois de descobrir que um e-mail suspeito e prejudicial comprometeu várias caixas de correio da sua organização, a rotina para lidar com esse tipo de ameaça é a seguinte:

  1. Corrija a ameaça com a ação Bloquear remetente por ID da mensagem.
  2. Gerenciar caixas de e-mail comprometidas.
  3. Adicione proteção contra o e-mail suspeito recebido em outras caixas de correio também.

Corrigir ameaça

Para corrigir a ameaça, execute a ação Bloquear remetente por ID da mensagem para receber os parâmetros de investigação e mais informações sobre o e-mail suspeito. Com ela, também é possível examinar apenas as caixas de correio comprometidas e lidar com a ameaça contida nelas.

A ação Bloquear remetente por ID da mensagem aciona o serviço Marcar como lixo eletrônico do Exchange EWS para fazer o seguinte:

  1. Mova o e-mail suspeito para a pasta Lixo eletrônico.
  2. Adicione o remetente do e-mail à lista de remetentes bloqueados da caixa de correio investigada.

Para mais informações sobre como usar o serviço Marcar como lixo eletrônico, consulte Adicionar e remover endereços de e-mail da lista de remetentes bloqueados usando o EWS no Exchange na documentação de produtos da Microsoft.

Por outro lado, a correção de uma ameaça com a ação Bloquear remetente por ID da mensagem tem como alvo apenas caixas de correio comprometidas e pode ser automática. Por outro lado, a ação não pode bloquear um remetente nas caixas de correio não comprometidas nem adicionar domínios usando a API à lista de remetentes bloqueados.

Gerenciar caixas de correio comprometidas

Depois de corrigir uma ameaça, as próximas etapas são lidar com caixas de correio comprometidas e proteger todas as caixas de correio da organização contra remetentes maliciosos, mesmo os potenciais.

Para lidar com caixas de correio comprometidas, execute o conjunto de ações de regras da caixa de entrada que consiste nas seguintes ações:

  1. Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify
  2. Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify
  3. Excluir regras da caixa de entrada do Exchange-Siemplify
  4. Listar regras da caixa de entrada do Exchange-Siemplify
  5. Remover domínios das regras da caixa de entrada do Exchange-Siemplify
  6. Remover remetentes das regras da caixa de entrada do Exchange-Siemplify

Para saber mais sobre o serviço usado nas ações, consulte Gerenciar regras da caixa de entrada no Exchange na documentação do produto da Microsoft.

Com a integração do Exchange, você pode usar um conjunto das seguintes regras predefinidas para as operações mais comuns:

  • Siemplify – Lista de remetentes – Mover para lixo eletrônico
  • Siemplify – Lista de remetentes – Excluir
  • Siemplify – Lista de remetentes – Excluir permanentemente
  • Siemplify – Lista de domínios – Mover para lixo eletrônico
  • Siemplify – Domains List – Delete
  • Siemplify – Lista de domínios – Excluir permanentemente

Excluir permanentemente os e-mails do remetente malicioso

Para manter a mesma lista de regras em todas as caixas de correio, adicione as regras do usuário administrador. Para aplicar as regras de administrador a outros usuários, execute a operação em todas as caixas de e-mail.

Para excluir permanentemente os e-mails do remetente malicioso, siga estas etapas:

  1. No Google SecOps, na conta de administrador, execute a ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify. Insira o e-mail do remetente malicioso.

  2. Escolha a regra adequada na lista para definir como gerenciar um e-mail suspeito. Para excluir permanentemente e-mails maliciosos, selecione a regra Siemplify – Lista de remetentes – Excluir permanentemente.

    A ação atualiza a regra da caixa de entrada com o novo remetente malicioso.

  3. Selecione o parâmetro Perform action in all mailboxes para aplicar a regra a todas as caixas de correio.

    Se a regra não existir em uma caixa de correio, a ação a criará. Se a regra já existir em uma caixa de correio, a ação vai atualizá-la com os novos valores de parâmetro.

  4. Para adicionar uma proteção contra o e-mail suspeito recebido em outras caixas de correio e bloquear o domínio do remetente malicioso, selecione o parâmetro Should add senders' domain to the corresponding Domains List rule as well?.

  5. Revise outros parâmetros na ação e ajuste-os, se necessário.

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify atualiza várias regras de uma só vez de acordo com o parâmetro Mailboxes to process in one batch. A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify funciona em remetentes e domínios, se aplica a todas as caixas de correio, independentemente de ter sido recebido um e-mail suspeito, e pode ser automática.

O usuário final pode excluir as regras aplicadas à caixa de e-mails. A aplicação de regras de administrador a outras caixas de correio remove automaticamente as regras desativadas da caixa de entrada privada.

As ações "Bloquear remetente" e "Bloquear domínio"

Antes de executar as ações para as funcionalidades "Bloquear remetente" e "Bloquear domínio", configure as permissões mínimas necessárias.

Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify

Use a ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify para receber uma lista de domínios como parâmetro ou trabalhe com a entidade Domínio do Google SecOps se os parâmetros estiverem vazios. Essa ação está disponível apenas para o Google SecOps versão 5.6 e mais recente.

Antes de executar essa ação, configure as permissões de ação necessárias.

É possível criar ou atualizar uma regra filtrando os domínios das caixas de correio. É possível modificar essa ação usando o parâmetro Rule to add Domains to.

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify modifica as regras atuais da caixa de entrada dos usuários com EWS.

Essa ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Se você não definir nenhum parâmetro e sua versão do Google SecOps for 5.6 ou mais recente, essa ação será executada na entidade Domínio.

Entradas de ação

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify exige os seguintes parâmetros:

Parâmetro Descrição
Domains Opcional

Uma lista separada por vírgulas de domínios a serem adicionados à regra.
Rule to add Domains to Obrigatório

Uma regra para adicionar domínios.

Se não houver uma regra, a ação vai criar uma.

Os valores possíveis são:

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

O valor padrão é Siemplify - Domains List - Move To Junk.

Perform action in all mailboxes Opcional

Se selecionada, a ação será aplicada a todas as caixas de correio acessíveis pelas configurações atuais de representação.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 50.

Saídas de ação

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 A ação foi concluída.

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar domínios às regras da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify

Use a ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify para receber uma lista de endereços de e-mail ou trabalhe com a entidade Usuário do Google SecOps se os parâmetros estiverem vazios. Você pode usar expressões regulares para essa ação.

Você pode criar uma regra filtrando os remetentes das suas caixas de correio. É possível modificar essa ação usando o parâmetro Rule to add senders to.

Antes de executar essa ação, configure as permissões de ação necessárias.

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify modifica as regras atuais da caixa de entrada dos usuários usando o EWS.

Essa ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Se a expressão regular de e-mail for válida e você não configurar nenhum parâmetro, essa ação será executada na entidade User.

Entradas de ação

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify exige os seguintes parâmetros:

Parâmetro Descrição
Senders Opcional

Uma lista de endereços de e-mail separados por vírgulas para adicionar à regra.

Se você não definir um valor, a ação vai funcionar com a entidade User.
Rule to add senders to Obrigatório

Uma regra para adicionar o remetente.

Se não houver uma regra, a ação vai criar uma.

Os valores possíveis são:

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

O valor padrão é Siemplify - Senders List - Move To Junk.

Should add senders' domain to the corresponding Domains List rule as well? Opcional

Se selecionada, a ação adiciona automaticamente os domínios dos endereços de e-mail fornecidos às regras de domínio correspondentes.

Não selecionada por padrão.
Perform action in all mailboxes Opcional

Se selecionada, a ação será aplicada a todas as caixas de correio acessíveis pelas configurações atuais de despersonalização.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 50.

Saídas de ação

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 A ação foi concluída.

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar remetentes à regra da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Bloquear remetente por ID da mensagem

Use a ação Bloquear remetente por ID da mensagem para receber uma lista de IDs de mensagens como um parâmetro e marcar a lista como lixo eletrônico.

Ao marcar um item como lixo eletrônico, o endereço do remetente do e-mail é adicionado à lista de remetentes bloqueados e o item é movido para a pasta "Lixo eletrônico".

Essa ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

A ação Bloquear remetente por ID da mensagem é compatível apenas com o Exchange Server versão 2013 e mais recentes. Se você usar uma versão anterior, a ação vai falhar com a mensagem correspondente.

Uma mensagem do endereço de e-mail suspeito precisa estar na caixa de correio do usuário antes de você adicionar ou remover o endereço da Lista de remetentes bloqueados.

A ação Bloquear remetente por ID da mensagem não é executada em entidades do Google SecOps.

Entradas de ação

A ação Bloquear remetente por ID da mensagem exige os seguintes parâmetros:

Parâmetro Descrição
Move item to Junk folder? Obrigatório

Se selecionada, a ação move as mensagens especificadas para a pasta de lixo eletrônico.

Essa opção é selecionada por padrão.
Message IDs Opcional

Uma condição de filtro para encontrar e-mails com IDs específicos.

Esse parâmetro aceita uma lista separada por vírgulas de IDs de mensagens para marcar como lixo eletrônico.

Se você fornecer o ID da mensagem, a ação vai ignorar os parâmetros Subject Filter, Sender Filter e Recipient Filter.
Mailboxes list to perform on Opcional

Uma condição de filtro para executar a operação em uma lista específica de caixas de correio para melhor sincronização.

Para marcar mensagens de vários endereços de e-mail como lixo eletrônico, forneça uma lista separada por vírgulas de endereços de e-mail.

Se você fornecer uma lista de caixas de correio, a ação vai ignorar o parâmetro Perform Action in all Mailboxes.
Folder Name Opcional

Uma pasta da caixa de e-mails para pesquisar um e-mail.

Esse parâmetro aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

O valor padrão é Inbox.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente dos e-mails solicitados.
Recipient Filter Opcional

Uma condição de filtro que especifica o destinatário dos e-mails solicitados.
Mark All Matching Emails Opcional

Se selecionada, a ação marca todos os e-mails da caixa de correio que correspondem aos critérios. Se não estiver selecionada, a ação vai marcar apenas o primeiro e-mail correspondente.

Não selecionada por padrão.
Perform action in all mailboxes Opcional

Se selecionada, a ação move o e-mail para o lixo eletrônico e bloqueia os e-mails do remetente em todas as caixas de correio acessíveis pelas configurações atuais de representação.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 25.
Time Frame (minutes) Opcional

O período em minutos para pesquisar e-mails.

Saídas de ação

A ação Bloquear remetente por ID da mensagem fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Bloquear remetente por ID da mensagem pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 A ação foi concluída.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Falha na ação.

A versão do Exchange Server que você está usando não é compatível.
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Bloquear remetente por ID da mensagem:

Nome do resultado do script Valor
is_success True ou False

Excluir regras da caixa de entrada do Exchange-Siemplify

Use a ação Excluir regras da caixa de entrada do Exchange-Siemplify para receber um nome de regra como parâmetro e excluí-lo de todas as caixas de correio especificadas.

Antes de executar essa ação, configure as permissões de ação necessárias.

A ação Excluir regras da Caixa de entrada do Exchange-Siemplify modifica as regras atuais da Caixa de entrada dos seus usuários com EWS.

Essa ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Excluir regras da caixa de entrada do Exchange-Siemplify exige os seguintes parâmetros:

Parâmetro Descrição
Rule Name To Delete Obrigatório

Um nome de regra a ser excluído completamente das caixas de correio relevantes.

Os valores possíveis são:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes Opcional

Se selecionada, a ação será aplicada a todas as caixas de correio acessíveis pelas configurações atuais de representação.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 50.

Saídas de ação

A ação Excluir regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Excluir regras da caixa de entrada do Exchange-Siemplify pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 A ação foi concluída.
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Excluir regras da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Listar regras da caixa de entrada do Exchange-Siemplify

Use a ação Listar regras da caixa de entrada do Exchange-Siemplify para receber um nome de regra das regras da caixa de entrada do Exchange-Siemplify como um parâmetro e listá-lo. Se não houver caixas de correio para listar, a ação vai listar as regras do usuário conectado.

Antes de executar essa ação, configure as permissões de ação necessárias.

A ação List Exchange-Siemplify Inbox Rules modifica as regras atuais da caixa de entrada dos seus usuários com o EWS.

Essa ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação List Exchange-Siemplify Inbox Rules exige os seguintes parâmetros:

Parâmetro Descrição
Rule Name To List Obrigatório

Um nome de regra para listar das caixas de correio relevantes.

Os valores possíveis são:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on Opcional

Uma condição de filtro que especifica a lista de caixas de correio em que a operação será executada, para melhor timing.

Esse parâmetro aceita uma lista separada por vírgulas de endereços de e-mail para remover a marcação de mensagens como lixo eletrônico.

Se uma lista de caixas de correio for fornecida, a ação vai ignorar o parâmetro Perform action in all mailboxes.
Perform action in all mailboxes Opcional

Se selecionada, a ação será aplicada a todas as caixas de correio acessíveis pelas configurações atuais de representação.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 50.

Saídas de ação

A ação List Exchange-Siemplify Inbox Rules fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Exchange-Siemplify Inbox Rules:

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
Mensagens de saída

A ação List Exchange-Siemplify Inbox Rules pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 A ação foi concluída.
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Exchange-Siemplify Inbox Rules:

Nome do resultado do script Valor
is_success True ou False

Remover domínios das regras da caixa de entrada do Exchange-Siemplify

Use Remover domínios das regras da caixa de entrada do Exchange-Siemplify para receber uma lista de domínios como parâmetro ou trabalhe na entidade Domínio se os parâmetros não forem fornecidos. Essa ação está disponível apenas para o Google SecOps versão 5.6 e mais recente. Você pode remover os domínios fornecidos das regras atuais.

Antes de executar essa ação, configure as permissões de ação necessárias.

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify modifica as regras atuais da caixa de entrada dos usuários com EWS.

Essa ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Se você não configurar nenhum parâmetro, essa ação será executada na entidade Domínio do Google SecOps.

Entradas de ação

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify exige os seguintes parâmetros:

Parâmetro Descrição
Domains Opcional

Uma lista de domínios separados por vírgulas a serem removidos da regra.

Se você não definir um valor, a ação vai funcionar com entidades.
Rule to remove Domains from Obrigatório

Uma regra para remover domínios.

Se você não definir uma regra, a ação vai falhar.

Os valores possíveis são:

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

O valor padrão é Siemplify – Domains List – Move To Junk.

Remove Domains from all available Rules Opcional

Se selecionada, a ação pesquisa os domínios fornecidos em todas as regras da caixa de entrada do Google SecOps.

Não selecionada por padrão.
Mailboxes list to perform on Opcional

Uma condição de filtro que especifica a lista de caixas de correio em que a operação será executada, para melhor timing.

Esse parâmetro aceita uma lista separada por vírgulas de endereços de e-mail para remover a marcação de mensagens como lixo eletrônico.

Se você fornecer uma lista de caixas de correio, a ação vai ignorar o parâmetro Perform action in all mailboxes.
Perform action in all mailboxes Opcional

Se selecionada, a ação será aplicada a todas as caixas de correio acessíveis pelas configurações atuais de representação.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 50.

Saídas de ação

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 A ação foi concluída.

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover domínios das regras da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Remover remetentes das regras da caixa de entrada do Exchange-Siemplify

Use o Remove Senders from Exchange-Siemplify Inbox Rules para receber uma lista de remetentes de e-mail como um parâmetro ou trabalhe com a entidade User se os parâmetros não forem fornecidos.

Você pode remover os remetentes fornecidos das regras atuais.

Antes de executar essa ação, configure as permissões de ação necessárias.

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify modifica as regras atuais da caixa de entrada dos seus usuários com EWS.

Essa ação é executada de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Se nenhum parâmetro for fornecido, essa ação será executada na entidade User do Google SecOps.

Entradas de ação

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify exige os seguintes parâmetros:

Parâmetro Descrição
Senders Opcional

Uma lista de endereços de e-mail separados por vírgulas a serem removidos da regra.

Se você não definir um valor, a ação vai funcionar com a entidade User.
Rule to remove senders from Obrigatório

Uma regra para remover os remetentes.

Se você não definir uma regra, a ação vai falhar.

Os valores possíveis são:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

O valor padrão é Siemplify – Senders List – Move To Junk.
Remove senders from all available rules Opcional

Se selecionada, a ação pesquisa os remetentes fornecidos em todas as regras da caixa de entrada do Google SecOps.

Não selecionada por padrão.
Should remove senders' domain from the corresponding Domains List rule as well? Opcional

Se selecionada, a ação remove automaticamente os domínios dos endereços de e-mail fornecidos das regras de domínio correspondentes.

Não selecionada por padrão.
Perform action in all mailboxes Opcional

Se selecionada, a ação será aplicada a todas as caixas de correio acessíveis pelas configurações atuais de despersonalização.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 50.

Saídas de ação

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 A ação foi concluída.

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover remetentes das regras da caixa de entrada do Exchange-Siemplify:

Nome do resultado do script Valor
is_success True ou False

Desbloquear remetente por ID da mensagem

Use a ação Desbloquear remetente por ID da mensagem para receber uma lista de IDs de mensagens como um parâmetro e desmarcar como lixo eletrônico.

Ao desmarcar um item como lixo eletrônico, o endereço de e-mail do remetente é removido da lista de remetentes bloqueados. Para mover um item de volta para a caixa de entrada, selecione o parâmetro Move items back to Inbox? nos parâmetros de ação.

O Desbloquear remetente por ID da mensagem é executado de forma assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, conforme necessário.

Essa ação é compatível apenas com o Exchange Server versão 2013 e mais recentes. Se você usar uma versão anterior, a ação vai falhar com a mensagem correspondente.

Uma mensagem do endereço de e-mail suspeito precisa estar na caixa de correio do usuário antes de você adicionar ou remover o endereço da Lista de remetentes bloqueados.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Desbloquear remetente por ID da mensagem exige os seguintes parâmetros:

Parâmetro Descrição
Move items back to Inbox? Obrigatório

Se selecionada, a ação move as mensagens especificadas de volta para a pasta da caixa de entrada.

Essa opção é selecionada por padrão.
Message IDs Opcional

Uma condição de filtro para remover a marcação de e-mails com IDs específicos.

Esse parâmetro também aceita uma lista separada por vírgulas de IDs de mensagens para remover a marcação de e-mails como lixo eletrônico.

Se você fornecer o ID da mensagem, a ação vai ignorar os parâmetros Subject Filter, Sender Filter e Recipient Filter.
Mailboxes list to perform on Opcional

Uma condição de filtro para executar a operação em uma lista específica de caixas de correio para melhor sincronização.

Para marcar mensagens de vários endereços de e-mail como lixo eletrônico, forneça uma lista separada por vírgulas de endereços de e-mail.

Se você fornecer uma lista de caixas de correio, a ação vai ignorar o parâmetro Perform action in all mailboxes.
Folder Name Opcional

Uma pasta da caixa de correio para pesquisar um e-mail.

Esse parâmetro aceita uma lista separada por vírgulas de pastas de onde o item será movido.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

O valor padrão é Junk Email.
Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.
Sender Filter Opcional

Uma condição de filtro que especifica o remetente dos e-mails solicitados.
Recipient Filter Opcional

Uma condição de filtro que especifica o destinatário dos e-mails solicitados.
Unmark All Matching Emails Opcional

Se selecionada, a ação vai remover a marcação de todos os e-mails da caixa de correio que correspondem aos critérios. Se não estiver selecionada, a ação vai desmarcar apenas o primeiro e-mail correspondente.

Não selecionada por padrão.
Perform action in all mailboxes Opcional

Se selecionada, a ação será aplicada a todas as caixas de correio acessíveis pelas configurações atuais de representação.

Não selecionada por padrão.
How many mailboxes to process in a single batch Opcional

Se você selecionar o parâmetro Perform action in all mailboxes, a ação vai funcionar em lotes.

Esse parâmetro define o número de caixas de correio a serem processadas em um único lote (uma única conexão com o servidor de e-mail).

O valor padrão é 25.
Time Frame (minutes) Opcional

Um período em minutos para pesquisar e-mails.

Saídas de ação

A ação Desbloquear remetente por ID da mensagem fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Desbloquear remetente por ID da mensagem pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

A ação foi concluída.
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

Falha na ação.

A versão do Exchange Server que você está usando não é compatível.
Error performing action: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Desbloquear remetente por ID da mensagem:

Nome do resultado do script Valor
is_success True ou False

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).

Ao configurar conectores e ações, preste atenção aos espaços e símbolos especiais nas suas credenciais. Se a integração rejeitar suas credenciais, verifique a ortografia.

Para configurar o conector selecionado, use os parâmetros específicos listados nas tabelas a seguir:

Conector EML do Exchange

O conector EML do Exchange recupera e analisa e-mails do servidor Exchange. Se houver arquivos EML anexados, o conector os anexará ao caso como eventos. Se houver vários anexos EML no e-mail, o conector vai criar vários casos e ingerir cada anexo como um evento para cada caso.

Restrições conhecidas

  1. Microsoft 365 e autenticação básica.

    • O conector EML do Exchange não oferece mais suporte à autenticação básica e não pode ser usado com o Microsoft 365. Para o Microsoft 365, use o Exchange Mail Connector v2 com OAuth.

  2. Confira a seguir as especificidades do conector EML do Exchange:

    • O conector cria alertas do Google SecOps apenas com base em e-mails que contêm anexos de arquivos EML ou MSG.

    • O conector ignora e-mails que não têm anexos.

Entradas do conector

O conector EML do Exchange exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo em que o nome do produto é armazenado.

O valor padrão é device_product.
EventClassId Obrigatório

Um nome de campo usado para determinar o nome do evento (subtipo).

O valor padrão é event_name.
Server IP Obrigatório

Um endereço IP do servidor a que se conectar.
Domain Obrigatório

Um valor de domínio a ser usado para autenticação.
Username Obrigatório

Um nome de usuário para a caixa de e-mails de onde as mensagens serão extraídas, como user@example.com.
Password Obrigatório

Uma senha para a caixa de e-mails de onde os e-mails serão extraídos.

Mail Address Obrigatório

Um endereço de e-mail para a caixa de correio a ser monitorada.

O valor padrão é Inbox.
Verify SSL Opcional

Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor Exchange é válido.

Não selecionada por padrão.
Use Domain for Authentication Opcional

Se selecionada, a integração usa o domínio como parte das credenciais de autenticação, como user@domain.

Essa opção é selecionada por padrão.
Unread Emails Only Opcional

Se selecionada, os casos serão criados apenas com base em e-mails não lidos.

Não selecionada por padrão.
Mark Emails as Read Opcional

Se selecionada, os e-mails serão marcados como lidos após a ingestão.

Não selecionada por padrão.
Max Days Backwards Opcional

O número de dias antes da primeira iteração do conector para recuperar os e-mails. Esse parâmetro se aplica apenas uma vez à iteração inicial do conector depois que você o ativa pela primeira vez.
PythonProcessTimeout Obrigatório

O limite de tempo em segundos para o processo do Python que executa o script atual.

O valor padrão é de 30 segundos.
Folder Name Opcional

O nome de uma pasta para fazer uma pesquisa.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

O valor padrão é Inbox.
Environment Field Name Opcional

O nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, ele será definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Encode Data as UTF-8 Opcional

Se selecionada, a integração codifica os dados de e-mail com UTF-8. Recomendamos selecionar esse parâmetro.

Essa opção é selecionada por padrão.
Attach EML or MSG File to the Case Wall Opcional

Se selecionada, a integração anexa o arquivo EML ou MSG encaminhado ao mural de casos no Google SecOps.

Não selecionada por padrão.
Exclusion Body Regex Opcional

Uma expressão regular para excluir e-mails cujo corpo corresponda ao valor fornecido.

Por exemplo, a expressão regular '([N|n]ewsletter)|([O|o]ut of office)' exclui todos os e-mails que contêm as palavras-chave Newsletter ou Fora do escritório.
Proxy Server Address Opcional

O endereço do servidor proxy a ser usado.
Proxy Username Opcional

O nome de usuário do proxy para autenticação.
Proxy Password Opcional

A senha do proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionado, o conector tentará extrair URLs da parte HTML do e-mail. Esse parâmetro também permite que o conector extraia URLs complexos, mas não os URLs da parte de texto simples do e-mail.

Os URLs extraídos estão disponíveis no campo de evento urls_from_html_part.

Não selecionada por padrão.

Regras do conector

  • O conector EML do Exchange não é compatível com regras de lista de bloqueio e lista dinâmica.

  • O conector EML do Exchange é compatível com proxies.

Exchange Mail Connector

Use o Exchange Mail Connector para se comunicar com o servidor do Exchange e pesquisar e-mails quase em tempo real e encaminhá-los para tradução e contextualização como alertas em casos do Google SecOps.

Esta seção se refere à comunicação com um servidor Microsoft Exchange 2007-2019 ou Microsoft 365 usando o Exchange Web Services (EWS) e explica como o Google SecOps interage com a interface do Exchange Mail e os fluxos de trabalho e atividades assistidos no aplicativo.

O Exchange Mail Connector permite recuperar e-mails do servidor do Exchange configurado, que verifica cada servidor e cria novos casos. Pelo menos uma ocorrência inicial de e-mail está incluída em cada cenário. A principal diferença é que o conector do Exchange Mail remove e-mails e gera eventos que analisam os dados EML ou MSG nos e-mails originais do servidor Exchange.

Restrições conhecidas

  1. Microsoft 365 e autenticação básica.

    • O Exchange Mail Connector não oferece mais suporte à autenticação básica e não pode ser usado com o Microsoft 365. Para o Microsoft 365, use o Exchange Mail Connector v2 com OAuth.

  2. Confira a seguir as especificidades do Exchange Mail Connector:

    • O conector cria alertas do Google SecOps apenas com base em e-mails originais recebidos e contidos na caixa de correio.

    • O conector ignora arquivos EML e MSG anexados.

Entradas do conector

O Exchange Mail Connector exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo em que o nome do produto é armazenado.

O valor padrão é device_product.
Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor padrão é event_name.
Server IP Obrigatório

Um endereço IP do servidor a que se conectar.
Domain Obrigatório

Um valor de domínio a ser usado para autenticação.
Username Obrigatório

Um nome de usuário para a caixa de e-mails de onde as mensagens serão extraídas, como user@example.com.
Password Obrigatório

Uma senha para a caixa de e-mails de onde os e-mails serão extraídos.

Mail Address Obrigatório

Um endereço de e-mail para a caixa de correio a ser monitorada.

O valor padrão é Inbox.
Verify SSL Opcional

Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor Exchange é válido.

Não selecionada por padrão.

Use Domain for Authentication Opcional

Se selecionado, o domínio será usado como parte das credenciais de autenticação, como user@domain.

Essa opção é selecionada por padrão.
Unread Emails Only Opcional

Se selecionada, a integração cria casos apenas com base em e-mails não lidos.

Essa opção é selecionada por padrão.
Mark Emails as Read Opcional

Se selecionada, a integração marca todos os e-mails ingeridos como lidos.

Não selecionada por padrão.
Max Days Backwards Opcional

O número de dias antes da primeira iteração do conector para recuperar os e-mails. Esse parâmetro se aplica apenas uma vez à iteração inicial do conector depois que você o ativa pela primeira vez.
PythonProcessTimeout Obrigatório

O limite de tempo em segundos para o processo do Python que executa o script atual.

O valor padrão é de 30 segundos.
Attach Original EML Opcional

Se selecionado, o e-mail original será anexado ao caso como um arquivo EML.

Não selecionada por padrão.
Folder Name Opcional

O nome de uma pasta para fazer uma pesquisa.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

O valor padrão é Inbox.
Environment Field Name Opcional

Um nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, ele será definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Exclusion Subject Regex Opcional

Uma expressão regular para excluir e-mails com um assunto que corresponda ao valor fornecido.

Por exemplo, a expressão regular ([N|n]ewsletter)|([O|o]ut of office) exclui todos os e-mails que contêm as palavras-chave Newsletter ou Fora do escritório no assunto.
Exclusion Body Regex Opcional

Uma expressão regular para excluir e-mails com um corpo que corresponda ao valor fornecido.

Por exemplo, a expressão regular ([N|n]ewsletter)|([O|o]ut of office) exclui todos os e-mails que contêm as palavras-chave Newsletter ou Fora do escritório no corpo do e-mail.
Proxy Server Address Opcional

Um endereço do servidor proxy a ser usado.
Proxy Username Opcional

Um nome de usuário de proxy para autenticação.
Proxy Password Opcional

Uma senha de proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionado, o conector tentará extrair URLs da parte HTML do e-mail. Esse parâmetro permite que o conector extraia URLs complexos, mas não os URLs da parte de texto simples do e-mail.

Os URLs extraídos estão disponíveis no campo de evento urls_from_html_part.

Não selecionada por padrão.

Configurar regras de lista dinâmica

Na seção de lista dinâmica, para extrair valores específicos de e-mails usando expressões regulares, adicione uma regra no seguinte formato:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

Por exemplo, para extrair o ID da mensagem do e-mail, insira a seguinte regra:

message-id: (?<=Message-ID: ).*

Regras do conector

  • O Exchange Mail Connector é compatível com proxies.

  • O Exchange Mail Connector não é compatível com a regra de lista de bloqueio.

  • A integração do Exchange usa a seção de lista dinâmica para definir expressões regulares e ativar o seguinte:

    • Analisar o conteúdo do e-mail.
    • Adicione campos específicos com base na expressão regular que corresponde ao evento de e-mail.

Conector de e-mail do Exchange v2

Use o Exchange Mail Connector v2 para se conectar ao servidor de e-mail e verificar se há novos e-mails em uma caixa de correio específica.

Se um novo e-mail aparecer, ele vai acionar o conector para criar e ingerir no Google SecOps um novo alerta com informações do novo e-mail.

Se não houver novos e-mails, o Exchange Mail Connector v2 vai concluir a iteração atual e aguardar por um período definido antes da próxima execução de iteração.

Fluxo de iteração do conector

Após cada execução, o Exchange Mail Connector v2 atualiza o arquivo de carimbo de data/hora com a data e a hora da última execução. O Exchange Mail Connector v2 extrai informações úteis de um caso do e-mail como um resultado técnico de objeto de e-mail, como:

  • Remetente e destinatário do e-mail.
  • Assunto do e-mail.
  • Corpo do e-mail
  • URLs no e-mail.
  • Anexos, se houver.

Depois que o Exchange Mail Connector v2 cria os alertas (casos) para ingestão no Google SecOps, a iteração do conector é concluída.

Com base nos dados de caso fornecidos pelo Exchange Mail Connector v2, o servidor do Google SecOps executa procedimentos de ETL para ingerir novos alertas e criar ou atualizar casos. Se houver playbooks relacionados definidos, o Google SecOps vai executá-los para enriquecer o caso, gerar insights e realizar ações automáticas.

Trabalhar com modelos de nome de alerta e de caso

Os parâmetros Alert Name Template e Case Name Template permitem substituir a forma como o alerta e o nome do caso são criados. Apenas o primeiro alerta define o nome do caso ou do alerta. Todos os outros alertas subsequentes não afetam o nome.

Confira um exemplo de evento do Google SecOps:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para criar um nome personalizado para um alerta do Google SecOps, use o modelo a seguir:

[EVENT_TYPE] - [EVENT_NAME]

Por exemplo, para criar um alerta do Google SecOps chamado Phishing – Example Event, o modelo é o seguinte:

[Phishing] - [Example Event]

Entradas do conector

No Exchange Mail Connector v2, os seguintes parâmetros podem afetar o processamento de e-mails:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para mapear os campos to e from dos e-mails processados, o conector cria os seguintes conjuntos de campos:

  1. Campos to e from regulares que contêm endereços de e-mail no seguinte formato: email@example.

  2. Campos to_raw e from_raw que contêm apenas um endereço de e-mail como valor no seguinte formato: email@example.

O Exchange Mail Connector v2 exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

o nome do campo em que o nome do produto é armazenado.

O valor padrão é device_product.
Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor padrão é event_name.
Mail Server Address Obrigatório

Um endereço IP de servidor de e-mail para conexão.

Ao se conectar ao Microsoft 365, defina o endereço do servidor como outlook.office365.com.
Verify SSL Opcional

Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor Exchange é válido.

Não selecionada por padrão.
Mail Address Obrigatório

Um endereço de e-mail para a caixa de correio a ser monitorada.

O valor padrão é Inbox.
Use Domain for Authentication Opcional

Se selecionado, o domínio será usado como parte das credenciais de autenticação, como user@domain.

Essa configuração é selecionada por padrão.
Domain Obrigatório

Um valor de domínio a ser usado para autenticação.
Username Obrigatório

O nome de usuário da caixa de correio de onde os e-mails serão extraídos, como user@example.com.
Password Obrigatório

A senha da caixa de e-mails de onde os e-mails serão extraídos.
Unread Emails Only Opcional

Se selecionada, os casos serão criados apenas com base em e-mails não lidos.

Essa opção é selecionada por padrão.
Mark Emails as Read Opcional

Se selecionada, os e-mails serão marcados como lidos após a ingestão.

Não selecionada por padrão.
Offset Time In Days Obrigatório

O número de dias antes da primeira iteração do conector para recuperar os e-mails. Esse parâmetro se aplica apenas uma vez à iteração inicial do conector depois que você o ativa pela primeira vez.

O valor padrão é cinco.
Max Emails Per Cycle Obrigatório

O número de e-mails a serem recuperados em uma única iteração do conector.

O valor padrão é 10.
Environment Field Name Opcional

O nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, ele será definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será "".
Headers to add to events Opcional

Uma string separada por vírgulas que especifica quais cabeçalhos de e-mail serão adicionados aos eventos.

É possível fornecer valores como correspondências exatas ou definir como uma expressão regular.
Email Exclude Pattern Opcional

Uma expressão regular para excluir e-mails específicos da ingestão.

Esse parâmetro funciona com o assunto e o corpo do e-mail. Você pode usar esse parâmetro para impedir que e-mails transmitidos em massa, como notícias, sejam ingeridos.
PythonProcessTimeout Obrigatório

O limite de tempo em segundos para o processo do Python que executa o script atual.

O valor padrão é de 60 segundos.
Folder to check for emails Obrigatório

Uma pasta de e-mail para pesquisar as mensagens. Esse parâmetro aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

Esse parâmetro diferencia maiúsculas de minúsculas.

O valor padrão é Inbox.
Attach Original EML Opcional

Se selecionada, a integração anexa o e-mail original ao caso como um arquivo EML.

Não selecionada por padrão.
Fetch Backwards Time Interval (minutes) Opcional

Um intervalo que o conector usa para recuperar eventos do período configurado em minutos antes do momento atual. Esse valor de parâmetro é um carimbo de data/hora da última iteração do conector.

Ajuste esse valor de acordo com o ambiente, por exemplo, 60 minutos ou menos.

O valor padrão é 0.
Proxy Server Address Opcional

Um endereço do servidor proxy a ser usado.
Proxy Username Opcional

Um nome de usuário de proxy para autenticação.
Proxy Password Opcional

Uma senha de proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionado, o conector tentará extrair URLs da parte HTML do e-mail. Esse parâmetro permite que o conector extraia URLs complexos, mas não os URLs da parte de texto simples do e-mail.

Os URLs extraídos estão disponíveis no campo de evento urls_from_html_part.

Não selecionada por padrão.
Disable Overflow Opcional

Se selecionado, o conector vai ignorar o mecanismo de estouro.

Não selecionada por padrão.
Original Received Mail Prefix Opcional

Um prefixo a ser adicionado às chaves de evento extraídas, por exemplo, para, de ou assunto do e-mail original recebido na caixa de correio monitorada.

O valor padrão é orig.
Attached Mail File Prefix Opcional

Um prefixo a ser adicionado às chaves de evento extraídas, por exemplo, para, de ou assunto do arquivo de e-mail anexado recebido na caixa de e-mail monitorada.

O valor padrão é attach.
Create a Separate Siemplify Alert per Attached Mail File? Opcional

Se selecionado, o conector cria vários alertas, um para cada arquivo de e-mail anexado.

Se você selecionar esse parâmetro, o Google SecOps vai processar e-mails com vários arquivos anexados e criar entidades com base neles.

Não selecionada por padrão.
Case Name Template Opcional

Um nome de caso personalizado.

Quando você configura esse parâmetro, o conector adiciona uma nova chave chamada custom_case_name ao evento do Google SecOps.

É possível fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conector usa o primeiro evento do Google SecOps. O conector processa apenas chaves que contêm o valor de string.
Alert Name Template Opcional

Um nome de alerta personalizado.

É possível fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conector usa o primeiro evento do Google SecOps. Somente chaves que contêm o valor da string são processadas. Se você não fornecer um valor ou um modelo inválido, o conector usará o nome de alerta padrão.
Email Padding Period (minutes) Opcional

Um período para o conector recuperar e-mails antes do carimbo de data/hora mais recente.
URL Regex Obrigatório

O conector de expressão regular usado para analisar URLs dos e-mails processados.

Regras do conector

  • O Exchange Mail Connector v2 é compatível com proxy.

  • O Exchange Mail Connector v2 não é compatível com a regra de lista de bloqueio.

  • A integração do Exchange usa a seção de lista dinâmica para definir expressões regulares e permitir o seguinte:

    • Analisar o conteúdo do e-mail.
    • Adicione campos específicos com base nas correspondências de expressão regular ao evento de e-mail.

Conector do Exchange Mail v2 com autenticação OAuth

Use o Exchange Mail Connector v2 com OAuth para monitorar caixas de correio específicas em servidores de e-mail do Microsoft 365 que exigem autenticação OAuth. É possível usar as ações Receber autorização e Gerar token para receber o token de atualização necessário para a configuração do conector.

Para executar o Exchange Mail Connector v2 com OAuth, configure a integração para oferecer suporte à autenticação OAuth.

Trabalhar com modelos de nome de alerta e de caso

Os parâmetros Alert Name Template e Case Name Template permitem substituir a forma como o alerta e o nome do caso são criados.

Confira um exemplo de evento do Google SecOps:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

Para criar um nome personalizado para um alerta do Google SecOps, use o modelo a seguir:

[EVENT_TYPE] - [EVENT_NAME]

Por exemplo, para criar um alerta do Google SecOps chamado Phishing – Example Event, o modelo é o seguinte:

[Phishing] - [Example Event]

Entradas do conector

Em Conector de e-mail do Exchange v2 com OAuth, os seguintes parâmetros podem afetar o processamento de e-mails:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

Para mapear os campos to e from dos e-mails processados, o conector cria dois conjuntos de campos:

  1. Campos to e from comuns que contêm endereços de e-mail, como email@example.

  2. Campos to_raw e from_raw que contêm apenas um endereço de e-mail como valor, como email@example.

O Exchange Mail Connector v2 com OAuth exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo em que o nome do produto é armazenado.

O valor padrão é device_product.
Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor padrão é event_name.
Mail Server Address Obrigatório

Um endereço IP de servidor de e-mail para conexão.

Ao se conectar ao Microsoft 365, defina o endereço do servidor como outlook.office365.com.
Mail Address Obrigatório

Um endereço de e-mail para usar com o conector.
Client ID Obrigatório

Para a autenticação OAuth do Microsoft 365, um ID do aplicativo (cliente) do Microsoft Entra que você usou para a integração.
Client Secret Obrigatório

Para a autenticação OAuth do Microsoft 365, a chave secreta do cliente que você forneceu para o fluxo de autenticação.
Tenant (Directory) ID Obrigatório

Para a autenticação OAuth do Microsoft 365, o ID do locatário (diretório) do aplicativo Microsoft Entra usado para a integração.
Refresh Token Obrigatório

Para a autenticação OAuth do Microsoft 365, o token de atualização obtido depois de gerar um token.
Verify SSL Opcional

Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor Exchange é válido.

Não selecionada por padrão.
Unread Emails Only Opcional

Se selecionada, a integração cria casos apenas com base em e-mails não lidos.

Não selecionada por padrão.
Mark Emails as Read Opcional

Se selecionado, o conector marca os e-mails ingeridos como lidos.

Não selecionada por padrão.
Offset Time In Days Obrigatório

O número de dias antes da primeira iteração do conector para recuperar os e-mails. Esse parâmetro se aplica apenas uma vez à iteração inicial do conector depois que você o ativa pela primeira vez.

O valor padrão é de 5 dias.
Max Emails Per Cycle Obrigatório

O número de e-mails a serem recuperados em uma única iteração do conector.

O valor padrão é 10 e-mails.
Environment Field Name Opcional

O nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, ele será definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será "".
Headers to add to events Opcional

Uma string separada por vírgulas que especifica quais cabeçalhos de e-mail serão adicionados aos eventos.

É possível fornecer valores como correspondências exatas ou definir como uma expressão regular.
Email Exclude Pattern Opcional

Uma expressão regular para excluir e-mails específicos da ingestão.

Esse parâmetro funciona com o assunto e o corpo do e-mail. Você pode usar esse parâmetro para impedir que e-mails transmitidos em massa, como notícias, sejam ingeridos.
PythonProcessTimeout Obrigatório

O limite de tempo em segundos para o processo do Python que executa o script atual.

O valor padrão é 60.
Folder to check for emails Obrigatório

Uma pasta de e-mail para pesquisar as mensagens. Esse parâmetro aceita uma lista de pastas separada por vírgulas.

A integração do Exchange usa barras invertidas como separadores para especificar subpastas, como folder/subfolder1/subfolder2. Para evitar o erro de tempo limite ou falha na ação, substitua as barras invertidas nos nomes de pastas ou subpastas por outros caracteres, como sublinhado.

Esse parâmetro diferencia maiúsculas de minúsculas.

O valor padrão é Inbox.
Attach Original EML Opcional

Se selecionado, o e-mail original será anexado ao caso como um arquivo EML.

Não selecionada por padrão.
Fetch Backwards Time Interval (minutes) Opcional

Um intervalo que o conector usa para recuperar eventos do período configurado em minutos antes do momento atual. Esse valor de parâmetro é um carimbo de data/hora da última iteração do conector.

Ajuste esse valor de acordo com o ambiente, por exemplo, 60 minutos ou menos.

O valor padrão é 0.
Proxy Server Address Opcional

Um endereço do servidor proxy a ser usado.
Proxy Username Opcional

Um nome de usuário de proxy para autenticação.
Proxy Password Opcional

Uma senha de proxy para autenticação.
Extract urls from HTML email part? Opcional

Se selecionado, o conector tentará extrair URLs da parte HTML do e-mail. Esse parâmetro permite que o conector extraia URLs complexos, mas não os URLs da parte de texto simples do e-mail.

Os URLs extraídos estão disponíveis no campo de evento urls_from_html_part.

Não selecionada por padrão.
Disable Overflow Opcional

Se selecionado, o conector vai ignorar o mecanismo de estouro.

Não selecionada por padrão.
Original Received Mail Prefix Opcional

Um prefixo a ser adicionado às chaves de evento extraídas, por exemplo, para, de ou assunto do e-mail original recebido na caixa de correio monitorada.

O valor padrão é orig.
Attached Mail File Prefix Opcional

Um prefixo a ser adicionado às chaves de evento extraídas, por exemplo, para, de ou assunto do arquivo de e-mail anexado recebido na caixa de e-mail monitorada.

O valor padrão é attach.
Create a Separate Siemplify Alert per Attached Mail File? Opcional

Se selecionado, o conector cria vários alertas, um para cada arquivo de e-mail anexado.

Se você selecionar esse parâmetro, o Google SecOps vai processar e-mails com vários arquivos anexados e criar entidades com base neles.

Não selecionada por padrão.
Case Name Template Opcional

Um nome de caso personalizado.

Quando você configura esse parâmetro, o conector adiciona uma nova chave chamada custom_case_name ao evento do Google SecOps.

É possível fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conector usa o primeiro evento do Google SecOps. O conector processa apenas chaves que contêm o valor de string.
Alert Name Template Opcional

Parâmetro para definir um nome de alerta personalizado.

Um nome de alerta personalizado.

É possível fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conector usa o primeiro evento do Google SecOps. Somente chaves que contêm o valor da string são processadas. Se você não fornecer um valor ou um modelo inválido, o conector usará o nome de alerta padrão.
Email Padding Period (minutes) Opcional

Um período para o conector recuperar e-mails antes do carimbo de data/hora mais recente.

Jobs

Antes de configurar jobs para a integração do Exchange, verifique se a versão da plataforma Google SecOps é compatível com eles.

Job de renovação do token de atualização

O objetivo do job de renovação do token de atualização é atualizar periodicamente o token de atualização usado na integração.

Por padrão, o token de atualização expira a cada 90 dias. Recomendamos executar esse job a cada 7 ou 14 dias para garantir que o token de atualização esteja atualizado.

Entradas de jobs

O job de renovação do token de atualização exige os seguintes parâmetros:

Parâmetro Descrição
Integration Environments Opcional

Os ambientes de integração para os quais o job atualiza os tokens de atualização.

Esse parâmetro aceita vários valores como uma string separada por vírgulas. Coloque os valores individuais entre aspas (" ").
Connector Names Opcional

Os nomes dos conectores para os quais o job atualiza os tokens de atualização.

Esse parâmetro aceita vários valores como uma string separada por vírgulas. Coloque os valores individuais entre aspas (" ").

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.