交换

集成版本：102.0

本文档提供了有关如何将 Exchange 与 Google Security Operations SOAR 集成的指南。

此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码的压缩副本。

配置 Exchange Online

前提条件和配置步骤因您是为 Exchange Online 还是 Exchange Server 配置集成而异。

• 如需配置 Exchange Online，请继续阅读下一部分。

• 如需配置 Exchange 服务器，请参阅配置 Exchange 服务器。

Exchange Online 集成仅支持使用委托令牌的 OAuth 委托身份验证，这需要进行额外配置。

在 Azure 环境中对权限所做的更改最长可能需要 24 小时才能生效。

准备工作

在配置 Exchange Online 集成之前，您必须选择一种身份验证方法并完成其所有配置步骤。选择以下方法之一：

• 方法 1：分配模拟用户的权限：集成以单个指定用户的身份运行。
• 方法 2：委托访问权限：集成功能直接访问多个邮箱。

分配模拟用户身份的权限

此方法要求您在 Microsoft Entra ID 中创建应用，并为其分配模拟单个用户的权限。

创建 Microsoft Entra 应用

如需开始设置模拟，您必须在 Microsoft Entra ID 中注册新应用。

1. 登录 Microsoft Azure，然后依次前往 Microsoft Entra ID > 应用注册 > 新注册。
2. 输入应用名称，然后选择支持的账号类型。
3. 对于重定向 URI，请提供以下值：
   1. 平台：Web
   2. 重定向网址：http://localhost
4. 点击注册。
5. 保存应用（客户端）ID 和目录（租户）ID 值。

配置 API 权限

您必须向应用授予访问用户数据的必要权限。

1. 前往 API 权限 > 添加权限。
2. 依次选择 Microsoft Graph > 委托权限。
3. 在选择权限部分中，选择 EWS，然后选择 Ews.AccessAsUser.All 权限。
4. 依次点击添加权限 > 授予管理员同意书。

创建客户端密钥

您必须创建客户端密钥，以用作应用的密码。

1. 前往证书和密钥 > 新客户端密钥。
2. 提供说明，设置过期时间，然后点击添加。
3. 保存 Secret 的值。

在 Exchange Online 中分配权限：

如需完成设置，您必须向要模拟的用户分配 ApplicationImpersonation 角色。

1. 在 Exchange 管理中心内，依次前往角色 > 管理员角色，然后找到包含 ApplicationImpersonation 角色的角色组（例如发现管理）。
2. 将您要冒充的用户添加到该角色组。

委托的访问权限

此方法要求您使用 Exchange Online PowerShell 向服务账号授予对邮箱的直接权限。

1. 连接到 Exchange Online PowerShell。

2. 使用 Add-MailboxPermission cmdlet 分配权限。

   例如，如需向服务账号授予对特定邮箱的完全访问权限，请执行以下操作：

   Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess
   

   如需了解详情，请参阅在 Exchange Online 中针对应用的基于角色的访问权限控制。

将 Exchange Online 与 Google SecOps 集成

如需了解如何在 Google SecOps 上安装和配置集成，请参阅配置集成。

如需将 Exchange Online 与 Google SecOps 平台集成，您需要在 Google SecOps 中完成以下步骤：

1. 配置初始参数并保存。

2. 生成刷新令牌：

   • 在 Google SecOps 中模拟支持请求。

   • 运行获取授权操作。

   • 运行 Generate Token 操作。

3. 将获得的刷新令牌作为 Refresh Token 参数值输入，然后保存配置。

配置初始参数

Exchange Online 集成需要以下初始参数：

配置完参数后，点击保存。

生成刷新令牌

如需生成刷新令牌，您需要对现有支持请求执行手动操作。 如果您的 Google SecOps 实例是新实例，并且没有现有支持请求，请模拟一个。

模拟支持请求

如需在 Google SecOps 中模拟支持请求，请按以下步骤操作：

1. 在左侧导航栏中，选择支持请求。

2. 在“支持请求”页面上，依次点击 添加 > 模拟支持请求。

3. 选择任意默认情形，然后点击创建。您选择模拟哪种情况无关紧要。

4. 点击模拟。

   如果您有非默认环境，并且想要使用该环境，请选择正确的环境，然后点击模拟。

5. 在支持请求标签页中，点击刷新。您模拟的支持请求会显示在支持请求列表中。

运行“获取授权”操作

使用您模拟的 Google SecOps 支持请求手动运行获取授权操作。

1. 在支持请求标签页中，选择模拟的支持请求以打开支持请求视图。

2. 点击手动操作。

3. 在“人工处置”搜索字段中，输入 Exchange。

4. 在 Exchange 集成下的结果中，选择获取授权。 此操作会返回一个授权链接，用于以交互方式登录 Microsoft Entra 应用。

5. 点击执行。

6. 执行操作后，前往模拟支持请求的“支持请求墙”。在 Exchange_Get Authorization 操作记录中，点击查看更多。复制授权链接。

7. 在无痕模式下打开新的浏览器窗口，然后粘贴生成的授权网址。系统会打开 Azure 登录页面。

8. 使用您为集成选择的用户凭据登录。登录后，浏览器会将您重定向到地址栏中包含代码的地址。

   当应用将您重定向到 http://localhost 时，浏览器预计会显示错误。

9. 复制地址栏中包含访问代码的完整网址。

运行“生成令牌”操作

使用您模拟的 Google SecOps 支持请求手动运行生成令牌操作。

1. 在支持请求标签页中，选择模拟的支持请求以打开支持请求视图。

2. 点击手动操作。

3. 在“人工处置”搜索字段中，输入 Exchange。

4. 在 Exchange 集成下的结果中，选择生成令牌。

5. 在 Authorization URL 字段中，粘贴运行 Get Authentication 操作后复制的包含访问令牌的完整网址。

6. 点击执行。

7. 执行操作后，前往模拟支持请求的“支持请求墙”。在 Exchange_Generate Token 操作记录中，点击查看更多。

8. 复制生成的刷新令牌的完整值。

配置刷新令牌参数

1. 前往 Exchange 集成的配置对话框。

2. 将运行 Generate Token 操作时获得的刷新令牌值输入到 Refresh Token 字段中。

3. 点击保存。

4. 点击测试，测试配置是否正确以及集成是否按预期运行。

如果需要，您可以在稍后阶段进行更改。配置完成后，这些实例便可在 playbook 中使用。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

配置 Exchange 服务器

在将 Exchange Server 与 Google SecOps 集成之前，请为 Exchange Server 设置基本身份验证。

如需通过 Exchange 服务器进行身份验证，请使用用户名和密码。

设置基本身份验证

如需设置基本身份验证，请完成以下步骤：

1. 验证 Exchange Server（集群中的其中一个服务器）是否可从 Google SecOps 服务器访问，并满足以下要求：

   • Exchange 服务器 DNS 名称正在解析。

   • Exchange 服务器 IP 地址可访问。

   • Exchange Web Services (EWS) 已启用，并托管在 Google SecOps 服务器可访问的端口上。

   如果无法从 Google SecOps SOAR 服务器访问 Exchange 服务器，请考虑使用 Google SecOps 远程代理。

2. 向集成提供用户名（用户电子邮件账号）和密码。为集成选择用户。

3. 对于使用委托权限或模拟权限的操作，请完成以下步骤：

   1. 向您在集成中使用的电子邮件账号授予对所需邮箱的委托访问权限或模拟访问权限。

      建议您配置具有模拟权限的访问权限。 如需了解详情，请参阅 Microsoft 产品文档中的 Exchange 中的模拟和 EWS。

   2. 如需访问其他邮箱，请为配置了集成的用户（邮箱）分配以下 Exchange 角色：

      • Microsoft 产品文档中的Discovery Management 角色组。

      • Microsoft 产品文档中的 ApplicationImpersonation 角色。

      • Microsoft 产品文档中的 Compliance Management 角色。

      • Microsoft 产品文档中的 Organization Management 角色。

将 Exchange Server 与 Google SecOps 集成

如需了解如何在 Google SecOps 上安装和配置集成，请参阅配置集成。

集成输入

Exchange Server 集成需要以下参数：

操作

本部分列出的操作分为两类：

1. 常见的 Exchange 集成操作。

2. 特定于 Exchange “阻止发件人和网域”功能的操作。

所需权限

如需了解运行常见操作所需的最低权限，请参阅下表：

如需了解运行屏蔽发件人和网域功能所需的最低权限，请参阅下表：

删除邮件

使用 Delete Mail 操作可从邮箱中删除一封或多封符合搜索条件的电子邮件。

删除电子邮件可以应用于符合搜索条件的第一个电子邮件，也可以应用于所有符合条件的电子邮件。

如需了解运行此操作所需的权限，请参阅本文档的操作权限部分。

如果用户处于离线状态，则该操作可能无法从其 Outlook 客户端中删除相应邮件，直到用户重新连接并同步其邮箱为止。

此操作不适用于 Google SecOps 实体。

操作输入

删除邮件操作需要以下参数：

操作输出

删除邮件操作提供以下输出：

输出消息

删除邮件操作可以返回以下输出消息：

脚本结果

下表列出了使用 Delete Mail 操作时脚本结果输出的值：

下载附件

使用下载附件操作将电子邮件中的附件下载到 Google SecOps 服务器上的特定路径。该操作会自动将下载的附件名称中的反斜杠或空格字符替换为下划线字符。

此操作不适用于 Google SecOps 实体。

操作输入

下载附件操作需要以下参数：

操作输出

下载附件操作提供以下输出：

JSON 结果

以下示例展示了使用下载附件操作时收到的 JSON 结果输出：

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]

输出消息

下载附件操作可以返回以下输出消息：

脚本结果

下表列出了使用下载附件操作时脚本结果输出的值：

提取 EML 数据

使用 Extract EML Data 操作从电子邮件 EML 附件中提取数据。

此操作会在所有 Google SecOps 实体上运行。

操作输入

提取 EML 数据操作需要以下参数：

操作输出

提取 EML 数据操作提供以下输出：

JSON 结果

以下示例展示了使用 Extract EML Data 操作时收到的 JSON 结果输出：

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]

脚本结果

下表列出了使用 Extract EML Data 操作时脚本结果输出的值：

生成令牌

使用 Generate Token 操作获取采用 OAuth 身份验证的集成配置的刷新令牌。使用您在 Get Authorization 操作中收到的授权网址。

此操作不适用于 Google SecOps 实体。

操作输入

生成令牌操作需要以下参数：

操作输出

生成令牌操作提供以下输出：

输出消息

生成令牌操作可以返回以下输出消息：

脚本结果

下表列出了使用 Generate Token 操作时脚本结果输出的值：

获取账号的机构外设置

使用 Get Account Out Of Facility Settings 操作可获取所提供的 Google SecOps User 实体的账号不在设施内 (OOF) 设置。

如果目标用户实体是用户名而非电子邮件地址，请运行 Active Directory Enrich Entities 操作，以检索存储在 Active Directory 中的用户电子邮件地址相关信息。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

将账号从设施设置中移出操作提供以下输出：

“支持请求墙”表格

获取账号退出设施设置操作会在 Google SecOps 的“问题墙”上返回下表：

表格名称：Out of Facility Settings

表列：

• 参数
• 值

实体丰富化

从设施设置中获取账号操作支持以下实体丰富：

JSON 结果

以下示例展示了使用 Get Account Out Of Facility Settings 操作时收到的 JSON 结果输出：

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))

输出消息

将账号移出设施设置操作可以返回以下输出消息：

获取授权

使用 Get Authorization 操作获取包含访问代码的链接，以便通过 OAuth 身份验证进行集成配置。复制该链接，并在 Generate Token 操作中使用该链接来获取刷新令牌。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

获取授权操作提供以下输出：

案例墙链接

此获取授权操作会返回以下链接：

名称：浏览到此授权链接

链接：AUTHORIZATION_LINK

输出消息

此 Get Authorization 操作可以返回以下输出消息：

脚本结果

下表列出了使用 Get Authorization 操作时脚本结果输出的值：

获取邮件 EML 文件

使用 Get Mail EML File 操作可检索邮件 EML 文件。

此操作会在所有 Google SecOps 实体上运行。

操作输入

获取邮件 EML 文件操作需要以下参数：

操作输出

获取电子邮件 EML 文件操作提供以下输出：

脚本结果

下表列出了使用 Get Mail EML File 操作时脚本结果输出的值：

将邮件移至文件夹

使用将邮件移至文件夹操作可将一封或多封电子邮件从源电子邮件文件夹移至邮箱中的其他文件夹。

根据使用情形，该操作会在 JSON 结果中返回不同数量的有关已处理电子邮件的信息。

如果您选择限制 JSON 结果中的信息量参数，JSON 结果将仅包含以下电子邮件字段：datetime_received、message_id、sender、subject、to_recipients。 否则，JSON 结果会包含有关已处理电子邮件的所有可用信息。

如果您选择停用操作 JSON 结果参数，则操作不会返回任何 JSON 结果。

将邮件移至文件夹操作不会在 Google SecOps 实体上运行。

操作输入

将邮件移至文件夹操作需要以下参数：

操作输出

将邮件移至文件夹操作提供以下输出：

输出消息

将邮件移至文件夹操作可以返回以下输出消息：

脚本结果

下表列出了使用将邮件移至文件夹操作时脚本结果输出的值：

Ping

使用 Ping 操作测试与 Microsoft Exchange 实例的连接。

您可以手动执行此操作，而不是作为 playbook 流程的一部分来执行。

此操作不适用于 Google SecOps 实体。

操作输入

不适用

操作输出

Ping 操作提供以下输出：

输出消息

Ping 操作可以返回以下输出消息：

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

将邮件附件保存到支持请求

使用将邮件附件保存到支持请求操作，将受监控邮箱中存储的电子邮件中的附件保存到 Google SecOps 中的支持请求墙。

此操作不适用于 Google SecOps 实体。

操作输入

将邮件附件保存到支持请求操作需要以下参数：

操作输出

将邮件附件保存到支持请求操作提供以下输出：

输出消息

将邮件附件保存到支持请求操作可以返回以下输出消息：

脚本结果

下表列出了使用将邮件附件保存到支持请求操作时脚本结果输出的值：

搜索邮件

使用搜索邮件操作，通过多个搜索条件在已配置的邮箱中搜索特定电子邮件。此操作会以 JSON 格式返回邮箱中找到的电子邮件的相关信息。

此操作不适用于 Google SecOps 实体。

操作输入

搜索邮件操作需要以下参数：

操作输出

搜索邮件操作提供以下输出：

“支持请求墙”表格

搜索邮件操作会在 Google SecOps 的“问题墙”上返回下表：

表格标题：匹配的电子邮件

表列：

• Message_id
• 收到日期
• 发件人
• 收件人
• Subject
• 电子邮件正文
• 附件名称（以英文逗号分隔的附件名称列表的形式）

如果您选择 Search in all mailboxes 参数，该操作会将在邮箱中找到列添加到表格中，以指明电子邮件是在哪个邮箱中找到的。

JSON 结果

以下示例展示了在使用搜索邮件操作时收到的 JSON 结果输出：

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]

输出消息

搜索邮件操作可以返回以下输出消息：

脚本结果

下表列出了使用搜索邮件操作时脚本结果输出的值：

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]
  

发送邮件

使用 Send Mail 操作可从特定邮箱向收件人列表发送电子邮件。您可以使用此操作告知用户以下信息：

• 在 Google SecOps 中创建的特定提醒。
• 特定提醒处理的结果。

此操作不适用于 Google SecOps 实体。

操作输入

发送邮件操作需要以下参数：

操作输出

发送邮件操作提供以下输出：

JSON 结果

以下示例展示了使用发送邮件操作时收到的 JSON 结果输出：

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

除了邮件对象 JSON 技术结果之外，该操作还会返回邮件 ID 和电子邮件发送日期。如果需要，等待邮件操作会使用这些额外数据：

{
…
"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}

输出消息

“发送邮件”操作可返回以下输出消息：

脚本结果

下表列出了使用发送邮件操作时脚本结果输出的值：

发送邮件 HTML

使用发送 HTML 邮件操作发送包含 HTML 模板内容的电子邮件。Send to 字段以英文逗号分隔。

您可以在电子邮件客户端的账号设置中配置发件人名称。

此操作会在所有 Google SecOps 实体上运行。

操作输入

发送邮件 HTML 操作需要以下参数：

操作输出

发送邮件 HTML 操作提供以下输出：

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

发送消息串回复

使用 Send Thread Reply 操作将消息作为电子邮件会话的回复发送。

此操作不适用于 Google SecOps 实体。

操作输入

发送消息串回复操作需要以下参数：

操作输出

发送帖子回复操作提供以下输出：

输出消息

发送线程回复操作可以返回以下输出消息：

脚本结果

下表列出了使用发送线程回复操作时脚本结果输出的值：

发送投票邮件

使用 Send Vote Mail 操作发送包含预配置答案选项的电子邮件，以便在自动化流程中包含无法访问 Google SecOps 界面的用户。

只有当收件人使用 Exchange 正确查看和选择投票选项时，此操作才支持投票功能。

此操作不适用于 Google SecOps 实体。

操作输入

发送投票邮件操作需要以下参数：

操作输出

发送投票邮件操作提供以下输出：

JSON 结果

以下示例展示了使用发送投票邮件操作时收到的 JSON 结果输出：

{

…

"message_id": "example@example.com>",

"email_date": "1583916838"

...

}

输出消息

发送投票邮件操作可以返回以下输出消息：

脚本结果

下表列出了使用 Send Vote Mail 操作时脚本结果输出的值：

等待用户发送邮件

使用等待用户发送的电子邮件操作，根据使用发送电子邮件操作发送的电子邮件等待用户回复。

此操作以异步方式运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

此操作不适用于 Google SecOps 实体。

操作输入

等待用户发送的邮件操作需要以下参数：

操作输出

等待用户发送的电子邮件操作提供以下输出：

案例墙附件

等待用户发送电子邮件操作会在 Google SecOps 的支持请求墙上返回以下附件：

附件类型为实体，映射到回复了 message_id 的收件人，Google SecOps 服务器会跟踪该收件人的回复。

JSON 结果

作为 JSON 结果，该操作会返回以下两种输出的组合：

1. 包含已跟踪回复的电子邮件的邮件对象 JSON 输出。

   该操作使用 message_id 跟踪电子邮件回复。

2. 用于跟踪用户回答的 JSON 输出。

合并输出数据的方法是在实现阶段定义的。

邮件对象 JSON 输出的流程如下：

1. 操作会等待至少一个用户响应，然后继续执行。

2. 在收到第一位用户的回答后，该操作会更新 JSON 结果，并继续执行操作结果。

   {
   "Responses":
   {[
       "user1@example.com": "Approved",
       "user2@example.com": "",
       "user3@example.com": ""
   ]}
   }
   

跟踪响应流程的输出如下：

1. 此操作会等待所有用户做出回应，然后继续执行。

2. 在收到用户的回复或达到超时时间后，该操作会更新 JSON 结果。

   在这种情况下，如果操作正在等待所有收件人的回复，并且在等待用户回复时达到超时时间，则该操作会返回 handled_timeout 错误。

   {
   "Responses":
   {[
       "user1@example.com": "Approved",
       "user2@example.com": "Approved",
       "user3@example.com": "Timeout"
   ]}
   }
   

输出消息

等待用户发送的电子邮件操作可以返回以下输出消息：

等待投票邮件结果

使用等待投票邮件结果操作可等待并检索使用发送投票邮件操作发送的投票邮件的回复。等待投票邮件结果操作会将检索到的响应转发给 Google SecOps。

为了正确跟踪和检索投票结果，请跟踪投票电子邮件。如需了解详情，请参阅 Send Vote Mail 操作。

此操作不适用于 Google SecOps 实体。

操作输入

等待投票邮件结果操作需要以下参数：

操作输出

等待邮寄选票结果操作提供以下输出：

JSON 结果

以下示例展示了使用等待投票邮件结果操作时收到的 JSON 结果输出：

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}

输出消息

等待邮寄选票结果操作可以返回以下输出消息：

脚本结果

下表列出了使用等待投票邮件结果操作时脚本结果输出的值：

“屏蔽发件人和网域”功能

电子邮件管理和安全功能最常见的用途之一是遏制组织收件箱中已有的现有威胁（例如钓鱼式攻击电子邮件），然后屏蔽可疑发件人或网域，以保护组织免受未来攻击并防止可能发生的安全违规行为。

在 Google SecOps 中，Exchange 集成功能可为您提供屏蔽发件人和网域功能，该功能包含以下顺序阶段：

1. 组织内的保护。

   使用 Block Sender by Message ID 操作，通过 Mark as Junk EWS 服务将发件人添加到屏蔽列表中。

2. 使用收件箱规则在组织外部提供保护。

   创建收件箱规则，以便在客户端级别添加这些规则，并自动阻止有害电子邮件到达组织邮箱。

3. 通过服务器收件箱规则在组织外部提供保护。

   创建服务器收件箱规则，以防止可疑电子邮件到达组织。

您可以在下一部分中详细了解这些阶段。

使用场景

以下使用情形展示了一个安全违规示例，即一封可疑且可能有害的电子邮件。

发现一封可疑的有害电子邮件已入侵您组织的多个邮箱后，处理此类威胁的常规流程如下：

1. 使用按邮件 ID 屏蔽发件人操作来补救威胁。
2. 处理被盗用的邮箱。
3. 还可针对其他邮箱中收到的可疑电子邮件添加保护措施。

修复威胁

如需补救此威胁，请运行按邮件 ID 屏蔽发件人操作，以获取用于调查的参数以及有关可疑电子邮件的更多信息。您还可以通过该操作仅检查遭入侵的邮箱，并处理其中包含的威胁。

按邮件 ID 阻止发件人操作会触发 Exchange EWS Mark as Junk 服务来执行以下操作：

1. 将可疑电子邮件移到垃圾邮件文件夹。
2. 将电子邮件发件人添加到所调查邮箱的已阻止发件人列表中。

如需详细了解如何使用标记为垃圾邮件服务，请参阅 Microsoft 产品文档中的在 Exchange 中使用 EWS 添加和移除屏蔽的发件人列表中的电子邮件地址。

一方面，使用按邮件 ID 屏蔽发件人操作来补救威胁仅针对遭入侵的邮箱，并且可以自动执行。另一方面，该操作既无法在未受入侵的邮箱中屏蔽发件人，也无法使用 API 将网域添加到已屏蔽的发件人列表。

处理被盗用的邮箱

修复威胁后，后续步骤是处理遭入侵的邮箱，并保护组织中的每个邮箱免受任何恶意发件人（包括潜在的恶意发件人）的侵害。

如需处理遭到入侵的邮箱，请执行包含以下操作的收件箱规则操作集：

1. 向 Exchange-Siemplify 收件箱规则添加网域
2. 将发件人添加到 Exchange-Siemplify 收件箱规则
3. 删除 Exchange-Siemplify 收件箱规则
4. 列出 Exchange-Siemplify 收件箱规则
5. 从 Exchange-Siemplify 收件箱规则中移除网域
6. 从 Exchange-Siemplify 收件箱规则中移除发件人

如需详细了解操作中使用的服务，请参阅 Microsoft 产品文档中的在 Exchange 中管理收件箱规则。

通过 Exchange 集成，您可以使用一组以下预定义规则来执行最常见的操作：

• Siemplify - 发件人名单 - 移至“垃圾邮件”文件夹
• Siemplify - 发件人列表 - 删除
• Siemplify - 发件人列表 - 永久删除
• Siemplify - 网域列表 - 移至“垃圾内容”
• Siemplify - 网域列表 - 删除
• Siemplify - 网域列表 - 永久删除

永久删除恶意发件人的电子邮件

如需在所有邮箱中保留相同的规则列表，请为管理员用户添加规则。如需将管理员规则应用于其他用户，请对所有邮箱运行该操作。

如需永久删除恶意发件人的电子邮件，请完成以下步骤：

1. 在 Google SecOps 中，使用管理员账号运行将发件人添加到 Exchange-Siemplify 收件箱规则操作。输入恶意发件人的电子邮件地址。

2. 从列表中选择适当的规则，以定义如何管理可疑电子邮件。如需永久删除恶意电子邮件，请选择 Siemplify - 发件人列表 - 永久删除规则。

   此操作会使用新的恶意发件人更新收件箱规则。

3. 选择 Perform action in all mailboxes 参数，以将规则应用于所有邮箱。

   如果收件箱中不存在相应规则，该操作会创建相应规则。如果规则已存在于邮箱中，该操作会使用新的参数值更新规则。

4. 如需在其他邮箱中添加针对收到的可疑电子邮件的保护措施并屏蔽恶意发件人网域，请选择 Should add senders' domain to the corresponding Domains List rule as well? 参数。

5. 查看操作中的其他参数，并根据需要进行调整。

将发件人添加到 Exchange-Siemplify 收件箱规则操作会根据 Mailboxes to process in one batch 参数一次性更新多条规则。将发件人添加到 Exchange-Siemplify 收件箱规则操作适用于发件人和网域，适用于所有邮箱（无论是否收到可疑电子邮件），并且可以自动执行。

最终用户可以删除其邮箱的应用规则。将管理员规则应用于其他邮箱会自动移除已停用的私人收件箱规则。

“屏蔽发件人”和“屏蔽网域”操作

在运行“屏蔽发件人和网域”功能的操作之前，请配置所需的最低权限。

向 Exchange-Siemplify 收件箱规则添加网域

使用 Add Domains to Exchange-Siemplify Inbox Rules 操作获取网域列表作为参数，或者在参数为空时使用 Google SecOps Domain 实体。此操作仅适用于 Google SecOps 5.6 及更高版本。

在运行此操作之前，请配置所需的操作权限。

您可以通过过滤邮箱中的网域来创建或更新规则。您可以使用 Rule to add Domains to 参数修改此操作。

将网域添加到 Exchange-Siemplify 收件箱规则操作会修改使用 EWS 的用户的当前收件箱规则。

此操作会异步运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

如果您未设置任何参数，且 Google SecOps 版本为 5.6 及更高版本，则此操作会在网域实体上运行。

操作输入

将网域添加到 Exchange-Siemplify 收件箱规则操作需要以下参数：

操作输出

将网域添加到 Exchange-Siemplify 收件箱规则操作提供以下输出：

输出消息

将网域添加到 Exchange-Siemplify 收件箱规则操作可以返回以下输出消息：

脚本结果

下表列出了使用 Add Domains to Exchange-Siemplify Inbox Rules 操作时脚本结果输出的值：

将发件人添加到 Exchange-Siemplify 收件箱规则

使用 Add Senders to Exchange-Siemplify Inbox Rule 操作可获取电子邮件地址列表，或者在参数为空时使用 Google SecOps User 实体。您可以使用正则表达式来执行此操作。

您可以过滤邮箱中的发件人，然后创建新规则。您可以使用 Rule to add senders to 参数修改此操作。

在运行此操作之前，请务必配置所需的操作权限。

将发件人添加到 Exchange-Siemplify 收件箱规则操作会使用 EWS 修改用户的当前收件箱规则。

此操作会异步运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

如果电子邮件正则表达式有效，并且您未配置任何参数，则此操作会在 User 实体上运行。

操作输入

将发件人添加到 Exchange-Siemplify 收件箱规则操作需要以下参数：

操作输出

将发件人添加到 Exchange-Siemplify 收件箱规则操作提供以下输出：

输出消息

将发件人添加到 Exchange-Siemplify 收件箱规则操作可以返回以下输出消息：

脚本结果

下表列出了使用 Add Senders to Exchange-Siemplify Inbox Rule 操作时脚本结果输出的值：

按消息 ID 屏蔽发件人

使用按邮件 ID 阻止发件人操作可获取邮件 ID 列表作为参数，并将该列表标记为垃圾邮件。

在此操作中，将邮件标记为垃圾邮件会将相应电子邮件发件人地址添加到已阻止的发件人名单，并将相应邮件移至“垃圾邮件”文件夹。

此操作会异步运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

按邮件 ID 屏蔽发件人操作仅支持 Exchange Server 2013 版及更高版本。如果您使用的是旧版，则操作会失败并显示相应消息。

在将可疑电子邮件地址添加到已阻止的发件人列表或从该列表中移除该电子邮件地址之前，用户邮箱中必须存在来自该可疑电子邮件地址的邮件。

按消息 ID 屏蔽发件人操作不会在 Google SecOps 实体上运行。

操作输入

按消息 ID 屏蔽发件人操作需要以下参数：

操作输出

按消息 ID 屏蔽发送者操作提供以下输出：

输出消息

按消息 ID 屏蔽发件人操作可以返回以下输出消息：

脚本结果

下表列出了使用按消息 ID 屏蔽发件人操作时脚本结果输出的值：

删除 Exchange-Siemplify 收件箱规则

使用 Delete Exchange-Siemplify Inbox Rules 操作可获取规则名称作为参数，并从所有指定的邮箱中删除该规则。

在运行此操作之前，请配置所需的操作权限。

删除 Exchange-Siemplify 收件箱规则操作会修改用户当前通过 EWS 设置的收件箱规则。

此操作会异步运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

此操作不适用于 Google SecOps 实体。

操作输入

删除 Exchange-Siemplify 收件箱规则操作需要以下参数：

操作输出

删除 Exchange-Siemplify 收件箱规则操作提供以下输出：

输出消息

删除 Exchange-Siemplify 收件箱规则操作可以返回以下输出消息：

脚本结果

下表列出了使用 Delete Exchange-Siemplify Inbox Rules 操作时脚本结果输出的值：

列出 Exchange-Siemplify 收件箱规则

使用 List Exchange-Siemplify Inbox Rules 操作可从 Exchange-Siemplify 收件箱规则中获取规则名称作为参数并列出该规则名称。如果没有要列出的邮箱，该操作会列出已登录用户的规则。

在运行此操作之前，请配置所需的操作权限。

List Exchange-Siemplify Inbox Rules 操作会使用 EWS 修改用户的当前收件箱规则。

此操作会异步运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

此操作不适用于 Google SecOps 实体。

操作输入

列出 Exchange-Siemplify 收件箱规则操作需要以下参数：

操作输出

列出 Exchange-Siemplify 收件箱规则操作提供以下输出：

JSON 结果

以下示例展示了使用列出 Exchange-Siemplify 收件箱规则操作时收到的 JSON 结果输出：

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}

输出消息

列出 Exchange-Siemplify 收件箱规则操作可以返回以下输出消息：

脚本结果

下表列出了使用 List Exchange-Siemplify Inbox Rules 操作时脚本结果输出的值：

从 Exchange-Siemplify 收件箱规则中移除网域

使用 Remove Domains from Exchange-Siemplify Inbox Rules 获取域名列表作为参数，或者在未提供参数的情况下处理 Domain 实体。此操作仅适用于 Google SecOps 5.6 及更高版本。您可以从现有规则中移除所提供的网域。

在运行此操作之前，请配置所需的操作权限。

从 Exchange-Siemplify 收件箱规则中移除网域操作会修改用户当前通过 EWS 设置的收件箱规则。

此操作会异步运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

如果您未配置任何参数，此操作将在 Google SecOps 网域实体上运行。

操作输入

从 Exchange-Siemplify 收件箱规则中移除网域操作需要以下参数：

操作输出

从 Exchange-Siemplify 收件箱规则中移除网域操作提供以下输出：

输出消息

从 Exchange-Siemplify 收件箱规则中移除网域操作可以返回以下输出消息：

脚本结果

下表列出了使用从 Exchange-Siemplify 收件箱规则中移除网域操作时脚本结果输出的值：

从 Exchange-Siemplify 收件箱规则中移除发件人

使用 Remove Senders from Exchange-Siemplify Inbox Rules 获取电子邮件发件人列表作为参数，或者在未提供参数的情况下使用 User 实体。

您可以从现有规则中移除指定发件人。

在运行此操作之前，请配置所需的操作权限。

从 Exchange-Siemplify 收件箱规则中移除发件人操作会使用 EWS 修改用户的当前收件箱规则。

此操作会异步运行。根据需要，在 Google SecOps IDE 中调整操作的脚本超时值。

如果未提供任何参数，此操作将针对 Google SecOps 用户实体运行。

操作输入

从 Exchange-Siemplify 收件箱规则中移除发件人操作需要以下参数：

操作输出

从 Exchange-Siemplify 收件箱规则中移除发件人操作提供以下输出：

输出消息

“从 Exchange-Siemplify 收件箱规则中移除发件人”操作可以返回以下输出消息：

脚本结果

下表列出了使用 Remove Senders from Exchange-Siemplify Inbox Rules 操作时脚本结果输出的值：

按消息 ID 取消屏蔽发件人

使用按消息 ID 取消屏蔽发件人操作可获取消息 ID 列表作为参数，并取消标记为垃圾内容。

在此操作中，取消将某项内容标记为垃圾内容会从已阻止的发件人列表中移除相应发件人的电子邮件地址。如需将项目移回收件箱文件夹，请在操作参数中选择 Move items back to Inbox? 参数。

按邮件 ID 取消屏蔽发件人以异步方式运行。根据需要调整 Google SecOps IDE 中相应操作的脚本超时值。

此操作仅支持 Exchange Server 2013 及更高版本。如果您使用的是早期版本，则操作会失败并显示相应消息。

在将可疑电子邮件地址添加到已屏蔽的发件人列表或从中移除该地址之前，用户邮箱中必须存在来自该可疑电子邮件地址的邮件。

此操作不适用于 Google SecOps 实体。

操作输入

通过消息 ID 解除对发件人的屏蔽操作需要以下参数：

操作输出

通过消息 ID 解锁发件人操作提供以下输出：

输出消息

按消息 ID 解锁发件人操作可以返回以下输出消息：

脚本结果

下表列出了使用按消息 ID 解锁发件人操作时脚本结果输出的值：

连接器

如需详细了解如何在 Google SecOps 中配置连接器，请参阅提取数据（连接器）。

配置连接器和操作时，请注意凭据中的空格和特殊符号。如果集成拒绝您的凭据，请检查拼写。

如需配置所选连接器，请使用下表中列出的连接器专用参数：

• Exchange EML 连接器配置参数
• Exchange Mail Connector 配置参数
• Exchange Mail Connector V2 配置参数
• 具有 OAuth 身份验证配置参数的 Exchange Mail 连接器 v2

Exchange EML 连接器

Exchange EML 连接器从 Exchange 服务器检索电子邮件并解析它们。如果存在附加的 EML 文件，连接器会将这些文件作为事件附加到支持请求。如果电子邮件中包含多个 EML 附件，连接器会创建多个支持请求，并将每个附件作为相应支持请求的一项事件进行提取。

已知限制

1. Microsoft 365 和基本身份验证。

   • Exchange EML 连接器不再支持基本身份验证，无法与 Microsoft 365 搭配使用。对于 Microsoft 365，请使用支持 OAuth 的 Exchange 邮件连接器 v2。

2. Exchange EML 连接器的具体信息如下：

   • 连接器仅根据包含 EML 或 MSG 文件附件的电子邮件创建 Google SecOps 提醒。

   • 连接器会忽略不包含邮件附件的电子邮件。

连接器输入

Exchange EML 连接器需要以下参数：

连接器规则

• Exchange EML 连接器不支持屏蔽列表和动态列表规则。

• Exchange EML 连接器支持代理。

Exchange Mail Connector

使用 Exchange Mail Connector 与 Exchange 服务器通信，近乎实时地搜索电子邮件，并将其转发以进行翻译和情境化处理，然后作为 Google SecOps 支持服务工单中的提醒。

本部分介绍了如何使用 Exchange Web 服务 (EWS) 与 Microsoft Exchange 2007-2019 Server 或 Microsoft 365 进行通信，并说明了 Google SecOps 如何与 Exchange 邮件界面以及应用内的辅助工作流和活动进行互动。

借助 Exchange 邮件连接器，您可以从配置的 Exchange 服务器检索电子邮件，该连接器会扫描每个服务器，然后创建新的支持请求。每种方案都至少包含一次初始电子邮件发送。主要区别在于，Exchange 邮件连接器会移除电子邮件，并生成用于解析 Exchange 服务器原始电子邮件中的 EML 或 MSG 数据的事件。

已知限制

1. Microsoft 365 和基本身份验证。

   • Exchange 邮件连接器不再支持基本身份验证，无法与 Microsoft 365 搭配使用。对于 Microsoft 365，请使用支持 OAuth 的 Exchange 邮件连接器 v2。

2. Exchange 邮件连接器的具体信息如下：

   • 连接器仅根据邮箱中收到的原始电子邮件创建 Google SecOps 提醒。

   • 连接器会忽略附加的 EML 和 MSG 文件。

连接器输入

Exchange Mail 连接器需要以下参数：

配置动态列表规则

在动态列表部分中，如需使用正则表达式从电子邮件中提取特定值，请添加以下格式的规则：

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

例如，如需从电子邮件中提取消息 ID，请输入以下规则：

message-id: (?<=Message-ID: ).*

连接器规则

• Exchange 邮件连接器支持代理。

• Exchange Mail Connector 不支持屏蔽列表规则。

• Exchange 集成使用动态列表部分来定义正则表达式，并实现以下功能：

  • 解析电子邮件内容。
  • 根据与电子邮件事件匹配的正则表达式添加特定字段。

Exchange Mail 连接器 v2

使用 Exchange Mail Connector v2 连接到邮件服务器，并检查特定邮箱中的新电子邮件。

如果出现新电子邮件，连接器会触发，在 Google SecOps 中创建并注入包含新电子邮件信息的新提醒。

如果没有新电子邮件，Exchange Mail Connector v2 会完成当前迭代，并在下一次迭代运行之前等待一段时间。

连接器迭代流程

每次运行后，Exchange Mail Connector v2 都会使用上次运行的日期和时间更新时间戳文件。Exchange Mail Connector v2 会从电子邮件中提取可操作的信息，作为邮件对象技术结果，包括但不限于：

• 电子邮件发件人和收件人。
• 电子邮件主题。
• 电子邮件正文。
• 电子邮件中的网址。
• 附件（如有）。

Exchange Mail Connector v2 创建要注入到 Google SecOps 中的提醒（支持请求）后，连接器迭代即完成。

根据 Exchange Mail Connector v2 提供的情境数据，Google SecOps 服务器会运行 ETL 过程来注入新提醒并创建或更新情境。如果定义了相关 playbook，Google SecOps 会执行 playbook 来丰富支持请求、生成数据洞见并执行自动操作。

使用提醒名称模板和支持请求名称模板

借助 Alert Name Template 和 Case Name Template 参数，您可以替换创建提醒和支持请求名称的方式。只有第一个提醒会设置支持请求或提醒名称，所有后续提醒都不会影响该名称。

以下是 Google SecOps 事件的示例：

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

如需为 Google SecOps 提醒创建自定义名称，请使用以下模板：

[EVENT_TYPE] - [EVENT_NAME]

例如，如需创建名为 Phishing – Example Event 的 Google SecOps 提醒，模板如下所示：

[Phishing] - [Example Event]

连接器输入

在 Exchange Mail Connector v2 中，以下参数可能会影响电子邮件处理：

• Original Received Mail Prefix
• Attached Mail File Prefixes
• Create a Separate Siemplify Alert per Attached Mail File?

为了映射处理后电子邮件的 to 和 from 字段，连接器会创建以下字段集：

1. 包含电子邮件地址的常规 to 和 from 字段，电子邮件地址的格式如下：email@example。

2. to_raw 和 from_raw 字段，其中仅包含电子邮件地址作为值，格式如下：email@example。

Exchange Mail Connector v2 需要以下参数：

连接器规则

• Exchange Mail 连接器 v2 支持代理。

• Exchange Mail Connector v2 不支持屏蔽列表规则。

• Exchange 集成使用动态列表部分来定义正则表达式，以实现以下目的：

  • 解析电子邮件内容。
  • 根据正则表达式匹配结果，向电子邮件事件添加特定字段。

使用 OAuth 身份验证的 Exchange 邮件连接器 v2

使用 Exchange Mail Connector v2 with OAuth 监控需要 OAuth 身份验证的 Microsoft 365 邮件服务器上的特定邮箱。您可以使用 Get Authorization 和 Generate Token 操作来获取连接器配置所需的刷新令牌。

如需运行支持 OAuth 的 Exchange Mail 连接器 v2，请配置集成以支持 OAuth 身份验证。

使用提醒名称模板和支持请求名称模板

借助 Alert Name Template 和 Case Name Template 参数，您可以替换创建提醒和支持请求名称的方式。

以下是 Google SecOps 事件的示例：

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

如需为 Google SecOps 提醒创建自定义名称，请使用以下模板：

[EVENT_TYPE] - [EVENT_NAME]

例如，如需创建名为 Phishing – Example Event 的 Google SecOps 提醒，模板如下所示：

[Phishing] - [Example Event]

连接器输入

在使用 OAuth 的 Exchange 邮件连接器 v2 中，以下参数可能会影响电子邮件处理：

• Original Received Mail Prefix
• Attached Mail File Prefixes
• Create a Separate Siemplify Alert per Attached Mail File?

为了映射处理后电子邮件的 to 和 from 字段，连接器会创建以下两组字段：

1. 包含电子邮件地址的常规 to 和 from 字段，例如 email@example。

2. to_raw 和 from_raw 字段，其中仅包含电子邮件地址作为值，例如 email@example。

使用 OAuth 的 Exchange Mail 连接器 v2 需要以下参数：

作业

在为 Exchange 集成配置作业之前，请确保您的 Google SecOps 平台版本支持这些作业。

刷新令牌续订作业

刷新令牌续订作业的目标是定期更新集成中使用的刷新令牌。

默认情况下，刷新令牌每 90 天过期一次。建议每 7 天或 14 天运行一次此作业，以确保刷新令牌是最新的。

作业输入

刷新令牌续订作业需要以下参数：

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。