Exchange

整合版本:102.0

本文提供相關指引,說明如何整合 Exchange 與 Google Security Operations SOAR。

這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這個整合的完整原始碼壓縮副本。

設定 Exchange Online

根據您是為 Exchange Online 還是 Exchange Server 設定整合功能,先決條件和設定步驟會有所不同。

  • 如要設定 Exchange Online,請前往下一節。

  • 如要設定 Exchange Server,請參閱「設定 Exchange Server」。

Exchange Online 的整合功能僅支援 OAuth 委派驗證,且需要額外設定委派權杖。

在 Azure 環境中變更權限後,最多可能需要 24 小時才會生效。

事前準備

設定 Exchange Online 整合功能前,請先選擇驗證方法,並完成所有設定步驟。選擇下列其中一種做法:

指派模擬使用者身分的權限

這個方法需要在 Microsoft Entra ID 中建立應用程式,並指派模擬單一使用者的權限。

建立 Microsoft Entra 應用程式

如要開始設定模擬功能,您必須在 Microsoft Entra ID 中註冊新應用程式。

  1. 登入 Microsoft Azure,然後依序前往「Microsoft Entra ID」>「App registrations」>「New registration」
  2. 輸入應用程式名稱,然後選取「支援的帳戶類型」
  3. 在「Redirect URI」部分,請提供下列值:
    1. 平台:Web
    2. 重新導向網址:http://localhost
  4. 按一下「註冊」
  5. 儲存「Application (client) ID」和「Directory (tenant) ID」值。

設定 API 權限

您必須授予應用程式存取使用者資料的必要權限。

  1. 依序前往「API permissions」>「Add a permission」
  2. 選取「Microsoft Graph」>「Delegated permissions」
  3. 在「選取權限」部分,選取「EWS」,然後選取 Ews.AccessAsUser.All 權限。
  4. 依序點選「新增權限」>「授予系統管理員同意」

建立用戶端密鑰

您必須建立用戶端密鑰,做為應用程式的密碼。

  1. 依序前往「Certificates and secrets」(憑證和密鑰) >「New client secret」(新增用戶端密鑰)
  2. 提供說明、設定到期時間,然後按一下「新增」
  3. 儲存密鑰的值。

在 Exchange Online 中指派權限:

如要完成設定,請將 ApplicationImpersonation 角色指派給要模擬的使用者。

  1. Exchange 系統管理中心,依序前往「角色」>「管理員角色」,找出包含 ApplicationImpersonation 角色的角色群組 (例如「探索管理」)。
  2. 將要模擬的使用者新增至該角色群組。

委派存取權

您必須使用 Exchange Online PowerShell,授予服務帳戶信箱的直接權限,才能使用這個方法。

  1. 連線至 Exchange Online PowerShell

  2. 使用 Add-MailboxPermission Cmdlet 指派權限。

    舉例來說,如要授予服務帳戶特定信箱的完整存取權:

    Add-MailboxPermission -Identity "user@contoso.com" -User "your_service_account" -AccessRights FullAccess

    詳情請參閱「Exchange Online 中應用程式的角色型存取控制」。

將 Exchange Online 與 Google SecOps 整合

如需在 Google SecOps 中安裝及設定整合功能的操作說明,請參閱「設定整合功能」。

如要將 Exchange Online 與 Google SecOps 平台整合,請在 Google SecOps 中完成下列步驟:

  1. 設定初始參數並儲存。

  2. 產生更新權杖:

    • 在 Google SecOps 中模擬案件。

    • 執行「取得授權」動作。

    • 執行「Generate Token」動作。

  3. 輸入取得的重新整理權杖做為 Refresh Token 參數值,然後儲存設定。

設定初始參數

整合 Exchange Online 時,需要下列初始參數:

參數 說明
Mail Server Address 必要

要連線的郵件伺服器位址 (主機名稱或 IP 位址)。
Mail address 必要

整合時使用的郵件地址,可處理信箱中傳送及接收的電子郵件。
Client ID 必要

用於整合的 Microsoft Entra 應用程式應用程式 (用戶端) ID。

這是您在建立 Microsoft Entra 應用程式時儲存的應用程式 (用戶端) ID 值。
Client Secret 必要

用於整合的 Microsoft Entra 應用程式用戶端密鑰值。

這是您在建立用戶端密鑰時儲存的用戶端密鑰值。
Tenant (Directory) ID 必要

用於整合的 Microsoft Entra ID 應用程式的目錄 (租戶) ID。

這是您在建立 Microsoft Entra 應用程式時儲存的目錄 (租戶) ID 值。
Redirect URL 必要

在 Microsoft Entra 應用程式中設定的重新導向 URI。

請保留預設值 http://localhost

設定完參數後,請按一下「儲存」

產生更新權杖

如要產生重新整理權杖,您必須對現有案件執行手動操作。 如果 Google SecOps 執行個體是新建立的,且沒有現有案件,請模擬一個案件。

模擬案件

如要在 Google SecOps 中模擬案件,請按照下列步驟操作:

  1. 在左側導覽面板中,選取「案件」

  2. 在「案件」頁面中,依序點選「新增」>「模擬案件」

  3. 選取任一預設案例,然後按一下「建立」。無論選擇模擬哪個案例都沒關係。

  4. 按一下「模擬」

    如果您有預設以外的環境,且想使用該環境,請選取正確的環境,然後按一下「模擬」

  5. 在「案件」分頁中,按一下「重新整理」。模擬的案件會顯示在案件清單中。

執行「取得授權」動作

使用您模擬的 Google SecOps 案件,手動執行「取得授權」動作。

  1. 在「案件」分頁中,選取模擬案件開啟「案件檢視」畫面。

  2. 按一下「手動動作」

  3. 在「手動動作」搜尋欄位中,輸入 Exchange

  4. 在 Exchange 整合下方的結果中,選取「取得授權」。 這項動作會傳回授權連結,用於以互動方式登入 Microsoft Entra 應用程式。

  5. 按一下 [Execute] (執行)

  6. 執行動作後,請前往模擬案件的案件總覽。在「Exchange_Get Authorization」動作記錄中,按一下「查看更多」。複製授權連結。

  7. 以無痕模式開啟新的瀏覽器視窗,然後貼上產生的授權網址。系統會開啟 Azure 登入頁面。

  8. 使用您為整合功能選取的使用者憑證登入。登入後,瀏覽器會將您重新導向至網址列中含有程式碼的網址。

    瀏覽器應該會顯示錯誤,因為應用程式會將您重新導向至 http://localhost

  9. 從網址列複製含有存取代碼的完整網址。

執行「產生權杖」動作

使用您模擬的 Google SecOps 案件,手動執行「產生權杖」動作。

  1. 在「案件」分頁中,選取模擬案件開啟「案件檢視」畫面。

  2. 按一下「手動動作」

  3. 在「手動動作」搜尋欄位中,輸入 Exchange

  4. 在 Exchange 整合服務下方的結果中,選取「產生權杖」

  5. Authorization URL 欄位中,貼上執行「Get Authentication」(取得驗證) 動作後複製的完整網址和存取代碼。

  6. 按一下 [Execute] (執行)

  7. 執行動作後,請前往模擬案件的案件總覽。在「Exchange_Generate Token」動作記錄中,按一下「查看更多」

  8. 複製產生的完整更新權杖值。

設定「Refresh Token」參數

  1. 前往 Exchange 整合的設定對話方塊。

  2. 在「Refresh Token」(重新整理權杖) 欄位中,輸入執行「Generate Token」(產生權杖) 動作時取得的重新整理權杖值。

  3. 按一下 [儲存]

  4. 按一下「測試」,測試設定是否正確,以及整合功能是否正常運作。

如有需要,您之後可以變更。設定完成後,即可在應對手冊中使用執行個體。如要詳細瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

設定 Exchange Server

將 Exchange Server 與 Google SecOps 整合前,請先為 Exchange Server 設定基本驗證。

如要透過 Exchange Server 驗證身分,請使用使用者名稱和密碼。

設定基本驗證

如要設定基本驗證,請完成下列步驟:

  1. 確認 Google SecOps 伺服器可以存取 Exchange 伺服器 (叢集中的其中一個伺服器),且符合下列需求:

    • Exchange 伺服器 DNS 名稱正在解析。

    • 可存取 Exchange Server IP 位址。

    • Exchange Web Services (EWS) 已啟用,並託管在 Google SecOps 伺服器可存取的通訊埠上。

    如果無法從 Google SecOps SOAR 伺服器存取 Exchange Server,請考慮使用 Google SecOps 遠端代理程式。

  2. 提供使用者名稱 (使用者電子郵件帳戶) 和密碼給整合服務。選擇要整合的使用者。

  3. 如果動作使用委派或模擬權限,請完成下列步驟:

    1. 將必要信箱的委派或模擬存取權,授予整合服務中使用的電子郵件帳戶。

      建議您使用模擬權限設定存取權。詳情請參閱 Microsoft 產品說明文件中的「Exchange 中的模擬和 EWS」。

    2. 如要存取其他信箱,請將下列 Exchange 角色指派給為整合設定的使用者 (信箱):

將 Exchange Server 與 Google SecOps 整合

如需在 Google SecOps 中安裝及設定整合功能的操作說明,請參閱「設定整合功能」。

整合輸入內容

整合 Exchange Server 時,需要下列參數:

參數 說明
Mail Server Address 必要

要連線的郵件伺服器位址 (主機名稱或 IP 位址)。
Mail address 必要

整合作業中使用的郵件地址,可處理信箱中傳送及接收的電子郵件。
Username 必要

用於郵件伺服器驗證的使用者名稱,例如 exchange_onprem_test@exlab.local
Password 必要

用於郵件伺服器驗證的密碼。

動作

本節列出的動作分為兩類:

  1. 常見的 Exchange 整合動作。

  2. Exchange 專屬的「封鎖寄件者和網域」功能。

所需權限

如要瞭解執行一般動作所需的最低權限,請參閱下表:

動作 所需權限
刪除郵件

ApplicationImpersonation

Mailbox Search
下載附件

ApplicationImpersonation


Mailbox Search
搜尋郵件

ApplicationImpersonation


Mailbox Search

MailboxSearchApplication

如要瞭解執行「封鎖寄件者和網域」功能動作所需的最低權限,請參閱下表:

動作 所需權限
將寄件者新增至 Exchange-Siemplify 收件匣規則 EDiscovery Group
Author
將寄件者新增至 Exchange-Siemplify 收件匣規則 EDiscovery Group
Author
刪除 Exchange-Siemplify 收件匣規則 EDiscovery Group
Author
列出 Exchange-Siemplify 收件匣規則 EDiscovery Group
Author
從 Exchange-Siemplify 收件匣規則中移除網域 EDiscovery Group
Author
從 Exchange-Siemplify 收件匣規則中移除寄件者 EDiscovery Group
Author

刪除郵件

使用「刪除郵件」動作,從信箱中刪除符合搜尋條件的一或多封電子郵件。

您可以刪除符合搜尋條件的第一封電子郵件,也可以刪除所有符合條件的電子郵件。

如要瞭解執行這項動作所需的權限,請參閱本文的「動作權限」一節。

如果使用者處於離線狀態,系統可能要等到使用者重新連線並同步處理信箱後,才會從 Outlook 用戶端刪除郵件。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「刪除郵件」動作需要下列參數:

參數 說明
Folder Name 選填

要搜尋電子郵件的信箱資料夾。

此參數接受以半形逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。
Message IDs 選填

篩選條件,用於搜尋含有特定電子郵件 ID 的電子郵件。

這個參數接受以半形逗號分隔的郵件 ID 清單,用於搜尋郵件。

如果提供訊息 ID,這項動作會忽略 Subject FilterSender FilterRecipient Filter 參數。
Subject Filter 選填

篩選條件,指定要搜尋的電子郵件主旨。
Sender Filter 選填

篩選條件,指定要求電子郵件的寄件者。
Recipient Filter 選填

篩選條件,指定要求電子郵件的收件者。
Delete All Matching Emails 選填

如果選取這個選項,系統會刪除所有符合條件的電子郵件。如未選取,動作只會刪除第一個相符的電子郵件。

預設為未選取。
Delete from all mailboxes 選填

如果選取這個選項,系統會刪除目前可透過模擬設定存取的所有信箱中的電子郵件。
How many mailboxes to process in a single batch 必要

單一批次要處理的信箱數量 (單一連線至郵件伺服器)。

如果您選取 Delete from all mailboxes 參數,動作會以批次方式運作。

預設值為 25。
Time Frame (minutes) 選填

搜尋電子郵件的時間範圍 (以分鐘為單位)。

動作輸出內容

「刪除郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「刪除郵件」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
NUMBER_OF_EMAILS email(s) were deleted successfully. 動作成功。
Error deleting emails.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「刪除郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

下載附件

使用「下載附件」動作,將電子郵件中的附件下載到 Google SecOps 伺服器上的特定路徑。下載附件時,這項動作會自動將名稱中的反斜線或空格字元替換為底線字元。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「下載附件」動作需要下列參數:

參數 說明
Folder Name 選填

要搜尋電子郵件的信箱資料夾。

此參數接受以半形逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。
Download Path 必要

Google SecOps 伺服器上的路徑,用於下載電子郵件附件。
Message IDs 選填

篩選條件,用於搜尋含有特定電子郵件 ID 的電子郵件。

這個參數接受以半形逗號分隔的郵件 ID 清單,用於搜尋郵件。

如果您提供郵件 ID,系統會忽略 Subject Filter 參數。
Subject Filter 選填

篩選條件,指定要搜尋的電子郵件主旨。
Sender Filter 選填

篩選條件,用於指定要搜尋的電子郵件寄件者。
Only Unread 選填

如果選取這個選項,動作只會下載未讀取電子郵件中的附件。

預設為未選取。
Download Attachments from EML 選填

如果選取這個選項,系統會從附加的 EML 檔案下載附件。

預設為未選取。
Download Attachments to unique path? 選填

如果選取這個選項,動作會將附件下載至 Download Path 參數中提供的值底下的專屬路徑,避免覆寫先前下載的附件。

預設為未選取。
Search in all mailboxes 選填

如果選取這個選項,系統會使用目前的模擬設定,在所有可存取的信箱中執行搜尋。

預設為未選取。
How many mailboxes to process in a single batch 必要

單一批次要處理的信箱數量 (單一連線至郵件伺服器)。

如果您選取 Search in all mailboxes 參數,動作會以批次方式運作。

預設值為 25。
Mailboxes 選填

以半形逗號分隔的郵箱清單,用於執行搜尋。

這個參數的優先順序高於 Search in all mailboxes 參數。

動作輸出內容

「下載附件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「下載附件」動作時收到的 JSON 結果輸出內容:

[
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   },
   {
       "attachment_name": "ATTACHMENT_NAME",
       "downloaded_path": "readonly" translate="no">FULL_PATH"
   }
]
輸出訊息

「下載附件」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: LIST_OF_LOCAL_PATHS_FOR_ATTACHMENTS 動作成功。
Failed to download email attachments, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「下載附件」動作時,指令碼結果輸出的值:

指令碼結果名稱
file_paths 以半形逗號分隔的儲存附件完整路徑字串。

擷取 EML 資料

使用「Extract EML Data」(擷取 EML 資料) 動作,從電子郵件 EML 附件擷取資料。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「擷取 EML 資料」動作需要下列參數:

參數 說明
Folder Name 選填

要從中擷取電子郵件的資料夾。

預設值為 Inbox

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。
Message ID 必要

郵件 ID,例如 1701cf01ba314032b2f1df43262a7723@example.com
Regex Map JSON 選填

規則運算式:根據電子郵件內文部分是否相符來選取電子郵件, 例如: {ips: \b\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\b}

動作輸出內容

「擷取 EML 資料」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「擷取 EML 資料」動作時收到的 JSON 結果輸出內容:

[
    {
        "count": 3,
        "files": {
            "mxtoolbox_test_case.case": "090a131a0726dea8f5b0c2205ffc9527"
        },
        "from": "Exam <user1@example.com>",
        "text": "hello eml test", "regex": {

        },
        "to": "Test Test <user2@example.com>",
        "html": "<html><div></div></html>",
        "date": "Wed, 12 Sep 2018 12:36:17 +0300",
        "subject": "eml test"
    }
]
指令碼結果

下表列出使用「擷取 EML 資料」動作時,指令碼結果輸出的值:

指令碼結果名稱
eml_data EML_DATA

產生權杖

使用「產生權杖」動作,取得 OAuth 驗證的整合設定更新權杖。使用在「取得授權」動作中收到的授權網址。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「產生權杖」動作需要下列參數:

參數 說明
Authorization URL 必要

在「取得授權」動作中收到的授權網址,用於要求重新整理權杖。

動作輸出內容

「產生權杖」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「產生權杖」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
Successfully fetched the refresh token: REFRESH_TOKEN_VALUE. Copy this refresh token to the Integration Configuration. Note: This Token is valid for 90 days only. 動作成功。
Failed to get the refresh token! The Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「產生權杖」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得帳戶的設施外設定

使用「Get Account Out Of Facility Settings」(取得帳戶不在設施設定) 動作,取得所提供 Google SecOps User 實體的帳戶不在設施 (OOF) 設定。

如果目標使用者實體是使用者名稱而非電子郵件地址,請執行「Active Directory Enrich Entities動作,擷取儲存在 Active Directory 中的使用者電子郵件地址相關資訊。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「Get Account Out Of Facility Settings」(將帳戶移出機構設定) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「Get Account Out Of Facility Settings」(將帳戶移出設施設定) 動作會在 Google SecOps 的案件牆上傳回下表:

表格名稱:Out of Facility Settings

資料表欄:

  • 參數
實體充實

「Get Account Out Of Facility Settings」(取得機構設定外的帳戶) 動作支援下列實體擴充功能:

補充資料欄位 來源 (JSON 金鑰) 邏輯
Exchange.oof_settings OofSettings 這項動作會根據 API 回應傳回已停用或已啟用的狀態。
JSON 結果

以下範例顯示使用「Get Account Out Of Facility Settings」(從機構設定中取得帳戶) 動作時收到的 JSON 結果輸出內容:

OofSettings(state='Disabled', external_audience='All', start=EWSDateTime(2020, 10, 1, 3, 0, tzinfo=<UTC>), end=EWSDateTime(2020, 10, 2, 3, 0, tzinfo=<UTC>))
輸出訊息

「Get Account Out Of Facility Settings」(從機構設定中取得帳戶) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned OOF settings for ENTITY_ID

Action wasn't able to find OOF settings for ENTITY_ID

 動作成功。
Error executing action "Get Account Out Of Facility Settings". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

可取得授權作業

使用「取得授權」動作,取得含有存取碼的連結,以便透過 OAuth 驗證整合設定。複製連結,並在「Generate Token」(產生權杖)動作中使用,取得更新權杖。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「取得授權」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用

這項「取得授權」動作會傳回下列連結:

名稱:瀏覽至這個授權連結

連結:AUTHORIZATION_LINK

輸出訊息

這項「取得授權」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
Authorization URL generated successfully. Please navigate to the link below as the user that you want to run integration with, to get a URL with access code. The URL with access code should be provided next in the Generate Token action. 動作成功。
Failed to generate authorization URL! The Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得授權」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得 Mail EML 檔案

使用「取得郵件 EML 檔案」動作,即可擷取郵件 EML 檔案。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「取得郵件 EML 檔案」動作需要下列參數:

參數 說明
Folder Name 選填

要從中擷取電子郵件的資料夾。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。
Message ID 必要

郵件 ID,例如 1701cf01ba314032b2f1df43262a7723@example.com
Base64 Encode 選填

如果選取這個選項,動作會以 Base64 格式編碼郵件檔案。

預設為未選取。

動作輸出內容

「取得郵件 EML 檔案」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「取得郵件 EML 檔案」動作時,指令碼結果輸出的值:

指令碼結果名稱
eml_info EML_INFORMATION

將郵件移至資料夾

使用「將郵件移至資料夾」動作,即可將一或多封電子郵件從來源電子郵件資料夾移至信箱中的其他資料夾。

視用途而定,這項動作會在 JSON 結果中傳回不同量的已處理電子郵件相關資訊。

如果選取「Limit the amount of information in the JSON result」(限制 JSON 結果中的資訊量) 參數,JSON 結果只會包含下列電子郵件欄位:datetime_receivedmessage_idsendersubjectto_recipients。否則,JSON 結果會包含處理過的電子郵件的所有可用資訊。

如果選取「停用動作 JSON 結果」參數,動作就不會傳回任何 JSON 結果。

「將郵件移至資料夾」動作不會在 Google SecOps 實體上執行。

動作輸入內容

「將郵件移至資料夾」動作需要下列參數:

參數 說明
Source Folder Name 必要

要從中移動電子郵件的來源資料夾。
Destination Folder Name 必要

要將電子郵件移至哪個目標資料夾。
Subject Filter 選填

篩選條件,可依特定主旨搜尋電子郵件。
Message IDs 選填

篩選條件,用於搜尋含有特定電子郵件 ID 的電子郵件。

這個參數也接受以半形逗號分隔的郵件 ID 清單,供您搜尋郵件。

如果您提供郵件 ID,系統會忽略 Subject Filter 參數。
Only Unread 選填

篩選條件,只搜尋未讀取的電子郵件。

預設為未選取。
Move In All Mailboxes 選填

如果選取這個選項,系統會搜尋並移動目前可透過非個人化設定存取的所有信箱中的電子郵件。

預設為未選取。
How many mailboxes to process in a single batch 必要

單一批次要處理的信箱數量 (單一郵件伺服器連線)。

如果選取 Move In All Mailboxes 參數,動作會以批次方式運作。

預設值為 25。
Time Frame (minutes) 選填

以分鐘為單位的電子郵件搜尋時間範圍。
Limit the Amount of Information Returned in the JSON Result 選填

如果選取這個選項,動作只會傳回重要電子郵件欄位的相關資訊。如未選取,動作會傳回所有電子郵件欄位的相關資訊。

(此為預設選項)。
Disable the Action JSON Result 選填

如果選取這項動作,系統不會傳回 JSON 結果。

預設為未選取。

動作輸出內容

「將郵件移至資料夾」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將郵件移至資料夾」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

NUMBER_OF_EMAILS mails were successfully moved from SOURCE_FOLDER to DESTINATION FOLDER

No mails were found matching the search criteria!

 動作成功。
Error search emails: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「將郵件移至資料夾」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

乒乓

使用「Ping」動作測試與 Microsoft Exchange 執行個體的連線。

您可以手動執行這項動作,不必納入應對手冊流程。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

不適用

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
Successfully connected to the Microsoft Exchange server with the provided connection parameters! 動作成功。
Failed to connect to the Microsoft Exchange server! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

將郵件附件儲存到案件

使用「Save Mail Attachments To The Case」(將郵件附件儲存至案件) 動作,將監控信箱中儲存的電子郵件附件儲存至 Google SecOps 的案件牆。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將郵件附件儲存至案件」動作需要下列參數:

參數 說明
Folder Name 必要

要搜尋電子郵件的信箱資料夾。

這個參數也接受以半形逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。
Message IDs 必要

郵件 ID,用於尋找特定電子郵件並從中下載附件。
Attachment To Save 選填

如未設定這個參數,系統預設會將所有電子郵件附件儲存至案件牆。否則,系統只會將您指定要儲存至案件總覽的附件儲存至該處。

動作輸出內容

「將郵件附件儲存至案件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Save Mail Attachments To The Case」(將郵件附件儲存至案件) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully saved the following attachments from the email MESSAGE_ID: ATTACHMENT_LIST

No attachments found in email MESSAGE_ID

 動作成功。
Failed to save the email attachments to the case, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Save Mail Attachments To The Case」(將郵件附件儲存至案件) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

搜尋郵件

使用「搜尋郵件」動作,透過多個搜尋條件,在已設定的信箱中搜尋特定電子郵件。這項動作會以 JSON 格式,傳回信箱中找到的電子郵件相關資訊。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「搜尋郵件」動作需要下列參數:

參數 說明
Folder Name 選填

要搜尋電子郵件的信箱資料夾。

此參數接受以半形逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。
Subject Filter 選填

篩選條件,指定要搜尋的電子郵件主旨。
Sender Filter 選填

篩選條件,用於指定要求電子郵件的寄件者。
Recipient Filter 選填

篩選條件,用於指定要求電子郵件的收件者。
Time Frame (minutes) 選填

以分鐘為單位的電子郵件搜尋時間範圍。
Only Unread 選填

選取後,系統只會搜尋未讀的電子郵件。

預設為未選取。
Max Emails To Return 選用

動作結果中傳回的電子郵件數量上限。
Search in all mailboxes 選用

如果選取這個選項,系統會使用目前的模擬設定,在所有可存取的信箱中執行搜尋。

預設為未選取。
How many mailboxes to process in a single batch 必要

單一批次要處理的信箱數量 (單一連線至郵件伺服器)。

如果選取 Search in all mailboxes 參數,動作會以批次方式運作。

預設值為 25。
Start Time 選用

執行電子郵件搜尋的開始時間。

請使用 ISO 8601 格式。這個參數的優先順序高於 Time Frame (minutes) 參數。
End Time 選用

執行電子郵件搜尋的結束時間。

請使用 ISO 8601 格式。如未設定值,且 Start Time 參數有效,動作會將 End Time 值設為目前時間。
Mailboxes 選填

以半形逗號分隔的郵箱清單,用於執行搜尋。

這個參數的優先順序高於 Search in all mailboxes 參數。
Message IDs 選填

以半形逗號分隔的郵件 ID 清單,用於搜尋郵件。

這個篩選器的優先順序高於其他篩選條件。
Body Regex Filter 選用

要在電子郵件內文中搜尋的規則運算式模式。

動作輸出內容

「搜尋郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「搜尋郵件」動作會在 Google SecOps 的案件牆上傳回下表:

表格標題:相符的郵件

資料表欄:

  • Message_id
  • 收到日期
  • 寄件者
  • 收件者
  • Subject
  • 電子郵件內文
  • 附件名稱 (以半形逗號分隔的附件名稱清單)

如果選取 Search in all mailboxes 參數,動作會在表格中新增「在信箱中找到」欄,指出電子郵件是在哪個信箱中找到。

JSON 結果

以下範例顯示使用「搜尋郵件」動作時收到的 JSON 結果輸出內容:

[
    {
        "body": "Mail Body",
        "subject": "Mail Subject",
        "author": "user_1@example.com"
    }, {
        "body": " ",
        "subject": "Mail Subject",
        "author": "user_2@example.com"
    }
]
輸出訊息

「搜尋郵件」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Search found NUMBER_OF EMAILS emails based on the provided search criteria.

Search didn't find any matching emails.

The following mailboxes were not found in the Mail Server: MAILBOX_LIST

 動作成功。

Search didn't completed successfully due to error: ERROR_REASON

Error executing action "Exchange - Search Mails". Reason: the following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「搜尋郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
mails_json 無法使用

傳送電子郵件並等待 - 已淘汰

傳送電子郵件並等待動作。「傳送至」欄位以半形逗號分隔。您可以在用戶端帳戶設定中設定寄件者的顯示名稱。

動作輸入內容

參數顯示名稱 類型 預設值 為必填項目 說明
主旨 字串 不適用 電子郵件主旨。
傳送到 字串 user@example.com

收件者電子郵件地址。

如有多個地址,請以半形逗號分隔。
CC 字串 user@example.com

副本電子郵件地址。

如有多個地址,請以半形逗號分隔。
密件副本 字串 不適用

密件副本電子郵件地址。

如有多個地址,請以半形逗號分隔。
郵件內容 字串 不適用 電子郵件內文。
擷取回覆附件 核取方塊 已取消勾選 允許附加回覆郵件中的檔案。
要檢查回覆的資料夾 字串 收件匣

參數可用於指定信箱電子郵件資料夾 (用於傳送含問題電子郵件的信箱),以便在該資料夾中搜尋使用者回覆。

這個參數也接受以半形逗號分隔的資料夾清單,可檢查多個資料夾中的使用者回覆。

參數會區分大小寫。

執行時間

這項操作會對所有實體執行。

動作執行結果

指令碼執行結果
指令碼結果名稱 值選項 範例
Mail_body 不適用 不適用
JSON 結果

  [
      {
          "EntityResult": {
              "attachments": [],
              "sensitivity": "Normal",
              "effective_rights": " test",
              "has_attachments": "false",
              "last_modified_name": "mail",
              "is_submitted": "false"
          },
          "Entity": "example@example.com"
      }
  ]

傳送郵件

使用「傳送郵件」動作,從特定信箱將電子郵件傳送給收件者清單。你可以使用這項動作通知使用者下列事項:

  • 在 Google SecOps 中建立的特定快訊。
  • 處理特定快訊的結果。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「傳送郵件」動作需要下列參數:

參數 說明
Subject 必要

電子郵件主旨。
Send to 必要

以半形逗號分隔的電子郵件地址清單,例如 user1@example.com, user2@example.com
CC 選填

以半形逗號分隔的電子郵件地址清單,用於電子郵件副本欄位,例如: user1@example.com, user2@example.com
BCC 選填

以半形逗號分隔的電子郵件地址清單,用於電子郵件的密件副本欄位,例如 user1@example.com, user2@example.com
Attachments Paths 選填

以半形逗號分隔的伺服器檔案附件路徑清單,例如 C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg
Mail content 必要

電子郵件內文。
Reply-To Recipients 選填

以半形逗號分隔的收件者清單,用於「回覆至」標頭。

這項動作會新增「Reply-To」標頭,將電子郵件回覆傳送至特定電子郵件地址,而不是「From」欄位中顯示的電子郵件寄件者地址。
Base64 Encoded Certificate 選填

用於加密電子郵件的 Base64 編碼憑證。

如要加密電子郵件,這個參數就已足夠。如要簽署電子郵件,請一併提供 Base64 Encoded Signature 參數。
Base64 Encoded Signature 選填

用於簽署電子郵件的 Base64 編碼憑證。

如要讓簽章正常運作並包含簽署憑證,請同時提供 Base64 Encoded SignatureBase64 Encoded Certificate 參數。

動作輸出內容

「傳送郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「傳送郵件」動作時收到的 JSON 結果輸出內容:

{
    "mime_content": "b'From: exchange_online_test\\r\\n\\t<test_user@example.com>\\r\\nTo: =?iso-8859-8-i?B?4ifp6e7xIOHl8OM=?=\\r\\n\\t<example@example.com>\\r\\nSubject: test email\\r\\nThread-Topic: test email\\r\\nThread-Index: AQHZI2sS6qOMRJL5hkWATMpRN9fv4Q==\\r\\nDate: Sun, 8 Jan 2023 14:11:15 +0000\\r\\nMessage-ID: <message_id@example>\\r\\nAccept-Language: en-US\\r\\nContent-Language: en-US\\r\\nX-MS-Has-Attach:\\r\\nContent-Type: multipart/alternative;\\r\\n\\tboundary=\"_000_1673187082551404817642532883270906446a69558cb5108_\"\\r\\nMIME-Version: 1.0\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/plain; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\ntest content\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_\\r\\nContent-Type: text/html; charset=\"iso-8859-8-i\"\\r\\nContent-Transfer-Encoding: quoted-printable\\r\\n\\r\\n<html>\\r\\n<head>\\r\\n<meta http-equiv=3D\"Content-Type\" content=3D\"text/html; charset=3Diso-8859-=\\r\\n8-i\">\\r\\n</head>\\r\\n<body>\\r\\n<p>test content </p>\\r\\n</body>\\r\\n</html>\\r\\n\\r\\n--_000_1673187082551404817642532883270906446a69558cb5108_--\\r\\n'",
    "_id": "ItemId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQBGAAAAAABZKh7ro7RoSpjbI663J/SqBwDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAADjM1k0xgBMR6sDaC+Azo7rAAAAEth6AAA=', changekey='CQAAABYAAADjM1k0xgBMR6sDaC+Azo7rAAAAEm3h')",
    "parent_folder_id": "ParentFolderId(id='AAMkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAuAAAAAABZKh7ro7RoSpjbI663J/SqAQDjM1k0xgBMR6sDaC+Azo7rAAAAAAEJAAA=', changekey='AQAAAA==')",
    "item_class": "IPM.Note",
    "subject": "test email",
    "sensitivity": "Normal",
    "text_body": "test content\r\n",
    "body": "<html><head>\r\n<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"></head><body><p>test content </p></body></html>",
    "attachments": [],
    "datetime_received": "2023-01-08 14:11:15+00:00",
    "size": 2928,
    "categories": null,
    "importance": "Normal",
    "in_reply_to": null,
    "is_submitted": true,
    "is_draft": true,
    "is_from_me": false,
    "is_resend": false,
    "is_unmodified": false,
    "headers": null,
    "datetime_sent": "2023-01-08 14:11:15+00:00",
    "datetime_created": "2023-01-08 14:11:15+00:00",
    "reminder_due_by": null,
    "reminder_is_set": false,
    "reminder_minutes_before_start": 0,
    "display_cc": null,
    "display_to": "\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3",
    "has_attachments": false,
    "vote_request": null,
    "culture": "en-US",
    "effective_rights": "EffectiveRights(create_associated=False, create_contents=False, create_hierarchy=False, delete=True, modify=True, read=True, view_private_items=True)",
    "last_modified_name": "exchange_online_test",
    "last_modified_time": "2023-01-08 14:11:15+00:00",
    "is_associated": false,
    "web_client_read_form_query_string": "https://example.com/&exvsurl=1&viewmodel=ReadMessageItem",
    "web_client_edit_form_query_string": null,
    "conversation_id": "ConversationId(id='AAQkAGMwYTc3NmZmLTM4YjYtNGJmMC1hNTllLWJmNDdlZTE0YTg4ZQAQAOqjjESS+YZFgEzKUTfX7+E=')",
    "unique_body": "<html><body><div>\r\n<div>\r\n<p>test content </p></div></div>\r\n</body></html>",
    "sender": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "to_recipients": [
        "Mailbox(name=\"\u05d2'\u05d9\u05d9\u05de\u05e1 \u05d1\u05d5\u05e0\u05d3\", email_address='example@example.com', routing_type='SMTP', mailbox_type='Mailbox')"
    ],
    "cc_recipients": null,
    "bcc_recipients": null,
    "is_read_receipt_requested": false,
    "is_delivery_receipt_requested": false,
    "conversation_index": "b'\\x01\\x01\\xd9#k\\x12\\xea\\xa3\\x8cD\\x92\\xf9\\x86E\\x80L\\xcaQ7\\xd7\\xef\\xe1'",
    "conversation_topic": "test email",
    "author": "Mailbox(name='exchange_online_test', email_address='test_user@example.com', routing_type='SMTP', mailbox_type='Mailbox')",
    "message_id": "<167318708255.14048.17642532883270906446@a69558cb5108>",
    "is_read": true,
    "is_response_requested": false,
    "references": null,
    "reply_to": null,
    "received_by": null,
    "received_representing": null,
    "vote_response": null,
    "email_date": 1673187075
}

除了郵件物件 JSON 技術結果外,這項動作也會傳回郵件 ID 和電子郵件的傳送日期。如有需要,系統會在「Wait for Mail」動作中使用額外資料:

{

"message_id": "<message_id@example.com>",
"email_date": "1583916838"
...
}
輸出訊息

「傳送郵件」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明
Mail sent successfully. 動作成功。
Failed to send email! The Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「傳送郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
Success_Inidicator 無法使用

傳送郵件 HTML

使用「傳送郵件 HTML」動作,傳送含有 HTML 範本內容的電子郵件。「Send to」欄位是以半形逗號分隔。

您可以在電子郵件用戶端的帳戶設定中設定寄件者名稱。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「傳送郵件 HTML」動作需要下列參數:

參數 說明
Subject 必要

電子郵件主旨。
Send to 必要

以半形逗號分隔的電子郵件地址清單,列出電子郵件收件者。
CC 選填

以半形逗號分隔的電子郵件地址清單,用於電子郵件副本欄位。
BCC 選填

以半形逗號分隔的電子郵件地址清單,用於電子郵件的密件副本欄位。
Attachments Paths 選填

以半形逗號分隔的伺服器檔案附件路徑清單,例如 C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg
Mail content 必要

電子郵件內文。

動作輸出內容

「傳送郵件 HTML」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

傳送討論串回覆

使用「傳送討論串回覆」動作,將訊息做為電子郵件討論串的回覆傳送。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「傳送回覆給討論串」動作需要下列參數:

參數 說明
Message ID 必要

要回覆的訊息 ID。
Folder Name 必要

以半形逗號分隔的郵箱資料夾清單,用於搜尋電子郵件。

你可以設定特定郵件資料夾,例如「Gmail/所有郵件」,在所有 Gmail 信箱資料夾中執行搜尋。

此外,資料夾名稱必須與 IMAP 資料夾相符。

如果資料夾名稱包含空格,請在空格前後加上雙引號。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。
Content 必要

回覆內容。
Attachment Paths 選填

以半形逗號分隔的伺服器檔案附件路徑清單。

Reply All 選填

如果選取這個選項,動作會回覆給原始電子郵件的所有收件者,並忽略 Reply To 參數。

(此為預設選項)。
Reply To 必要

以半形逗號分隔的電子郵件地址清單,用於傳送回覆。

如未設定值且未選取 Reply All 參數,動作只會回覆電子郵件寄件者。

如果選取 Reply All 參數,動作會忽略這個參數。

動作輸出

「傳送討論串回覆」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「傳送對話串回覆」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明
Successfully sent reply to the message with ID MESSAGE_ID in Exchange. 動作成功。
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

動作失敗。

檢查 Reply To 參數,確保回覆只會傳送至您的地址。
Error executing action "Send Thread Reply". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「傳送討論串回覆」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

傳送投票郵件

使用「傳送投票郵件」動作,傳送內含預先設定答案選項的電子郵件,將無法存取 Google SecOps UI 的使用者納入自動化程序。

只有在收件者使用 Exchange 正確查看及選取投票選項時,這項動作才會支援投票功能。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「傳送投票郵件」動作需要下列參數:

參數 說明
Subject 必要

電子郵件主旨。
Send to 必要

以半形逗號分隔的電子郵件地址清單,例如 user1@example.com, user2@example.com
CC 選填

以半形逗號分隔的電子郵件地址清單,用於電子郵件副本欄位,例如: user1@example.com, user2@example.com
BCC 選填

以半形逗號分隔的電子郵件地址清單,用於電子郵件的密件副本欄位,例如 user1@example.com, user2@example.com
Attachments Paths 選填

以半形逗號分隔的伺服器檔案附件路徑清單,例如 C:\FILE_DIRECTORY\file.pdf, C:\FILE_DIRECTORY\image.jpg
Question or Decision Description 必要

要詢問收件者的問題,或收件者是否要回覆。
Structure of voting options 必要

要傳送給收件者的投票結構。

可能的值如下:

  • Yes/No
  • Approve/Reject

預設值為 Yes/No

動作輸出內容

「傳送投票郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「傳送投票郵件」動作時收到的 JSON 結果輸出內容:

{



"message_id": "example@example.com>",

"email_date": "1583916838"

...

}
輸出訊息

「傳送投票郵件」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Vote Mail was sent successfully

Could not send vote mail for the following mailboxes: MAILBOX_LIST

 動作成功。
Could not send vote mail to any of the provided mailboxes. Please check the action parameters and try again.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「傳送投票郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

等待使用者郵件

使用「等待使用者回覆郵件」動作,根據以「傳送郵件」動作傳送的電子郵件,等待使用者回覆。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「等待使用者傳送郵件」動作需要下列參數:

參數 說明
Mail message_id 必要

電子郵件的訊息 ID。

如果訊息是使用 Send Mail 動作傳送,請選取 SendEmail.JSONResult|message_id 欄位做為預留位置。
Mail Date 必要

目前動作等待的傳送電子郵件時間戳記。

如果郵件是透過「傳送郵件」動作傳送,請選取 SendEmail.JSONResult|email_date 欄位做為預留位置。
Mail Recipients 必要

以半形逗號分隔的電子郵件收件者清單,目前動作正在等待這些收件者的回覆。

如果郵件是透過「傳送郵件」動作傳送,請選取 SendEmail.JSONResult|to_recipients 欄位做為預留位置。
How long to wait for recipient reply (minutes) 必要

動作等待使用者回覆的時間,超過這個時間就會標示為逾時。

預設值為 1440 分鐘。
Wait for All Recipients to Reply? 選填

如果選取這項設定,動作會等待所有收件者的回覆,直到逾時或收到第一則回覆為止。

(此為預設選項)。
Wait Stage Exclude pattern 選填

用於從等待階段排除特定回覆的規則運算式。

這個參數適用於電子郵件內文。

舉例來說,您可以設定動作,讓系統不要將自動回覆的休假訊息視為收件者回覆,而是等待實際使用者回覆。
Folder to Check for Reply 選填

要搜尋使用者回覆內容的信箱電子郵件資料夾。這項動作會在傳送含有問題的電子郵件的信箱中執行搜尋。

此參數接受以逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

這個參數會區分大小寫。

預設值為 Inbox
Fetch Response Attachments 選填

如果選取這個選項,且收件者的回覆包含附件,這項動作就會擷取回覆內容,並將其新增為動作結果的附件。

預設為未選取。

動作輸出內容

「等待使用者郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 可用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
指令碼結果 可用
案件總覽附件

「等待使用者來信」動作會在 Google SecOps 的案件牆上傳回下列附件:

附件欄位 說明
title

收件者傳送的附件 RECIPIENT_EMAIL 回覆
filename

ATTACHMENT_NAMEEXTENSION
fileContent

ATTACHED_FILE_CONTENT

附件類型「實體」會對應至回覆 Google SecOps 伺服器追蹤回覆的收件者。message_id

JSON 結果

這項動作會以 JSON 結果的形式,傳回下列兩種輸出內容的組合:

  1. 電子郵件的郵件物件 JSON 輸出內容,其中包含追蹤的回覆。

    這項動作會使用 message_id 追蹤電子郵件回覆。

  2. 追蹤使用者回覆的程序會產生 JSON 輸出內容。

合併輸出資料的方法是在實作階段定義。

郵件物件 JSON 輸出的流程如下:

  1. 這項動作會等待至少一位使用者回覆,才會繼續執行。

  2. 收到第一位使用者的回覆後,動作會更新 JSON 結果,並繼續處理動作結果。

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "",
    "user3@example.com": ""
]}
}

追蹤回應程序輸出內容的流程如下:

  1. 這項動作會等待所有使用者回應,然後繼續執行。

  2. 收到使用者回覆或逾時後,動作會更新 JSON 結果。

    在這種情況下,如果動作正在等待所有收件者的回覆,且在等待使用者回覆時達到逾時時間,動作會傳回 handled_timeout 錯誤。

    {
"Responses":
{[
    "user1@example.com": "Approved",
    "user2@example.com": "Approved",
    "user3@example.com": "Timeout"
]}
}
輸出訊息

「Wait for Mail From User」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 動作成功。

Failed to execute action, the error is: ERROR_REASON

Failed to get user EMAIL_RECIPIENT reply, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

等待投票郵件結果

使用「Wait for Vote Mail Results」(等待投票郵件結果) 動作,等待並擷取使用「Send Vote Mail」(傳送投票郵件) 動作傳送的投票郵件回覆。「Wait for Vote Mail Results」(等待投票郵件結果) 動作會將擷取的回覆轉送至 Google SecOps。

如要正確追蹤及擷取投票結果,請追蹤投票電子郵件。詳情請參閱「傳送投票郵件」動作。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Wait for Vote Mail Results」(等待郵寄選票結果) 動作需要下列參數:

參數 說明
Vote Mail message_id 必要

投票電子郵件的訊息 ID。

如果訊息是使用 Send Vote Mail 動作傳送,請選取 SendVoteMail.JSONResult|message_id 欄位做為預留位置。
Mail Recipients 必要

以半形逗號分隔的收件者電子郵件地址清單,目前動作正在等待這些收件者的回覆。

選取 SendVoteMail.JSONResult|to_recipients 欄位做為預留位置。
Folder to Check for Reply 必要

要搜尋使用者回覆內容的信箱資料夾。這項動作會在傳送含有問題的電子郵件的信箱中執行搜尋。

這個參數也接受以半形逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

這個參數會區分大小寫。

預設值為 Inbox
Folder to Check for Sent Mail 必要

要搜尋寄件備份郵件的信箱資料夾。這項動作會在傳送含有問題的電子郵件的信箱中執行搜尋。

這個參數也接受以半形逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

這個參數會區分大小寫。

預設值為 Sent Items
How long to wait for recipient reply (minutes) 必要

動作等待使用者回覆的時間長度,超過這個時間就會標示為逾時。

預設值為 1440 分鐘。
Wait for All Recipients to Reply? 選填

如果選取這項設定,動作會等待所有收件者的回覆,直到達到逾時時間或收到第一則回覆為止。

(此為預設選項)。

動作輸出內容

「等待郵寄選票結果」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Wait for Vote Mail Results」(等待投票郵件結果) 動作時收到的 JSON 結果輸出內容:

{
    "Responses": [{
        "recipient": "user@example.com",
        "content": "Approve"
    }]
}
輸出訊息

「Wait for Vote Mail Results」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT

 動作成功。

Could not perform action on the following mailboxes: MAILBOX_LIST

Could not perform action on any of the provided mailboxes. Please check the action parameters and try again.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「等待投票郵件結果」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

封鎖寄件者和網域功能

電子郵件管理和安全性的最常見用途之一,就是遏止機構收件匣中現有的威脅 (例如網路釣魚電子郵件),然後封鎖可疑的寄件者或網域,保護機構免於未來遭受攻擊,並防止可能發生的安全漏洞。

在 Google SecOps 中,Exchange 整合功能提供「封鎖寄件者和網域」功能,包含下列依序執行的階段:

  1. 保護機構內部。

    使用「依郵件 ID 封鎖寄件者」動作,透過「標示為垃圾郵件」 EWS 服務將寄件者加入封鎖清單。

  2. 透過收件匣規則保護組織外部的資料。

    建立收件匣規則,在用戶端層級新增規則,自動防止有害電子郵件傳送到貴機構的信箱。

  3. 透過伺服器收件匣規則,保護組織外部的資料。

    建立伺服器收件匣規則,防止可疑電子郵件進入貴機構。

詳情請參閱下節。

用途

以下使用案例顯示安全性侵害的示例,也就是可疑且可能有害的電子郵件。

發現可疑有害的電子郵件已入侵貴機構的多個信箱後,處理這類威脅的例行程序如下:

  1. 使用「依郵件 ID 封鎖寄件者」動作修正威脅。
  2. 處理遭盜用的信箱。
  3. 在其他信箱中,針對收到的可疑電子郵件新增防護措施。

修復威脅

如要解決威脅,請執行「依郵件 ID 封鎖寄件者」動作,取得調查參數,並進一步瞭解可疑電子郵件。您也可以透過這項動作,只檢查遭入侵的信箱,並處理其中的威脅。

「依郵件 ID 封鎖寄件者」動作會觸發 Exchange EWS「標示為垃圾郵件」服務,執行下列操作:

  1. 將可疑電子郵件移至「垃圾郵件」資料夾。
  2. 將電子郵件寄件者新增至受調查信箱的「封鎖的寄件者清單」

如要進一步瞭解如何使用「標示為垃圾郵件」服務,請參閱 Microsoft 產品說明文件中的「Add and remove email addresses from the Blocked Sender List by using EWS in Exchange」。

一方面,使用「依郵件 ID 封鎖寄件者」動作修正威脅時,系統只會鎖定遭入侵的信箱,而且可以自動執行。另一方面,這項動作既無法封鎖未遭入侵信箱中的寄件者,也無法使用 API 將網域新增至封鎖的寄件者清單

處理遭盜用的信箱

解決威脅後,接下來的步驟是處理遭入侵的信箱,並保護機構中的每個信箱,防範任何惡意寄件者 (包括潛在的惡意寄件者)。

如要處理遭入侵的信箱,請執行下列動作組成的收件匣規則動作集:

  1. 將網域新增至 Exchange-Siemplify 收件匣規則
  2. 將寄件者新增至 Exchange-Siemplify 收件匣規則
  3. 刪除 Exchange-Siemplify 收件匣規則
  4. 列出 Exchange-Siemplify 收件匣規則
  5. 從 Exchange-Siemplify 收件匣規則中移除網域
  6. 從 Exchange-Siemplify 收件匣規則中移除寄件者

如要進一步瞭解動作中使用的服務,請參閱 Microsoft 產品說明文件中的「在 Exchange 中管理收件匣規則」。

透過 Exchange 整合,您可以使用一組預先定義的規則,執行最常見的作業:

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete
  • Siemplify - Domains List - Move To Junk
  • Siemplify - 網域清單 - 刪除
  • Siemplify - 網域清單 - 永久刪除

永久刪除惡意寄件者的電子郵件

如要在所有信箱中維持相同的規則清單,請為管理員使用者新增規則。如要將管理員規則套用至其他使用者,請對所有信箱執行作業。

如要永久刪除惡意寄件者的電子郵件,請完成下列步驟:

  1. 在 Google SecOps 中,以管理員帳戶執行「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作。輸入惡意寄件者的電子郵件地址。

  2. 從清單中選擇適當的規則,定義如何管理可疑電子郵件。如要永久刪除惡意電子郵件,請選取「Siemplify - Senders List - Permanently Delete」(Siemplify - 寄件者清單 - 永久刪除) 規則。

    這項操作會使用新的惡意寄件者更新收件匣規則。

  3. 選取 Perform action in all mailboxes 參數,將規則套用至所有信箱。

    如果信箱中沒有這項規則,系統會建立規則。如果信箱中已有這項規則,系統會以新的參數值更新規則。

  4. 如要針對其他信箱中收到的可疑電子郵件新增防護措施,並封鎖惡意寄件者網域,請選取 Should add senders' domain to the corresponding Domains List rule as well? 參數。

  5. 查看動作中的其他參數,並視需要調整。

「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作會根據 Mailboxes to process in one batch 參數,一次更新多項規則。「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作適用於寄件者和網域,無論是否收到可疑電子郵件,都會套用至所有信箱,且可自動執行。

使用者可以刪除信箱套用的規則。將管理員規則套用至其他信箱時,系統會自動移除已停用的私人收件匣規則。

封鎖寄件者和網域動作

執行封鎖寄件者和網域功能的操作前,請先設定最低必要權限

將網域新增至 Exchange-Siemplify 收件匣規則

使用「Add Domains to Exchange-Siemplify Inbox Rules」(將網域新增至 Exchange-Siemplify 收件匣規則) 動作,以參數形式取得網域清單,或在參數為空白時使用 Google SecOps Domain 實體。這項動作僅適用於 Google SecOps 5.6 以上版本。

執行這項動作前,請先設定必要的動作權限

您可以從信箱篩選網域,藉此建立或更新規則。您可以使用 Rule to add Domains to 參數修改這項動作。

「Add Domains to Exchange-Siemplify Inbox Rules」(將網域新增至 Exchange-Siemplify 收件匣規則) 動作會修改使用者的現有 EWS 收件匣規則。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

如果您未設定任何參數,且 Google SecOps 版本為 5.6 以上,這項動作會在「網域」實體上執行。

動作輸入內容

「Add Domains to Exchange-Siemplify Inbox Rules」(將網域新增至 Exchange-Siemplify 收件匣規則) 動作需要下列參數:

參數 說明
Domains 選填

以半形逗號分隔的網域清單,用於新增至規則。
Rule to add Domains to 必要

要新增網域的規則。

如果沒有規則,這項動作會建立規則。

可能的值如下:

  • Siemplify - Domains List - Move To Junk
  • Siemplify - Domains List - Delete
  • Siemplify - Domains List - Permanently Delete

預設值為 Siemplify - Domains List - Move To Junk
Perform action in all mailboxes 選填

如果選取這個選項,這項動作會套用至目前模擬設定可存取的所有信箱。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 50。

動作輸出內容

「Add Domains to Exchange-Siemplify Inbox Rules」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Add Domains to Exchange-Siemplify Inbox Rules」(將網域新增至 Exchange-Siemplify 收件匣規則) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Added the following Domains to the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 動作成功。

Error performing "Add Domains to Exchange-Siemplify Inbox Rules" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Add Domains to Exchange-Siemplify Inbox Rules」(將網域新增至 Exchange-Siemplify 收件匣規則) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

將寄件者新增至 Exchange-Siemplify 收件匣規則

使用「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作,取得電子郵件地址清單,或在參數空白時使用 Google SecOps「User」(使用者) 實體。您可以使用規則運算式執行這項動作。

你可以從信箱篩選寄件者,然後建立新規則。您可以使用 Rule to add senders to 參數修改這項動作。

執行這項動作前,請務必設定必要的動作權限

「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作會使用 EWS 修改使用者目前的收件匣規則。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

如果電子郵件的規則運算式有效,且您未設定任何參數,這項動作就會在「使用者」實體上執行。

動作輸入內容

「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作需要下列參數:

參數 說明
Senders 選填

以半形逗號分隔的電子郵件地址清單,可新增至規則。

如未設定值,動作會與「使用者」實體搭配運作。
Rule to add senders to 必要

要將寄件者加入的規則。

如果沒有規則,這項動作會建立規則。

可能的值如下:

  • Siemplify - Senders List - Move To Junk
  • Siemplify - Senders List - Delete
  • Siemplify - Senders List - Permanently Delete

預設值為 Siemplify - Senders List - Move To Junk
Should add senders' domain to the corresponding Domains List rule as well? 選填

如果選取這個選項,系統會自動將所提供電子郵件地址的網域,新增至對應的網域規則。

預設為未選取。
Perform action in all mailboxes 選填

如果選取這個選項,系統會將動作套用至目前非個人化設定可存取的所有信箱。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 50。

動作輸出內容

「Add Senders to Exchange-Siemplify Inbox Rule」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Added the following inputs to the corresponding rules: Email Addresses: EMAIL_ADDRESS_LIST Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 動作成功。

Error performing "Add Senders to Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Add Senders to Exchange-Siemplify Inbox Rule」(將寄件者新增至 Exchange-Siemplify 收件匣規則) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

依訊息 ID 封鎖寄件者

使用「依郵件 ID 封鎖寄件者」動作,取得郵件 ID 清單做為參數,並將清單標示為垃圾郵件。

如果將郵件標示為垃圾郵件,系統會將電子郵件地址加入「封鎖的寄件者清單」,並將郵件移至垃圾郵件資料夾。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

「依郵件 ID 封鎖寄件者」動作僅支援 Exchange Server 2013 以上版本。如果使用舊版,系統會顯示對應訊息,指出動作失敗。

如要將可疑電子郵件地址新增至或從「封鎖的寄件者清單」中移除,使用者信箱中必須有來自該電子郵件地址的郵件。

「依郵件 ID 封鎖寄件者」動作不會在 Google SecOps 實體上執行。

動作輸入內容

「依訊息 ID 封鎖傳送者」動作需要下列參數:

參數 說明
Move item to Junk folder? 必要

如果選取這個選項,系統會將指定郵件移至垃圾郵件資料夾。

(此為預設選項)。
Message IDs 選填

篩選條件,用於尋找含有特定電子郵件 ID 的電子郵件。

這個參數接受以半形逗號分隔的郵件 ID 清單,用來將郵件標示為垃圾郵件。

如果提供郵件 ID,這項動作會忽略 Subject FilterSender FilterRecipient Filter 參數。
Mailboxes list to perform on 選填

篩選條件,可針對特定郵箱清單執行作業,以取得更準確的時間。

如要將來自多個電子郵件地址的郵件標示為垃圾郵件,請提供以半形逗號分隔的電子郵件地址清單。

如果您提供信箱清單,動作會忽略 Perform Action in all Mailboxes 參數。
Folder Name 選填

要搜尋電子郵件的信箱資料夾。

此參數接受以半形逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

預設值為 Inbox
Subject Filter 選填

篩選條件,指定要搜尋的電子郵件主旨。
Sender Filter 選填

篩選條件,用於指定所要求電子郵件的寄件者。
Recipient Filter 選填

篩選條件,指定要求電子郵件的收件者。
Mark All Matching Emails 選填

如果選取這個選項,系統會將符合條件的信箱電子郵件標示為已讀。如果未選取,動作只會標記第一個相符的電子郵件。

預設為未選取。
Perform action in all mailboxes 選填

如果選取這個選項,系統會將郵件移至垃圾郵件資料夾,並封鎖透過目前模擬設定存取的所有信箱中,寄件者的電子郵件。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 25。
Time Frame (minutes) 選填

搜尋電子郵件的時間範圍 (以分鐘為單位)。

動作輸出內容

「依郵件 ID 封鎖寄件者」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「依郵件 ID 封鎖寄件者」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

NUMBER_OF_EMAILS mails were successfully marked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were marked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

 動作成功。
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

動作失敗。

您使用的 Exchange Server 版本不受支援。
Error performing "Mark as junk and Block Sender" action: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「依訊息 ID 封鎖寄件者」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

刪除 Exchange-Siemplify 收件匣規則

使用「Delete Exchange-Siemplify Inbox Rules」(刪除 Exchange-Siemplify 收件匣規則) 動作,以參數形式取得規則名稱,並從所有指定信箱中刪除該規則。

執行這項操作前,請先設定必要的動作權限

「Delete Exchange-Siemplify Inbox Rules」(刪除 Exchange-Siemplify 收件匣規則) 動作會透過 EWS 修改使用者目前的收件匣規則。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Delete Exchange-Siemplify Inbox Rules」(刪除 Exchange-Siemplify 收件匣規則) 動作需要下列參數:

參數 說明
Rule Name To Delete 必要

要從相關信箱完全刪除的規則名稱。

可能的值如下:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Perform action in all mailboxes 選填

如果選取這個選項,這項動作會套用至目前模擬設定可存取的所有信箱。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 50。

動作輸出內容

「Delete Exchange-Siemplify Inbox Rules」(刪除 Exchange-Siemplify 收件匣規則) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Delete Exchange-Siemplify Inbox Rules」(刪除 Exchange-Siemplify 收件匣規則) 動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Deleted the following rules from the specified mailboxes: MAILBOX_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 動作成功。
Error performing "Delete Siemplify Inbox Rules" action: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Delete Exchange-Siemplify Inbox Rules」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

列出 Exchange-Siemplify 收件匣規則

使用「List Exchange-Siemplify Inbox Rules」(列出 Exchange-Siemplify 收件匣規則) 動作,從 Exchange-Siemplify 收件匣規則取得規則名稱做為參數,並列出該規則。如果沒有要列出的信箱,這項動作會列出已登入使用者的規則。

執行這項操作前,請先設定必要的動作權限

List Exchange-Siemplify Inbox Rules 動作會使用 EWS 修改使用者的現有收件匣規則。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「列出 Exchange-Siemplify 收件匣規則」動作需要下列參數:

參數 說明
Rule Name To List 必要

要從相關信箱列出的規則名稱。

可能的值如下:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete
  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete
  • All available Exchange-Siemplify Senders Rules
  • All available Exchange-Siemplify Domains Rules
  • All available Exchange-Siemplify Rules
Mailboxes list to perform on 選用

篩選條件,指定要執行作業的信箱清單,以利掌握時間。

這項參數接受以半形逗號分隔的郵件地址清單,可取消將郵件標示為垃圾郵件。

如果提供信箱清單,動作會忽略 Perform action in all mailboxes 參數。
Perform action in all mailboxes 選填

如果選取這個選項,這項動作會套用至目前模擬設定可存取的所有信箱。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 50。

動作輸出內容

「List Exchange-Siemplify Inbox Rules」(列出 Exchange-Siemplify 收件匣規則) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

下列範例顯示使用「List Exchange-Siemplify Inbox Rules」(列出 Exchange-Siemplify 收件匣規則) 動作時收到的 JSON 結果輸出內容:

{
  {
    "id": "example_id",
    "name": "Siemplify - Domains List - Delete",
    "priority": 1,
    "is_enabled": True,
    "conditions": {
        "domains": ["EXAMPLE.COM", "EXAMPLE.CO"],
        "addresses": []
    },
    "actions": "move_to_folder"
  }
}
輸出訊息

「List Exchange-Siemplify Inbox Rules」(列出 Exchange-Siemplify 收件匣規則) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Listed the following rules: LISTED_RULES for the specified mailboxes.

Successfully listed NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

 動作成功。
Error performing "List Exchange-Siemplify Inbox Rules" action: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「List Exchange-Siemplify Inbox Rules」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

從 Exchange-Siemplify 收件匣規則中移除網域

使用「Remove Domains from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除網域) ,以參數形式取得網域清單,或在未提供參數時處理「Domain」(網域) 實體。這項動作僅適用於 Google SecOps 5.6 以上版本。您可以從現有規則中移除提供的網域。

執行這項操作前,請先設定必要的動作權限

「從 Exchange-Siemplify 收件匣規則中移除網域」動作會透過 EWS 修改使用者目前的收件匣規則。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

如果您未設定任何參數,這項動作會在 Google SecOps 網域實體上執行。

動作輸入內容

「Remove Domains from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除網域) 動作需要下列參數:

參數 說明
Domains 選填

以半形逗號分隔的網域清單,這些網域會從規則中移除。

如未設定值,動作會與實體搭配運作。
Rule to remove Domains from 必要

要從中移除網域的規則。

如未設定規則,動作就會失敗。

可能的值如下:

  • Siemplify – Domains List – Move To Junk
  • Siemplify – Domains List – Delete
  • Siemplify – Domains List – Permanently Delete

預設值為 Siemplify – Domains List – Move To Junk
Remove Domains from all available Rules 選用

如果選取這個選項,系統會在所有 Google SecOps 收件匣規則中,搜尋提供的網域。

預設為未選取。
Mailboxes list to perform on 選用

篩選條件,指定要執行作業的信箱清單,以利掌握時間。

這項參數接受以半形逗號分隔的郵件地址清單,可取消將郵件標示為垃圾郵件。

如果您提供信箱清單,動作會忽略 Perform action in all mailboxes 參數。
Perform action in all mailboxes 選填

如果選取這個選項,這項動作會套用至目前模擬設定可存取的所有信箱。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 50。

動作輸出內容

「Remove Domains from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除網域) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Remove Domains from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除網域) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Removed the following inputs from the corresponding rules: Domains: DOMAIN_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 動作成功。

Error performing "Remove Domains from Siemplify Inbox Rule" action: ERROR_REASON

No domains provided in "Domains" parameter, please check action parameters and try again.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Remove Domains from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除網域) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

從 Exchange-Siemplify 收件匣規則中移除寄件者

使用「Remove Senders from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除寄件者) 取得電子郵件寄件者清單做為參數,或在未提供參數時使用「User」(使用者) 實體。

您可以從現有規則中移除指定的寄件者。

執行這項操作前,請先設定必要的動作權限

「Remove Senders from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除寄件者) 動作會透過 EWS 修改使用者目前的收件匣規則。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

如未提供任何參數,這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

「從 Exchange-Siemplify 收件匣規則中移除寄件者」動作需要下列參數:

參數 說明
Senders 選填

以半形逗號分隔的電子郵件地址清單,這些地址會從規則中移除。

如未設定值,動作會與「使用者」實體搭配運作。
Rule to remove senders from 必要

要從中移除寄件者的規則。

如未設定規則,動作就會失敗。

可能的值如下:

  • Siemplify – Senders List – Move To Junk
  • Siemplify – Senders List – Delete
  • Siemplify – Senders List – Permanently Delete

預設值為 Siemplify – Senders List – Move To Junk
Remove senders from all available rules 選用

選取後,這項動作會在所有 Google SecOps 收件匣規則中,搜尋提供的寄件者。

預設為未選取。
Should remove senders' domain from the corresponding Domains List rule as well? 選填

選取後,系統會自動從相應的網域規則中,移除所提供電子郵件地址的網域。

預設為未選取。
Perform action in all mailboxes 選填

如果選取這個選項,系統會將動作套用至目前非個人化設定可存取的所有信箱。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 50。

動作輸出內容

「Remove Senders from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除寄件者) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Remove Senders from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除寄件者) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Removed the following inputs from the corresponding rules: Senders: SENDERS_LIST Rules updated: RULE_LIST

Successfully updated NUMBER_OF_UPDATED_MAILBOXES out of ALL_MAILBOXES.

Failed to perform operation on the following mailboxes: MAILBOX_LIST.

NUMBER_OF_UPDATED_MAILBOXES mailboxes were updated out of ALL_MAILBOXES mailboxes. Continuing.

 動作成功。

Error performing "Remove Senders from Siemplify Inbox Rule" action: ERROR_REASON

No email addresses provided in "Senders" parameter and there are no email addresses in user entities, Please check action inputs and try again.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Remove Senders from Exchange-Siemplify Inbox Rules」(從 Exchange-Siemplify 收件匣規則中移除寄件者) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

依訊息 ID 解除封鎖傳送者

使用「依郵件 ID 取消封鎖寄件者」動作,取得郵件 ID 清單做為參數,並取消標示為垃圾郵件。

取消將郵件標示為垃圾郵件時,系統會從「封鎖的寄件者清單」中移除該郵件的寄件者電子郵件地址。如要將項目移回收件匣資料夾,請選取動作參數中的 Move items back to Inbox? 參數。

「Unblock Sender by Message ID」(依郵件 ID 解除封鎖寄件者) 會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

這項動作僅支援 Exchange Server 2013 以上版本。如果使用舊版,動作會失敗,並顯示相應訊息。

如要將可疑電子郵件地址新增至或從「封鎖的寄件者清單」中移除,使用者信箱中必須有來自該電子郵件地址的郵件。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「依訊息 ID 解除封鎖寄件者」動作需要下列參數:

參數 說明
Move items back to Inbox? 必要

如果選取這項動作,系統會將指定郵件移回收件匣資料夾。

(此為預設選項)。
Message IDs 選填

篩選條件:取消標記具有特定電子郵件 ID 的電子郵件。

這個參數也接受以半形逗號分隔的郵件 ID 清單,可取消將電子郵件標示為垃圾郵件。

如果提供訊息 ID,動作會忽略 Subject FilterSender FilterRecipient Filter 參數
Mailboxes list to perform on 選填

篩選條件,可針對特定郵箱清單執行作業,以取得更準確的時間。

如要將來自多個電子郵件地址的郵件標示為垃圾郵件,請提供以半形逗號分隔的電子郵件地址清單。

如果您提供信箱清單,動作會忽略 Perform action in all mailboxes 參數。
Folder Name 選填

要搜尋電子郵件的信箱資料夾。

這項參數接受以半形逗號分隔的資料夾清單,用來指定要將項目移出哪個資料夾。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

預設值為 Junk Email
Subject Filter 選填

篩選條件,指定要搜尋的電子郵件主旨。
Sender Filter 選填

篩選條件,用於指定所要求電子郵件的寄件者。
Recipient Filter 選填

篩選條件,指定要求電子郵件的收件者。
Unmark All Matching Emails 選填

如果選取這項動作,系統會取消標記信箱中符合條件的所有電子郵件。如未選取,動作只會取消標記第一個相符的電子郵件。

預設為未選取。
Perform action in all mailboxes 選填

如果選取這個選項,這項動作會套用至目前模擬設定可存取的所有信箱。

預設為未選取。
How many mailboxes to process in a single batch 選填

如果選取 Perform action in all mailboxes 參數,動作會分批執行。

這個參數會定義單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 25。
Time Frame (minutes) 選填

以分鐘為單位的電子郵件搜尋時間範圍。

動作輸出內容

「依郵件 ID 解除封鎖傳送者」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「依訊息 ID 解除封鎖寄件者」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

NUMBER_OF_EMAILS mails were successfully unmarked as junk.

No mails were found matching the search criteria!

NUMBER_OF_EMAILS email(s) were unmarked as junk from PROCESSED_MAILBOXES mailboxes (out of ALL_MAILBOXES). Continuing.

動作成功。
Failed to execute action - Action is fully supported only from Exchange Server version 2013 and above, Please make sure you have the appropriate version configured in Chronicle SOAR.

動作失敗。

您使用的 Exchange Server 版本不受支援。
Error performing action: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「依郵件 ID 取消封鎖寄件者」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

連接器

如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱「擷取資料 (連接器)」。

設定連接器和動作時,請注意憑證中的空格和特殊符號。如果整合服務拒絕您的憑證,請檢查拼字。

如要設定所選的連接器,請使用下列表格列出的連接器專屬參數:

Exchange EML 連接器

Exchange EML 連接器會從 Exchange 伺服器擷取電子郵件並剖析內容,如果附加了 EML 檔案,連接器會將這些檔案附加至案件,做為事件。如果電子郵件中有多個 EML 附件,連接器會建立多個案件,並將每個附件擷取為各案件的一個事件。

已知限制

  1. Microsoft 365 和基本驗證。

    • Exchange EML 連接器不再支援基本驗證,也無法搭配 Microsoft 365 使用。如果是 Microsoft 365,請使用支援 OAuth 的 Exchange Mail Connector v2

  2. Exchange EML 連接器的詳細資料如下:

    • 連接器只會根據含有 EML 或 MSG 檔案附件的電子郵件建立 Google SecOps 快訊。

    • 如果電子郵件不含郵件附件,連接器會忽略這類郵件。

連接器輸入內容

Exchange EML 連接器需要下列參數:

參數 說明
Product Field Name 必要

儲存產品名稱的欄位名稱。

預設值為 device_product
EventClassId 必要

用來判斷事件名稱 (子類型) 的欄位名稱。

預設值為 event_name
Server IP 必要

要連線的伺服器 IP 位址。
Domain 必要

用於驗證的網域值。
Username 必要

要從中提取電子郵件的信箱使用者名稱,例如 user@example.com
Password 必要

用於從電子郵件信箱擷取電子郵件的密碼。

Mail Address 必要

要監控的信箱電子郵件地址。

預設值為 Inbox
Verify SSL 選填

如果選取這個選項,整合服務會驗證連線至 Exchange 伺服器的 SSL 憑證是否有效。

預設為未選取。
Use Domain for Authentication 選填

如果選取這個選項,整合服務會將網域做為驗證憑證的一部分,例如 user@domain

(此為預設選項)。
Unread Emails Only 選填

如果選取這個選項,系統只會根據未讀取的電子郵件建立案件。

預設為未選取。
Mark Emails as Read 選填

如果選取這個選項,系統會在擷取電子郵件後將其標示為已讀。

預設為未選取。
Max Days Backwards 選填

從第一次連接器疊代作業開始,往前推算的天數。系統會從這個時間點開始擷取電子郵件。首次啟用連接器後,這個參數只會套用至初始連接器疊代。
PythonProcessTimeout 必要

Python 程序執行目前指令碼的逾時限制 (以秒為單位)。

預設值為 30 秒。
Folder Name 選用

要搜尋的資料夾名稱。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

預設值為 Inbox
Environment Field Name 選填

儲存環境名稱的欄位名稱。

如果找不到環境欄位,環境會設為 ""
Environment Regex Pattern 選填

要在 Environment Field Name 欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
Encode Data as UTF-8 選填

如果選取這個選項,整合服務會以 UTF-8 編碼電子郵件資料。建議選取這個參數。

(此為預設選項)。
Attach EML or MSG File to the Case Wall 選填

如果選取這個選項,整合服務會將轉寄的 EML 或 MSG 檔案附加至 Google SecOps 的案件牆。

預設為未選取。
Exclusion Body Regex 選填

規則運算式,用於排除內文符合所提供值的電子郵件。

舉例來說,'([N|n]ewsletter)|([O|o]ut of office)' 規則運算式會排除所有含有「電子報」或「不在辦公室」關鍵字的電子郵件。
Proxy Server Address 選用

要使用的 Proxy 伺服器位址。
Proxy Username 選用

用於驗證的 Proxy 使用者名稱。
Proxy Password 選用

用於驗證的 Proxy 密碼。
Extract urls from HTML email part? 選填

如果選取這個選項,連接器會嘗試從電子郵件的 HTML 部分擷取網址。這個參數也允許連接器擷取複雜網址,但無法擷取電子郵件純文字部分的網址。

您可以在 urls_from_html_part 事件欄位中查看擷取的網址。

預設為未選取。

連接器規則

  • Exchange EML 連接器不支援封鎖清單和動態清單規則。

  • Exchange EML 連接器支援 Proxy。

Exchange Mail Connector

使用 Exchange Mail Connector 與 Exchange 伺服器通訊,近乎即時地搜尋電子郵件,並轉寄這些郵件,以便在 Google SecOps 案件中翻譯郵件內容並提供相關背景資訊,做為警報。

本節說明如何使用 Exchange Web Services (EWS) 與 Microsoft Exchange 2007-2019 Server 或 Microsoft 365 通訊,並說明 Google SecOps 如何與 Exchange Mail 介面互動,以及應用程式內的輔助工作流程和活動。

Exchange 郵件連接器可從設定的 Exchange 伺服器擷取電子郵件,掃描每個伺服器,然後建立新案件。每個情境至少會包含一封初始電子郵件。主要差異在於,Exchange Mail 連接器會移除電子郵件,並產生可剖析 Exchange 伺服器原始電子郵件中 EML 或 MSG 資料的事件。

已知限制

  1. Microsoft 365 和基本驗證。

    • Exchange 郵件連接器不再支援基本驗證,因此無法搭配 Microsoft 365 使用。如果是 Microsoft 365,請使用支援 OAuth 的 Exchange Mail Connector v2

  2. Exchange Mail Connector 的相關規定如下:

    • 連接器只會根據信箱中收到的原始電子郵件建立 Google SecOps 警示。

    • 連接器會忽略附加的 EML 和 MSG 檔案。

連接器輸入內容

Exchange Mail Connector 需要下列參數:

參數 說明
Product Field Name 必要

儲存產品名稱的欄位名稱。

預設值為 device_product
Event Field Name 必要

用於判斷事件名稱 (子類型) 的欄位名稱。

預設值為 event_name
Server IP 必要

要連線的伺服器 IP 位址。
Domain 必要

用於驗證的網域值。
Username 必要

要從中提取電子郵件的信箱使用者名稱,例如 user@example.com
Password 必要

用於從電子郵件信箱擷取電子郵件的密碼。

Mail Address 必要

要監控的信箱電子郵件地址。

預設值為 Inbox
Verify SSL 選填

如果選取這個選項,整合服務會驗證連線至 Exchange 伺服器的 SSL 憑證是否有效。

預設為未選取。

Use Domain for Authentication 選填

如果選取,網域會做為驗證憑證的一部分,例如 user@domain

(此為預設選項)。
Unread Emails Only 選填

如果選取這個選項,整合服務只會根據未讀取的電子郵件建立案件。

(此為預設選項)。
Mark Emails as Read 選填

如果選取這個選項,整合服務會將所有擷取的電子郵件標示為已讀。

預設為未選取。
Max Days Backwards 選填

從第一次連接器疊代作業開始,往前推算的天數。系統會從這個時間點開始擷取電子郵件。首次啟用連接器後,這個參數只會套用至初始連接器疊代。
PythonProcessTimeout 必要

Python 程序執行目前指令碼的逾時限制 (以秒為單位)。

預設值為 30 秒。
Attach Original EML 選用

如果選取這個選項,原始電子郵件會以 EML 檔案的形式附加到案件。

預設為未選取。
Folder Name 選用

要搜尋的資料夾名稱。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

預設值為 Inbox
Environment Field Name 選填

儲存環境名稱的欄位名稱。

如果找不到環境欄位,環境會設為 ""
Environment Regex Pattern 選填

要在 Environment Field Name 欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
Exclusion Subject Regex 選填

規則運算式,用於排除主旨符合所提供值的電子郵件。

舉例來說,以下規則運算式會排除電子郵件主旨中含有「Newsletter」或「Out of office」關鍵字的所有電子郵件: ([N|n]ewsletter)|([O|o]ut of office)

Exclusion Body Regex 選填

規則運算式,用於排除內文符合所提供值的電子郵件。

舉例來說,以下規則運算式會排除電子郵件內文中包含「Newsletter」或「Out of office」關鍵字的所有電子郵件:([N|n]ewsletter)|([O|o]ut of office)

Proxy Server Address 選用

要使用的 Proxy 伺服器位址。
Proxy Username 選用

用於驗證的 Proxy 使用者名稱。
Proxy Password 選用

用於驗證的 Proxy 密碼。
Extract urls from HTML email part? 選填

如果選取這個選項,連接器會嘗試從電子郵件的 HTML 部分擷取網址。這個參數可讓連接器擷取複雜的網址,但無法擷取電子郵件純文字部分的網址。

您可以在 urls_from_html_part 事件欄位中查看擷取的網址。

預設為未選取。

設定動態清單規則

在動態清單部分,如要使用規則運算式從電子郵件中擷取特定值,請新增下列格式的規則:

'<var>FIELD_NAME</var>': '<var>REGULAR_EXPRESSION</var>'

舉例來說,如要從電子郵件中擷取郵件 ID,請輸入下列規則:

message-id: (?<=Message-ID: ).*

連接器規則

  • Exchange Mail Connector 支援 Proxy。

  • Exchange Mail Connector 不支援封鎖清單規則。

  • Exchange 整合功能會使用動態清單區段定義規則運算式,並啟用下列功能:

    • 剖析電子郵件內容。
    • 根據符合電子郵件事件的規則運算式,新增特定欄位。

Exchange Mail Connector v2

使用 Exchange Mail Connector v2 連線至郵件伺服器,並檢查特定信箱中的新郵件。

如果出現新電子郵件,連接器就會在 Google SecOps 中建立及擷取新快訊,其中包含新電子郵件的資訊。

如果沒有新郵件,Exchange Mail Connector v2 會完成目前的疊代,並在下一次疊代執行前待命一段時間。

連接器疊代流程

每次執行後,Exchange Mail Connector v2 都會更新時間戳記檔案,記錄上次執行的日期和時間。Exchange Mail Connector v2 會從電子郵件中擷取可做為案件依據的資訊 (以郵件物件形式), 技術結果包括但不限於:

  • 電子郵件寄件者和收件者。
  • 電子郵件主旨。
  • 電子郵件內文。
  • 電子郵件中的網址。
  • 附件 (如有)。

Exchange Mail Connector v2 建立要擷取至 Google SecOps 的快訊 (案件) 後,連接器疊代作業即完成。

根據 Exchange Mail Connector v2 提供的案件資料,Google SecOps 伺服器會執行 ETL 程序,擷取新快訊並建立或更新案件。如果定義了相關應對手冊,Google SecOps 就會執行應對手冊,以豐富案件內容、產生洞察資料,並執行自動動作。

使用「快訊名稱範本」和「案件名稱範本」

Alert Name TemplateCase Name Template 參數可讓您覆寫快訊和案件名稱的建立方式。只有第一個快訊會設定案件或快訊名稱,後續快訊不會影響名稱。

以下是 Google SecOps 事件的範例:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

如要為 Google SecOps 快訊建立自訂名稱,請使用下列範本:

[EVENT_TYPE] - [EVENT_NAME]

舉例來說,如要建立名為「Phishing – Example Event」的 Google SecOps 快訊,範本如下:

[Phishing] - [Example Event]

連接器輸入內容

Exchange Mail Connector v2 中,下列參數可能會影響電子郵件處理作業:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

如要對應已處理電子郵件的 tofrom 欄位,連接器會建立下列欄位集:

  1. 包含電子郵件地址的規則 tofrom 欄位,格式如下:email@example

  2. to_rawfrom_raw 欄位,且值僅為電子郵件地址,格式如下:email@example

Exchange Mail Connector v2 需要下列參數:

參數 說明
Product Field Name 必要

儲存產品名稱的欄位名稱。

預設值為 device_product
Event Field Name 必要

用於判斷事件名稱 (子類型) 的欄位名稱。

預設值為 event_name
Mail Server Address 必要

要連線的郵件伺服器 IP 位址。

連線至 Microsoft 365 時,請將伺服器位址設為 outlook.office365.com
Verify SSL 選填

如果選取這個選項,整合服務會驗證連線至 Exchange 伺服器的 SSL 憑證是否有效。

預設為未選取。
Mail Address 必要

要監控的信箱電子郵件地址。

預設值為 Inbox
Use Domain for Authentication 選填

如果選取,網域會做為驗證憑證的一部分,例如 user@domain

預設為選取。
Domain 必要

用於驗證的網域值。
Username 必要

要從中提取電子郵件的信箱使用者名稱,例如 user@example.com
Password 必要

用於從電子郵件信箱擷取郵件的密碼。
Unread Emails Only 選填

如果選取這個選項,系統只會根據未讀取的電子郵件建立案件。

(此為預設選項)。
Mark Emails as Read 選填

如果選取這個選項,系統會在擷取電子郵件後將其標示為已讀。

預設為未選取。
Offset Time In Days 必要

從第一次連接器疊代作業開始,往前推算的天數。系統會從這個時間點開始擷取電子郵件。首次啟用連接器後,這個參數只會套用至初始連接器疊代。

預設值為 5。
Max Emails Per Cycle 必要

單一連結器疊代中要擷取的電子郵件數量。

預設值為 10。
Environment Field Name 選填

儲存環境名稱的欄位名稱。

如果找不到環境欄位,環境會設為 ""
Environment Regex Pattern 選填

要在 Environment Field Name 欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 ""
Headers to add to events 選用

以半形逗號分隔的字串,指定要新增至事件的電子郵件標頭。

您可以提供完全相符的值,或設定為規則運算式。
Email Exclude Pattern 選填

用來排除特定電子郵件,避免系統擷取的規則運算式。

這個參數適用於電子郵件的主旨和內文。您可以使用這項參數,排除大量廣播的電子郵件 (例如新聞) 遭擷取。
PythonProcessTimeout 必要

Python 程序執行目前指令碼的逾時限制 (以秒為單位)。

預設值為 60 秒。
Folder to check for emails 必要

要搜尋電子郵件的電子郵件資料夾。這項參數接受以逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

這個參數會區分大小寫。

預設值為 Inbox
Attach Original EML 選用

如果選取這個選項,整合服務會將原始電子郵件附加至案件,做為 EML 檔案。

預設為未選取。
Fetch Backwards Time Interval (minutes) 選用

連接器會使用這個間隔,從目前時間前幾分鐘的設定時間範圍內擷取事件。這個參數值是上次連接器疊代的時間戳記。

請根據環境調整這個值,例如 60 分鐘或更短。

預設值為 0。
Proxy Server Address 選用

要使用的 Proxy 伺服器位址。
Proxy Username 選用

用於驗證的 Proxy 使用者名稱。
Proxy Password 選用

用於驗證的 Proxy 密碼。
Extract urls from HTML email part? 選填

如果選取這個選項,連接器會嘗試從電子郵件的 HTML 部分擷取網址。這個參數可讓連結器擷取複雜的網址,但無法擷取電子郵件純文字部分的網址。

您可以在 urls_from_html_part 事件欄位中查看擷取的網址。

預設為未選取。
Disable Overflow 選用

如果選取這個選項,連接器會忽略溢位機制。

預設為未選取。
Original Received Mail Prefix 選用

要加到擷取事件鍵的前置字串,例如監控信箱中收到的原始電子郵件的 tofromsubject

預設值為 orig
Attached Mail File Prefix 選用

要新增至擷取事件鍵的前置字串,例如從監控的信箱收到的附加電子郵件檔案中擷取的 tofromsubject

預設值為 attach
Create a Separate Siemplify Alert per Attached Mail File? 選用

如果選取這個選項,連接器會建立多個快訊,每個附加的電子郵件檔案都會有一個快訊。

如果選取這個參數,Google SecOps 會處理含有多個附件的電子郵件,並從附件建立實體。

預設為未選取。
Case Name Template 選用

自訂案件名稱。

設定這個參數時,連接器會在 Google SecOps 事件中新增名為 custom_case_name 的鍵。

您可以提供下列格式的預留位置: [name of the field]

範例:Phishing - [event_mailbox]

對於預留位置,連接器會使用第一個 Google SecOps 事件。連接器只會處理含有字串值的鍵。
Alert Name Template 選用

自訂快訊名稱。

您可以提供下列格式的預留位置: [name of the field]

範例:Phishing - [event_mailbox]

對於預留位置,連接器會使用第一個 Google SecOps 事件。系統只會處理包含字串值的鍵。如果您未提供值或範本無效,連接器會使用預設快訊名稱。
Email Padding Period (minutes) 選填

連接器在最新時間戳記前擷取電子郵件的時間範圍。
URL Regex 必要

用來剖析已處理電子郵件中網址的規則運算式連接器。

連接器規則

  • Exchange Mail Connector v2 支援 Proxy。

  • Exchange Mail Connector v2 不支援封鎖清單規則。

  • Exchange 整合功能會使用動態清單部分定義規則運算式,以啟用下列功能:

    • 剖析電子郵件內容。
    • 根據規則運算式比對結果,將特定欄位新增至電子郵件事件。

使用 OAuth 驗證的 Exchange Mail Connector v2

使用支援 OAuth 的 Exchange Mail Connector 第 2 版,監控 Microsoft 365 郵件伺服器上需要 OAuth 驗證的特定信箱。您可以使用「取得授權」和「產生權杖」動作,取得連接器設定所需的更新權杖。

如要執行 Exchange Mail Connector v2 with OAuth,請設定整合功能,支援 OAuth 驗證。

使用「快訊名稱範本」和「案件名稱範本」

Alert Name TemplateCase Name Template 參數可讓您覆寫快訊和案件名稱的建立方式。

以下是 Google SecOps 事件的範例:

{
    "event": {
        "type": "Phishing"
        "name": "Example Event",
        "id": "1"
    }
}

如要為 Google SecOps 快訊建立自訂名稱,請使用下列範本:

[EVENT_TYPE] - [EVENT_NAME]

舉例來說,如要建立名為「Phishing – Example Event」的 Google SecOps 快訊,範本如下:

[Phishing] - [Example Event]

連接器輸入內容

在「Exchange Mail Connector v2 with OAuth」中,下列參數可能會影響電子郵件處理作業:

  • Original Received Mail Prefix
  • Attached Mail File Prefixes
  • Create a Separate Siemplify Alert per Attached Mail File?

如要對應已處理電子郵件的 tofrom 欄位,連接器會建立下列兩組欄位:

  1. 包含電子郵件地址的標準 tofrom 欄位,例如 email@example

  2. to_rawfrom_raw 欄位只包含電子郵件地址做為值,例如 email@example

Exchange Mail Connector v2 with OAuth 需要下列參數:

參數 說明
Product Field Name 必要

儲存產品名稱的欄位名稱。

預設值為 device_product
Event Field Name 必要

用於判斷事件名稱 (子類型) 的欄位名稱。

預設值為 event_name
Mail Server Address 必要

要連線的郵件伺服器 IP 位址。

連線至 Microsoft 365 時,請將伺服器位址設為 outlook.office365.com
Mail Address 必要

連接器使用的郵件地址。
Client ID 必要

如果是 Microsoft 365 OAuth 驗證,請輸入您用於整合的 Microsoft Entra 應用程式 ID (用戶端 ID)。
Client Secret 必要

如果是 Microsoft 365 OAuth 驗證,則為您在驗證流程中提供的用戶端密鑰。
Tenant (Directory) ID 必要

如果是 Microsoft 365 OAuth 驗證,請輸入您用於整合的 Microsoft Entra 應用程式的租戶 (目錄) ID。
Refresh Token 必要

如果是 Microsoft 365 OAuth 驗證,則為產生權杖後取得的更新權杖。
Verify SSL 選填

如果選取這個選項,整合服務會驗證連線至 Exchange 伺服器的 SSL 憑證是否有效。

預設為未選取。
Unread Emails Only 選填

如果選取這個選項,整合服務只會根據未讀取的電子郵件建立案件。

預設為未選取。
Mark Emails as Read 選填

如果選取這個選項,連接器會將擷取的電子郵件標示為已讀。

預設為未選取。
Offset Time In Days 必要

從第一次連接器疊代作業開始,往前推算的天數。系統會從這個時間點開始擷取電子郵件。首次啟用連接器後,這個參數只會套用至初始連接器疊代。

預設值為 5 天。
Max Emails Per Cycle 必要

單一連結器疊代中要擷取的電子郵件數量。

預設值為 10 封電子郵件。
Environment Field Name 選填

儲存環境名稱的欄位名稱。

如果找不到環境欄位,環境會設為 ""
Environment Regex Pattern 選填

要在 Environment Field Name 欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 ""
Headers to add to events 選用

以半形逗號分隔的字串,指定要新增至事件的電子郵件標頭。

您可以提供完全相符的值,或設定為規則運算式。
Email Exclude Pattern 選填

用來排除特定電子郵件,避免系統擷取的規則運算式。

這個參數適用於電子郵件的主旨和內文。您可以使用這項參數,排除大量廣播的電子郵件 (例如新聞) 遭擷取。
PythonProcessTimeout 必要

Python 程序執行目前指令碼的逾時限制 (以秒為單位)。

預設值為 60。
Folder to check for emails 必要

要搜尋電子郵件的電子郵件資料夾。這項參數接受以逗號分隔的資料夾清單。

Exchange 整合功能會使用反斜線做為分隔符,指定子資料夾,例如 folder/subfolder1/subfolder2。為避免發生逾時錯誤或動作失敗,請將資料夾或子資料夾名稱中的反斜線換成其他字元,例如底線。

這個參數會區分大小寫。

預設值為 Inbox
Attach Original EML 選用

如果選取這個選項,原始電子郵件會以 EML 檔案的形式附加到案件。

預設為未選取。
Fetch Backwards Time Interval (minutes) 選用

連接器會使用這個間隔,從目前時間前幾分鐘的設定時間範圍內擷取事件。這個參數值是上次連接器疊代的時間戳記。

請根據環境調整這個值,例如 60 分鐘或更短。

預設值為 0。
Proxy Server Address 選用

要使用的 Proxy 伺服器位址。
Proxy Username 選用

用於驗證的 Proxy 使用者名稱。
Proxy Password 選用

用於驗證的 Proxy 密碼。
Extract urls from HTML email part? 選填

如果選取這個選項,連接器會嘗試從電子郵件的 HTML 部分擷取網址。這個參數可讓連結器擷取複雜的網址,但無法擷取電子郵件純文字部分的網址。

您可以在 urls_from_html_part 事件欄位中查看擷取的網址。

預設為未選取。
Disable Overflow 選用

如果選取這個選項,連接器會忽略溢位機制。

預設為未選取。
Original Received Mail Prefix 選用

要加到擷取事件鍵的前置字串,例如監控信箱中收到的原始電子郵件的 tofromsubject

預設值為 orig
Attached Mail File Prefix 選用

要新增至擷取事件鍵的前置字串,例如從監控的信箱收到的附加電子郵件檔案中擷取的 tofromsubject

預設值為 attach
Create a Separate Siemplify Alert per Attached Mail File? 選用

如果選取這個選項,連接器會建立多個快訊,每個附加的電子郵件檔案都會有一個快訊。

如果選取這個參數,Google SecOps 會處理含有多個附件的電子郵件,並從附件建立實體。

預設為未選取。
Case Name Template 選用

自訂案件名稱。

設定這個參數時,連接器會在 Google SecOps 事件中新增名為 custom_case_name 的鍵。

您可以提供下列格式的預留位置: [name of the field]

範例:Phishing - [event_mailbox]

對於預留位置,連接器會使用第一個 Google SecOps 事件。連接器只會處理含有字串值的鍵。
Alert Name Template 選用

用於設定自訂快訊名稱的參數。

自訂快訊名稱。

您可以提供下列格式的預留位置: [name of the field]

範例:Phishing - [event_mailbox]

對於預留位置,連接器會使用第一個 Google SecOps 事件。系統只會處理包含字串值的鍵。如果您未提供值或範本無效,連接器會使用預設快訊名稱。
Email Padding Period (minutes) 選填

連接器在最新時間戳記前擷取電子郵件的時間範圍。

工作

為 Exchange 整合設定工作前,請確認 Google SecOps 平台版本支援這些工作。

更新權杖續訂工作

更新權杖續約工作的目標是定期更新整合中使用的更新權杖。

根據預設,更新權杖每 90 天會過期一次。建議每 7 或 14 天執行一次這項工作,確保重新整理權杖為最新狀態。

工作輸入內容

「Refresh Token Renewal Job」需要下列參數:

參數 說明
Integration Environments 選填

工作更新重新整理權杖的整合環境。

這個參數接受以半形逗號分隔的多個值。請將個別值括在引號內 (" ")。
Connector Names 選填

工作更新重新整理權杖的連接器名稱。

這個參數接受以半形逗號分隔的多個值。請將個別值括在引號內 (" ")。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。