Gmail

このドキュメントでは、Gmail を Google Security Operations SOAR と統合する方法について説明します。

統合バージョン: 1.0

始める前に

この統合を使用するには、 Google Cloud サービス アカウントが必要です。既存のサービス アカウントを使用することも、新しいサービス アカウントを作成することもできます。また、 Google Cloud 組織で Gmail API を有効にする必要があります。

サービス アカウントを作成する

サービス アカウントの作成については、サービス アカウントを作成するをご覧ください。

サービス アカウントを使用して Google Cloudに対する認証を行う場合は、JSON でサービス アカウント キーを作成し、統合パラメータを構成するときに、ダウンロードした JSON ファイルのコンテンツを指定できます。

セキュリティ上の理由から、サービス アカウント キーではなく Workload Identity のメールアドレスを使用することをおすすめします。ワークロード ID の詳細については、ワークロードの ID をご覧ください。

ドメイン全体の権限をサービス アカウントに委任する

  1. ドメインの Google 管理コンソールから、 メインメニュー > [セキュリティ] > [アクセスとデータ管理] > [API の制御] に移動します。
  2. [ドメイン全体の委任] ペインで、[ドメイン全体の委任を管理] を選択します。
  3. [新しく追加] をクリックします。
  4. [クライアント ID] フィールドに、前のサービス アカウントの作成手順で取得したクライアント ID を入力します。

  5. [OAuth スコープ] フィールドに、統合に必要なスコープのカンマ区切りリストを入力します。

        "https://mail.google.com/",
    "https://www.googleapis.com/auth/cloud-platform",
    "https://www.googleapis.com/auth/admin.directory.user",
    "https://www.googleapis.com/auth/admin.directory.group.member",
    "https://www.googleapis.com/auth/admin.directory.customer.readonly",
    "https://www.googleapis.com/auth/admin.directory.domain.readonly",
    "https://www.googleapis.com/auth/admin.directory.group",
    "https://www.googleapis.com/auth/admin.directory.orgunit",
    "https://www.googleapis.com/auth/admin.directory.user.alias",
    "https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly",
    "https://www.googleapis.com/auth/apps.groups.settings"

  6. [承認] をクリックします。

Gmail を Google SecOps SOAR と統合する

Gmail 統合には次のパラメータが必要です。

パラメータ 説明
Service Account JSON File Content Optional

サービス アカウント キーの JSON ファイルの内容。このパラメータまたは Workload Identity Email パラメータのいずれかを構成できます。

このパラメータを構成するには、サービス アカウントの作成時にダウンロードしたサービス アカウント キーの JSON ファイルの内容全体を指定します。
Default Mailbox 必須

統合で使用するデフォルトのメールボックス。
Workload Identity Email Optional

ワークロード ID のクライアント メールアドレス。

このパラメータまたは Service Account JSON File Content パラメータを構成できます。

ワークロード ID のメールアドレスを使用してサービス アカウントの権限を借用するには、サービス アカウントに Service Account Token Creator ロールを付与します。ワークロード ID とその使用方法の詳細については、ワークロードの ID をご覧ください。
Verify SSL Optional

選択すると、統合によって Gmail への接続用の SSL 証明書が有効かどうかが検証されます。

このパラメータはデフォルトで選択されています。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。

操作

アクションについて詳しくは、デスクから保留中のアクションに対応する手動アクションを実行するをご覧ください。

メールラベルを追加する

[メールラベルを追加] アクションを使用して、指定したメールにラベルを追加します。

このアクションは非同期です。Google SecOps 統合開発環境(IDE)でアクション タイムアウトを適宜調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールラベルを追加] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

返信を待つメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。このパラメータは、カンマ区切りのリストとして複数の値を受け入れます。
Internet Message ID Optional

検索するメールのインターネット メッセージ ID。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

インターネット メッセージ ID を指定すると、アクションは Subject FilterSender FilterTime Frame (minutes) パラメータを無視します。
Labels Filter Optional

検索するメールラベルを指定するフィルタ条件。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

デフォルト値は Inbox です。

label1, label2 などの特定のラベルが付いたメールを検索できます。特定のラベルが付いていないメールを検索するには、-label1 の形式を使用します。このパラメータを構成して、特定のラベルが付いているメールと付いていないメールを 1 つの文字列(label1, -label2, label3 など)で検索できます。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。

このフィルタは contains ロジックを使用するため、検索アイテムを完全な単語で指定する必要があります。このフィルタは部分一致をサポートしていません。
Sender Filter 省略可

検索するメールの送信者を指定するフィルタ条件。

このフィルタでは equals ロジックを使用します。
Time Frame (minutes) 省略可

メールを検索する期間を分単位で指定するフィルタ条件。

デフォルト値は 60 分です。
Email Status Optional

検索するメールのステータス。

値は次のいずれかになります。

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

デフォルト値は Both Read & Unread Messages です。
Label 必須

メールの更新に使用するラベル。

このパラメータは、カンマ区切りのリストとして複数の値を受け入れます。

ラベルがメールボックスに存在しない場合、アクションによってラベルが作成されます。

アクションの出力

[メールラベルを追加] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[メールラベルを追加] アクションを使用した場合に受信する JSON 結果の出力を示しています。

[
   {
       "Entity": "email@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "email@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "email@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
出力メッセージ

[メールラベルを追加] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明

Successfully updated labels for emails in the following mailboxes: MAILBOX_LIST

No emails were found based on the provided search criteria in the following mailboxes: MAILBOX_LIST

The following mailboxes were not found: MAILBOX_LIST. Check the spelling.

Update is pending for emails in the following mailboxes: MAILBOX_LIST

 アクションが成功しました。
Error executing action "Add Email Label". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メールラベルを追加] アクションを使用した場合のスクリプト結果の出力値を示します。

スクリプトの結果名
is_success True または False

メールを削除する

[メールを削除] アクションを使用して、指定された検索条件に基づいてメールボックスから 1 件または複数のメールを削除します。デフォルトでは、この操作を行うとメールがゴミ箱に移動します。メールをゴミ箱に移動するのではなく、完全に削除するようにアクションを構成できます。

[メールを削除] アクションは非同期です。Google SecOps IDE でアクション タイムアウトを適宜調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールを削除] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

返信を待つメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。
Labels Filter Optional

検索するメールラベルを指定するフィルタ条件。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

デフォルト値は Inbox です。

label1, label2 などの特定のラベルが付いたメールを検索できます。特定のラベルが付いていないメールを検索するには、-label1 の形式を使用します。このパラメータを構成して、特定のラベルが付いているメールと付いていないメールを 1 つの文字列(label1, -label2, label3 など)で検索できます。
Internet Message ID Optional

検索するメールのインターネット メッセージ ID。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

インターネット メッセージ ID を指定すると、アクションは Subject FilterSender FilterLabels FilterTime Frame (minutes) パラメータを無視します。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。

このフィルタは contains ロジックを使用するため、検索アイテムを完全な単語で指定する必要があります。このフィルタは部分一致をサポートしていません。
Sender Filter 省略可

検索するメールの送信者を指定するフィルタ条件。

このフィルタでは equals ロジックを使用します。
Time Frame (minutes) 省略可

メールを検索する期間を分単位で指定するフィルタ条件。

デフォルト値は 60 分です。
Email Status Optional

検索するメールのステータス。

値は次のいずれかになります。

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

デフォルト値は Both Read & Unread Messages です。
Move to Trash Optional

選択した場合、アクションはメールを [ゴミ箱] に移動し、Labels Filter パラメータを構成して Trash ラベルを含めるようにしない限り、[ゴミ箱] ラベルの付いたメールを検索しません。選択しない場合、アクションはメールボックス全体を検索し、メールを完全に削除します。

デフォルトで選択されています。

アクションの出力

[Delete Email] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[メールを削除] アクションを使用したときに受信した JSON 結果の出力を示しています。

{
"mailbox1": [DELETED_MESSAGE_ID_LIST],
"mailbox2": [DELETED_MESSAGE_ID_LIST]
}
出力メッセージ

[メールを削除] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明

Successfully deleted emails in the following mailboxes: MAILBOX_LIST

No emails to delete based on the provided search criteria in the following mailboxes: MAILBOX_LIST

The following mailboxes were not found: MAILBOX_LIST. Check the spelling.

The action didn't find any emails based on the specified search criteria.

Pending deletion of emails in the following mailboxes: MAILBOX_LIST

 アクションが成功しました。
Error executing action "Delete Email". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メールを削除] アクションを使用した場合のスクリプト結果の出力値を示します。

スクリプトの結果名
is_success True または False

メールを転送する

メールを転送アクションを使用して、以前のスレッドを含むメールなどのメールを転送します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールを転送] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

メールの送信元となるメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。
Internet Message ID 必須

検索するメールのインターネット メッセージ ID。
Send To 必須

メール受信者のメールアドレスのカンマ区切りの文字列(user1@example.com, user2@example.com など)。
CC Optional

カーボンコピー(CC)メールの受信者のメールアドレスのカンマ区切り文字列(user1@example.com, user2@example.com など)。
BCC Optional

ブラインド カーボンコピー(BCC)メール受信者のメールアドレスのカンマ区切り文字列(例: user1@example.com, user2@example.com)。
Subject 必須

転送するメールの新しい件名。
Attachments Paths Optional

Google SecOps サーバーに保存されているファイル添付ファイルのパスをカンマで区切った文字列。
Mail Content 必須

メールの本文。

アクションの出力

[メールを転送] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[メールを転送] アクションを使用したときに受信される JSON 結果の出力を示しています。

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "text\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
出力メッセージ

[メールを転送] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明
Successfully forwarded the MESSAGE_ID email. アクションが成功しました。
Error executing action "Forward Email". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メールを転送] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Ping

Ping アクションを使用して、Gmail への接続をテストします。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Ping アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明
Successfully connected to the Google Gmail service with the provided connection parameters! アクションが成功しました。
Failed to connect to the Google Gmail service! Error is ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

メールラベルを削除する

メールのラベルを削除アクションを使用して、指定したメールからラベルを削除します。

このアクションは非同期です。Google SecOps IDE でアクション タイムアウトを適宜調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールラベルを削除] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

返信を待つメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。このパラメータは、カンマ区切りのリストとして複数の値を受け入れます。
Internet Message ID Optional

検索するメールのインターネット メッセージ ID。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

インターネット メッセージ ID を指定すると、アクションは Subject FilterSender FilterTime Frame (minutes) パラメータを無視します。
Labels Filter Optional

検索するメールラベルを指定するフィルタ条件。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

デフォルト値は Inbox です。

label1, label2 などの特定のラベルが付いたメールを検索できます。特定のラベルが付いていないメールを検索するには、-label1 の形式を使用します。このパラメータを構成して、特定のラベルが付いているメールと付いていないメールを 1 つの文字列(label1, -label2, label3 など)で検索できます。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。

このフィルタは contains ロジックを使用するため、検索アイテムを完全な単語で指定する必要があります。このフィルタは部分一致をサポートしていません。
Sender Filter 省略可

検索するメールの送信者を指定するフィルタ条件。

このフィルタでは equals ロジックを使用します。
Time Frame (minutes) 省略可

メールを検索する期間を分単位で指定するフィルタ条件。

デフォルト値は 60 分です。
Email Status Optional

検索するメールのステータス。

値は次のいずれかになります。

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

デフォルト値は Both Read & Unread Messages です。
Label 必須

メールから削除するラベル。

このパラメータは、カンマ区切りのリストとして複数の値を受け入れます。メールからすべてのラベルを削除するには、パラメータ値を All に構成します。

アクションの出力

[Remove Email Label] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、メールラベルを削除アクションを使用した場合に受信する JSON 結果の出力を示しています。

[
   {
       "Entity": "email@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@mail.gmail.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "email@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "email@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
出力メッセージ

[Remove Email Label] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明

Successfully updated labels for EMAIL_NUMBER emails in the MAILBOX_NAME mailbox.

The following labels don't exist in the MAILBOX_NAME mailbox: LABEL_LIST

None of the provided labels exists in the MAILBOX_NAME mailbox.

 アクションが成功しました。
Error executing action "Remove Email Label". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メールラベルを削除] アクションを使用した場合のスクリプト結果の出力値を示します。

スクリプトの結果名
is_success True または False

Save Email To The Case

メールをケースに保存アクションを使用して、メールまたはメールの添付ファイルを Google SecOps のアクション ケースウォールに保存します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Save Email To The Case] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

返信を待つメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。
Internet Message ID 必須

検索するメールのインターネット メッセージ ID。
Save Only Email Attachments Optional

選択すると、アクションは指定されたメールの添付ファイルのみを保存します。

デフォルトでは選択されていません。
Attachment To Save Optional

Save Only Email Attachments パラメータを選択した場合、このパラメータで指定した添付ファイルのみが保存されます。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。
Base64 Encode Optional

選択すると、メールファイルが base64 形式にエンコードされます。

デフォルトでは選択されていません。

アクションの出力

[Save Email To The Case] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用可能
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォールのアタッチメント

[Save Email To The Case] アクションは、メールと添付ファイルを Google SecOps のケース証拠として保存します。

次の表に、アクションで保存されるファイルを示します。

保存したファイル 名前と形式
メール EMAIL_SUBJECT.eml
Email attachment ATTACHMENT_NAME. ATTACHMENT_EXTENSION
JSON の結果

次の例は、[Save Email To The Case] アクションを使用した場合に受信する JSON 結果の出力を示しています。

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "example\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
出力メッセージ

[Save Email To The Case] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明

Successfully saved the INTERNET_MESSAGE_ID email.

Successfully saved the following attachments from the INTERNET_MESSAGE_ID email: ATTACHMENT_NAMES

The following attachments were not found in the INTERNET_MESSAGE_ID email: ATTACHMENT_NAMES

 アクションが成功しました。
Error executing action "Save Email To The Case". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Save Email To The Case] アクションを使用した場合のスクリプト結果の出力値を示します。

スクリプトの結果名
is_success True または False

メールを検索する

メールを検索アクションを使用すると、指定されたメールボックスで、指定された検索条件を使用してメール検索を実行できます。

このアクションは非同期です。Google SecOps IDE でアクション タイムアウトを適宜調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールを検索] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

返信を待つメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。このパラメータは、カンマ区切りのリストとして複数の値を受け入れます。
Labels Filter Optional

検索するメールラベルを指定するフィルタ条件。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

デフォルト値は Inbox です。

label1, label2 などの特定のラベルが付いたメールを検索できます。特定のラベルが付いていないメールを検索するには、-label1 の形式を使用します。このパラメータを構成して、特定のラベルが付いているメールと付いていないメールを 1 つの文字列(label1, -label2, label3 など)で検索できます。
Internet Message ID Optional

検索するメールのインターネット メッセージ ID。

このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。

インターネット メッセージ ID を指定すると、アクションは Subject FilterSender FilterLabels FilterRecipient FilterTime Frame (minutes)Email Status パラメータを無視します。
Subject Filter 省略可

検索するメールの件名を指定するフィルタ条件。
Sender Filter 省略可

検索するメールの送信者を指定するフィルタ条件。
Recipient Filter 省略可

検索するメールの受信者を指定するフィルタ条件。
Time Frame (minutes) 省略可

メールを検索する期間を分単位で指定するフィルタ条件。

デフォルト値は 60 分です。
Email Status Optional

検索するメールのステータス。

値は次のいずれかになります。

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

デフォルト値は Both Read & Unread Messages です。
Headers To Return 省略可

アクション出力で返すヘッダーのカンマ区切りリスト。

アクションは常に、datefromtoccbccin-reply-toreply-tomessage-idsubject のヘッダーを返します。

値を指定しない場合、アクションはすべてのヘッダーを返します。

このパラメータでは大文字と小文字が区別されません。
Return Email Body Optional

選択すると、アクションによってメールの本文全体がアクションの出力で返されます。選択しない場合、メールの添付ファイル名に関する情報は利用できません。

デフォルトでは選択されていません。
Max Emails To Return Optional

アクションが返すメールの最大数。

デフォルト値は 50 です。

アクションの出力

[Search For Emails] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

[メールを検索] アクションでは、次の表が提供されます。

テーブルのタイトル: Found Mails

列:

  • Message_id
  • 受領日
  • 送信者
  • 受信者
  • 件名
  • メール本文のスニペット
  • 添付ファイル名
  • 省略可: メールボックスで確認
JSON の結果

次の例は、[メールを検索] アクションを使用した場合に受信される JSON 結果の出力を示しています。

[
   {
       "Entity": "email@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "email@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "email@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
出力メッセージ

[メールを検索] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明

Successfully found emails in the following mailboxes: MAILBOX_LIST

No emails found in the following mailboxes: MAILBOX_LIST

Pending search for emails in the following mailboxes: MAILBOX_LIST

The following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

The action was not able to find any emails based on the specified search criteria.

 アクションが成功しました。
Error executing action "Search For Emails". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、メールを検索アクションを使用した場合のスクリプト結果の出力値を示します。

スクリプトの結果名
is_success True または False

メールを送信する

[メールを送信] アクションを使用して、指定されたパラメータに基づいてメールを送信します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[メールを送信] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

メールの送信元となるメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。
Subject 必須

送信するメールの件名。
Send To 必須

メール受信者のメールアドレスのカンマ区切りの文字列(user1@example.com, user2@example.com など)。
CC Optional

カーボンコピー(CC)メールの受信者のメールアドレスのカンマ区切り文字列(user1@example.com, user2@example.com など)。
BCC Optional

ブラインド カーボンコピー(BCC)メール受信者のメールアドレスのカンマ区切り文字列(user1@example.com, user2@example.com など)
Attachments Paths Optional

Google SecOps サーバーに保存されているファイル添付ファイルのパスをカンマで区切った文字列。
Mail Content 必須

メールの本文。
Reply-To Recipients Optional

Reply-To ヘッダーで使用する受信者のカンマ区切りリスト。

Reply-To ヘッダーを使用して、返信メールを From フィールドに記載されている送信者アドレスではなく、特定のメールアドレスにリダイレクトします。

アクションの出力

[メールを送信] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、メールを送信アクションを使用した場合に受信する JSON 結果の出力について説明しています。

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "example\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
出力メッセージ

[メールを送信] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明
Email was sent successfully. アクションが成功しました。
Error executing action "Send Email". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[メールを送信] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

スレッド返信を送信する

スレッド返信を送信アクションを使用して、メール スレッドへの返信としてメッセージを送信します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[スレッドの返信を送信] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

返信を待つメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。
Internet Message ID 必須

検索するメールのインターネット メッセージ ID。
Reply To 省略可

返信の送信先となるメールのカンマ区切りのリスト。

値を指定せず、[Reply All] チェックボックスがオフになっている場合、アクションは元のメールの送信者にのみ返信を送信します。Reply All パラメータを選択すると、アクションはこのパラメータを無視します。
Reply All 省略可

選択すると、アクションによって元のメールに関連するすべての受信者に返信されます。

このパラメータは Reply To パラメータよりも優先されます。

デフォルトでは選択されていません。
Attachments Paths Optional

Google SecOps サーバーに保存されているファイル添付ファイルのパスをカンマで区切った文字列。
Mail Content 必須

メールの本文。

アクションの出力

[スレッドの返信を送信] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、スレッド返信を送信アクションを使用した場合に受信する JSON 結果の出力を示しています。

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "text\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
出力メッセージ

[スレッドの返信を送信] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明
Successfully sent a thread reply to the INTERNET_MESSAGE_ID email. アクションが成功しました。
Error executing action "Sent Thread Reply". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、スレッドへの返信を送信アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

スレッドの返信を待つ

メールを送信] アクションを使用して送信されたメールに対するユーザーの返信を待つには、[スレッドの返信を待つ] アクションを使用します。

このアクションは非同期です。Google SecOps IDE でアクション タイムアウトを適宜調整します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Wait For Thread Reply] アクションには、次のパラメータが必要です。

パラメータ 説明
Mailbox 必須

返信を待つメールボックス(user@example.com など)。

デフォルトでは、このアクションは統合用に構成したデフォルトのメールボックスを使用します。このパラメータは、カンマ区切りのリストとして複数の値を受け入れます。
Internet Message ID 必須

待機するアクションのメールのインターネット メッセージ ID。メール送信アクションを使用してメッセージが送信された場合は、SendEmail.JSONResult|message_id プレースホルダを使用してこのパラメータを構成します。

インターネット メッセージ ID を取得するには、メールを検索アクションを使用します。
Wait for All Recipients to Reply Optional

選択すると、アクションはタイムアウトになるまですべての受信者からの応答を待機します。

デフォルトでは選択されていません。
Fetch Response Attachments Optional

選択すると、受信者の返信に添付ファイルが含まれている場合、アクションはメールの添付ファイルを取得し、Google SecOps のケースウォールの添付ファイルとして追加します。

デフォルトでは選択されていません。

アクションの出力

[スレッドの返信を待機] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、スレッドの返信を待つアクションを使用した場合に受信する JSON 結果の出力を示しています。

[
   {
       "Entity": "reply@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "reply@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "reply@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
出力メッセージ

[スレッドの返信を待つ] アクションでは、次の出力メッセージが表示されます。

出力メッセージ メッセージの説明

Found replies from the following users: USERS

Waiting for replies from the following users: USERS

 アクションが成功しました。
Error executing action "Wait For Thread Reply". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、スレッドの返信を待機アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

コネクタ

Google SecOps でコネクタを構成する手順については、データを取り込む(コネクタ)をご覧ください。

Gmail コネクタ

Gmail コネクタを使用して、指定したメールボックスから Gmail メールを取得します。

Gmail コネクタが、次の理由で Scheduled ラベルの付いたメールを取り込まない。

  • コネクタは送信済みメールのみを取り込みます。[スケジュール設定済み] ラベルは、メールが送信されず、スケジュール設定のみされていることを意味します。
  • コネクタは、メールを取得するためにタイムスタンプを必要とします。送信日時を設定したメールにはタイムスタンプがありません。

コネクタの入力

Gmail コネクタには次のパラメータが必要です。

パラメータ 説明
Product Field Name 必須

商品名が保存されるフィールドの名前。

デフォルト値は device_product です。
Event Field Name 必須

イベント名(サブタイプ)を特定するために使用されるフィールド名。

デフォルト値は event_name です。
Environment Field Name 省略可

環境名が保存されるフィールドの名前。

環境フィールドが見つからない場合、環境は "" に設定されます。
Environment Regex Pattern 省略可

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は "" になります。
Email Exclude Pattern Optional

スパムやニュースなど、特定のメールを取り込みから除外する正規表現。

このパラメータは、メールの件名と本文の両方で機能します。たとえば、自動返信メールを取り込みから除外するには、次の正規表現 (?i)(auto|no)(\s|-)?re(ply|sponse|sponder) を構成します。
Script Timeout (Seconds) 必須

現在のスクリプトを実行している Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 300 秒です。
Service Account JSON File Content Optional

サービス アカウント キーの JSON ファイルの内容。

このパラメータまたは Workload Identity Email パラメータを構成できます。

このパラメータを構成するには、サービス アカウントの作成時にダウンロードしたサービス アカウント キーの JSON ファイルの内容全体を指定します。
Workload Identity Email Optional

サービス アカウントのクライアント メールアドレス。

このパラメータまたは Service Account JSON File Content パラメータを構成できます。

ワークロードでサービス アカウントの権限を借用するには、Google SecOps サービス アカウントに Service Account Token Creator ロールを付与します。
Disable Overflow Optional

選択すると、アラートの作成時に Google SecOps のオーバーフロー メカニズムが無視されます。

デフォルトでは選択されていません。
Default Mailbox 必須

統合のデフォルトのメールボックスとして使用するメールアドレス(user@example.com など)。
Labels Filter Optional

Google SecOps に取り込むメールのラベル。

コネクタはネストされたラベルをサポートしています。ラベルは、Gmail で使用できる形式(Inbox-label1-label2 など)で指定します。
Email Status Optional

検索するメールのステータス。

使用できる値は次のとおりです。

  • Both
  • Read
  • Unread
デフォルト値は Both です。
Extract Headers Optional

internetMessageHeaders リストからフィルタして Google SecOps イベントに追加するヘッダー値。

デフォルトでは、コネクタはすべてのヘッダーをイベントに追加します。特定のヘッダーのみを追加するには、DKIM-Siganture, Received, From などのカンマ区切りのリストとして入力します。コネクタがヘッダーを追加しないようにするには、None 値を入力します。

このパラメータでは大文字と小文字が区別されません。
Attached Mail File Prefix Optional

監視対象のメールボックスでメール受信した添付ファイルから抽出されたイベントキー(tofromsubject など)に追加するプレフィックス。

デフォルト値は attach です。
Original Received Mail Prefix Optional

監視対象メールボックスで受信した元のメールから抽出されたイベントキー(tofromsubject など)に追加するプレフィックス。

デフォルト値は orig です。
Attach Original EML Optional

選択すると、コネクタは元のメールを Elements Markup Language(EML)ファイルとしてケース情報に添付します。

デフォルトでは選択されていません。
Create Alert Per Attachment File Optional

このオプションを選択すると、コネクタは複数のアラートを作成します。添付されたメールファイルごとに 1 つのアラートが作成されます。

この動作は、複数のメールファイルが添付されたメールを処理し、添付されたメールファイルからエンティティを作成するように Google SecOps イベント マッピングを設定する場合に便利です。

デフォルトでは選択されていません。
Max Emails Per Cycle Optional

コネクタのイテレーションごとに取得するメールの最大数。

最大数は 100 です。デフォルト値は 10 です。
Max Hours Backwards Optional

最初のコネクタのイテレーションの前にインシデントを取得する時間数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用されます。

デフォルト値は 24 です。
Case Name Template Optional

カスタム ケース名。

このパラメータを構成すると、コネクタは custom_case_name という新しいキーを Google SecOps イベントに追加します。

プレースホルダは [name of the field] の形式で指定できます。

例: Phishing - [event_mailbox]

プレースホルダの場合、コネクタは最初の Google SecOps イベントを使用します。コネクタは、文字列値を含むキーのみを処理します。このパラメータを構成するには、接頭辞なしでイベント フィールドを指定します。
Alert Name Template Optional

カスタム アラート名。

プレースホルダは [name of the field] の形式で指定できます。

例: Phishing - [event_mailbox]

プレースホルダの場合、コネクタは最初の Google SecOps SOAR イベントを使用します。コネクタは、文字列値を含むキーのみを処理します。値を指定しない場合や、無効なテンプレートを指定した場合、コネクタはデフォルトのアラート名を使用します。このパラメータを構成するには、接頭辞なしでイベント フィールドを指定します。
Verify SSL 必須

選択すると、統合によって Gmail への接続用の SSL 証明書が有効かどうかが検証されます。デフォルトで選択されています。
Proxy Server Address Optional

使用するプロキシ サーバーのアドレス。
Proxy Username Optional

認証に使用するプロキシのユーザー名。
Proxy Password Optional

認証に使用するプロキシ パスワード。

コネクタルール

Gmail コネクタは、動的リストをサポートしています。

メールの本文と件名から特定の値をフィルタするには、key: regexsubject: (?<=Subject: ).* など)の形式で動的リストの正規表現を使用します。たとえば、subject: (?<=Subject: ).* 正規表現の一致が見つかると、コネクタは Google SecOps アラート イベントを作成し、subject という名前の新しいキーを追加します。新しいキー値が正規表現に一致します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。