Gmail

Este documento fornece orientações sobre como integrar o Gmail ao Google Security Operations SOAR.

Versão da integração: 1.0

Antes de começar

Para usar a integração, você precisa de uma conta de serviço Google Cloud . É possível usar uma conta de serviço atual ou criar uma nova. Além disso, a API Gmail precisa ser ativada na organização Google Cloud .

Criar uma conta de serviço

Para orientações sobre como criar uma conta de serviço, consulte Criar contas de serviço.

Se você usa uma conta de serviço para autenticar no Google Cloud, é possível criar uma chave de conta de serviço em JSON e fornecer o conteúdo do arquivo JSON baixado ao configurar os parâmetros de integração.

Por motivos de segurança, recomendamos usar um endereço de e-mail de identidade da carga de trabalho em vez de uma chave de conta de serviço. Para mais informações sobre as identidades de carga de trabalho, consulte Identidades para cargas de trabalho.

Delegar autoridade em todo o domínio à conta de serviço

  1. No Google Admin Console do seu domínio, acesse Menu principal > Segurança > Controle de acesso e dados > Controles de API.
  2. No painel Delegação em todo o domínio, selecione Gerenciar a delegação em todo o domínio.
  3. Clique em Adicionar novo.
  4. No campo ID do cliente, insira o ID do cliente obtido nas etapas anteriores de criação da conta de serviço.
  5. No campo Escopos OAuth, insira a seguinte lista de escopos separada por vírgulas necessários para a integração:

        "https://mail.google.com/",
        "https://www.googleapis.com/auth/cloud-platform",
        "https://www.googleapis.com/auth/admin.directory.user",
        "https://www.googleapis.com/auth/admin.directory.group.member",
        "https://www.googleapis.com/auth/admin.directory.customer.readonly",
        "https://www.googleapis.com/auth/admin.directory.domain.readonly",
        "https://www.googleapis.com/auth/admin.directory.group",
        "https://www.googleapis.com/auth/admin.directory.orgunit",
        "https://www.googleapis.com/auth/admin.directory.user.alias",
        "https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly",
        "https://www.googleapis.com/auth/apps.groups.settings"
    
  6. Clique em Autorizar.

Integrar o Gmail ao SOAR do Google SecOps

A integração com o Gmail exige os seguintes parâmetros:

Parâmetro Descrição
Service Account JSON File Content Opcional

O conteúdo do arquivo JSON da chave da conta de serviço. É possível configurar este parâmetro ou o Workload Identity Email.

Para configurar esse parâmetro, forneça o conteúdo completo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço.

Default Mailbox Obrigatório

Uma caixa de correio padrão para usar na integração.

Workload Identity Email Opcional

O endereço de e-mail do cliente da sua identidade da carga de trabalho.

É possível configurar esse parâmetro ou o Service Account JSON File Content.

Para representar contas de serviço com o endereço de e-mail da identidade da carga de trabalho, conceda o papel Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre identidades de carga de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.

Verify SSL Opcional

Se selecionada, a integração verifica se o certificado SSL para conexão com o Gmail é válido.

Esse parâmetro é selecionado por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes na sua mesa de trabalho e Realizar uma ação manual.

Adicionar marcador de e-mail

Use a ação Adicionar marcador de e-mail para adicionar um marcador ao e-mail especificado.

Essa ação é assíncrona. Ajuste o tempo limite da ação no ambiente de desenvolvimento integrado (IDE) do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar marcador de e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para aguardar uma resposta, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração. Esse parâmetro aceita vários valores como uma lista separada por vírgulas.

Internet Message ID Opcional

O ID da mensagem de Internet de um e-mail a ser pesquisado.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

Se você fornecer o ID da mensagem da Internet, a ação vai ignorar os parâmetros Subject Filter, Sender Filter e Time Frame (minutes).

Labels Filter Opcional

Uma condição de filtro que especifica os marcadores de e-mail a serem pesquisados.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

O valor padrão é Inbox.

Você pode pesquisar e-mails com marcadores específicos, como label1, label2. Para pesquisar e-mails que não têm o marcador específico, use o seguinte formato: -label1. É possível configurar esse parâmetro para pesquisar e-mails com e sem determinados marcadores em uma string, como label1, -label2, label3.

Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.

Esse filtro usa a lógica contains e exige que você especifique os itens de pesquisa com palavras completas. Esse filtro não aceita correspondências parciais.

Sender Filter Opcional

Uma condição de filtro que especifica o remetente de e-mail a ser pesquisado.

Esse filtro usa a lógica equals.

Time Frame (minutes) Opcional

Uma condição de filtro que especifica o período em minutos para pesquisar e-mails.

O valor padrão é 60 minutos.

Email Status Opcional

Um status do e-mail a ser pesquisado.

Os valores possíveis são:

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

O valor padrão é Both Read & Unread Messages.

Label Obrigatório

Um rótulo para atualizar o e-mail.

Esse parâmetro aceita vários valores como uma lista separada por vírgulas.

Se o rótulo não existir em uma caixa de correio, a ação vai criá-lo.

Saídas de ação

A ação Adicionar marcador de e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Adicionar marcador de e-mail:

[
   {
       "Entity": "email@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "email@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "email@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
Mensagens de saída

A ação Adicionar marcador de e-mail fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully updated labels for emails in the following mailboxes: MAILBOX_LIST

No emails were found based on the provided search criteria in the following mailboxes: MAILBOX_LIST

The following mailboxes were not found: MAILBOX_LIST. Check the spelling.

Update is pending for emails in the following mailboxes: MAILBOX_LIST

A ação foi concluída.
Error executing action "Add Email Label". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar marcador de e-mail:

Nome do resultado do script Valor
is_success True ou False

Excluir e-mails

Use a ação Excluir e-mail para excluir um ou vários e-mails da caixa de correio com base nos critérios de pesquisa fornecidos. Por padrão, essa ação move os e-mails para a lixeira. Você pode configurar a ação para excluir e-mails permanentemente em vez de movê-los para a lixeira.

A ação Excluir e-mail é assíncrona. Ajuste o tempo limite da ação no ambiente de desenvolvimento integrado do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Excluir e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para aguardar uma resposta, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração. Esse parâmetro aceita vários valores como uma string separada por vírgulas.

Labels Filter Opcional

Uma condição de filtro que especifica os marcadores de e-mail a serem pesquisados.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

O valor padrão é Inbox.

Você pode pesquisar e-mails com marcadores específicos, como label1, label2. Para pesquisar e-mails que não têm o marcador específico, use o seguinte formato: -label1. É possível configurar esse parâmetro para pesquisar e-mails com e sem determinados marcadores em uma string, como label1, -label2, label3.

Internet Message ID Opcional

O ID da mensagem de Internet de um e-mail a ser pesquisado.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

Se você fornecer o ID da mensagem da Internet, a ação vai ignorar os parâmetros Subject Filter, Sender Filter, Labels Filter e Time Frame (minutes).

Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.

Esse filtro usa a lógica contains e exige que você especifique os itens de pesquisa com palavras completas. Esse filtro não aceita correspondências parciais.

Sender Filter Opcional

Uma condição de filtro que especifica o remetente de e-mail a ser pesquisado.

Esse filtro usa a lógica equals.

Time Frame (minutes) Opcional

Uma condição de filtro que especifica o período em minutos para pesquisar e-mails.

O valor padrão é 60 minutos.

Email Status Opcional

Um status do e-mail a ser pesquisado.

Os valores possíveis são:

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

O valor padrão é Both Read & Unread Messages.

Move to Trash Opcional

Se selecionada, a ação move os e-mails para a Lixeira e não pesquisa mensagens com o marcador Lixeira, a menos que você configure o parâmetro Labels Filter para incluir o seguinte marcador: Trash. Se não for selecionada, a ação vai executar uma pesquisa em toda a caixa de correio e excluir os e-mails permanentemente.

Essa opção é selecionada por padrão.

Saídas de ação

A ação Excluir e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Excluir e-mail:

{
"mailbox1": [DELETED_MESSAGE_ID_LIST],
"mailbox2": [DELETED_MESSAGE_ID_LIST]
}
Mensagens de saída

A ação Excluir e-mail fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully deleted emails in the following mailboxes: MAILBOX_LIST

No emails to delete based on the provided search criteria in the following mailboxes: MAILBOX_LIST

The following mailboxes were not found: MAILBOX_LIST. Check the spelling.

The action didn't find any emails based on the specified search criteria.

Pending deletion of emails in the following mailboxes: MAILBOX_LIST

A ação foi concluída.
Error executing action "Delete Email". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Excluir e-mail:

Nome do resultado do script Valor
is_success True ou False

Encaminhar e-mail

Use a ação Encaminhar e-mail para encaminhar e-mails, incluindo aqueles com conversas anteriores.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Encaminhar e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para enviar um e-mail, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração.

Internet Message ID Obrigatório

O ID da mensagem de Internet de um e-mail a ser pesquisado.

Send To Obrigatório

Uma string separada por vírgulas de endereços de e-mail para os destinatários da mensagem, como user1@example.com, user2@example.com.

CC Opcional

Uma string separada por vírgulas de endereços de e-mail para os destinatários de cópia carbono (CC), como user1@example.com, user2@example.com.

BCC Opcional

Uma string separada por vírgulas de endereços de e-mail para os destinatários de cópia oculta (BCC), como user1@example.com, user2@example.com.

Subject Obrigatório

O novo assunto de um e-mail a ser encaminhado.

Attachments Paths Opcional

Uma string separada por vírgulas de caminhos para anexos de arquivos armazenados no servidor do Google SecOps.

Mail Content Obrigatório

O corpo do e-mail.

Saídas de ação

A ação Encaminhar e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Encaminhar e-mail:

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "text\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
Mensagens de saída

A ação Encaminhar e-mail fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully forwarded the MESSAGE_ID email. A ação foi concluída.
Error executing action "Forward Email". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Encaminhar e-mail:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação Ping para testar a conectividade com o Gmail.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully connected to the Google Gmail service with the provided connection parameters! A ação foi concluída.
Failed to connect to the Google Gmail service! Error is ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Remover marcador de e-mail

Use a ação Remover marcador de e-mail para remover um marcador do e-mail especificado.

Essa ação é assíncrona. Ajuste o tempo limite da ação no ambiente de desenvolvimento integrado do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Remover marcador de e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para aguardar uma resposta, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração. Esse parâmetro aceita vários valores como uma lista separada por vírgulas.

Internet Message ID Opcional

O ID da mensagem de Internet de um e-mail a ser pesquisado.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

Se você fornecer o ID da mensagem da Internet, a ação vai ignorar os parâmetros Subject Filter, Sender Filter e Time Frame (minutes).

Labels Filter Opcional

Uma condição de filtro que especifica os marcadores de e-mail a serem pesquisados.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

O valor padrão é Inbox.

Você pode pesquisar e-mails com marcadores específicos, como label1, label2. Para pesquisar e-mails que não têm o marcador específico, use o seguinte formato: -label1. É possível configurar esse parâmetro para pesquisar e-mails com e sem determinados marcadores em uma string, como label1, -label2, label3.

Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.

Esse filtro usa a lógica contains e exige que você especifique os itens de pesquisa com palavras completas. Esse filtro não aceita correspondências parciais.

Sender Filter Opcional

Uma condição de filtro que especifica o remetente de e-mail a ser pesquisado.

Esse filtro usa a lógica equals.

Time Frame (minutes) Opcional

Uma condição de filtro que especifica o período em minutos para pesquisar e-mails.

O valor padrão é 60 minutos.

Email Status Opcional

Um status do e-mail a ser pesquisado.

Os valores possíveis são:

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

O valor padrão é Both Read & Unread Messages.

Label Obrigatório

Um marcador a ser removido de um e-mail.

Esse parâmetro aceita vários valores como uma lista separada por vírgulas. Para remover todos os rótulos do e-mail, configure o valor do parâmetro como All.

Saídas de ação

A ação Remover marcador de e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Remover marcador de e-mail:

[
   {
       "Entity": "email@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@mail.gmail.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "email@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "email@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
Mensagens de saída

A ação Remover marcador de e-mail fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully updated labels for EMAIL_NUMBER emails in the MAILBOX_NAME mailbox.

The following labels don't exist in the MAILBOX_NAME mailbox: LABEL_LIST

None of the provided labels exists in the MAILBOX_NAME mailbox.

A ação foi concluída.
Error executing action "Remove Email Label". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Remover marcador de e-mail:

Nome do resultado do script Valor
is_success True ou False

Salvar e-mail no caso

Use a ação Salvar e-mail no caso para salvar e-mails ou anexos de e-mail no mural de casos do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Salvar e-mail no caso exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para aguardar uma resposta, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração.

Internet Message ID Obrigatório

O ID da mensagem de Internet de um e-mail a ser pesquisado.

Save Only Email Attachments Opcional

Se selecionada, a ação salva apenas os anexos do e-mail especificado.

Não selecionada por padrão.

Attachment To Save Opcional

Se você selecionou o parâmetro Save Only Email Attachments, a ação salva apenas os anexos especificados nele.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

Base64 Encode Opcional

Se selecionada, a ação codifica o arquivo de e-mail em formato base64.

Não selecionada por padrão.

Saídas de ação

A ação Salvar e-mail no caso fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Disponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Anexo do Painel de Casos

A ação Salvar e-mail no caso salva e-mails e anexos como evidências de caso no Google SecOps.

A tabela a seguir descreve os arquivos que a ação salva:

Arquivo salvo Nome e formato
E-mail EMAIL_SUBJECT.eml
Email attachment ATTACHMENT_NAME. ATTACHMENT_EXTENSION
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Salvar e-mail no caso:

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "example\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
Mensagens de saída

A ação Salvar e-mail no caso fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully saved the INTERNET_MESSAGE_ID email.

Successfully saved the following attachments from the INTERNET_MESSAGE_ID email: ATTACHMENT_NAMES

The following attachments were not found in the INTERNET_MESSAGE_ID email: ATTACHMENT_NAMES

A ação foi concluída.
Error executing action "Save Email To The Case". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Salvar e-mail no caso:

Nome do resultado do script Valor
is_success True ou False

Pesquisar e-mails

Use a ação Pesquisar e-mails para executar a pesquisa em uma caixa de correio especificada usando os critérios fornecidos.

Essa ação é assíncrona. Ajuste o tempo limite da ação no ambiente de desenvolvimento integrado do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Pesquisar e-mails exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para aguardar uma resposta, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração. Esse parâmetro aceita vários valores como uma lista separada por vírgulas.

Labels Filter Opcional

Uma condição de filtro que especifica os marcadores de e-mail a serem pesquisados.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

O valor padrão é Inbox.

Você pode pesquisar e-mails com marcadores específicos, como label1, label2. Para pesquisar e-mails que não têm o marcador específico, use o seguinte formato: -label1. É possível configurar esse parâmetro para pesquisar e-mails com e sem determinados marcadores em uma string, como label1, -label2, label3.

Internet Message ID Opcional

O ID da mensagem de Internet de um e-mail a ser pesquisado.

Esse parâmetro aceita vários valores como uma string separada por vírgulas.

Se você fornecer o ID da mensagem da Internet, a ação vai ignorar os parâmetros Subject Filter, Sender Filter, Labels Filter, Recipient Filter, Time Frame (minutes) e Email Status.

Subject Filter Opcional

Uma condição de filtro que especifica o assunto do e-mail a ser pesquisado.

Sender Filter Opcional

Uma condição de filtro que especifica o remetente de e-mail a ser pesquisado.

Recipient Filter Opcional

Uma condição de filtro que especifica o destinatário do e-mail a ser pesquisado.

Time Frame (minutes) Opcional

Uma condição de filtro que especifica o período em minutos para pesquisar e-mails.

O valor padrão é 60 minutos.

Email Status Opcional

Um status do e-mail a ser pesquisado.

Os valores possíveis são:

  • Only Unread Messages
  • Only Read Messages
  • Both Read & Unread Messages

O valor padrão é Both Read & Unread Messages.

Headers To Return Opcional

Uma lista separada por vírgulas de cabeçalhos a serem retornados na saída da ação.

A ação sempre retorna os seguintes cabeçalhos: date, from, to, cc, bcc, in-reply-to, reply-to, message-id, e subject.

Se você não fornecer nenhum valor, a ação vai retornar todos os cabeçalhos.

Esse parâmetro não diferencia maiúsculas de minúsculas.

Return Email Body Opcional

Se selecionada, a ação retorna o conteúdo completo do corpo de um e-mail na saída da ação. Se não estiver selecionada, as informações sobre os nomes dos anexos no e-mail não vão estar disponíveis.

Não selecionada por padrão.

Max Emails To Return Opcional

O número máximo de e-mails que a ação pode retornar.

O valor padrão é 50.

Saídas de ação

A ação Pesquisar e-mails fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Disponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela do painel de casos

A ação Pesquisar e-mails fornece a seguinte tabela:

Título da tabela: E-mails encontrados

Colunas:

  • Message_id
  • Data de recebimento
  • Remetente
  • Destinatários
  • Assunto
  • Snippet do corpo do e-mail
  • Nomes dos anexos
  • Opcional: Encontrado na caixa de correio
Resultado JSON

O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Pesquisar e-mails:

[
   {
       "Entity": "email@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "email@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "email@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
Mensagens de saída

A ação Pesquisar e-mails fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully found emails in the following mailboxes: MAILBOX_LIST

No emails found in the following mailboxes: MAILBOX_LIST

Pending search for emails in the following mailboxes: MAILBOX_LIST

The following mailboxes were not found: MAILBOX_LIST. Please check the spelling.

The action was not able to find any emails based on the specified search criteria.

A ação foi concluída.
Error executing action "Search For Emails". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Pesquisar e-mails:

Nome do resultado do script Valor
is_success True ou False

Enviar e-mail

Use a ação Enviar e-mail para enviar um e-mail com base nos parâmetros fornecidos.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Enviar e-mail exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para enviar um e-mail, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração.

Subject Obrigatório

O assunto de um e-mail a ser enviado.

Send To Obrigatório

Uma string separada por vírgulas de endereços de e-mail para os destinatários da mensagem, como user1@example.com, user2@example.com.

CC Opcional

Uma string separada por vírgulas de endereços de e-mail para os destinatários de cópia carbono (CC), como user1@example.com, user2@example.com.

BCC Opcional

Uma string separada por vírgulas de endereços de e-mail para os destinatários de e-mail em cópia oculta (BCC), como user1@example.com, user2@example.com

Attachments Paths Opcional

Uma string separada por vírgulas de caminhos para anexos de arquivos armazenados no servidor do Google SecOps.

Mail Content Obrigatório

O corpo do e-mail.

Reply-To Recipients Opcional

Uma lista separada por vírgulas de destinatários a serem usados no cabeçalho Reply-To.

Use o cabeçalho Responder a para redirecionar e-mails de resposta ao endereço de e-mail específico em vez do endereço do remetente indicado no campo De.

Saídas de ação

A ação Enviar e-mail fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Enviar e-mail:

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "example\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
Mensagens de saída

A ação Enviar e-mail fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Email was sent successfully. A ação foi concluída.
Error executing action "Send Email". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Enviar e-mail:

Nome do resultado do script Valor
is_success True ou False

Enviar resposta na conversa

Use a ação Enviar resposta na conversa para enviar uma mensagem como resposta à conversa por e-mail.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Enviar resposta de conversa exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para aguardar uma resposta, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração.

Internet Message ID Obrigatório

O ID da mensagem de Internet de um e-mail a ser pesquisado.

Reply To Opcional

Uma lista de e-mails separados por vírgulas para enviar a resposta.

Se você não fornecer nenhum valor e a caixa de seleção Reply All estiver desmarcada, a ação vai enviar uma resposta apenas para o remetente do e-mail original. Se você selecionar o parâmetro Reply All, a ação vai ignorá-lo.

Reply All Opcional

Se selecionada, a ação envia uma resposta a todos os destinatários relacionados ao e-mail original.

Esse parâmetro tem prioridade sobre o Reply To.

Não selecionada por padrão.

Attachments Paths Opcional

Uma string separada por vírgulas de caminhos para anexos de arquivos armazenados no servidor do Google SecOps.

Mail Content Obrigatório

O corpo do e-mail.

Saídas de ação

A ação Enviar resposta da conversa fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Enviar resposta da conversa:

{
   "id": "ID",
   "thread_id": "THREAD_ID",
   "label_ids": [
       "CATEGORY_PERSONAL",
       "INBOX"
   ],
   "snippet": "SNIPPET",
   "history_id": "10576",
   "internal_date": 1728217410000,
   "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
   "subject": "SUBJECT",
   "from": "example@example.com",
   "headers": {
       "delivered-to": "email@example.com",
       "received": [
           "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
       ],
       "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
       "x-received": [
           "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
       ],
       "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
       "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
       "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
   },
   "mimetype": "text/plain",
   "text_bodies": [
       "text\r\n"
   ],
   "html_bodies": [],
   "file_attachments": [],
   "date": "Sun, 6 Oct 2024 12:23:30 +0000",
   "to": "email@example.com",
   "cc": null,
   "bcc": null,
   "in-reply-to": null,
   "reply-to": null
}
Mensagens de saída

A ação Enviar resposta da conversa fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully sent a thread reply to the INTERNET_MESSAGE_ID email. A ação foi concluída.
Error executing action "Sent Thread Reply". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Enviar resposta da conversa:

Nome do resultado do script Valor
is_success True ou False

Aguardar resposta da linha de execução

Use a ação Aguardar resposta da linha de execução para esperar a resposta do usuário com base em um e-mail enviado usando a ação Enviar e-mail.

Essa ação é assíncrona. Ajuste o tempo limite da ação no ambiente de desenvolvimento integrado do Google SecOps.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Aguardar resposta da linha de execução exige os seguintes parâmetros:

Parâmetro Descrição
Mailbox Obrigatório

Uma caixa de correio para aguardar uma resposta, como user@example.com.

Por padrão, a ação usa a caixa de correio padrão configurada para a integração. Esse parâmetro aceita vários valores como uma lista separada por vírgulas.

Internet Message ID Obrigatório

O ID da mensagem de Internet de um e-mail para a ação aguardar. Se a mensagem foi enviada usando a ação Enviar e-mail, configure esse parâmetro usando o marcador de posição SendEmail.JSONResult|message_id.

Para recuperar um ID de mensagem da Internet, use a ação Pesquisar e-mails.

Wait for All Recipients to Reply Opcional

Se selecionada, a ação aguarda respostas de todos os destinatários até atingir o tempo limite.

Não selecionada por padrão.

Fetch Response Attachments Opcional

Se selecionada e se a resposta do destinatário contiver anexos, a ação vai recuperar os anexos de e-mail e adicioná-los como um anexo ao mural de casos no Google SecOps.

Não selecionada por padrão.

Saídas de ação

A ação Aguardar resposta da linha de execução fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Aguardar resposta da linha de execução:

[
   {
       "Entity": "reply@example.com",
       "EntityResult": [
           {
               "id": "ID",
               "thread_id": "THREAD_ID",
               "label_ids": [
                   "CATEGORY_PERSONAL",
                   "INBOX"
               ],
               "snippet": "SNIPPET",
               "history_id": "10576",
               "internal_date": 1728217410000,
               "message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
               "subject": "SUBJECT",
               "from": "example@example.com",
               "headers": {
                   "delivered-to": "reply@example.com",
                   "received": [
                       "by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
                   ],
                   "x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
                   "x-received": [
                       "by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
                   ],
                   "arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz         c9xg==",
                   "arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;        h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6         o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E         KpGg==;        dara=google.com",
                   "arc-authentication-results": "i=1; mx.google.com;       dkim=pass header.i=@labilfrom=example@example.com;       dara=pass header.i=@example.com",
               },
               "mimetype": "text/plain",
               "text_bodies": [
                   "text\r\n"
               ],
               "html_bodies": [],
               "file_attachments": [],
               "date": "Sun, 6 Oct 2024 12:23:30 +0000",
               "to": "reply@example.com",
               "cc": null,
               "bcc": null,
               "in-reply-to": null,
               "reply-to": null
           }
       ]
   }
]
Mensagens de saída

A ação Aguardar resposta da linha de execução fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Found replies from the following users: USERS

Waiting for replies from the following users: USERS

A ação foi concluída.
Error executing action "Wait For Thread Reply". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Aguardar resposta da linha de execução:

Nome do resultado do script Valor
is_success True ou False

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).

Conector do Gmail

Use o conector do Gmail para recuperar e-mails de uma caixa de correio especificada.

O conector do Gmail não ingere e-mails com o marcador Programado pelos seguintes motivos:

  • O conector ingere apenas e-mails enviados. O marcador Programado significa que os e-mails são apenas programados, não enviados.
  • O conector exige carimbos de data/hora para recuperar e-mails. Os e-mails programados não têm carimbos de data/hora.

Entradas do conector

O conector do Gmail exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo em que o nome do produto é armazenado.

O valor padrão é device_product.

Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor padrão é event_name.

Environment Field Name Opcional

O nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, ele será definido como "".

Environment Regex Pattern Opcional

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será "".

Email Exclude Pattern Opcional

Uma expressão regular para excluir e-mails específicos da ingestão, como spam ou notícias.

Esse parâmetro funciona com o assunto e o corpo de um e-mail. Por exemplo, para excluir os e-mails de resposta automática da ingestão, configure a seguinte expressão regular: (?i)(auto|no)(\s|-)?re(ply|sponse|sponder).

Script Timeout (Seconds) Obrigatório

O limite de tempo (em segundos) para o processo do Python que executa o script atual.

O valor padrão é de 300 segundos.

Service Account JSON File Content Opcional

O conteúdo do arquivo JSON da chave da conta de serviço.

É possível configurar esse parâmetro ou o Workload Identity Email.

Para configurar esse parâmetro, forneça o conteúdo completo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço.

Workload Identity Email Opcional

O endereço de e-mail do cliente da sua conta de serviço.

É possível configurar esse parâmetro ou o Service Account JSON File Content.

Para representar contas de serviço com cargas de trabalho, conceda o papel Service Account Token Creator à sua conta de serviço do Google SecOps.

Disable Overflow Opcional

Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps durante a criação de alertas.

Não selecionada por padrão.

Default Mailbox Obrigatório

Um endereço de e-mail para usar como caixa de correio padrão da integração, como user@example.com.

Labels Filter Opcional

Os marcadores dos e-mails a serem ingeridos no Google SecOps.

O conector é compatível com rótulos aninhados. Forneça os marcadores em um formato aceito pelo Gmail, como Inbox-label1-label2.

Email Status Opcional

Um status do e-mail a ser pesquisado.

Os valores possíveis são:

  • Both
  • Read
  • Unread
O valor padrão é Both.
Extract Headers Opcional

Valores de cabeçalho a serem filtrados da lista internetMessageHeaders e adicionados a um evento do Google SecOps.

Por padrão, o conector adiciona todos os cabeçalhos ao evento. Para adicionar apenas cabeçalhos específicos, insira-os como uma lista separada por vírgulas, como DKIM-Siganture, Received, From. Para impedir que o conector adicione um cabeçalho, insira o valor None.

Esse parâmetro não diferencia maiúsculas de minúsculas.

Attached Mail File Prefix Opcional

Um prefixo a ser adicionado às chaves de evento extraídas (por exemplo, to, from ou subject) do arquivo de e-mail anexado recebido na caixa de correio monitorada.

O valor padrão é attach.

Original Received Mail Prefix Opcional

Um prefixo a ser adicionado às chaves de evento extraídas (por exemplo, to, from ou subject) do e-mail original recebido na caixa de correio monitorada.

O valor padrão é orig.

Attach Original EML Opcional

Se selecionado, o conector anexa o e-mail original às informações do caso como um arquivo de linguagem de marcação de elementos (EML).

Não selecionada por padrão.

Create Alert Per Attachment File Opcional

Se selecionado, o conector cria vários alertas, um para cada arquivo de e-mail anexado.

Esse comportamento é útil ao processar e-mails com vários arquivos anexados e definir o mapeamento de eventos do Google SecOps para criar entidades com base em arquivos de e-mail anexados.

Não selecionada por padrão.

Max Emails Per Cycle Opcional

O número máximo de e-mails a serem recuperados em cada iteração do conector.

O número máximo é 100. O valor padrão é 10.

Max Hours Backwards Opcional

Um número de horas antes da primeira iteração do conector para recuperar incidentes. Esse parâmetro se aplica à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector.

O valor padrão é 24.

Case Name Template Opcional

Um nome de caso personalizado.

Ao configurar esse parâmetro, o conector adiciona uma nova chave chamada custom_case_name ao evento do Google SecOps.

É possível fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conector usa o primeiro evento do Google SecOps. O conector só processa chaves que contêm o valor de string. Para configurar esse parâmetro, especifique campos de evento sem prefixos.

Alert Name Template Opcional

Um nome de alerta personalizado.

É possível fornecer marcadores de posição no seguinte formato: [name of the field].

Exemplo: Phishing - [event_mailbox].

Para marcadores de posição, o conector usa o primeiro evento SOAR do Google SecOps. O conector só processa chaves que contêm o valor de string. Se você não fornecer um valor ou um modelo inválido, o conector vai usar o nome de alerta padrão. Para configurar esse parâmetro, especifique campos de evento sem prefixos.

Verify SSL Obrigatório

Se selecionada, a integração verifica se o certificado SSL para conexão com o Gmail é válido. Essa opção é selecionada por padrão.

Proxy Server Address Opcional

O endereço do servidor proxy a ser usado.

Proxy Username Opcional

O nome de usuário do proxy para autenticação.

Proxy Password Opcional

A senha do proxy para autenticação.

Regras do conector

O conector do Gmail é compatível com a lista dinâmica.

Para filtrar valores específicos do corpo e do assunto do e-mail, use as expressões regulares da lista dinâmica no seguinte formato: key: regex, como subject: (?<=Subject: ).*. Por exemplo, depois de encontrar uma correspondência para a expressão regular subject: (?<=Subject: ).*, o conector cria um evento de alerta do Google SecOps e adiciona uma nova chave com o nome subject a ele. O novo valor da chave corresponde à expressão regular.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.