Gmail
本文將說明如何整合 Gmail 與 Google Security Operations SOAR。
整合版本:1.0
事前準備
如要使用整合功能,您需要 Google Cloud 服務帳戶。你可以使用現有的服務帳戶,也可以建立新的服務帳戶。此外,您也必須在 Google Cloud 機構中啟用 Gmail API。
建立服務帳戶
如需建立服務帳戶的指引,請參閱「建立服務帳戶」。
如果您使用服務帳戶向 Google Cloud進行驗證,可以建立 JSON 格式的服務帳戶金鑰,並在設定整合參數時提供下載的 JSON 檔案內容。
基於安全性考量,建議您使用工作負載身分電子郵件地址,而非服務帳戶金鑰。如要進一步瞭解工作負載身分,請參閱「工作負載身分」。
將全網域授權委派給服務帳戶
- 在網域的 Google 管理控制台中,依序前往「主選單」「安全性」「存取權與資料控管」「API 控制項」。
- 在「全網域委派」窗格中,選取「管理全網域委派設定」。
- 按一下「新增」。
- 在「用戶端 ID」欄位中,輸入從先前服務帳戶建立步驟取得的用戶端 ID。
在「OAuth 範圍」欄位中,輸入下列以半形逗號分隔的範圍清單,這些範圍是整合作業的必要條件:
"https://mail.google.com/", "https://www.googleapis.com/auth/cloud-platform", "https://www.googleapis.com/auth/admin.directory.user", "https://www.googleapis.com/auth/admin.directory.group.member", "https://www.googleapis.com/auth/admin.directory.customer.readonly", "https://www.googleapis.com/auth/admin.directory.domain.readonly", "https://www.googleapis.com/auth/admin.directory.group", "https://www.googleapis.com/auth/admin.directory.orgunit", "https://www.googleapis.com/auth/admin.directory.user.alias", "https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly", "https://www.googleapis.com/auth/apps.groups.settings"按一下 [授權]。
將 Gmail 與 Google SecOps SOAR 整合
Gmail 整合需要下列參數:
| 參數 | 說明 |
|---|---|
Service Account JSON File Content |
選用 服務帳戶金鑰 JSON 檔案的內容。
您可以設定這個參數或 如要設定這個參數,請提供您在建立服務帳戶時下載的服務帳戶金鑰 JSON 檔案完整內容。 |
Default Mailbox |
必要 整合功能中使用的預設信箱。 |
Workload Identity Email |
選用 工作負載身分識別的用戶端電子郵件地址。 您可以設定這個參數或 如要使用工作負載身分電子郵件地址模擬服務帳戶,請將 |
Verify SSL |
選用 如果選取這個選項,整合服務會驗證連線至 Gmail 的 SSL 憑證是否有效。 系統預設會選取此參數。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您之後可以變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「從工作區回覆待處理動作」和「執行手動動作」。
新增電子郵件標籤
使用「新增電子郵件標籤」動作,為指定電子郵件加上標籤。
這項動作是非同步作業。在 Google SecOps 整合式開發環境 (IDE) 中,相應調整動作逾時時間。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「新增電子郵件標籤」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 等待回覆的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。此參數接受以逗號分隔的多個值。 |
Internet Message ID |
選用 要搜尋的電子郵件網際網路訊息 ID。 此參數接受以逗號分隔資料值的字串。 如果提供網際網路郵件 ID,這項動作會忽略 |
Labels Filter |
選用 篩選條件,用於指定要搜尋的電子郵件標籤。 這個參數接受以逗號分隔的多個值。 預設值為 您可以搜尋加上特定標籤的電子郵件,例如 |
Subject Filter |
選填
篩選條件,指定要搜尋的電子郵件主旨。 這項篩選器使用 |
Sender Filter |
選填
篩選條件,用於指定要搜尋的電子郵件寄件者。 這項篩選器使用 |
Time Frame (minutes) |
選填
篩選條件,指定要搜尋電子郵件的時間範圍 (以分鐘為單位)。 預設值為 60 分鐘。 |
Email Status |
選用 要搜尋的電子郵件狀態。 可能的值如下:
預設值為 |
Label |
必要 要更新電子郵件的標籤。 這個參數接受以半形逗號分隔的多個值。 如果信箱中沒有標籤,這項動作會建立標籤。 |
動作輸出內容
「新增電子郵件標籤」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「新增電子郵件標籤」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "email@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
輸出訊息
「新增電子郵件標籤」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Add Email Label". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「新增電子郵件標籤」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
刪除電子郵件
使用「刪除電子郵件」動作,根據提供的搜尋條件,從信箱中刪除一或多封電子郵件。根據預設,這項操作會將電子郵件移至垃圾桶。您可以設定動作,讓系統永久刪除電子郵件,而不是移至垃圾桶。
「刪除電子郵件」動作是非同步作業。在 Google SecOps IDE 中,視情況調整動作逾時時間。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「刪除電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 等待回覆的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。這個參數接受以逗號分隔的多個值。 |
Labels Filter |
選用 篩選條件,用於指定要搜尋的電子郵件標籤。 這個參數接受以逗號分隔的多個值。 預設值為 您可以搜尋加上特定標籤的電子郵件,例如 |
Internet Message ID |
選用 要搜尋的電子郵件網際網路訊息 ID。 此參數接受以逗號分隔資料值的字串。 如果提供網際網路郵件 ID,這項動作會忽略 |
Subject Filter |
選填
篩選條件,指定要搜尋的電子郵件主旨。 這項篩選器使用 |
Sender Filter |
選填
篩選條件,用於指定要搜尋的電子郵件寄件者。 這項篩選器使用 |
Time Frame (minutes) |
選填
篩選條件,指定要搜尋電子郵件的時間範圍 (以分鐘為單位)。 預設值為 60 分鐘。 |
Email Status |
選用 要搜尋的電子郵件狀態。 可能的值如下:
預設值為 |
Move to Trash |
選用 如果選取這個選項,系統會將電子郵件移至「垃圾桶」,且不會搜尋標示為「垃圾桶」的電子郵件,除非您將 (此為預設選項)。 |
動作輸出內容
「刪除電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「刪除電子郵件」動作時收到的 JSON 結果輸出內容:
{
"mailbox1": [DELETED_MESSAGE_ID_LIST],
"mailbox2": [DELETED_MESSAGE_ID_LIST]
}
輸出訊息
「Delete Email」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Delete Email". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「刪除電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
轉寄電子郵件
使用「轉寄電子郵件」動作轉寄電子郵件,包括含有先前會話串的電子郵件。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「轉寄電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 用來傳送電子郵件的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。 |
Internet Message ID |
必要 要搜尋的電子郵件網際網路訊息 ID。 |
Send To |
必要 以半形逗號分隔的電子郵件地址字串,用於電子郵件收件者,例如 |
CC |
選用 以半形逗號分隔的電子郵件地址字串,適用於副本 (CC) 電子郵件收件者,例如 |
BCC |
選用 以半形逗號分隔的電子郵件地址字串,適用於密件副本 (BCC) 電子郵件收件者,例如 |
Subject |
必要 要轉寄的電子郵件新主旨。 |
Attachments Paths |
選用 以半形逗號分隔的字串,內含儲存在 Google SecOps 伺服器的檔案附件路徑。 |
Mail Content |
必要 電子郵件內文。 |
動作輸出內容
「轉寄電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「轉寄電子郵件」動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
輸出訊息
「轉寄電子郵件」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully forwarded the
MESSAGE_ID email. |
動作成功。 |
Error executing action "Forward Email". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「轉寄電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
乒乓
使用「Ping」動作測試與 Gmail 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the Google Gmail service with the
provided connection parameters! |
動作成功。 |
Failed to connect to the Google Gmail service! Error is
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用 Ping 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
移除電子郵件標籤
使用「移除電子郵件標籤」動作,從指定電子郵件移除標籤。
這項動作是非同步作業。在 Google SecOps IDE 中,視情況調整動作逾時時間。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「移除電子郵件標籤」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 等待回覆的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。此參數接受以逗號分隔的多個值。 |
Internet Message ID |
選用 要搜尋的電子郵件網際網路訊息 ID。 此參數接受以逗號分隔資料值的字串。 如果提供網際網路郵件 ID,這項動作會忽略 |
Labels Filter |
選用 篩選條件,用於指定要搜尋的電子郵件標籤。 這個參數接受以逗號分隔的多個值。 預設值為 您可以搜尋加上特定標籤的電子郵件,例如 |
Subject Filter |
選填
篩選條件,指定要搜尋的電子郵件主旨。 這項篩選器使用 |
Sender Filter |
選填
篩選條件,用於指定要搜尋的電子郵件寄件者。 這項篩選器使用 |
Time Frame (minutes) |
選填
篩選條件,指定要搜尋電子郵件的時間範圍 (以分鐘為單位)。 預設值為 60 分鐘。 |
Email Status |
選用 要搜尋的電子郵件狀態。 可能的值如下:
預設值為 |
Label |
必要 要從電子郵件中移除的標籤。 這個參數接受以半形逗號分隔的多個值。如要從電子郵件中移除所有標籤,請將參數值設為 |
動作輸出內容
「移除電子郵件標籤」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「移除電子郵件標籤」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "email@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@mail.gmail.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
輸出訊息
「移除電子郵件標籤」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Remove Email Label". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「移除電子郵件標籤」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
將電子郵件儲存至案件
使用「Save Email To The Case」(將電子郵件儲存至案件) 動作,將電子郵件或電子郵件附件儲存至 Google SecOps 中的案件牆。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Save Email To The Case」(將電子郵件儲存至案件) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 等待回覆的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。 |
Internet Message ID |
必要 要搜尋的電子郵件網際網路訊息 ID。 |
Save Only Email Attachments |
選用 如果選取這個選項,動作只會儲存指定電子郵件中的附件。 預設為未選取。 |
Attachment To Save |
選用 如果您選取 這個參數接受以逗號分隔的多個值。 |
Base64 Encode |
選用 選取後,這項動作會將電子郵件檔案編碼為 base64 格式。 預設為未選取。 |
動作輸出內容
「Save Email To The Case」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 可用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件總覽附件
「Save Email To The Case」(將電子郵件儲存至案件) 動作會將電子郵件和附件儲存為 Google SecOps 中的案件證據。
下表說明動作儲存的檔案:
| 儲存的檔案 | 名稱和格式 |
|---|---|
| 電子郵件 | EMAIL_SUBJECT.eml
|
Email attachment |
ATTACHMENT_NAME.
ATTACHMENT_EXTENSION |
JSON 結果
以下範例說明使用「Save Email To The Case」(將電子郵件儲存至案件) 動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"example\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
輸出訊息
「Save Email To The Case」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Save Email To The Case". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「Save Email To The Case」(將電子郵件儲存至案件) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
搜尋電子郵件
使用「搜尋電子郵件」動作,根據提供的搜尋條件,在指定信箱中執行電子郵件搜尋。
這項動作是非同步作業。在 Google SecOps IDE 中,視情況調整動作逾時時間。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「搜尋電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 等待回覆的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。此參數接受以逗號分隔的多個值。 |
Labels Filter |
選用 篩選條件,用於指定要搜尋的電子郵件標籤。 這個參數接受以逗號分隔的多個值。 預設值為 您可以搜尋加上特定標籤的電子郵件,例如 |
Internet Message ID |
選用 要搜尋的電子郵件網際網路訊息 ID。 此參數接受以逗號分隔資料值的字串。 如果提供網際網路郵件 ID,這項動作會忽略 |
Subject Filter |
選填
篩選條件,指定要搜尋的電子郵件主旨。 |
Sender Filter |
選填
篩選條件,用於指定要搜尋的電子郵件寄件者。 |
Recipient Filter |
選填
篩選條件,指定要搜尋的電子郵件收件者。 |
Time Frame (minutes) |
選填
篩選條件,指定要搜尋電子郵件的時間範圍 (以分鐘為單位)。 預設值為 60 分鐘。 |
Email Status |
選用 要搜尋的電子郵件狀態。 可能的值如下:
預設值為 |
Headers To Return |
選填
以半形逗號分隔的標頭清單,用於在動作輸出中傳回。 這項動作一律會傳回下列標頭: 如未提供任何值,動作會傳回所有標頭。 這個參數不區分大小寫。 |
Return Email Body |
選用 如果選取這個選項,動作輸出內容會傳回電子郵件的完整內文。如果未選取,系統就不會提供電子郵件中附件名稱的相關資訊。 預設為未選取。 |
Max Emails To Return |
選用 動作傳回的電子郵件數量上限。 預設值為 50。 |
動作輸出內容
「搜尋電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「搜尋電子郵件」動作會提供下表:
表格標題:Found Mails
欄:
- Message_id
- 收到日期
- 寄件者
- 收件者
- Subject
- 電子郵件內文摘要
- 附件名稱
- 選用:在信箱中找到
JSON 結果
以下範例說明使用「搜尋電子郵件」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "email@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
輸出訊息
「搜尋電子郵件」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Search For Emails". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「搜尋電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
傳送電子郵件
使用「傳送電子郵件」動作,根據提供的參數傳送電子郵件。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「傳送電子郵件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 用來傳送電子郵件的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。 |
Subject |
必要 要傳送的電子郵件主旨。 |
Send To |
必要 以半形逗號分隔的電子郵件地址字串,用於電子郵件收件者,例如 |
CC |
選用 以半形逗號分隔的電子郵件地址字串,適用於副本 (CC) 電子郵件收件者,例如 |
BCC |
選用 以半形逗號分隔的電子郵件地址字串,適用於密件副本 (BCC) 電子郵件收件者,例如 |
Attachments Paths |
選用 以半形逗號分隔的字串,內含儲存在 Google SecOps 伺服器的檔案附件路徑。 |
Mail Content |
必要 電子郵件內文。 |
Reply-To Recipients |
選用 以半形逗號分隔的收件者清單,用於「回覆給」標頭。 使用「Reply-To」標頭,將回覆電子郵件重新導向至特定電子郵件地址,而非「From」欄位中顯示的寄件者地址。 |
動作輸出內容
「傳送電子郵件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「傳送電子郵件」動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"example\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
輸出訊息
「傳送電子郵件」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Email was sent successfully. |
動作成功。 |
Error executing action "Send Email". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「傳送電子郵件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
傳送討論串回覆
使用「傳送討論串回覆」動作,將訊息做為電子郵件討論串的回覆傳送。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「傳送回覆給討論串」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mailbox |
必要 等待回覆的信箱,例如 根據預設,這項動作會使用您為整合服務設定的預設信箱。 |
Internet Message ID |
必要 要搜尋的電子郵件網際網路訊息 ID。 |
Reply To |
選填
以半形逗號分隔的電子郵件地址清單,用於傳送回覆。 如未提供任何值,且清除 |
Reply All |
選填
如果選取這項動作,系統會回覆原始電子郵件的所有收件者。 這個參數的優先順序高於 預設為未選取。 |
Attachments Paths |
選用 以半形逗號分隔的字串,內含儲存在 Google SecOps 伺服器的檔案附件路徑。 |
Mail Content |
必要 電子郵件內文。 |
動作輸出內容
「傳送討論串回覆」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「傳送討論串回覆」動作時收到的 JSON 結果輸出內容:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
輸出訊息
「傳送討論串回覆」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully sent a thread reply to the
INTERNET_MESSAGE_ID email.
|
動作成功。 |
Error executing action "Sent Thread Reply". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「傳送討論串回覆」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
Wait For Thread Reply
使用「等待回覆郵件串」動作,根據使用「傳送電子郵件」動作傳送的電子郵件,等待使用者回覆。
這項動作是非同步作業。在 Google SecOps IDE 中,視情況調整動作逾時時間。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「等待回覆討論串」動作需要下列參數:
動作輸出內容
「等待回覆討論串」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「等待回覆討論串」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "reply@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "reply@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "reply@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
輸出訊息
「Wait For Thread Reply」(等待討論串回覆) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Wait For Thread Reply". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「等待執行緒回覆」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱「擷取資料 (連接器)」。
Gmail 連接器
使用 Gmail 連接器從指定信箱擷取 Gmail 電子郵件。
Gmail 連接器不會擷取標示為「已排定」的電子郵件,原因如下:
- 連接器只會擷取已傳送的電子郵件。「已排定傳送時間」標籤表示郵件只是排定傳送時間,尚未傳送。
- 連接器需要時間戳記才能擷取電子郵件。已排定傳送時間的電子郵件沒有時間戳記。
連接器輸入內容
Gmail 連接器需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必要 儲存產品名稱的欄位名稱。 預設值為 |
Event Field Name |
必要 用於判斷事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填
儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境會設為 |
Environment Regex Pattern |
選填
要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 |
Email Exclude Pattern |
選用 用於排除特定電子郵件 (例如垃圾郵件或新聞) 的規則運算式。 這個參數適用於電子郵件的主旨和內文。舉例來說,如要排除自動回覆電子郵件,請設定下列規則運算式:
|
Script Timeout (Seconds) |
必要 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 300 秒。 |
Service Account JSON File Content |
選用 服務帳戶金鑰 JSON 檔案的內容。 您可以設定這個參數或 如要設定這個參數,請提供您在建立服務帳戶時下載的服務帳戶金鑰 JSON 檔案完整內容。 |
Workload Identity Email |
選用 服務帳戶的用戶端電子郵件地址。 您可以設定這個參數或 如要使用工作負載模擬服務帳戶,請將 |
Disable Overflow |
選用 如果選取這個選項,連接器會在建立快訊時忽略 Google SecOps 溢位機制。 預設為未選取。 |
Default Mailbox |
必要 用來做為整合預設信箱的電子郵件地址,例如 |
Labels Filter |
選用 要擷取至 Google SecOps 的電子郵件標籤。 連接器支援巢狀標籤。
請以 Gmail 可接受的格式提供標籤,例如:
|
Email Status |
選用 要搜尋的電子郵件狀態。 可能的值如下:
Both。 |
Extract Headers |
選用 從 根據預設,連接器會將所有標頭新增至事件。如要只新增特定標頭,請以半形逗號分隔列出,例如 這個參數不區分大小寫。 |
Attached Mail File Prefix |
選用 要新增至從監控信箱收到的電子郵件附件檔案中擷取事件鍵的前置字元 (例如 預設值為 |
Original Received Mail Prefix |
選用 要加到從監控信箱收到的原始電子郵件中擷取事件鍵的前置字元 (例如 預設值為 |
Attach Original EML |
選用 如果選取這個選項,連接器會將原始電子郵件附加至案件資訊,做為 Elements 標記語言 (EML) 檔案。 預設為未選取。 |
Create Alert Per Attachment File
|
選用 如果選取這個選項,連接器會建立多個快訊,每個附加的電子郵件檔案都會有一個快訊。 如果您處理的電子郵件附有多個電子郵件檔案,並將 Google SecOps 事件對應設定為從附加的電子郵件檔案建立實體,這項行為就非常實用。 預設為未選取。 |
Max Emails Per Cycle |
選用 每次連接器疊代作業可擷取的電子郵件數量上限。 最多可輸入 100 個。預設值為 10。 |
Max Hours Backwards |
選用 第一個連接器疊代前的小時數,用來擷取事件。這個參數適用於首次啟用連接器後,或連接器時間戳記過期後的初始連接器疊代。 預設值為 24。 |
Case Name Template |
選用 自訂案件名稱。 設定這個參數時,連接器會在 Google SecOps 事件中新增名為 您可以提供下列格式的預留位置:
範例: 對於預留位置,連接器會使用第一個 Google SecOps 事件。連接器只會處理含有字串值的鍵。如要設定這項參數,請指定不含前置字元的事件欄位。 |
Alert Name Template |
選用 自訂快訊名稱。 您可以提供下列格式的預留位置:
範例: 對於預留位置,連接器會使用第一個 Google SecOps SOAR 事件。連接器只會處理含有字串值的鍵。如果您未提供值或提供無效範本,連接器會使用預設快訊名稱。如要設定這項參數,請指定不含前置字元的事件欄位。 |
Verify SSL |
必要 如果選取這個選項,整合服務會驗證連線至 Gmail 的 SSL 憑證是否有效。(此為預設選項)。 |
Proxy Server Address |
選用 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選用 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選用 用於驗證的 Proxy 密碼。 |
連接器規則
Gmail 連接器支援動態清單。
如要從電子郵件內文和主旨篩選特定值,請使用下列格式的動態清單規則運算式:key: regex,例如 subject: (?<=Subject: ).*。舉例來說,在找到 subject: (?<=Subject: ).* 規則運算式的相符項目後,連接器會建立 Google SecOps 快訊事件,並在其中新增名稱為 subject 的鍵。新鍵值符合規則運算式。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。