Microsoft Graph Mail Delegated

本文說明如何將 Microsoft Graph Mail Delegated 與 Google Security Operations (Google SecOps) 整合。

事前準備

在 Google SecOps 中設定 Microsoft Graph Mail Delegated 整合功能之前,請先完成下列步驟:

  1. 建立 Microsoft Entra 應用程式

  2. 設定應用程式的 API 權限

  3. 建立用戶端密碼

  4. 產生更新權杖

建立 Microsoft Entra 應用程式

如要建立 Microsoft Entra 應用程式,請完成下列步驟:

  1. 以使用者管理員或密碼管理員身分登入 Azure 入口網站

  2. 選取「Microsoft Entra ID」

  3. 依序前往「App registrations」>「New registration」

  4. 輸入應用程式名稱。

  5. 選取適用的支援帳戶類型。

  6. 使用下列值設定重新導向 URI:

    1. 平台:Web

    2. 重新導向網址:http://localhost

  7. 按一下「註冊」

  8. 儲存「Application (client) ID」和「Directory (tenant) ID」值,以設定整合參數

設定 API 權限

如要設定整合的 API 權限,請完成下列步驟:

  1. 在 Azure 入口網站中,依序前往「API 權限」>「新增權限」

  2. 依序選取「Microsoft Graph」>「應用程式權限」

  3. 在「選取權限」部分,選取下列必要權限:

    • Mail.Read
    • Mail.ReadWrite
    • Mail.Send
    • User.Read
    • Directory.Read.All

  4. 按一下「Add permissions」。

  5. 按一下「Grant admin consent for ORGANIZATION_NAME」。

    畫面出現「授予管理員同意聲明確認」對話方塊時,按一下「是」

建立用戶端密鑰

如要建立用戶端密鑰,請完成下列步驟:

  1. 依序前往「Certificates and secrets」(憑證和密鑰) >「New client secret」(新增用戶端密鑰)。

  2. 提供用戶端密鑰的說明,並設定到期期限。

  3. 按一下「新增」

  4. 儲存用戶端密鑰的值 (而非密鑰 ID),在設定整合時做為「用戶端密鑰值」參數值。用戶端密鑰值只會顯示一次。

產生更新權杖

如要產生重新整理權杖,請完成下列步驟:

  1. 設定整合參數 (Refresh Token 參數除外),然後儲存。

  2. 選用:在 Google SecOps 中模擬案件

  3. 執行「取得授權」動作。

  4. 執行「Generate Token」動作。

  5. 設定 Refresh Token 參數。

選用:模擬案件

如要產生重新整理權杖,請對任何案件執行手動操作。 如果 Google SecOps 執行個體是新建立的,且沒有現有案件,請模擬案件。

如要在 Google SecOps 中模擬案件,請按照下列步驟操作:

  1. 在左側導覽面板中,選取「案件」

  2. 在「案件」頁面中,依序點選「新增」「新增案件」>「模擬案件」

  3. 選取任一預設案例,然後按一下「建立」。無論選擇模擬哪個案例都沒關係。

  4. 按一下「模擬」

    如果您有預設以外的環境,且想使用該環境,請選取正確的環境,然後按一下「模擬」

  5. 在「案件」分頁中,按一下「重新整理」。模擬的案件會顯示在案件清單中。

執行「取得授權」動作

如要手動執行「取得授權」動作,請完成下列步驟:

  1. 在「案件」分頁中,選取任一案件或使用模擬案件,開啟「案件檢視」

  2. 在「案件檢視畫面」中,按一下 「手動操作」

  3. 在手動動作「Search」(搜尋) 欄位中,輸入 Microsoft Graph Mail Delegated

  4. 在 Microsoft Graph Mail Delegated 整合服務下方的結果中,選取「取得授權」。 這項動作會傳回授權連結,用於以互動方式登入 Microsoft Entra 應用程式。

  5. 按一下 [Execute] (執行)

  6. 執行動作後,請前往案件的「案件總覽」。在「Microsoft Graph Mail Delegated_Get Authorization」動作記錄中,按一下「View More」。複製授權連結。

  7. 以無痕模式開啟新的瀏覽器視窗,然後貼上產生的授權網址。系統會開啟 Azure 登入頁面。

  8. 使用整合時所用的使用者憑證登入。登入後,瀏覽器會將您重新導向至網址列中含有程式碼的網址。

    瀏覽器應該會顯示錯誤,因為應用程式會將您重新導向至 http://localhost

  9. 從網址列複製含有存取代碼的完整網址。

執行「產生權杖」動作

如要手動執行「Generate Token」(產生權杖) 動作,請完成下列步驟:

  1. 在「案件」分頁中,選取任一案件或使用模擬案件,開啟「案件檢視」

  2. 在「案件檢視畫面」分頁中,按一下 「手動動作」

  3. 在手動動作「Search」(搜尋) 欄位中,輸入 Microsoft Graph Mail Delegated

  4. 在 Microsoft Graph Mail Delegated 整合服務下方的結果中,選取「產生權杖」

  5. Authorization URL 欄位中,貼上您執行「取得驗證」動作後複製的完整網址和存取代碼。

  6. 按一下 [Execute] (執行)

  7. 執行動作後,請前往案件的「案件總覽」。在「Microsoft Graph Mail Delegated_Generate Token」動作記錄中,按一下「查看更多」

  8. 複製產生的完整更新權杖值。

設定「Refresh Token」參數

  1. 前往 Microsoft Graph Mail 委派整合的設定對話方塊。

  2. 在「Refresh Token」欄位中,輸入您在「Generate Token」動作中取得的重新整理權杖值。

  3. 按一下 [儲存]

  4. 按一下「測試」,測試設定是否正確,以及整合功能是否正常運作。

整合參數

Microsoft Graph Mail Delegated 整合需要下列參數:
參數 說明
Microsoft Entra ID Endpoint

必填。

整合時要使用的 Microsoft Entra ID 端點。

不同房客類型的價值可能不同。

預設值為 https://login.microsoftonline.com
Microsoft Graph Endpoint

必填。

整合中使用的 Microsoft Graph 端點。

不同房客類型的價值可能不同。

預設值為 https://graph.microsoft.com
Client ID

必填。

要在整合中使用的 Microsoft Entra 應用程式用戶端 (應用程式) ID。
Client Secret Value

必填。

要在整合中使用的 Microsoft Entra 應用程式用戶端密鑰值。
Microsoft Entra ID Directory ID

必填。

Microsoft Entra ID (租戶 ID) 值。
User Mailbox

必填。

整合功能中要使用的信箱。
Refresh Token

必填。

用於驗證的更新權杖。
Redirect URL

必填。

建立 Microsoft Entra ID 應用程式時設定的重新導向網址。

預設值為 http://localhost
Mail Field Source

必填。

如果選取這個選項,整合服務會從使用者詳細資料 mail 屬性擷取信箱地址。如未選取,整合服務會從 userPrincipalName 欄位擷取信箱地址。

(此為預設選項)。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 Microsoft Graph 時驗證 SSL 憑證。

(此為預設選項)。
Base64 Encoded Private Key

選填。

指定要用來解密電子郵件的 Base64 編碼私密金鑰。
Base64 Encoded Certificate

選填。

指定要用來解密電子郵件的 Base64 編碼憑證。
Base64 Encoded CA certificate

選填。

指定用於驗證簽章的 Base64 編碼信任 CA 憑證。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

設定動作前,請先提供整合所需的權限。詳情請參閱本文的「設定 API 權限」一節。

刪除電子郵件

您可以使用「刪除電子郵件」動作,從信箱中刪除一或多封電子郵件。這項操作會根據搜尋條件刪除電子郵件,只要具備適當權限,刪除電子郵件動作就能將電子郵件移至其他信箱。

這項動作是非同步作業。視需要調整 Google SecOps 整合開發環境 (IDE) 中的動作逾時。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「刪除電子郵件」動作需要下列參數:

參數 說明
Delete In Mailbox

必填。

執行刪除作業的預設信箱。如果權限允許,這項動作也可以在其他信箱中搜尋。 此參數接受以逗號分隔資料值的字串。
Folder Name

必填。

要搜尋電子郵件的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Mail IDs

選填。

篩選條件,用於搜尋含有特定電子郵件 ID 的電子郵件。

這個參數接受以半形逗號分隔的電子郵件 ID 清單,供系統搜尋。

如果提供這個參數,搜尋作業會忽略 Subject FilterSender Filter 參數。
Subject Filter

選填。

指定要搜尋的電子郵件主旨的篩選條件。
Sender Filter

選填。

篩選條件,指定要求電子郵件的寄件者。
Timeframe (Minutes)

選填。

篩選條件,指定要搜尋電子郵件的時間範圍 (以分鐘為單位)。
Only Unread

選填。

選取後,系統只會搜尋未讀的電子郵件。

預設為未選取。
How many mailboxes to process in a single batch

選填。

單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 25

動作輸出內容

下表說明與「刪除電子郵件」動作相關的輸出類型:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Delete Email」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Successfully deleted emails in the following mailboxes: MAILBOX_NAME: DELETED_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 動作成功。

Action was not able to find any emails based on the specified search criteria.

Action failed to delete any emails because the provided mailbox folder name was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「刪除電子郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

下載電子郵件附件

使用「Download Attachments From Email」(從電子郵件下載附件) 動作,根據提供的條件從電子郵件下載附件。

這項操作不會在 Google SecOps 實體上執行。

這項動作是非同步作業。如有需要,請在 Google SecOps IDE 中調整指令碼逾時值。

這項動作會取代 \` forward slash or/backslash characters in the names of the downloaded attachments with the_` 底線字元。

動作輸入內容

「從電子郵件下載附件」動作需要下列參數:

參數 說明
Search In Mailbox

必填。

執行搜尋作業的預設信箱。 如果權限允許,這項動作也可以在其他信箱中搜尋。 此參數接受以逗號分隔資料值的字串。
Folder Name

必填。

要執行搜尋的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Download Destination

必填。

儲存下載附件的儲存空間類型。

根據預設,這項動作會嘗試將附件儲存至 Cloud Storage bucket。將附件儲存至本機檔案系統是備用選項。

可能的值為 GCP BucketLocal File System。預設值為 GCP Bucket
Download Path

必填。

下載附件的路徑。

將附件儲存至 Cloud Storage 值區或本機檔案系統時,這項動作會要求您以類似 Unix 的格式指定下載路徑,例如 /tmp/test
Mail IDs

選填。

篩選條件,用於搜尋含有特定電子郵件 ID 的電子郵件。

這個參數接受以半形逗號分隔的電子郵件 ID 清單,供系統搜尋。

如果提供這個參數,搜尋作業會忽略 Subject FilterSender Filter 參數。
Subject Filter

選填。

篩選條件,指定要搜尋的電子郵件主旨。

這項篩選器使用 contains 邏輯。
Sender Filter

選填。

篩選條件,指定要求電子郵件的寄件者。

這項篩選器使用 equals 邏輯。
Download Attachments From EML

選填。

如果選取這個選項,系統會從 EML 檔案下載附件。

預設為未選取。
Download attachments to unique path?

選填。

如果選取這個選項,動作會將附件下載至 Download Path 參數欄位中提供的專屬路徑,避免覆寫先前下載的附件。

預設為未選取。
How many mailboxes to process in a single batch

選填。

單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 25

動作輸出內容

「從電子郵件下載附件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例說明使用「Download Attachments From Email」(從電子郵件下載附件) 動作時收到的 JSON 結果輸出內容:

[
    {
        "attachment_name": "name1.png",
        "downloaded_path": "file_path/name1.png"
    },
    {
        "attachment_name": "name2.png",
        "downloaded_path": "file_path/name2.png"
    }
]
輸出訊息

「Download Attachments From Email」(從電子郵件下載附件) 動作會提供下列輸出訊息:

輸出訊息 訊息說明

Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: PATHS.

Failed to find emails in MAILBOX with the following mail ids: EMAIL_IDS.

In the mailboxes listed below, emails were found, but there were no attachments to download. Affected mailboxes: MAILBOXES. Mail IDs without attachments to download: LIST_OF_EMAIL_IDS attachments.

 動作成功。

Failed to find any emails using the provided criteria!

Failed to find any of the provided mailboxes: MAILBOXES

Action failed to run because the provided mailbox folder name FOLDER_NAME was not found in the mailbox MAILBOX

Error executing action. Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「Download Attachments From Email」(從電子郵件下載附件) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

從附加的 EML 檔案擷取資料

使用「從附加的 EML 檔案擷取資料」動作,從電子郵件 EML 附件擷取資料,並在動作結果中傳回。這項動作支援 .eml.msg.ics 檔案格式。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「從附加的 EML 檔案中擷取資料」動作需要下列參數:

參數 說明
Search In Mailbox

必填。

執行搜尋作業的預設信箱。 如果權限允許,這項動作也可以在其他信箱中搜尋。 此參數接受以逗號分隔資料值的字串。
Folder Name

選填。

要執行搜尋的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Mail IDs

必填。

篩選條件,用於搜尋含有特定電子郵件 ID 的電子郵件。

這個參數接受以半形逗號分隔的電子郵件 ID 清單,供系統搜尋。
Regex Map JSON

選填。

JSON 定義,內含要套用至附加電子郵件檔案的規則運算式,並在動作 JSON 結果中產生額外的鍵值。這個參數值的範例如下:

{ips: \\b\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\b}

動作輸出內容

「從附加 EML 檔案擷取資料」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例說明使用「從附加的 EML 檔案擷取資料」動作時收到的 JSON 結果輸出內容:

[
    {
        "type": "EML",
        "subject": "examplesubject",
        "from": "sender@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>example-html</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.eml"
    },
    {
        "type": "MSG",
        "subject": "examplesubject",
        "from": "user@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>examplehtml</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.msg"
    },
    {
        "type": "ICS",
        "subject": "examplesubject",
        "from": "sender@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>example-html</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.ics"
    }
]
輸出訊息

「從附加的 EML 檔案擷取資料」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Extracted data from ATTACHMENT_NAMES attached email files. Files: PATHS

Failed to find emails in MAILBOX with the following mail ids: MAIL_ID_LIST

 動作成功。

Failed to find any emails using the provided criteria!

Failed to find any of the provided mailboxes: MAILBOX_LIST

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「從附加的 EML 檔案擷取資料」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

轉寄電子郵件

使用「轉寄電子郵件」動作轉寄包含先前討論串的電子郵件。 只要具備適當權限,這項動作就能從整合設定中指定的信箱以外的信箱傳送電子郵件。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「轉寄電子郵件」動作需要下列參數:

參數 說明
Send From

必填。

可選填用來傳送電子郵件的電子郵件地址 (如果權限允許)。

依預設,電子郵件會從整合設定中指定的預設信箱傳送。
Folder Name

選填。

要搜尋電子郵件的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Mail ID

必填。

要轉寄的電子郵件 ID。
Subject

必填。

電子郵件主旨。
Send to

必填。

以半形逗號分隔的電子郵件地址清單,例如 user1@example.com, user2@example.com
CC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件副本欄位。

格式與 Send to 參數相同。
BCC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件的密件副本欄位。

格式與 Send to 參數相同。
Attachments Paths

選填。

以半形逗號分隔的伺服器檔案附件路徑清單,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg
Mail content

必填。

電子郵件內文。

動作輸出內容

下表說明與「轉寄電子郵件」動作相關的輸出類型:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「轉寄電子郵件」動作會提供下列輸出訊息:

輸出訊息 訊息說明
Email with message ID MAIL_ID was forwarded successfully. 動作成功。

Error executing action "Forward Email" because the provided mail id EMAIL_ID was not found.

Action failed to delete any emails because the provided mailbox folder name was not found in the mailbox(es): MAILBOX: MAILBOX_FOLDER

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「轉寄電子郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

產生權杖

使用「產生權杖」動作,取得整合設定的更新權杖,並委派驗證。使用您在「取得授權」動作中收到的授權網址。

這項操作不會在 Google SecOps 實體上執行。

首次產生更新權杖後,建議您設定並啟用「更新權杖續訂工作」,讓這項工作自動續訂並維持更新權杖的效期。

動作輸入內容

「產生權杖」動作需要下列參數:

參數 說明
Authorization URL

這是必要旗標,您在「取得授權」動作中收到的授權網址。要求重新整理權杖時,必須提供網址。

動作輸出內容

「產生權杖」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「產生權杖」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully fetched the refresh token: TOKEN_VALUE. Enter this token in the integration configuration to authenticate with delegated permissions on behalf of the user that performed the configuration steps. We recommend you to configure a Refresh Token Renewal Job after you generate the initial refresh token so the job automatically renews and keeps the token valid.

 動作成功。

Failed to generate a token because the authorization URL that you provided is incorrect. The "code" parameter is missing. Make sure to copy the whole URL properly.

Failed to get the refresh token! Error is ERROR_REASON

Failed to connect to the Microsoft Graph Mail service! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「產生權杖」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

可取得授權作業

使用「取得授權」動作取得連結,其中包含委派驗證的存取碼。複製整個連結,並在「產生權杖」動作中使用,即可取得更新權杖。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「取得授權」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「取得授權」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
Authorization URL generated successfully. To obtain a URL with access code, go to the link below as the user that you configured for the integration. Provide the URL with the access code in the Generate Token action. 動作成功。

Failed to generate the authorization URL! Error is ERROR_REASON

Failed to connect to the Microsoft Graph Mail service! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得授權」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

Get Mailbox Account Out Of Facility Settings

使用「Get Mailbox Account Out Of Facility Settings」(從設施設定中取得信箱帳戶) 動作,從提供的 Google SecOps User 實體中擷取信箱帳戶不在辦公室 (OOF) 設定。

「Get Mailbox Account Out Of Facility Settings」(從設施設定中取得信箱帳戶) 動作會使用 Microsoft Graph API 的 Beta 版。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「Get Mailbox Account Out Of Facility Settings」(從設施設定中取得信箱帳戶) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Get Mailbox Account Out Of Facility Settings」(從設施設定中取得信箱帳戶) 動作時收到的 JSON 結果輸出內容:

{
   "@odata.context": "https://graph.microsoft.com/beta/$metadata#communications/presences/$entity",
   "id": "ID",
   "availability": "Offline",
   "activity": "Offline",
   "statusMessage": null,
   "outOfOfficeSettings": {
       "message": "\n\nOut Of Facility111\n",
       "isOutOfOffice": true
   }
}
輸出訊息

「Get Mailbox Account Out Of Facility Settings」(將信箱帳戶移出設施設定) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned OOF settings for ENTITY_ID.

Failed to find the following usernames in Office 365 service: USERNAME_LIST.

 動作成功。

Error executing action "Add Identity Protection Detection Comment". Reason: ERROR_REASON

Action wasn't able to find OOF settings for ENTITY_ID.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Get Mailbox Account Out Of Facility Settings」(從設施設定取得信箱帳戶) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

將電子郵件標示為垃圾郵件

使用「將電子郵件標示為垃圾郵件」動作,將指定信箱中的電子郵件標示為垃圾郵件。此動作會將電子郵件寄件者加入封鎖的寄件者清單,並將郵件移至「垃圾郵件」資料夾。

「將電子郵件標示為垃圾郵件」動作會使用 Microsoft Graph API 的 Beta 版。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將電子郵件標示為垃圾郵件」動作需要下列參數:

參數 說明
Search In Mailbox

必填。

要搜尋電子郵件的信箱。

根據預設,這項動作會嘗試在整合設定中指定的預設信箱中搜尋電子郵件。如要在其他信箱中執行搜尋,請為該動作設定適當的權限。

此參數接受以逗號分隔的多個值。
Folder Name

必填。

要搜尋電子郵件的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder

預設值為 Inbox
Mail IDs

必填。

要標示為垃圾郵件的郵件 ID 或 internetMessageId 值。

這個參數接受以逗號分隔的多個值。

動作輸出內容

「將電子郵件標示為垃圾郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將郵件標示為垃圾郵件」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully marked the email as junk.

Failed to find email with ID ID in MAILBOX.

Mailbox MAILBOX was not found.

 動作成功。

Error executing action "Mark Email as Junk". Reason: ERROR_REASON

Failed to find any emails based on provided parameters!

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「將電子郵件標示為垃圾郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

將電子郵件標示為非垃圾郵件

使用「將電子郵件標示為非垃圾郵件」動作,將特定信箱中的電子郵件標示為非垃圾郵件。這項操作會將寄件者從封鎖寄件者清單中移除,並將郵件移至「收件匣」資料夾。

「將電子郵件標示為非垃圾郵件」動作會使用 Microsoft Graph API 的 Beta 版。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「將電子郵件標示為非垃圾郵件」動作需要下列參數:

參數 說明
Search In Mailbox

必填。

要搜尋電子郵件的信箱。

根據預設,這項動作會嘗試在整合設定中指定的預設信箱中搜尋電子郵件。如要在其他信箱中執行搜尋,請為該動作設定適當的權限。

此參數接受以逗號分隔的多個值。
Folder Name

必填。

要搜尋電子郵件的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Mail IDs

必填。

要標示為垃圾郵件的郵件 ID 或 internetMessageId 值。

此參數接受以逗號分隔的多個值。

動作輸出內容

「將郵件標示為非垃圾郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將電子郵件標示為非垃圾郵件」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully marked the email as not junk.

Failed to find email with ID ID in MAILBOX.

Mailbox MAILBOX was not found.

 動作成功。

Error executing action "Mark Email as Not Junk". Reason: ERROR_REASON

Failed to find any emails based on provided parameters!

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「將電子郵件標示為非垃圾郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

將電子郵件移至資料夾

使用「Move Email To Folder」動作,將一或多封電子郵件從來源電子郵件資料夾移至信箱中的其他資料夾。只要具備適當的權限,這項操作就能將電子郵件移至其他信箱,而非整合設定中提供的信箱。

這項動作是非同步作業。視需要調整 Google SecOps 整合式開發環境 (IDE) 中的動作逾時。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

如要設定「將電子郵件移至資料夾」動作,請使用下列參數:

參數 說明
Move In Mailbox

必填。

執行移動作業的預設信箱。 如果權限允許,這項動作也可以在其他信箱中搜尋。這個參數接受以逗號分隔的多個值。
Source Folder Name

必填。

要從哪個來源資料夾移動電子郵件。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Destination Folder Name

必填。

要將電子郵件移至的目標資料夾。

請以 Inbox/folder_name/subfolder_name 的格式提供參數值。這項參數不區分大小寫。
Mail IDs

選填。

篩選條件,用於搜尋含有特定電子郵件 ID 的電子郵件。

這個參數接受以半形逗號分隔的電子郵件 ID 清單,供系統搜尋。

如果提供這個參數,搜尋作業會忽略 Subject FilterSender Filter 參數。
Subject Filter

選填。

篩選條件,指定要搜尋的電子郵件主旨。

這項篩選器使用 contains 邏輯。
Sender Filter

選填。

篩選條件,指定要求電子郵件的寄件者。

這項篩選器使用 equals 邏輯。
Timeframe (Minutes)

選填。

篩選條件,指定要搜尋電子郵件的時間範圍 (以分鐘為單位)。
Only Unread

選填。

選取後,系統只會搜尋未讀的電子郵件。

預設為未選取。
How many mailboxes to process in a single batch

選填。

單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 25

動作輸出內容

下表說明與「將電子郵件移至資料夾」動作相關的輸出類型:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將電子郵件移至資料夾」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Successfully moved emails in the following mailboxes: MAILBOX: MOVED_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 動作成功。

Action was not able to find any emails based on the specified search criteria.

Action failed to move any emails because the provided source folder was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Action failed to move any emails because the provided destination folder was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「將電子郵件移至資料夾」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

乒乓

使用「Ping」動作測試與 Microsoft Graph 郵件服務的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

下表說明與「Ping」動作相關的輸出類型:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Ping」動作會提供下列輸出訊息:

輸出訊息 訊息說明
Successfully connected to the Microsoft Graph mail service with the provided connection parameters! 動作成功。
Failed to connect to the Microsoft Graph mail service! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用 Ping 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

執行 Microsoft 搜尋查詢

使用「執行 Microsoft 搜尋查詢」動作,透過 Microsoft 搜尋引擎執行搜尋。搜尋時會使用您指定的建構基本或進階查詢。如要進一步瞭解 Microsoft 搜尋,請參閱「Microsoft Graph 中的 Microsoft Search API 總覽」。

視實體範圍而定,「執行 Microsoft 搜尋查詢」動作可能需要您設定其他權限。如要進一步瞭解特定實體類型所需的權限,請參閱「使用 Microsoft Search API 查詢資料」。如要進一步瞭解如何設定整合的權限,請參閱「設定 API 權限」。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「執行 Microsoft 搜尋查詢」動作需要下列參數:

參數 說明
Entity Types To Search

選填。

以半形逗號分隔的清單,列出搜尋回應中預期的資源類型。

可能的值如下:

  • acronym
  • bookmark
  • chatMessage
  • drive
  • driveItem
  • event
  • externalItem
  • list
  • listItem
  • message
  • person
  • site
Fields To Return

選填。

搜尋回應中要傳回的欄位。如未設定這個參數,動作會傳回所有可用欄位。
Search Query

選填。

執行搜尋作業的查詢。如要進一步瞭解搜尋查詢範例,請參閱「使用 Microsoft Search API 搜尋 Outlook 郵件」。
Max Rows To Return

選填。

動作傳回的列數上限。 如未設定此參數,動作會使用預設值。

預設值為 25
Advanced Query

選填。

完整搜尋酬載,可取代使用其他動作參數建構搜尋查詢。將搜尋酬載格式設為 JSON 字串。如果設定這個參數,動作會忽略所有其他參數。

動作輸出內容

「執行 Microsoft 搜尋查詢」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「執行 Microsoft 搜尋查詢」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved results for the provided search query.

No results found for the provided query.

 動作成功。

Failed to construct a search query based on the provided parameters. Please check, if you specified all parameters properly.

Failed to run the search because the API doesn't support the provided combination of entities. See Microsoft documentation for supported entity combinations - URL. The error is ERROR_REASON

Failed to run the search as the provided advanced search query is invalid! Error is ERROR_REASON

Failed to connect to the Microsoft Graph Mail service! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「執行 Microsoft 搜尋查詢」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

將電子郵件儲存至案件

使用「Save Email To The Case」(將電子郵件儲存至案件) 動作,將電子郵件或電子郵件附件儲存至 Google SecOps 案件牆。只要具備適當權限,這項動作就能儲存來自其他信箱的電子郵件,不限於整合設定中提供的信箱。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Save Email To The Case」(將電子郵件儲存至案件) 動作需要下列參數:

參數 說明
Search In Mailbox

必填。

執行搜尋作業的預設信箱。 如果權限允許,這項動作也可以在其他信箱中搜尋。
Folder Name

選填。

要搜尋電子郵件的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Mail ID

必填。

以半形逗號分隔的電子郵件 ID 清單,用於搜尋。

如果您使用「傳送電子郵件」動作傳送電子郵件,請將參數值設為 {SendEmail.JSONResult|id}{SendEmail.JSONResult|internetMessageId} 預留位置。
Save Only Email Attachments

選填。

如果選取這個選項,動作只會儲存指定電子郵件中的附件。

預設為未選取。
Attachment To Save

選填。

如果選取 Save Only Email Attachments 參數,動作只會儲存這個參數指定的附件。

此參數接受以逗號分隔資料值的字串。
Base64 Encode

選填。

如果選取這個選項,動作會將電子郵件檔案編碼為 base64 格式。

預設為未選取。

動作輸出內容

下表說明與「將電子郵件儲存至案件」動作相關的輸出類型:

動作輸出類型 可用性
案件總覽附件 可用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件總覽附件

下列附件與「Save Email To The Case」(將電子郵件儲存至案件) 動作相關聯:

  • EMAIL_SUBJECT.eml, 如果動作會儲存電子郵件。

  • 如果動作會儲存附件,附件名稱會包含副檔名 (如有)。

JSON 結果

以下範例說明使用「Save Email To The Case」(將電子郵件儲存至案件) 動作時收到的 JSON 結果輸出內容:

{
    "id": "ID",
    "createdDateTime": "2024-02-16T14:10:34Z",
    "eml_info": "example_info",
    "lastModifiedDateTime": "2024-02-16T14:10:41Z",
    "changeKey": "cxsdjjh",
    "categories": [],
    "receivedDateTime": "2024-02-16T14:10:35Z",
    "sentDateTime": "2024-02-16T14:09:36Z",
    "hasAttachments": true,
    "internetMessageId": "INTERNET_MESSAGE_ID",
    "subject": "all attachments",
    "bodyPreview": "all the attachments",
    "importance": "normal",
    "parentFolderId": "PARENT_FOLDER_ID",
    "conversationId": "CONVERSATION_ID",
    "conversationIndex": "example-index",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://example.com/",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "<html><head>example-html</head></html>"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "flag": {
        "flagStatus": "notFlagged"
    }
}
輸出訊息

在案件總覽中,「將電子郵件儲存至案件」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Email successfully saved!

Successfully saved the following attachments: ATTACHMENTS_LIST

The following attachments were not found in email with mail id: EMAIL_ID: ATTACHMENTS_LIST

 動作成功。

Mailbox MAILBOX_NAME was not found.

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX_NAME

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「Save Email To The Case」(將電子郵件儲存至案件) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

搜尋電子郵件

使用「搜尋電子郵件」動作,根據提供的搜尋條件,在預設信箱中執行電子郵件搜尋。具備適當權限的使用者可以透過這項動作,在其他信箱中執行搜尋。

這項動作是非同步作業。視需要調整 Google SecOps IDE 中的動作逾時時間。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「搜尋電子郵件」動作需要下列參數:

參數 說明
Search In Mailbox

必填。

執行搜尋作業的預設信箱。 如果權限允許,這項動作也可以在其他信箱中搜尋。 此參數接受以逗號分隔資料值的字串。

如要對大量信箱執行複雜搜尋,請使用 Exchange 擴充功能套件整合功能
Folder Name

必填。

要搜尋電子郵件的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder
Subject Filter

選填。

篩選條件,指定要搜尋的電子郵件主旨。

這項篩選器使用 contains 邏輯。
Sender Filter

選填。

篩選條件,指定要求電子郵件的寄件者。

這項篩選器使用 equals 邏輯。
Timeframe (Minutes)

選填。

篩選條件,指定要搜尋電子郵件的時間範圍 (以分鐘為單位)。
Max Emails To Return

選填。

動作要傳回的電子郵件數量。

如未設定值,系統會使用 API 預設值。

預設值為 10
Only Unread

選填。

選取後,系統只會搜尋未讀的電子郵件。

預設為未選取。
All Fields To Return

選填。

如果選取這個選項,動作會傳回所取得電子郵件的所有可用欄位。

預設為未選取。
How many mailboxes to process in a single batch

選填。

單一批次要處理的信箱數量 (單一郵件伺服器連線)。

預設值為 25

動作輸出內容

下表說明與「搜尋電子郵件」動作相關聯的輸出類型:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

在案件牆上,「搜尋電子郵件」動作會提供下表:

表格標題:相符的郵件

欄:

  • 郵件 ID
  • Subject
  • 寄件者
  • 接收者
  • 收到日期
輸出訊息

「搜尋電子郵件」動作會提供下列輸出訊息:

Action was not able to find any emails based on the specified search criteria.

輸出訊息 訊息說明

Successfully found emails in the following mailboxes: MAILBOX: FOUND_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 動作成功。

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「搜尋電子郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

傳送電子郵件

使用「傳送電子郵件」動作,從特定信箱將電子郵件傳送給任意收件者清單。

這項動作可以傳送純文字或 HTML 格式的電子郵件。只要具備適當權限,這項動作就能從整合作業設定中指定的信箱以外的信箱傳送電子郵件。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「傳送電子郵件」動作需要下列參數:

參數 說明
Send From

必填。

可選填用來傳送電子郵件的電子郵件地址 (如果權限允許)。

根據預設,這項動作會從整合作業設定中指定的預設信箱傳送電子郵件。
Subject

必填。

電子郵件主旨。
Send to

必填。

以半形逗號分隔的電子郵件地址清單,例如 user1@example.com, user2@example.com
CC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件副本欄位。

格式與 Send to 參數相同。
BCC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件的密件副本欄位。

格式與 Send to 參數相同。
Attachments Paths

選填。

以半形逗號分隔的伺服器檔案附件路徑清單,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg
Attachments Location

必填。

附件的儲存位置。

根據預設,這項動作會嘗試從 Cloud Storage bucket 上傳附件。

可能的值為 GCP BucketLocal File System。預設值為 GCP Bucket
Mail Content Type

選填。

電子郵件內容類型。

可能的值如下:

  • Text
  • HTML

預設值為 Text
Mail Content

必填。

電子郵件內文。
Reply-To Recipients

選填。

以半形逗號分隔的收件者清單,用於「回覆給」標頭。

使用「回覆至」標頭,將回覆電子郵件重新導向至指定電子郵件地址,而非「寄件者」欄位中的地址。

動作輸出內容

下表說明與「傳送電子郵件」動作相關的輸出類型:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「傳送電子郵件」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Email was sent successfully.

 動作成功。

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「傳送電子郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

傳送電子郵件 HTML

使用「傳送電子郵件 HTML」動作,從特定信箱將您使用的 Google SecOps HTML 範本傳送給任意收件者清單。只要具備適當權限,這項動作就能從預設信箱以外的信箱傳送電子郵件。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「傳送電子郵件 HTML」動作需要下列參數:

參數 說明
Send From

必填。

可選填用來傳送電子郵件的電子郵件地址 (如果權限允許)。

根據預設,這項動作會從整合作業設定中指定的預設信箱傳送電子郵件。
Subject

必填。

電子郵件主旨。
Send to

必填。

以半形逗號分隔的電子郵件地址清單,例如 user1@example.com, user2@example.com
CC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件副本欄位。

格式與 Send to 參數相同。
BCC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件的密件副本欄位。

格式與 Send to 參數相同。
Attachments Paths

選填。

要提供的附件完整路徑,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg

您可以在以半形逗號分隔的字串中提供多個值。
Email HTML Template

必填。

要使用的 HTML 範本類型。

可能的值為 Email HTML TemplateDynamically generated list of available templates

預設值為 Email HTML Template
Mail Content

必填。

電子郵件內文。
Reply-To Recipients

選填。

以半形逗號分隔的收件者清單,用於「回覆給」標頭。

使用 Reply-To 標頭將回覆電子郵件重新導向至特定電子郵件地址,而非 From 欄位中顯示的寄件者地址。
Attachment Location

必填。

附件的儲存位置。

根據預設,這項動作會嘗試從 Cloud Storage bucket 上傳附件。

可能的值為 GCP BucketLocal File System。預設值為 GCP Bucket

動作輸出內容

「傳送電子郵件 HTML」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例說明使用「傳送電子郵件 HTML」動作時收到的 JSON 結果輸出:

{
    "createdDateTime": "2024-01-30T16:50:27Z",
    "lastModifiedDateTime": "2024-01-30T16:50:27Z",
    "changeKey": "example-key",
    "categories": [],
    "receivedDateTime": "2024-01-30T16:50:27Z",
    "sentDateTime": "2024-01-30T16:50:27Z",
    "hasAttachments": false,
    "internetMessageId": "outlook.com",
    "subject": "Testing",
    "bodyPreview": "example",
    "importance": "normal",
    "parentFolderId": "ID",
    "conversationId": "ID",
    "conversationIndex": "INDEX",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://example.com",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "content"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "uniqueBody": {
        "contentType": "html",
        "content": "content"
    },
    "flag": {
        "flagStatus": "notFlagged"
    },
    "id": "ID"
}
輸出訊息

在案件牆上,「傳送電子郵件 HTML」動作會提供下列輸出訊息:

輸出訊息 訊息說明
Email was sent successfully. 動作成功。

Action failed to run because the HTML template was not specified.

Action failed to run because the following specified attachments were not found: ATTACHMENT_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「傳送電子郵件 HTML」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

傳送討論串回覆

使用「傳送討論串回覆」動作,將訊息做為電子郵件討論串的回覆傳送。只要具備適當權限,這項動作就能從整合設定中指定的信箱以外的信箱傳送電子郵件。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「傳送回覆給討論串」動作需要下列參數:

參數 說明
Send From

必填。

可選填用來傳送電子郵件的電子郵件地址 (如果權限允許)。

根據預設,這項動作會從整合作業設定中指定的預設信箱傳送電子郵件。
Mail ID

必填。

要搜尋的電子郵件 ID。
Folder Name

選填。

要搜尋電子郵件的信箱資料夾。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder

預設值為 Inbox
Attachments Paths

選填。

以半形逗號分隔的伺服器檔案附件路徑清單,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg
Mail Content

必填。

電子郵件內文。
Reply All

選填。

如果選取這項動作,系統會回覆原始電子郵件的所有收件者。

預設為未選取。

這個參數的優先順序高於 Reply To 參數。
Reply To

選填。

以半形逗號分隔的電子郵件地址清單,用於傳送回覆。

如果未提供任何值,且 Reply All 核取方塊已取消勾選,動作只會回覆原始電子郵件寄件者。

如果勾選 Reply All 核取方塊,動作會忽略這個參數。
Attachments Location

必填。

附件的儲存位置。

根據預設,這項動作會嘗試從 Cloud Storage bucket 上傳附件。

可能的值為 GCP BucketLocal File System。預設值為 GCP Bucket

動作輸出內容

下表說明與「傳送討論串回覆」動作相關的輸出類型:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「傳送討論串回覆」動作會提供下列輸出訊息:

輸出訊息 訊息說明
Successfully sent reply to the mail with ID: EMAIL_ID 動作成功。
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

動作失敗。

檢查 Reply To 參數值。

Error executing action "Send Thread Reply" because the provided mail id EMAIL_ID was not found.

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「傳送討論串回覆」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

傳送投票電子郵件

使用「傳送投票電子郵件」動作,傳送內含預先定義回覆選項的電子郵件。這項動作會使用 Google SecOps HTML 範本設定電子郵件格式。只要具備適當權限,傳送投票電子郵件動作就能從預設信箱以外的信箱傳送電子郵件。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「傳送投票電子郵件」動作需要下列參數:

參數 說明
Send From

必填。

可選填用來傳送電子郵件的電子郵件地址 (如果權限允許)。

根據預設,這項動作會從整合作業設定中指定的預設信箱傳送電子郵件。
Subject

必填。

電子郵件主旨。
Send to

必填。

以半形逗號分隔的電子郵件地址清單,例如 user1@example.com, user2@example.com
CC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件副本欄位。

格式與 Send to 參數相同。
BCC

選填。

以半形逗號分隔的電子郵件地址清單,用於電子郵件的密件副本欄位。

格式與 Send to 參數相同。
Attachments Paths

選填。

要提供的附件完整路徑,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg

您可以在以半形逗號分隔的字串中提供多個值。
Email HTML Template

必填。

要使用的 HTML 範本類型。

可能的值為 Email HTML TemplateDynamically generated list of available templates

預設值為 Email HTML Template
Reply-To Recipients

選填。

以半形逗號分隔的收件者清單,用於「回覆給」標頭。

使用「回覆至」標頭,將回覆電子郵件重新導向至指定電子郵件地址,而非「寄件者」欄位中列出的地址。
Structure of voting options

必填。

要傳送給收件者的投票結構。

可能的值為 Yes/NoApprove/Reject。預設值為 Yes/No
Attachment Location

必填。

附件的儲存位置。

根據預設,這項動作會嘗試從 Cloud Storage bucket 上傳附件。

可能的值為 GCP BucketLocal File System。預設值為 GCP Bucket

動作輸出內容

「傳送投票電子郵件」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例說明使用「傳送投票電子郵件」動作時收到的 JSON 結果輸出內容:

{
    "createdDateTime": "2024-01-30T16:50:27Z",
    "lastModifiedDateTime": "2024-01-30T16:50:27Z",
    "changeKey": "KEY",
    "categories": [],
    "receivedDateTime": "2024-01-30T16:50:27Z",
    "sentDateTime": "2024-01-30T16:50:27Z",
    "hasAttachments": false,
    "internetMessageId": "<example-message-ID>",
    "subject": "Testing",
    "bodyPreview": "example",
    "importance": "normal",
    "parentFolderId": "FOLDER_ID",
    "conversationId": "CONVERSATION_ID",
    "conversationIndex": "CONVERSATION_INDEX",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://www.example.com/about",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "content"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "uniqueBody": {
        "contentType": "html",
        "content": "content"
    },
    "flag": {
        "flagStatus": "notFlagged"
    },
    "id": "ID"
}
輸出訊息

在案件牆上,「傳送投票電子郵件」動作會提供下列輸出訊息:

輸出訊息 訊息說明
Email was sent successfully. 動作成功。

Action failed to run because the HTML template was not specified.

Action failed to run because the following specified attachments were not found: ATTACHMENT_LIST

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「傳送投票電子郵件」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

Wait For Email From User

使用「等待使用者回覆電子郵件」動作,等待使用者回覆以「傳送電子郵件」動作傳送的電子郵件。

這項動作是非同步作業。視需要調整 Google SecOps IDE 中的動作逾時時間。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Wait For Email From User」(等待使用者傳送電子郵件) 動作需要下列參數:

參數 說明
Mail ID

必填。

電子郵件的 ID。

如果您使用「傳送電子郵件」動作傳送電子郵件,請將參數值設為 {SendEmail.JSONResult|id}{SendEmail.JSONResult|internetMessageId} 預留位置。
Wait for All Recipients To Reply?

選填。

如果選取這項設定,系統會等待所有收件者回覆,直到逾時或收到第一則回覆為止。

(此為預設選項)。
Wait Stage Exclude Pattern

選填。

用於從等待階段排除特定回覆的規則運算式。 這個參數適用於電子郵件內文。

舉例來說,如果您設定 Out of Office.* 正則運算式,系統就不會將自動回覆的休假訊息視為收件者的回覆,而是等待實際使用者的回覆。
Folder To Check For Reply

選填。

信箱電子郵件資料夾,用於搜尋使用者回覆。系統會在傳送問題電子郵件的信箱中執行搜尋。

這個參數會區分大小寫。

預設值為 Inbox
Fetch Response Attachments

選填。

如果選取這個選項,且收件者的回覆包含附件,這項動作就會擷取回覆,並將其新增為動作結果的附件。

預設為未選取。

動作輸出內容

下表說明與「等待使用者傳送電子郵件」動作相關聯的輸出類型:

動作輸出類型 可用性
案件總覽附件 可用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
案件總覽附件

下列案件總覽附件與「等待使用者來信」動作相關聯:

類型:實體

附件內容:標題、檔案名稱 (如有副檔名)、fileContent。

  • 標題:RECIPIENT_EMAIL 回覆附件。
  • 檔案名稱:ATTACHMENT_FILENAME + FILE_EXTENSION
  • fileContent: CONTENT_OF_THE_ATTACHED_FILE
案件訊息牆表格

「等待使用者來信」動作可產生下表:

表格標題:相符的郵件

欄:

  • 郵件 ID
  • 收到日期
  • 寄件者
  • 收件者
  • Subject
輸出訊息

「Wait For Mail From User」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT.

 動作成功。

Action failed to receive any replies until timeout.

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「Wait For Email From User」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

等待投票電子郵件結果

使用「等待投票電子郵件結果」動作,根據使用「傳送投票電子郵件」動作傳送的投票電子郵件,等待使用者回覆。

這項動作是非同步作業。視需要調整 Google SecOps IDE 中的動作逾時時間。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「等待投票電子郵件結果」動作需要下列參數:

參數 說明
Vote Mail Sent From

必填。

「傳送投票電子郵件」動作傳送電子郵件時使用的信箱。

預設值為您在整合設定中指定的信箱。

如果投票郵件是從其他信箱傳送,您可以視需要為這個參數設定不同的值。
Mail ID

必填。

電子郵件的 ID。

如果使用 Send Vote Email 動作傳送電子郵件,請將參數值設為 SendVoteEmail.JSONResult|idSendEmail.JSONResult|internetMessageId 預留位置。

如要傳回電子郵件 ID,可以使用「搜尋電子郵件」動作。
Wait for All Recipients To Reply?

選填。

如果選取這項設定,系統會等待所有收件者回覆,直到逾時或收到第一則回覆為止。

(此為預設選項)。
Wait Stage Exclude Pattern

選填。

用於從等待階段排除特定回覆的規則運算式。

這個參數適用於電子郵件內文。

舉例來說,這項動作不會將自動回覆的休假訊息視為收件者回覆,而是等待實際使用者回覆。
Folder To Check For Reply

選填。

要搜尋使用者回覆的信箱電子郵件資料夾。系統會在含有問題的電子郵件寄件者信箱中執行搜尋。

這個參數接受以半形逗號分隔的資料夾清單,可檢查多個資料夾中的使用者回應。

這個參數會區分大小寫。

預設值為 Inbox
Folder To Check For Sent Mail

選填。

要搜尋寄件備份郵件的信箱資料夾。 這是你用來傳送問題電子郵件的信箱。

這個參數接受以半形逗號分隔的資料夾清單,可檢查多個資料夾中的使用者回覆。

這個參數會區分大小寫。 如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder

預設值為 Sent Items
Fetch Response Attachments

選填。

如果選取這個選項,且收件者的回覆包含附件,這項動作就會擷取回覆內容,並將其新增為案件牆的附件。

預設為未選取。

動作輸出內容

「Wait For Vote Email Results」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 可用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件總覽附件

下列案件總覽附件與「等待投票結果電子郵件」動作相關聯:

類型:實體

附件內容:標題、檔案名稱 (如有副檔名)、fileContent。

  • 標題:RECIPIENT_EMAIL 回覆附件。
  • 檔案名稱:ATTACHMENT_FILENAME + FILE_EXTENSION
  • fileContent: CONTENT_OF_THE_ATTACHED_FILE
案件訊息牆表格

在案件總覽中,「等待電子郵件結果」動作會產生下表:

表格標題:相符的郵件

欄:

  • 郵件 ID
  • 收到日期
  • 寄件者
  • 收件者
  • Subject
JSON 結果

以下範例說明使用「等待投票電子郵件結果」動作時收到的 JSON 結果輸出內容:

{
    "Responses": [
        {
            "recipient": "user@example.com",
            "vote": "Approve"
        }
    ]
}
輸出訊息

「Wait For Vote Email Results」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Found the user EMAIL_RECIPIENT reply: USER_REPLY.

Exceeded timeout to get a reply from user: EMAIL_RECIPIENT.

 動作成功。

Action failed to receive any replies until timeout.

Failed to execute action, the error is: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「等待投票電子郵件結果」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

連接器

如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱「擷取資料 (連接器)」。

Microsoft Graph Mail Delegated Connector

使用 Microsoft Graph Mail Delegated Connector 從 Microsoft Graph Mail 服務擷取電子郵件。

Microsoft Graph Mail Delegated Connector 會在 Microsoft 365 中使用委派驗證,且需要使用者進行互動式登入,才能連線至 Microsoft 365。

使用動態清單,透過規則運算式篩選電子郵件內文和主旨中的指定值。根據預設,連接器會使用規則運算式篩除電子郵件中的網址。

連接器先決條件

Microsoft Graph Mail Delegated 連接器需要設定整合參數,並產生重新整理權杖

連接器輸入內容

Microsoft Graph Mail Delegated Connector 需要下列參數:
參數 說明
Product Field Name

必填。

儲存產品名稱的欄位名稱。

預設值為 device_product

產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值 device_product 會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。
Event Field Name

必填。

用於判斷事件名稱 (子類型) 的欄位名稱。

預設值為 event_name
Environment Field Name

選填。

儲存環境名稱的欄位名稱。

如果找不到環境欄位,環境會設為 ""
Environment Regex Pattern

選填。

要在 Environment Field Name 欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果為 ""
Email Exclude Pattern

選填。

用於排除特定電子郵件 (例如垃圾郵件或新聞) 的規則運算式。

這個參數適用於電子郵件主旨和內文。
Script Timeout (Seconds)

必填。

執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。

預設值為 300
Microsoft Entra ID Endpoint

必填。

整合時要使用的 Microsoft Entra 端點。

預設值為 https://login.microsoftonline.com
Microsoft Graph Endpoint

必填。

整合中使用的 Microsoft Graph 端點。

預設值為 https://graph.microsoft.com
Mail Address

必填。

連接器使用的電子郵件地址。
Refresh Token

必填。

用於驗證的更新權杖。
Client ID

必填。

Microsoft Entra 應用程式的應用程式 (用戶端) ID。
Client Secret Value

必填。

Microsoft Entra 應用程式的用戶端密鑰值。
Microsoft Entra ID Directory ID

必填。

Microsoft Entra ID (租戶 ID) 值。
Folder to check for emails

必填。

要搜尋電子郵件的電子郵件資料夾。這個參數接受以半形逗號分隔的資料夾清單,可在多個資料夾中搜尋使用者回覆。如要指定子資料夾,請使用 / 正斜線,例如 Inbox/Subfolder

這個參數會區分大小寫。

預設值為 Inbox
Offset Time In Hours

必填。

在第一次擷取電子郵件的連接器疊代前,要等待的小時數。首次啟用連接器後,這個參數會套用至初始連接器疊代。如果最新連接器疊代的時間戳記過期,連接器可以使用這個參數做為備用值。

預設值為 24
Max Emails Per Cycle

必填。

每次連接器疊代要擷取的電子郵件數量。

預設值為 10
Unread Emails Only

選填。

如果選取這個選項,連接器只會根據未讀取的電子郵件建立案件。

預設為未選取。
Mark Emails as Read

選填。

如果選取這個選項,連接器會在擷取電子郵件後將其標示為已讀。

預設為未選取。
Disable Overflow

選填。

如果選取這個選項,連接器會忽略 Google SecOps 溢位機制。

預設為未選取。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 Microsoft Graph 時驗證 SSL 憑證。

(此為預設選項)。
Original Received Mail Prefix

選填。

要加到從監控信箱收到的原始電子郵件中擷取事件鍵的前置字元 (例如 tofromsubject)。

預設值為 orig
Attached Mail File Prefix

選填。

要新增至從監控信箱收到的電子郵件附件檔案中擷取事件鍵的前置字元 (例如 tofromsubject)。

預設值為 attach
Create a Separate Google Secops Alert per Attached Mail File

選填。

如果選取這個選項,連接器會建立多個快訊,每個附加的電子郵件檔案都會有一個快訊。

如果您處理的電子郵件附有多個電子郵件檔案,並將 Google SecOps 事件對應設定為從附加的電子郵件檔案建立實體,這項行為就非常實用。

預設為未選取。
Attach Original EML

選填。

如果選取這個選項,連接器會將原始電子郵件以 EML 檔案的形式附加至案件資訊。

預設為未選取。
Headers to add to events

選填。

以半形逗號分隔的電子郵件標題字串,可新增至 Google SecOps 事件,例如 DKIM-SigantureReceivedFrom

您可以為標頭設定完全比對,或將這個參數值設為規則運算式。

連接器會從 internetMessageHeaders 清單中篩選設定的值,並將這些值新增至 Google SecOps 事件。

如要防止連接器在事件中加入標頭,請將參數值設為: None

根據預設,連接器會新增所有可用的標頭。
Case Name Template

選填。

自訂案件名稱。

設定這個參數時,連接器會在 Google SecOps SOAR 事件中新增名為 custom_case_name 的鍵。

您可以提供下列格式的預留位置: [name of the field]

範例:Phishing - [event_mailbox]

對於預留位置,連接器會使用第一個 Google SecOps SOAR 事件。連接器只會處理含有字串值的鍵。
Alert Name Template

選填。

自訂快訊名稱。

您可以提供下列格式的預留位置: [name of the field]

範例:Phishing - [event_mailbox]

對於預留位置,連接器會使用第一個 Google SecOps SOAR 事件。連接器只會處理含有字串值的鍵。如果您未提供值或範本無效,連接器會使用預設快訊名稱。
Proxy Server Address

選填。

要使用的 Proxy 伺服器位址。
Proxy Username

選填。

用於驗證的 Proxy 使用者名稱。
Proxy Password

選填。

用於驗證的 Proxy 密碼。
Mail Field Source

選填。

如果選取這個選項,整合服務會從使用者詳細資料 mail 屬性擷取信箱地址。如未選取,整合服務會從 userPrincipalName 欄位擷取信箱地址。

(此為預設選項)。
Base64 Encoded Private Key

選填。

指定要用來解密電子郵件的 Base64 編碼私密金鑰。
Base64 Encoded Certificate

選填。

指定要用來解密電子郵件的 Base64 編碼憑證。
Base64 Encoded CA certificate

選填。

指定用於驗證簽章的 Base64 編碼信任 CA 憑證。

連接器規則

連接器支援 Proxy。

工作

如要在 Google SecOps 中設定工作,請完成下列步驟:

  1. 在左側導覽面板中,依序選取「回應」>「工作排程器」
  2. 在「Jobs」(工作) 分頁中,按一下「add Create New Job」(新增建立新工作)
  3. 從清單中選取所需工作,然後按一下「儲存」
  4. 繼續進行工作設定。

更新權杖續訂工作

使用「更新權杖續約工作」定期更新整合項目的更新權杖。

根據預設,更新權杖每 90 天會過期一次。建議您將這項工作設定為每 7 或 14 天自動執行一次,確保重新整理權杖保持在最新狀態。

工作輸入內容

「Refresh Token Renewal Job」需要下列參數:

參數 說明
Integration Environments

選填。

要更新權杖的整合環境。這個參數接受以半形逗號分隔的多個值。

如要設定這個參數,請以 "" 雙引號括住每個環境名稱,例如 "Default environment""Environment 1""Environment 5"
Connector Names

選填。

要更新重新整理權杖的連接器名稱。這個參數接受以逗號分隔的多個值。

如要設定這個參數,請以 "" 雙引號括住每個連接器名稱,例如 "Microsoft Graph Mail Delegated Connector""Connector 2""Connector 5"

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。