Microsoft Graph Mail in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Microsoft Graph Mail in Google Security Operations (Google SecOps) einbinden.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie die Integration von Microsoft Graph Mail Delegated in Google SecOps konfigurieren:

  1. Microsoft Entra-Anwendung erstellen

  2. API-Berechtigungen für Ihre Anwendung konfigurieren

  3. Clientschlüssel erstellen

Microsoft Entra-Anwendung erstellen

Führen Sie die folgenden Schritte aus, um die Microsoft Entra-App zu erstellen:

  1. Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Rufen Sie App-Registrierungen > Neue Registrierung auf.

  4. Geben Sie den Namen der Anwendung ein.

  5. Klicken Sie auf Registrieren.

    In diesem Dokument finden Sie ein Beispiel für eine Einrichtung für einzelne Mandanten. Für den von der Integration unterstützten OAuth-Ablauf (Clientanmeldedaten) ist keine Weiterleitungs-URL erforderlich.

  6. Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant), um die Integrationsparameter zu konfigurieren.

API-Berechtigungen konfigurieren

Führen Sie die folgenden Schritte aus, um die API-Berechtigungen für die Integration zu konfigurieren:

  1. Klicken Sie im Azure-Portal auf API-Berechtigungen > Berechtigung hinzufügen.

  2. Wählen Sie Microsoft Graph > Anwendungsberechtigungen aus.

  3. Wählen Sie im Bereich Berechtigungen auswählen die folgenden erforderlichen Berechtigungen aus:

    • Mail.Read
    • Mail.ReadWrite
    • Mail.Send
    • User.Read
    • Directory.Read.All

  4. Klicken Sie auf Berechtigungen hinzufügen.

  5. Klicken Sie auf Einwilligung des Administrators für ORGANIZATION_NAME erteilen.

    Klicken Sie im Dialogfeld Bestätigung der Administratorzustimmung erteilen auf Ja.

Anwendungszugriff auf bestimmte Postfächer beschränken

Standardmäßig haben Anwendungen mit den Anwendungsberechtigungen Mail.ReadWrite oder Mail.Send Zugriff auf alle Postfächer in Ihrer Organisation. Wenn Sie den Zugriff der Anwendung auf bestimmte Postfächer beschränken möchten, konfigurieren Sie Application Access Policies (Richtlinien für den Anwendungszugriff) in Microsoft Exchange Online.

So konfigurieren Sie Richtlinien für den Anwendungszugriff:

  1. So stellen Sie eine Verbindung zu Exchange Online PowerShell her:

    1. Öffnen Sie PowerShell als Administrator.

    2. Installieren Sie das Exchange Online Management-Modul, falls es noch nicht installiert ist:

      Install-Module -Name ExchangeOnlineManagement

    3. Mit Exchange Online verbinden:

      Connect-ExchangeOnline

  2. Anwendungs-ID und Zielpostfächer ermitteln:

    1. Rufen Sie die Client-ID (Anwendungs-ID) Ihrer Microsoft Graph Mail-Anwendung aus Azure AD ab.

    2. Geben Sie die E-Mail-Adressen der Postfächer an, auf die die Anwendung zugreifen soll. Zur einfacheren Verwaltung können Sie in Azure AD eine für E-Mail aktivierte Sicherheitsgruppe erstellen und diese Postfächer als Mitglieder hinzufügen.

  3. So erstellen Sie eine Richtlinie für den Anwendungszugriff:

    1. Verwenden Sie das Cmdlet New-ApplicationAccessPolicy, um eine Richtlinie zu erstellen, die den Zugriff auf ausgewählte Postfächer einschränkt.

    2. Optional: Zugriff auf eine bestimmte Sicherheitsgruppe von Postfächern beschränken:

      1. Ersetzen Sie <Your_Application_ID> durch die Client-ID Ihrer Anwendung.

      2. Ersetzen Sie <Security_Group_Email_Address> durch die E-Mail-Adresse der Sicherheitsgruppe, die die zulässigen Postfächer enthält.

      New-ApplicationAccessPolicy -AppId "<Your_Application_ID>" -PolicyScopeGroupId "<Security_Group_Email_Address>" -AccessRight RestrictAccess -Description "SOAR Graph Mail Access Policy"

  4. Prüfen Sie die Effektivität der Richtlinie mit dem Cmdlet Test-ApplicationAccessPolicy:

       Test-ApplicationAccessPolicy -AppId "<Your_Application_ID>" -Identity "user_email_to_test@yourdomain.com"

    Dieser Befehl gibt an, ob die Anwendung basierend auf den angewendeten Richtlinien Zugriff auf das angegebene Postfach hat.

Hinweis:

  • Zum Erstellen dieser Richtlinien sind die Berechtigungen OrganizationManagement oder Security Administrator in Exchange Online erforderlich.

  • Richtlinienänderungen werden in der Regel innerhalb von 30 Minuten wirksam.

  • Nachdem die Richtlinie angewendet wurde, kann die Anwendung nur auf die zulässigen Postfächer zugreifen. Bei Versuchen, auf andere zuzugreifen, wird ein Access Denied-Fehler zurückgegeben.

Clientschlüssel erstellen

So erstellen Sie einen Clientschlüssel:

  1. Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.

  2. Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.

  3. Klicken Sie auf Hinzufügen.

  4. Speichern Sie den Wert des Clientschlüssels (nicht die Secret-ID), um ihn als Parameterwert für Secret ID bei der Konfiguration der Integration zu verwenden. Der Wert des Clientschlüssels wird nur einmal angezeigt.

Integrationsparameter

Für die Microsoft Graph Mail-Integration sind die folgenden Parameter erforderlich:
Parameter Beschreibung
Azure AD Endpoint

Erforderlich.

Der Microsoft Entra ID-Endpunkt, der in der Integration verwendet werden soll.

Der Wert kann für verschiedene Mandantentypen unterschiedlich sein.

Der Standardwert ist https://login.microsoftonline.com.
Microsoft Graph Endpoint

Erforderlich.

Der Microsoft Graph-Endpunkt, der in der Integration verwendet werden soll.

Der Wert kann für verschiedene Mandantentypen unterschiedlich sein.

Der Standardwert ist https://graph.microsoft.com.
Client ID

Erforderlich.

Die Client-ID (Anwendungs-ID) der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
Secret ID

Erforderlich.

Der Clientschlüsselwert der Microsoft Entra-Anwendung, die in der Integration verwendet werden soll.
Tenant

Erforderlich.

Der Wert für die Microsoft Entra ID (Mandanten-ID).
Default Mailbox

Erforderlich.

Das Postfach, das in der Integration verwendet werden soll.
Mail Field Source

Optional.

Wenn diese Option ausgewählt ist, ruft die Integration die Postfachadresse aus dem Attribut mail der Nutzerdetails ab. Wenn diese Option nicht ausgewählt ist, wird die E-Mail-Adresse aus dem Feld userPrincipalName abgerufen.

Diese Option ist standardmäßig nicht ausgewählt.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung mit Microsoft Graph validiert.

Standardmäßig ausgewählt.
Base64 Encoded Private Key

Optional.

Geben Sie einen base64-codierten privaten Schlüssel an, der zum Entschlüsseln der E-Mail verwendet wird.
Base64 Encoded Certificate

Optional.

Geben Sie ein Base64-codiertes Zertifikat an, das zum Entschlüsseln der E‑Mail verwendet wird.
Base64 Encoded CA certificate

Optional.

Geben Sie ein base64-codiertes vertrauenswürdiges CA-Zertifikat für die Signaturprüfung an.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Bevor Sie Aktionen konfigurieren, müssen Sie die erforderlichen Berechtigungen für die Integration erteilen. Weitere Informationen finden Sie in diesem Dokument im Abschnitt API-Berechtigungen konfigurieren.

E-Mails löschen

Mit der Aktion E-Mail löschen können Sie eine oder mehrere E-Mails aus einem Postfach löschen. Mit dieser Aktion werden E‑Mails basierend auf Ihren Suchkriterien gelöscht. Mit den entsprechenden Berechtigungen können E‑Mails mit der Aktion E‑Mail löschen in andere Postfächer verschoben werden.

Diese Aktion ist asynchron. Passen Sie das Zeitlimit für die Aktion in der integrierten Entwicklungsumgebung (IDE) von Google SecOps nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail löschen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Delete In Mailbox

Erforderlich.

Das Standardpostfach, in dem der Löschvorgang ausgeführt werden soll. Wenn die Berechtigungen es zulassen, kann die Aktion auch in anderen Postfächern suchen. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Folder Name

Erforderlich.

Ein Postfachordner, in dem nach E‑Mails gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Mail IDs

Optional.

Eine Filterbedingung, mit der nach E-Mails mit bestimmten E-Mail-IDs gesucht wird.

Dieser Parameter akzeptiert eine durch Kommas getrennte Liste von E-Mail-IDs, nach denen gesucht werden soll.

Wenn dieser Parameter angegeben wird, werden die Parameter Subject Filter und Sender Filter bei der Suche ignoriert.
Subject Filter

Optional.

Eine Filterbedingung, die den zu durchsuchenden E‑Mail-Betreff angibt.
Sender Filter

Optional.

Eine Filterbedingung, die den Absender der angeforderten E-Mails angibt.
Timeframe (Minutes)

Optional.

Eine Filterbedingung, die den Zeitraum in Minuten angibt, in dem nach E‑Mails gesucht werden soll.
Only Unread

Optional.

Wenn diese Option ausgewählt ist, werden nur ungelesene E‑Mails durchsucht.

Diese Option ist standardmäßig nicht ausgewählt.
How many mailboxes to process in a single batch

Optional.

Die Anzahl der Postfächer, die in einem einzelnen Batch (einer einzelnen Verbindung zum Mailserver) verarbeitet werden sollen.

Der Standardwert ist 25.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen für die Aktion E-Mail löschen beschrieben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion E‑Mail löschen gibt die folgenden Ausgabemeldungen aus:

Ausgabemeldung Nachrichtenbeschreibung

Successfully deleted emails in the following mailboxes: MAILBOX_NAME: DELETED_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 Aktion erfolgreich.

Action was not able to find any emails based on the specified search criteria.

Action failed to delete any emails because the provided mailbox folder name was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion E-Mail löschen verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

Anhänge aus E‑Mails herunterladen

Mit der Aktion Anhänge aus E-Mails herunterladen können Sie Anhänge aus E-Mails herunterladen, die den angegebenen Kriterien entsprechen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Diese Aktion ist asynchron. Passen Sie bei Bedarf den Script-Timeout-Wert in der Google SecOps IDE an.

Die Aktion ersetzt das Unterstrichzeichen \` forward slash or/backslash characters in the names of the downloaded attachments with the_`.

Aktionseingaben

Für die Aktion Anhänge aus E-Mail herunterladen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Search In Mailbox

Erforderlich.

Das Standardpostfach, in dem der Suchvorgang ausgeführt wird. Wenn die Berechtigungen es zulassen, kann die Aktion auch in anderen Postfächern suchen. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Folder Name

Erforderlich.

Ein Postfachordner, in dem die Suche ausgeführt werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Download Destination

Erforderlich.

Ein Speichertyp zum Speichern der heruntergeladenen Anhänge.

Standardmäßig wird versucht, den Anhang im Cloud Storage-Bucket zu speichern. Das Speichern eines Anhangs im lokalen Dateisystem ist eine Fallback-Option.

Die möglichen Werte sind GCP Bucket und Local File System. Der Standardwert ist GCP Bucket.
Download Path

Erforderlich.

Ein Pfad zum Herunterladen von Anhängen.

Wenn Sie Anhänge im Cloud Storage-Bucket oder in einem lokalen Dateisystem speichern, müssen Sie den Downloadpfad im Unix-ähnlichen Format angeben, z. B. /tmp/test.
Mail IDs

Optional.

Eine Filterbedingung, mit der nach E-Mails mit bestimmten E-Mail-IDs gesucht wird.

Dieser Parameter akzeptiert eine durch Kommas getrennte Liste von E-Mail-IDs, nach denen gesucht werden soll.

Wenn dieser Parameter angegeben wird, werden die Parameter Subject Filter und Sender Filter bei der Suche ignoriert.
Subject Filter

Optional.

Eine Filterbedingung, die den E‑Mail-Betreff angibt, nach dem gesucht werden soll.

Für diesen Filter wird die contains-Logik verwendet.
Sender Filter

Optional.

Eine Filterbedingung, die den Absender der angeforderten E-Mails angibt.

Für diesen Filter wird die equals-Logik verwendet.
Download Attachments From EML

Optional.

Wenn diese Option ausgewählt ist, werden Anhänge aus EML-Dateien heruntergeladen.

Diese Option ist standardmäßig nicht ausgewählt.
Download attachments to unique path?

Optional.

Wenn diese Option ausgewählt ist, werden Anhänge in den eindeutigen Pfad heruntergeladen, der im Parameterfeld Download Path angegeben ist. So wird verhindert, dass zuvor heruntergeladene Anhänge überschrieben werden.

Standardmäßig nicht ausgewählt.
How many mailboxes to process in a single batch

Optional.

Die Anzahl der Postfächer, die in einem einzelnen Batch (einer einzelnen Verbindung zum Mailserver) verarbeitet werden sollen.

Der Standardwert ist 25.

Aktionsausgaben

Die Aktion Anhänge aus E-Mail herunterladen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die Sie erhalten, wenn Sie die Aktion Anhänge aus E-Mail herunterladen verwenden:

[
    {
        "attachment_name": "name1.png",
        "downloaded_path": "file_path/name1.png"
    },
    {
        "attachment_name": "name2.png",
        "downloaded_path": "file_path/name2.png"
    }
]
Ausgabemeldungen

Die Aktion Anhänge aus E-Mail herunterladen gibt die folgenden Ausgabemeldungen aus:

Ausgabemeldung Nachrichtenbeschreibung

Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: PATHS.

Failed to find emails in MAILBOX with the following mail ids: EMAIL_IDS.

In the mailboxes listed below, emails were found, but there were no attachments to download. Affected mailboxes: MAILBOXES. Mail IDs without attachments to download: LIST_OF_EMAIL_IDS attachments.

 Aktion erfolgreich.

Failed to find any emails using the provided criteria!

Failed to find any of the provided mailboxes: MAILBOXES

Action failed to run because the provided mailbox folder name FOLDER_NAME was not found in the mailbox MAILBOX.

Error executing action. Reason: ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Anhänge aus E-Mail herunterladen beschrieben:

Name des Scriptergebnisses Wert
is_success True oder False

Daten aus angehängter EML-Datei extrahieren

Mit der Aktion Daten aus angehängter EML extrahieren können Sie Daten aus den EML-Anhängen der E-Mail abrufen und in den Aktionsergebnissen zurückgeben. Diese Aktion unterstützt die Dateiformate .eml, .msg und .ics.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Daten aus angehängter EML extrahieren sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Search In Mailbox

Erforderlich.

Das Standardpostfach, in dem der Suchvorgang ausgeführt wird. Wenn die Berechtigungen es zulassen, kann die Aktion auch in anderen Postfächern suchen. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Folder Name

Optional.

Ein Postfachordner, in dem die Suche ausgeführt werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Mail IDs

Erforderlich.

Eine Filterbedingung, mit der nach E-Mails mit bestimmten E-Mail-IDs gesucht wird.

Dieser Parameter akzeptiert eine durch Kommas getrennte Liste von E-Mail-IDs, nach denen gesucht werden soll.
Regex Map JSON

Optional.

Eine JSON-Definition, die reguläre Ausdrücke enthält, die auf die angehängte E-Mail-Datei angewendet werden sollen, um zusätzliche Schlüsselwerte im JSON-Ergebnis der Aktion zu generieren. Beispiel für diesen Parameterwert:

{ips: \\b\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\b}

Aktionsausgaben

Die Aktion Daten aus angehängter EML-Datei extrahieren bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Daten aus angehängter EML extrahieren empfangen wird:

[
    {
        "type": "EML",
        "subject": "examplesubject",
        "from": "sender@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>example-html</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.eml"
    },
    {
        "type": "MSG",
        "subject": "examplesubject",
        "from": "user@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>examplehtml</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.msg"
    },
    {
        "type": "ICS",
        "subject": "examplesubject",
        "from": "sender@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>example-html</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.ics"
    }
]
Ausgabemeldungen

Die Aktion Daten aus angehängter EML extrahieren gibt die folgenden Ausgabemeldungen aus:

Ausgabemeldung Nachrichtenbeschreibung

Extracted data from ATTACHMENT_NAMES attached email files. Files: PATHS

Failed to find emails in MAILBOX with the following mail ids: MAIL_ID_LIST

 Aktion erfolgreich.

Failed to find any emails using the provided criteria!

Failed to find any of the provided mailboxes: MAILBOX_LIST

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Daten aus angehängter EML extrahieren beschrieben:

Name des Scriptergebnisses Wert
is_success True oder False

E‑Mail weiterleiten

Verwenden Sie die Aktion E‑Mail weiterleiten, um E‑Mails mit früheren Konversationen weiterzuleiten. Mit den entsprechenden Berechtigungen können mit dieser Aktion E-Mails von einem Postfach gesendet werden, das sich von dem in der Integrationskonfiguration angegebenen Postfach unterscheidet.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail weiterleiten sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Send From

Erforderlich.

Eine optionale E-Mail-Adresse, von der eine E-Mail gesendet werden soll, sofern die Berechtigungen dies zulassen.

Standardmäßig wird die E-Mail über das Standardpostfach gesendet, das in der Integrationskonfiguration angegeben ist.
Folder Name

Optional.

Ein Postfachordner, in dem nach E‑Mails gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Mail ID

Erforderlich.

Die ID der weiterzuleitenden E‑Mail.
Subject

Erforderlich.

Der Betreff der E‑Mail.
Send to

Erforderlich.

Eine durch Kommas getrennte Liste der E‑Mail-Adressen der E‑Mail-Empfänger, z. B. user1@example.com, user2@example.com.
CC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das E‑Mail-Feld „Cc“.

Das Format ist dasselbe wie für den Parameter Send to.
BCC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das BCC-Feld der E‑Mail.

Das Format ist dasselbe wie für den Parameter Send to.
Attachments Paths

Optional.

Eine durch Kommas getrennte Liste mit Pfaden für Dateianhänge, die auf dem Server gespeichert sind, z. B. /FILE_DIRECTORY/file.pdf, /FILE_DIRECTORY/image.jpg.
Mail content

Erforderlich.

Der E‑Mail-Text.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen für die Aktion E‑Mail weiterleiten beschrieben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion E-Mail weiterleiten gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung
Email with message ID MAIL_ID was forwarded successfully. Aktion erfolgreich.

Error executing action "Forward Email" because the provided mail id EMAIL_ID was not found.

Action failed to delete any emails because the provided mailbox folder name was not found in the mailbox(es): MAILBOX: MAILBOX_FOLDER

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion E-Mail weiterleiten verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

Postfachkonto aus den Einrichtungseinstellungen abrufen

Verwenden Sie die Aktion Get Mailbox Account Out Of Facility Settings, um die Einstellungen für das Postfachkonto außerhalb der Einrichtung für die bereitgestellte Google SecOps-Entität User abzurufen.

Für die Aktion Get Mailbox Account Out Of Facility Settings wird die Betaversion der Microsoft Graph API verwendet.

Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Get Mailbox Account Out Of Facility Settings (Postfachkonto aus Einrichtungseinstellungen abrufen) gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die Sie erhalten, wenn Sie die Aktion Get Mailbox Account Out Of Facility Settings (E-Mail-Konto aus den Einrichtungseinstellungen abrufen) verwenden:

{
   "@odata.context": "https://graph.microsoft.com/beta/$metadata#communications/presences/$entity",
   "id": "ID",
   "availability": "Offline",
   "activity": "Offline",
   "statusMessage": null,
   "outOfOfficeSettings": {
       "message": "\n\nOut Of Facility111\n",
       "isOutOfOffice": true
   }
}
Ausgabemeldungen

Die Aktion Get Mailbox Account Out Of Facility Settings kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully returned OOF settings for ENTITY_ID.

Failed to find the following usernames in Office 365 service: USERNAME_LIST.

 Die Aktion wurde ausgeführt.

Error executing action "Add Identity Protection Detection Comment". Reason: ERROR_REASON

Action wasn't able to find OOF settings for ENTITY_ID.

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn Sie die Aktion Get Mailbox Account Out Of Facility Settings (Postfachkonto aus Einrichtungseinstellungen abrufen) verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

E‑Mail als Junk-E‑Mail markieren

Mit der Aktion E-Mail als Junk-E-Mail markieren können Sie E-Mails in einem angegebenen Postfach als Junk-E-Mails markieren. Dadurch wird der E‑Mail-Absender der Liste der blockierten Absender hinzugefügt und die Nachricht in den Ordner Junk-Mail verschoben.

Für die Aktion E-Mail als Junk-E-Mail markieren wird die Betaversion der Microsoft Graph API verwendet.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail als Junk-E‑Mail markieren sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Search In Mailbox

Erforderlich.

Ein Postfach, in dem nach E‑Mails gesucht werden soll.

Standardmäßig wird versucht, die E-Mail im Standardpostfach zu suchen, das Sie in der Integrationskonfiguration angegeben haben. Wenn Sie eine Suche in anderen Postfächern ausführen möchten, konfigurieren Sie die entsprechenden Berechtigungen für die Aktion.

Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Folder Name

Erforderlich.

Ein Postfachordner, in dem nach E‑Mails gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.

Der Standardwert ist Inbox.
Mail IDs

Erforderlich.

Die IDs oder internetMessageId-Werte der E-Mails, die als Junk-E-Mails markiert werden sollen.

Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.

Aktionsausgaben

Die Aktion E-Mail als Junk-E-Mail markieren liefert die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion E-Mail als Junk-Mail markieren kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully marked the email as junk.

Failed to find email with ID ID in MAILBOX.

Mailbox MAILBOX was not found.

 Die Aktion wurde ausgeführt.

Error executing action "Mark Email as Junk". Reason: ERROR_REASON

Failed to find any emails based on provided parameters!

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX.

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn Sie die Aktion E-Mail als Junk-Mail markieren verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

E‑Mail als „Kein Junk“ markieren

Mit der Aktion E-Mail als „Nicht Spam“ markieren können Sie E-Mails in einem bestimmten Postfach als „Nicht Spam“ markieren. Dadurch wird der Absender aus der Liste der blockierten Absender entfernt und die Nachricht in den Ordner Posteingang verschoben.

Für die Aktion E‑Mail als „Nicht Junk-Mail“ markieren wird die Betaversion der Microsoft Graph API verwendet.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail als „Nicht Spam“ markieren sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Search In Mailbox

Erforderlich.

Ein Postfach, in dem nach einer E‑Mail gesucht werden soll.

Standardmäßig wird versucht, die E-Mail im Standardpostfach zu suchen, das Sie in der Integrationskonfiguration angegeben haben. Wenn Sie eine Suche in anderen Postfächern ausführen möchten, konfigurieren Sie die entsprechenden Berechtigungen für die Aktion.

Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Folder Name

Erforderlich.

Ein Postfachordner, in dem nach E‑Mails gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Mail IDs

Erforderlich.

Die IDs oder internetMessageId-Werte der E-Mails, die als Junk-E-Mails markiert werden sollen.

Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.

Aktionsausgaben

Die Aktion E-Mail als „Kein Junk“ markieren liefert die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion E‑Mail als „Nicht Spam“ markieren kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully marked the email as not junk.

Failed to find email with ID ID in MAILBOX.

Mailbox MAILBOX was not found.

 Die Aktion wurde ausgeführt.

Error executing action "Mark Email as Not Junk". Reason: ERROR_REASON

Failed to find any emails based on provided parameters!

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX.

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn Sie die Aktion E-Mail als „Nicht Spam“ markieren verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

E‑Mail in Ordner verschieben

Mit der Aktion E-Mail in Ordner verschieben können Sie eine oder mehrere E-Mails aus dem Quell-E-Mail-Ordner in einen anderen Ordner im Postfach verschieben. Mit den entsprechenden Berechtigungen können E-Mails durch diese Aktion in andere Postfächer verschoben werden als das, das in der Integrationskonfiguration angegeben ist.

Diese Aktion ist asynchron. Passen Sie das Zeitlimit für die Aktion in der integrierten Entwicklungsumgebung (IDE) von Google SecOps nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Verwenden Sie die folgenden Parameter, um die Aktion E-Mail in Ordner verschieben zu konfigurieren:

Parameter Beschreibung
Move In Mailbox

Erforderlich.

Das Standardpostfach, in dem der Verschiebevorgang ausgeführt wird. Wenn die Berechtigungen es zulassen, kann die Aktion auch in anderen Postfächern suchen. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.

Source Folder Name

Erforderlich.

Ein Quellordner, aus dem die E‑Mail verschoben werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Destination Folder Name

Erforderlich.

Ein Zielordner, in den die E‑Mail verschoben werden soll.

Geben Sie den Parameterwert im folgenden Format an: Inbox/folder_name/subfolder_name. Bei diesem Parameter muss die Groß- und Kleinschreibung nicht berücksichtigt werden.
Mail IDs

Optional.

Eine Filterbedingung, mit der nach E-Mails mit bestimmten E-Mail-IDs gesucht wird.

Dieser Parameter akzeptiert eine durch Kommas getrennte Liste von E-Mail-IDs, nach denen gesucht werden soll.

Wenn dieser Parameter angegeben wird, werden die Parameter Subject Filter und Sender Filter bei der Suche ignoriert.
Subject Filter

Optional.

Eine Filterbedingung, die den E‑Mail-Betreff angibt, nach dem gesucht werden soll.

Für diesen Filter wird die contains-Logik verwendet.
Sender Filter

Optional.

Eine Filterbedingung, die den Absender der angeforderten E-Mails angibt.

Für diesen Filter wird die equals-Logik verwendet.
Timeframe (Minutes)

Optional.

Eine Filterbedingung, die den Zeitraum in Minuten angibt, in dem nach E‑Mails gesucht werden soll.
Only Unread

Optional.

Wenn diese Option ausgewählt ist, werden nur ungelesene E‑Mails durchsucht.

Diese Option ist standardmäßig nicht ausgewählt.
How many mailboxes to process in a single batch

Optional.

Die Anzahl der Postfächer, die in einem einzelnen Batch (einer einzelnen Verbindung zum Mailserver) verarbeitet werden sollen.

Der Standardwert ist 25.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen für die Aktion E‑Mail in Ordner verschieben beschrieben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion E‑Mail in Ordner verschieben gibt die folgenden Ausgabemeldungen zurück:

Ausgabemeldung Nachrichtenbeschreibung

Successfully moved emails in the following mailboxes: MAILBOX: MOVED_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 Aktion erfolgreich.

Action was not able to find any emails based on the specified search criteria.

Action failed to move any emails because the provided source folder was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Action failed to move any emails because the provided destination folder was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion E-Mail in Ordner verschieben verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zum Microsoft Graph-E-Mail-Dienst zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen für die Aktion Ping beschrieben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung
Successfully connected to the Microsoft Graph mail service with the provided connection parameters! Aktion erfolgreich.
Failed to connect to the Microsoft Graph mail service! Error is ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion Ping verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

E‑Mail im Fall speichern

Mit der Aktion E‑Mail im Fall speichern können Sie E‑Mails oder E‑Mail-Anhänge in der Google SecOps Case Wall speichern. Mit den entsprechenden Berechtigungen können mit dieser Aktion E-Mails aus anderen Postfächern als dem in der Integrationskonfiguration angegebenen gespeichert werden.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E-Mail im Fall speichern sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Search In Mailbox

Erforderlich.

Das Standardpostfach, in dem der Suchvorgang ausgeführt wird. Wenn die Berechtigungen es zulassen, kann die Aktion auch in anderen Postfächern suchen.
Folder Name

Optional.

Ein Postfachordner, in dem nach E‑Mails gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Mail ID

Erforderlich.

Eine durch Kommas getrennte Liste der zu durchsuchenden E‑Mail-IDs.

Wenn Sie die Aktion E-Mail senden zum Senden von E-Mails verwendet haben, legen Sie den Parameterwert auf den Platzhalter {SendEmail.JSONResult|id} oder {SendEmail.JSONResult|internetMessageId} fest.
Save Only Email Attachments

Optional.

Wenn diese Option ausgewählt ist, werden nur Anhänge aus der angegebenen E‑Mail gespeichert.

Diese Option ist standardmäßig nicht ausgewählt.
Attachment To Save

Optional.

Wenn der Parameter Save Only Email Attachments ausgewählt ist, werden nur die Anhänge gespeichert, die durch diesen Parameter angegeben werden.

Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Base64 Encode

Optional.

Wenn diese Option ausgewählt ist, wird die E‑Mail-Datei in das Base64-Format codiert.

Diese Option ist standardmäßig nicht ausgewählt.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen für die Aktion E-Mail im Kundenvorgang speichern beschrieben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Anhang im Fall-Repository

Die folgenden Anhänge sind der Aktion E‑Mail im Kundenvorgang speichern zugeordnet:

  • EMAIL_SUBJECT.eml, wenn die E-Mail durch die Aktion gespeichert wird.

  • Wenn durch die Aktion der Anhang gespeichert wird, enthält der Anhangsname eine Dateiendung, sofern vorhanden.

JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die Sie erhalten, wenn Sie die Aktion E-Mail im Kundenvorgang speichern verwenden:

{
    "id": "ID",
    "createdDateTime": "2024-02-16T14:10:34Z",
    "eml_info": "example_info",
    "lastModifiedDateTime": "2024-02-16T14:10:41Z",
    "changeKey": "cxsdjjh",
    "categories": [],
    "receivedDateTime": "2024-02-16T14:10:35Z",
    "sentDateTime": "2024-02-16T14:09:36Z",
    "hasAttachments": true,
    "internetMessageId": "INTERNET_MESSAGE_ID",
    "subject": "all attachments",
    "bodyPreview": "all the attachments",
    "importance": "normal",
    "parentFolderId": "PARENT_FOLDER_ID",
    "conversationId": "CONVERSATION_ID",
    "conversationIndex": "example-index",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://example.com/",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "<html><head>example-html</head></html>"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "flag": {
        "flagStatus": "notFlagged"
    }
}
Ausgabemeldungen

In einem Fall-Repository werden mit der Aktion Save Email To The Case (E‑Mail im Fall speichern) die folgenden Ausgabenachrichten bereitgestellt:

Ausgabemeldung Nachrichtenbeschreibung

Email successfully saved!

Successfully saved the following attachments: ATTACHMENTS_LIST

The following attachments were not found in email with mail id: EMAIL_ID: ATTACHMENTS_LIST

 Aktion erfolgreich.

Mailbox MAILBOX_NAME was not found.

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX_NAME

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion Save Email To The Case (E-Mail im Fall speichern) verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

E‑Mails durchsuchen

Mit der Aktion E‑Mails durchsuchen können Sie anhand der angegebenen Suchkriterien in Ihrem Standardpostfach nach E‑Mails suchen. Mit den entsprechenden Berechtigungen kann bei dieser Aktion eine Suche in anderen Postfächern ausgeführt werden.

Diese Aktion ist asynchron. Passen Sie das Zeitlimit für die Aktion in der Google SecOps IDE nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mails durchsuchen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Search In Mailbox

Erforderlich.

Das Standardpostfach, in dem der Suchvorgang ausgeführt wird. Wenn die Berechtigungen es zulassen, kann die Aktion auch in anderen Postfächern suchen. Für diesen Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.

Für komplexe Suchvorgänge in einer großen Anzahl von Postfächern verwenden Sie die Exchange Extension Pack-Integration.
Folder Name

Erforderlich.

Ein Postfachordner, in dem nach E‑Mails gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.
Subject Filter

Optional.

Eine Filterbedingung, die den E‑Mail-Betreff angibt, nach dem gesucht werden soll.

Für diesen Filter wird die contains-Logik verwendet.
Sender Filter

Optional.

Eine Filterbedingung, die den Absender der angeforderten E-Mails angibt.

Für diesen Filter wird die equals-Logik verwendet.
Timeframe (Minutes)

Optional.

Eine Filterbedingung, die den Zeitraum in Minuten angibt, in dem nach E‑Mails gesucht werden soll.
Max Emails To Return

Optional.

Die Anzahl der E‑Mails, die für die Aktion zurückgegeben werden sollen.

Wenn Sie keinen Wert festlegen, wird der API-Standardwert verwendet.

Der Standardwert ist 10.
Only Unread

Optional.

Wenn diese Option ausgewählt ist, werden nur ungelesene E‑Mails durchsucht.

Diese Option ist standardmäßig nicht ausgewählt.
All Fields To Return

Optional.

Wenn diese Option ausgewählt ist, werden mit der Aktion alle verfügbaren Felder für die abgerufene E‑Mail-Adresse zurückgegeben.

Diese Option ist standardmäßig nicht ausgewählt.
How many mailboxes to process in a single batch

Optional.

Die Anzahl der Postfächer, die in einem einzelnen Batch (einer einzelnen Verbindung zum Mailserver) verarbeitet werden sollen.

Der Standardwert ist 25.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen für die Aktion Search Emails beschrieben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Tabelle „Fall-Repository“

In einer Fallwand wird mit der Aktion E‑Mails durchsuchen die folgende Tabelle bereitgestellt:

Tabellentitel: Übereinstimmende E-Mail-Adressen

Spalten:

  • E-Mail-ID
  • Subject
  • Sender
  • Empfänger
  • Received Date
Ausgabemeldungen

Die Aktion E‑Mails durchsuchen gibt die folgenden Ausgabenachrichten zurück:

Action was not able to find any emails based on the specified search criteria.

Ausgabemeldung Nachrichtenbeschreibung

Successfully found emails in the following mailboxes: MAILBOX: FOUND_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 Aktion erfolgreich.

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion E‑Mails durchsuchen verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

E-Mail senden

Mit der Aktion E‑Mail senden können Sie E‑Mails von einem bestimmten Postfach an eine beliebige Liste von Empfängern senden.

Mit dieser Aktion können E‑Mails im Nur-Text- oder HTML-Format gesendet werden. Mit den entsprechenden Berechtigungen kann die Aktion E-Mails von einem anderen Postfach als dem in der Integrationskonfiguration angegebenen senden.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E‑Mail senden sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Send From

Erforderlich.

Eine optionale E-Mail-Adresse, von der E-Mails gesendet werden sollen, sofern die Berechtigungen dies zulassen.

Standardmäßig werden E-Mails mit der Aktion über das in der Integrationskonfiguration angegebene Standardpostfach gesendet.
Subject

Erforderlich.

Der Betreff der E‑Mail.
Send to

Erforderlich.

Eine durch Kommas getrennte Liste der E‑Mail-Adressen der E‑Mail-Empfänger, z. B. user1@example.com, user2@example.com.
CC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das E‑Mail-Feld „Cc“.

Das Format ist dasselbe wie für den Parameter Send to.
BCC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das BCC-Feld der E‑Mail.

Das Format ist dasselbe wie für den Parameter Send to.
Attachments Paths

Optional.

Eine durch Kommas getrennte Liste mit Pfaden für Dateianhänge, die auf dem Server gespeichert sind, z. B. /FILE_DIRECTORY/file.pdf, /FILE_DIRECTORY/image.jpg.
Attachments Location

Erforderlich.

Ein Ort, an dem die Anhänge gespeichert werden.

Standardmäßig versucht die Aktion, Anhänge aus dem Cloud Storage-Bucket hochzuladen.

Die möglichen Werte sind GCP Bucket oder Local File System. Der Standardwert ist GCP Bucket.
Mail Content Type

Optional.

Der Typ des E-Mail-Inhalts.

Folgende Werte sind möglich:

  • Text
  • HTML

Der Standardwert ist Text.
Mail Content

Erforderlich.

Der E‑Mail-Text.
Reply-To Recipients

Optional.

Eine durch Kommas getrennte Liste von Empfängern, die im Header Reply-To verwendet werden sollen.

Verwenden Sie den Reply-To-Header, um Antwort-E-Mails an die angegebene E-Mail-Adresse weiterzuleiten, anstatt an die Adresse des Absenders im Feld From.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen beschrieben, die mit der Aktion E-Mail senden verknüpft sind:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion E-Mail senden gibt die folgenden Ausgabenachrichten zurück:

Ausgabemeldung Nachrichtenbeschreibung

Email was sent successfully.

 Aktion erfolgreich.

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion E-Mail senden verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

HTML-E‑Mail senden

Mit der Aktion Send Email HTML (E‑Mail als HTML senden) können Sie E‑Mails, für die Sie die Google SecOps-HTML-Vorlage verwenden, von einem bestimmten Postfach an eine beliebige Liste von Empfängern senden. Mit den entsprechenden Berechtigungen kann die Aktion E-Mails von einem anderen Postfach als dem Standardpostfach senden.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E-Mail-HTML senden sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Send From

Erforderlich.

Eine optionale E-Mail-Adresse, von der E-Mails gesendet werden sollen, sofern die Berechtigungen dies zulassen.

Standardmäßig werden E-Mails mit der Aktion über das in der Integrationskonfiguration angegebene Standardpostfach gesendet.
Subject

Erforderlich.

Der Betreff der E‑Mail.
Send to

Erforderlich.

Eine durch Kommas getrennte Liste der E‑Mail-Adressen der E‑Mail-Empfänger, z. B. user1@example.com, user2@example.com.
CC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das E‑Mail-Feld „Cc“.

Das Format ist dasselbe wie für den Parameter Send to.
BCC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das BCC-Feld der E‑Mail.

Das Format ist dasselbe wie für den Parameter Send to.
Attachments Paths

Optional.

Ein vollständiger Pfad für den bereitzustellenden Anhang, z. B. /FILE_DIRECTORY/file.pdf oder /FILE_DIRECTORY/image.jpg.

Sie können mehrere Werte in einem durch Kommas getrennten String angeben.
Email HTML Template

Erforderlich.

Der Typ der zu verwendenden HTML-Vorlage.

Die möglichen Werte sind Email HTML Template und Dynamically generated list of available templates.

Der Standardwert ist Email HTML Template.
Mail Content

Erforderlich.

Der E‑Mail-Text.
Reply-To Recipients

Optional.

Eine durch Kommas getrennte Liste von Empfängern, die im Header Reply-To verwendet werden sollen.

Verwenden Sie den Reply-To-Header, um Antwort-E-Mails an die angegebene E-Mail-Adresse weiterzuleiten, anstatt an die im Feld From angegebene Adresse des Absenders.
Attachment Location

Erforderlich.

Ein Ort, an dem die Anhänge gespeichert werden.

Standardmäßig versucht die Aktion, Anhänge aus dem Cloud Storage-Bucket hochzuladen.

Die möglichen Werte sind GCP Bucket oder Local File System. Der Standardwert ist GCP Bucket.

Aktionsausgaben

Die Aktion E-Mail-HTML senden bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die Sie erhalten, wenn Sie die Aktion E-Mail als HTML senden verwenden:

{
    "createdDateTime": "2024-01-30T16:50:27Z",
    "lastModifiedDateTime": "2024-01-30T16:50:27Z",
    "changeKey": "example-key",
    "categories": [],
    "receivedDateTime": "2024-01-30T16:50:27Z",
    "sentDateTime": "2024-01-30T16:50:27Z",
    "hasAttachments": false,
    "internetMessageId": "outlook.com",
    "subject": "Testing",
    "bodyPreview": "example",
    "importance": "normal",
    "parentFolderId": "ID",
    "conversationId": "ID",
    "conversationIndex": "INDEX",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://example.com",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "content"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "uniqueBody": {
        "contentType": "html",
        "content": "content"
    },
    "flag": {
        "flagStatus": "notFlagged"
    },
    "id": "ID"
}
Ausgabemeldungen

In einer Case Wall werden mit der Aktion E-Mail-HTML senden die folgenden Ausgabenachrichten bereitgestellt:

Ausgabemeldung Nachrichtenbeschreibung
Email was sent successfully. Aktion erfolgreich.

Action failed to run because the HTML template was not specified.

Action failed to run because the following specified attachments were not found: ATTACHMENT_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion Send Email HTML verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

Antwort auf Unterhaltung senden

Mit der Aktion Thread-Antwort senden können Sie eine Nachricht als Antwort auf die E‑Mail-Konversation senden. Mit den entsprechenden Berechtigungen kann die Aktion E-Mails von einem anderen Postfach als dem in der Integrationskonfiguration angegebenen senden.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Send Thread Reply (Antwort auf Thread senden) sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Send From

Erforderlich.

Eine optionale E-Mail-Adresse, von der E-Mails gesendet werden sollen, sofern die Berechtigungen dies zulassen.

Standardmäßig werden E-Mails mit der Aktion über das in der Integrationskonfiguration angegebene Standardpostfach gesendet.
Mail ID

Erforderlich.

Die E‑Mail-ID, nach der gesucht werden soll.
Folder Name

Optional.

Ein Postfachordner, in dem nach E‑Mails gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.

Der Standardwert ist Inbox.
Attachments Paths

Optional.

Eine durch Kommas getrennte Liste mit Pfaden für Dateianhänge, die auf dem Server gespeichert sind, z. B. /FILE_DIRECTORY/file.pdf, /FILE_DIRECTORY/image.jpg.
Mail Content

Erforderlich.

Der E‑Mail-Text.
Reply All

Optional.

Wenn diese Option ausgewählt ist, wird eine Antwort an alle Empfänger der ursprünglichen E‑Mail gesendet.

Diese Option ist standardmäßig nicht ausgewählt.

Dieser Parameter hat Vorrang vor dem Parameter Reply To.
Reply To

Optional.

Eine durch Kommas getrennte Liste der E-Mail-Adressen, an die die Antwort gesendet werden soll.

Wenn Sie keinen Wert angeben und das Kästchen Reply All nicht angekreuzt ist, wird nur eine Antwort an den ursprünglichen Absender der E‑Mail gesendet.

Wenn das Kästchen Reply All angeklickt ist, wird dieser Parameter bei der Aktion ignoriert.
Attachments Location

Erforderlich.

Ein Ort, an dem die Anhänge gespeichert werden.

Standardmäßig versucht die Aktion, Anhänge aus dem Cloud Storage-Bucket hochzuladen.

Die möglichen Werte sind GCP Bucket oder Local File System. Der Standardwert ist GCP Bucket.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen beschrieben, die mit der Aktion Thread-Antwort senden verknüpft sind:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion Antwort auf Thread senden gibt die folgenden Ausgabenachrichten zurück:

Ausgabemeldung Nachrichtenbeschreibung
Successfully sent reply to the mail with ID: EMAIL_ID Aktion erfolgreich.
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

Aktion fehlgeschlagen.

Prüfen Sie den Wert des Parameters Reply To.

Error executing action "Send Thread Reply" because the provided mail id EMAIL_ID was not found.

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion Send Thread Reply (Antwort auf Thread senden) verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

E‑Mail zur Abstimmung senden

Mit der Aktion E‑Mail mit Abstimmung senden können Sie E‑Mails mit den vordefinierten Antwortoptionen senden. Bei dieser Aktion werden Google SecOps-HTML-Vorlagen verwendet, um die E‑Mail zu formatieren. Mit den entsprechenden Berechtigungen kann mit der Aktion E-Mail mit Abstimmung senden E-Mails von einem anderen als dem Standardpostfach gesendet werden.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion E-Mail mit Aufforderung zur Stimmabgabe senden sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Send From

Erforderlich.

Eine optionale E-Mail-Adresse, von der E-Mails gesendet werden sollen, sofern die Berechtigungen dies zulassen.

Standardmäßig werden E-Mails mit der Aktion über das in der Integrationskonfiguration angegebene Standardpostfach gesendet.
Subject

Erforderlich.

Der Betreff der E‑Mail.
Send to

Erforderlich.

Eine durch Kommas getrennte Liste der E‑Mail-Adressen der E‑Mail-Empfänger, z. B. user1@example.com, user2@example.com.
CC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das E‑Mail-Feld „Cc“.

Das Format ist dasselbe wie für den Parameter Send to.
BCC

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen für das BCC-Feld der E‑Mail.

Das Format ist dasselbe wie für den Parameter Send to.
Attachments Paths

Optional.

Ein vollständiger Pfad für den bereitzustellenden Anhang, z. B. /FILE_DIRECTORY/file.pdf oder /FILE_DIRECTORY/image.jpg.

Sie können mehrere Werte in einem durch Kommas getrennten String angeben.
Email HTML Template

Erforderlich.

Der Typ der zu verwendenden HTML-Vorlage.

Die möglichen Werte sind Email HTML Template und Dynamically generated list of available templates.

Der Standardwert ist Email HTML Template.
Reply-To Recipients

Optional.

Eine durch Kommas getrennte Liste von Empfängern, die im Header Reply-To verwendet werden sollen.

Verwenden Sie den Reply-To-Header, um Antwort-E-Mails an die angegebene E-Mail-Adresse weiterzuleiten, anstatt an die Absenderadresse, die im Feld From angegeben ist.
Structure of voting options

Erforderlich.

Die Struktur der Abstimmung, die an die Empfänger gesendet wird.

Die möglichen Werte sind Yes/No oder Approve/Reject. Der Standardwert ist Yes/No.

Attachment Location

Erforderlich.

Ein Ort, an dem die Anhänge gespeichert werden.

Standardmäßig wird versucht, den Anhang aus dem Cloud Storage-Bucket hochzuladen.

Die möglichen Werte sind GCP Bucket oder Local File System. Der Standardwert ist GCP Bucket.

Aktionsausgaben

Die Aktion E‑Mail mit Abstimmung senden bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die Sie erhalten, wenn Sie die Aktion Send Vote Email verwenden:

{
    "createdDateTime": "2024-01-30T16:50:27Z",
    "lastModifiedDateTime": "2024-01-30T16:50:27Z",
    "changeKey": "KEY",
    "categories": [],
    "receivedDateTime": "2024-01-30T16:50:27Z",
    "sentDateTime": "2024-01-30T16:50:27Z",
    "hasAttachments": false,
    "internetMessageId": "<example-message-ID>",
    "subject": "Testing",
    "bodyPreview": "example",
    "importance": "normal",
    "parentFolderId": "FOLDER_ID",
    "conversationId": "CONVERSATION_ID",
    "conversationIndex": "CONVERSATION_INDEX",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://www.example.com/about",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "content"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "uniqueBody": {
        "contentType": "html",
        "content": "content"
    },
    "flag": {
        "flagStatus": "notFlagged"
    },
    "id": "ID"
}
Ausgabemeldungen

In einer Case Wall werden mit der Aktion Send Vote Email die folgenden Ausgabemeldungen generiert:

Ausgabemeldung Nachrichtenbeschreibung
Email was sent successfully. Aktion erfolgreich.

Action failed to run because the HTML template was not specified.

Action failed to run because the following specified attachments were not found: ATTACHMENT_LIST

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion E-Mail mit Abstimmungslink senden verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

Auf E‑Mail vom Nutzer warten

Mit der Aktion Auf E-Mail vom Nutzer warten wird auf die Antwort des Nutzers auf eine E-Mail gewartet, die mit der Aktion E-Mail senden gesendet wurde.

Diese Aktion ist asynchron. Passen Sie das Zeitlimit für die Aktion in der Google SecOps IDE nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Auf E-Mail vom Nutzer warten sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Mail ID

Erforderlich.

Die ID der E‑Mail-Adresse.

Wenn Sie die Aktion E-Mail senden zum Senden von E-Mails verwendet haben, legen Sie den Parameterwert auf den Platzhalter {SendEmail.JSONResult|id} oder {SendEmail.JSONResult|internetMessageId} fest.
Wait for All Recipients To Reply?

Optional.

Wenn diese Option ausgewählt ist, wartet die Aktion auf Antworten von allen Empfängern, bis das Zeitlimit erreicht ist oder mit der ersten Antwort fortgefahren wird.

Standardmäßig ausgewählt.
Wait Stage Exclude Pattern

Optional.

Ein regulärer Ausdruck, um bestimmte Antworten aus der Wartephase auszuschließen. Dieser Parameter funktioniert mit dem E-Mail-Text.

Wenn Sie beispielsweise den regulären Ausdruck Out of Office.* konfigurieren, werden automatische Abwesenheitsnotizen nicht als Antworten des Empfängers berücksichtigt und die Aktion wartet auf die Antwort eines tatsächlichen Nutzers.
Folder To Check For Reply

Optional.

Ein E-Mail-Ordner im Postfach, in dem nach der Antwort des Nutzers gesucht werden soll. Die Suche wird in dem Postfach ausgeführt, aus dem die E‑Mail mit einer Frage gesendet wurde.

Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden.

Der Standardwert ist Inbox.
Fetch Response Attachments

Optional.

Wenn diese Option ausgewählt ist und die Antwort des Empfängers Anhänge enthält, ruft die Aktion die Antwort ab und fügt sie als Anhang zum Aktionsergebnis hinzu.

Diese Option ist standardmäßig nicht ausgewählt.

Aktionsausgaben

In der folgenden Tabelle werden die Ausgabetypen für die Aktion Auf E-Mail vom Nutzer warten beschrieben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Anhang im Fall-Repository

Der folgende Case Wall-Anhang ist mit der Aktion Wait For Mail From User (Auf E-Mail vom Nutzer warten) verknüpft:

Typ: Entität

Inhalt des Anhangs: Titel, Dateiname (mit Erweiterungen, falls vorhanden), fileContent.

  • Titel: RECIPIENT_EMAIL Antwortanhang.
  • Dateiname: ATTACHMENT_FILENAME  + FILE_EXTENSION
  • fileContent: CONTENT_OF_THE_ATTACHED_FILE
Tabelle „Fall-Repository“

Mit der Aktion Wait For Mail From User (Auf E-Mail vom Nutzer warten) kann die folgende Tabelle generiert werden:

Tabellentitel: Übereinstimmende E-Mail-Adressen

Spalten:

  • E-Mail-ID
  • Received Date
  • Sender
  • Empfänger
  • Subject
Ausgabemeldungen

Die Aktion Auf E-Mail vom Nutzer warten gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT.

 Aktion erfolgreich.

Action failed to receive any replies until timeout.

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion Auf E-Mail vom Nutzer warten verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

Auf E-Mail-Ergebnisse der Abstimmung warten

Mit der Aktion Wait For Vote Email Results (Auf Ergebnisse der E-Mail-Abstimmung warten) wird auf die Nutzerantwort auf die Abstimmungs-E-Mail gewartet, die mit der Aktion Send Vote Email (E-Mail-Abstimmung senden) gesendet wurde.

Diese Aktion ist asynchron. Passen Sie das Zeitlimit für die Aktion in der Google SecOps IDE nach Bedarf an.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Wait For Vote Email Results sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Vote Mail Sent From

Erforderlich.

Das Postfach, über das mit der Aktion Send Vote Email eine E-Mail gesendet wurde.

Der Standardwert ist das Postfach, das Sie in der Integrationskonfiguration angegeben haben.

Optional können Sie für diesen Parameter einen anderen Wert festlegen, wenn die E‑Mail mit der Aufforderung zur Abstimmung von einem anderen Postfach gesendet wird.
Mail ID

Erforderlich.

Die ID der E‑Mail-Adresse.

Wenn die E‑Mail mit der Aktion Send Vote Email gesendet wird, legen Sie den Parameterwert auf den Platzhalter SendVoteEmail.JSONResult|id oder SendEmail.JSONResult|internetMessageId fest.

Mit der Aktion E-Mails suchen können Sie E-Mail-IDs zurückgeben.
Wait for All Recipients To Reply?

Optional.

Wenn diese Option ausgewählt ist, wartet die Aktion auf Antworten von allen Empfängern, bis das Zeitlimit erreicht ist oder mit der ersten Antwort fortgefahren wird.

Standardmäßig ausgewählt.
Wait Stage Exclude Pattern

Optional.

Ein regulärer Ausdruck, um bestimmte Antworten aus der Wartephase auszuschließen.

Dieser Parameter funktioniert mit dem E-Mail-Text.

Beispiel: Bei der Aktion werden automatische Abwesenheitsnotizen nicht als Antworten des Empfängers berücksichtigt. Stattdessen wird auf eine tatsächliche Antwort des Nutzers gewartet.
Folder To Check For Reply

Optional.

Ein E‑Mail-Ordner im Postfach, in dem nach der Antwort des Nutzers gesucht werden soll. Die Suche wird im Postfach ausgeführt, aus dem die E-Mail mit einer Frage gesendet wurde.

Dieser Parameter akzeptiert eine durch Kommas getrennte Liste von Ordnern, in denen die Nutzerantwort geprüft werden soll.

Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden.

Der Standardwert ist Inbox.
Folder To Check For Sent Mail

Optional.

Ein Postfachordner, in dem nach der gesendeten E‑Mail gesucht werden soll. Es handelt sich um ein Postfach, von dem aus Sie die E‑Mail mit einer Frage gesendet haben.

Dieser Parameter akzeptiert eine durch Kommas getrennte Liste von Ordnern, in denen die Nutzerantwort überprüft werden soll.

Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.

Der Standardwert ist Sent Items.
Fetch Response Attachments

Optional.

Wenn diese Option ausgewählt ist und die Antwort des Empfängers Anhänge enthält, ruft die Aktion die Antwort ab und fügt sie als Anhang an der Fallwand hinzu.

Diese Option ist standardmäßig nicht ausgewählt.

Aktionsausgaben

Die Aktion Wait For Vote Email Results (Auf E-Mail-Ergebnisse der Abstimmung warten) gibt Folgendes aus:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Anhang im Fall-Repository

Der folgende Case Wall-Anhang ist der Aktion Wait For Vote Email Results zugeordnet:

Typ: Entität

Inhalt des Anhangs: Titel, Dateiname (mit Erweiterungen, falls vorhanden), fileContent.

  • Titel: RECIPIENT_EMAIL Antwortanhang.
  • Dateiname: ATTACHMENT_FILENAME  + FILE_EXTENSION
  • fileContent: CONTENT_OF_THE_ATTACHED_FILE
Tabelle „Fall-Repository“

In einem Fall-Repository wird durch die Aktion Auf E-Mail-Ergebnisse warten die folgende Tabelle generiert:

Tabellentitel: Übereinstimmende E-Mail-Adressen

Spalten:

  • E-Mail-ID
  • Received Date
  • Sender
  • Empfänger
  • Subject
JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die Sie erhalten, wenn Sie die Aktion Wait For Vote Email Results (Auf E-Mail-Ergebnisse der Abstimmung warten) verwenden:

{
    "Responses": [
        {
            "recipient": "user@example.com",
            "vote": "Approve"
        }
    ]
}
Ausgabemeldungen

Die Aktion Wait For Vote Email Results (Auf E-Mail-Ergebnisse der Abstimmung warten) gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung

Found the user EMAIL_RECIPIENT reply: USER_REPLY.

Exceeded timeout to get a reply from user: EMAIL_RECIPIENT.

 Aktion erfolgreich.

Action failed to receive any replies until timeout.

Failed to execute action, the error is: ERROR_REASON

Aktion fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses beschrieben, wenn Sie die Aktion Wait For Vote Email Results verwenden:

Name des Scriptergebnisses Wert
is_success True oder False

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Microsoft Graph Mail-Connector

Verwenden Sie den Microsoft Graph Mail Connector, um E‑Mails aus dem Microsoft Graph-E‑Mail-Dienst abzurufen.

Mit der dynamischen Liste können Sie die angegebenen Werte aus den Teilen des E‑Mail-Bodys und der Betreffzeile herausfiltern, indem Sie reguläre Ausdrücke verwenden. Standardmäßig verwendet der Connector einen regulären Ausdruck, um die URLs aus der E‑Mail herauszufiltern.

Connector-Eingaben

Für den Microsoft Graph Mail Delegated Connector sind die folgenden Parameter erforderlich:
Parameter Beschreibung
Product Field Name

Erforderlich.

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Standardwert ist device_product.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert device_product in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallbackwert aufgelöst.
Event Field Name

Erforderlich.

Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird.

Der Standardwert ist event_name.
Environment Field Name

Optional.

Der Name des Felds, in dem der Name der Umgebung gespeichert ist.

Wenn das Feld „environment“ nicht gefunden wird, wird die Umgebung auf "" gesetzt.

Environment Regex Pattern

Optional.

Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Environment Field Name angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten.

Verwenden Sie den Standardwert .*, um den erforderlichen Rohwert Environment Field Name abzurufen.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis "".
Email Exclude Pattern

Optional.

Ein regulärer Ausdruck, um bestimmte E‑Mails wie Spam oder Newsletter von der Aufnahme auszuschließen.

Dieser Parameter funktioniert sowohl mit dem Betreff als auch mit dem Text der E‑Mail.
PythonProcessTimeout

Erforderlich.

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.

Der Standardwert ist 300.
Azure AD Endpoint

Erforderlich.

Der Microsoft Entra-Endpunkt, der in der Integration verwendet werden soll.

Der Standardwert ist https://login.microsoftonline.com.
Microsoft Graph Endpoint

Erforderlich.

Der Microsoft Graph-Endpunkt, der in der Integration verwendet werden soll.

Der Standardwert ist https://graph.microsoft.com.
Mail Address

Erforderlich.

Eine E-Mail-Adresse, die vom Connector verwendet werden soll.
Client ID

Erforderlich.

Eine Anwendungs-ID (Client-ID) der Microsoft Entra-Anwendung.
Secret ID

Erforderlich.

Der Clientschlüsselwert der Microsoft Entra-Anwendung.
Tenant (Directory) ID

Erforderlich.

Der Wert für die Microsoft Entra ID (Mandanten-ID).
Folder to check for emails

Erforderlich.

Ein E‑Mail-Ordner, in dem nach den E‑Mails gesucht werden soll. Dieser Parameter akzeptiert eine durch Kommas getrennte Liste von Ordnern, in denen nach der Nutzerantwort gesucht werden soll. Wenn Sie einen Unterordner angeben möchten, verwenden Sie den Schrägstrich /, z. B. Inbox/Subfolder.

Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden.

Der Standardwert ist Inbox.
Offset Time In Hours

Erforderlich.

Die Anzahl der Stunden vor der ersten Connector-Iteration, in denen E-Mails abgerufen werden sollen. Dieser Parameter gilt für die erste Connector-Iteration, nachdem Sie den Connector zum ersten Mal aktiviert haben. Der Connector kann diesen Parameter als Fallback-Wert verwenden, wenn der Zeitstempel aus der letzten Connector-Iteration abläuft.

Der Standardwert ist 24.
Max Emails Per Cycle

Erforderlich.

Die Anzahl der E-Mails, die für jede Connector-Iteration abgerufen werden sollen.

Der Standardwert ist 10.
Unread Emails Only

Optional.

Wenn diese Option ausgewählt ist, werden Anfragen nur aus ungelesenen E‑Mails erstellt.

Diese Option ist standardmäßig nicht ausgewählt.
Mark Emails as Read

Optional.

Wenn diese Option ausgewählt ist, werden E‑Mails nach dem Import als gelesen markiert.

Diese Option ist standardmäßig nicht ausgewählt.
Disable Overflow

Optional.

Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus.

Diese Option ist standardmäßig nicht ausgewählt.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung mit Microsoft Graph validiert.

Standardmäßig ausgewählt.
Original Received Mail Prefix

Optional.

Ein Präfix, das den extrahierten Ereignisschlüsseln (z. B. to, from oder subject) aus der ursprünglichen E-Mail hinzugefügt werden soll, die im überwachten Postfach empfangen wurde.

Der Standardwert ist orig.
Attached Mail File Prefix

Optional.

Ein Präfix, das den extrahierten Ereignisschlüsseln (z. B. to, from oder subject) aus der angehängten E-Mail-Datei hinzugefügt werden soll, die im überwachten Postfach empfangen wurde.

Der Standardwert ist attach.
Create a Separate Google Secops Alert per Attached Mail File

Optional.

Wenn diese Option ausgewählt ist, werden vom Connector mehrere Benachrichtigungen erstellt, nämlich eine für jede angehängte E‑Mail-Datei.

Dieses Verhalten ist nützlich, wenn Sie E‑Mails mit mehreren angehängten E‑Mail-Dateien verarbeiten und die Google SecOps-Ereigniszuordnung so festlegen, dass Entitäten aus angehängten E‑Mail-Dateien erstellt werden.

Diese Option ist standardmäßig nicht ausgewählt.
Attach Original EML

Optional.

Wenn diese Option ausgewählt ist, wird die ursprüngliche E‑Mail als EML-Datei an die Fallinformationen angehängt.

Diese Option ist standardmäßig nicht ausgewählt.
Headers to add to events

Optional.

Ein durch Kommas getrennter String mit E-Mail-Headern, die Google SecOps-Ereignissen hinzugefügt werden sollen, z. B. DKIM-Siganture, Received oder From.

Sie können eine genaue Übereinstimmung für Header konfigurieren oder diesen Parameterwert als regulären Ausdruck festlegen.

Der Connector filtert die konfigurierten Werte aus der Liste internetMessageHeaders und fügt sie dem Google SecOps-Ereignis hinzu.

Wenn Sie verhindern möchten, dass der Connector dem Ereignis Header hinzufügt, legen Sie den Parameterwert so fest: None.

Standardmäßig werden alle verfügbaren Header vom Connector hinzugefügt.
Case Name Template

Optional.

Ein benutzerdefinierter Fallname.

Wenn Sie diesen Parameter konfigurieren, fügt der Connector dem Google SecOps SOAR-Ereignis einen neuen Schlüssel namens custom_case_name hinzu.

Sie können Platzhalter im folgenden Format angeben: [name of the field].

Beispiel: Phishing - [event_mailbox].

Für Platzhalter verwendet der Connector das erste Google SecOps SOAR-Ereignis. Der Connector verarbeitet nur Schlüssel, die den Stringwert enthalten.
Alert Name Template

Optional.

Ein benutzerdefinierter Name für die Benachrichtigung.

Sie können Platzhalter im folgenden Format angeben: [name of the field].

Beispiel: Phishing - [event_mailbox].

Für Platzhalter verwendet der Connector das erste Google SecOps SOAR-Ereignis. Der Connector verarbeitet nur Schlüssel, die den Stringwert enthalten. Wenn Sie keinen Wert oder eine ungültige Vorlage angeben, verwendet der Connector den Standardnamen für Benachrichtigungen.
Proxy Server Address

Optional.

Die Adresse des zu verwendenden Proxyservers.
Proxy Username

Optional.

Der Proxy-Nutzername für die Authentifizierung.
Proxy Password

Optional.

Das Proxy-Passwort für die Authentifizierung.
Mail Field Source

Optional.

Wenn diese Option ausgewählt ist, ruft die Integration die Postfachadresse aus dem Attribut mail der Nutzerdetails ab. Wenn diese Option nicht ausgewählt ist, wird die E-Mail-Adresse aus dem Feld userPrincipalName abgerufen.

Diese Option ist standardmäßig nicht ausgewählt.
Base64 Encoded Private Key

Optional.

Geben Sie einen base64-codierten privaten Schlüssel an, der zum Entschlüsseln der E-Mail verwendet wird.
Base64 Encoded Certificate

Optional.

Geben Sie ein Base64-codiertes Zertifikat an, das zum Entschlüsseln der E‑Mail verwendet wird.
Base64 Encoded CA certificate

Optional.

Geben Sie ein base64-codiertes vertrauenswürdiges CA-Zertifikat für die Signaturprüfung an.

Connector-Regeln

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten