将 Microsoft Graph Mail 与 Google SecOps 集成

本文档介绍了如何将 Microsoft Graph Mail 与 Google Security Operations (Google SecOps) 集成。

准备工作

在 Google SecOps 中配置 Microsoft Graph Mail Delegated 集成之前,请完成以下步骤:

  1. 创建 Microsoft Entra 应用

  2. 为应用配置 API 权限

  3. 创建客户端密钥

创建 Microsoft Entra 应用

如需创建 Microsoft Entra 应用,请完成以下步骤:

  1. 以用户管理员或密码管理员身份登录 Azure 门户

  2. 选择 Microsoft Entra ID

  3. 依次前往应用注册 > 新注册

  4. 输入应用的名称。

  5. 点击注册

    本文档提供了一个使用单租户设置的示例。集成支持的 OAuth 流程(客户端凭据)不需要重定向网址。

  6. 保存应用(客户端)ID目录(租户)ID 值,以配置集成参数

配置 API 权限

如需为集成配置 API 权限,请完成以下步骤:

  1. 在 Azure 门户中,依次前往 API 权限 > 添加权限

  2. 依次选择 Microsoft Graph > 应用权限

  3. 选择权限部分中,选择以下必需权限:

    • Mail.Read
    • Mail.ReadWrite
    • Mail.Send
    • User.Read
    • Directory.Read.All

  4. 点击添加权限

  5. 点击ORGANIZATION_NAME 授予管理员同意书

    当系统显示授予管理员同意权限确认对话框时,点击

限制应用对特定邮箱的访问权限

默认情况下,具有 Mail.ReadWriteMail.Send 应用权限的应用可以访问组织中的所有邮箱。如需将应用的访问权限限制为仅限特定邮箱,请在 Microsoft Exchange Online 中配置应用访问政策

如需配置应用访问权限政策,请完成以下步骤:

  1. 连接到 Exchange Online PowerShell:

    1. 以管理员身份打开 PowerShell。

    2. 安装 Exchange Online 管理模块(如果尚未安装):

      Install-Module -Name ExchangeOnlineManagement

    3. 连接到 Exchange Online:

      Connect-ExchangeOnline

  2. 确定应用 ID 和目标邮箱:

    1. 从 Azure AD 获取 Microsoft Graph Mail 应用的客户端 ID(应用 ID)

    2. 确定您希望应用访问的邮箱的电子邮件地址。为了便于管理,请在 Azure AD 中创建一个已启用邮件的安全组,并将这些邮箱添加为成员。

  3. 创建应用访问权限政策:

    1. 使用 New-ApplicationAccessPolicy cmdlet 创建一项政策,以限制对所选邮箱的访问权限。

    2. 可选:限制对特定安全组邮箱的访问权限:

      1. <Your_Application_ID> 替换为应用的客户端 ID。

      2. <Security_Group_Email_Address> 替换为包含允许的邮箱的安全组的电子邮件地址。

      New-ApplicationAccessPolicy -AppId "<Your_Application_ID>" -PolicyScopeGroupId "<Security_Group_Email_Address>" -AccessRight RestrictAccess -Description "SOAR Graph Mail Access Policy"

  4. 使用 Test-ApplicationAccessPolicy cmdlet 验证政策的有效性:

       Test-ApplicationAccessPolicy -AppId "<Your_Application_ID>" -Identity "user_email_to_test@yourdomain.com"

    此命令用于根据已应用的政策,指示应用是否具有对指定邮箱的访问权限。

注意

  • 您需要具备 Exchange Online 中的 OrganizationManagementSecurity Administrator 权限才能创建这些政策。

  • 政策更改通常会在 30 分钟内生效。

  • 应用政策后,应用只能访问允许的邮箱。尝试访问其他人的数据会返回 Access Denied 错误。

创建客户端密钥

如需创建客户端密钥,请完成以下步骤:

  1. 前往证书和密钥 > 新客户端密钥

  2. 为客户端密钥提供说明并设置其失效期限。

  3. 点击 Add(添加)。

  4. 保存客户端密钥的值(而非密钥 ID),以便在配置集成时将其用作密钥 ID 参数值。客户端密钥值仅显示一次。

集成参数

Microsoft Graph 邮件集成需要以下参数:
参数 说明
Azure AD Endpoint

必填。

集成中要使用的 Microsoft Entra ID 端点。

不同租户类型的值可能不同。

默认值为 https://login.microsoftonline.com
Microsoft Graph Endpoint

必填。

集成中要使用的 Microsoft Graph 端点。

不同租户类型的值可能不同。

默认值为 https://graph.microsoft.com
Client ID

必填。

要在集成中使用的 Microsoft Entra 应用的客户端(应用)ID。
Secret ID

必填。

要在集成中使用的 Microsoft Entra 应用的客户端密钥值。
Tenant

必填。

Microsoft Entra ID(租户 ID)值。
Default Mailbox

必填。

要在集成中使用的邮箱。
Mail Field Source

可选。

如果选择此选项,集成会从用户详情 mail 属性中检索邮箱地址。如果未选择,集成会从 userPrincipalName 字段检索邮箱地址。

默认情况下未选中。
Verify SSL

必填。

如果选中此选项,集成会在连接到 Microsoft Graph 时验证 SSL 证书。

此选项将会默认选中。
Base64 Encoded Private Key

可选。

指定将用于解密电子邮件的 base64 编码私钥。
Base64 Encoded Certificate

可选。

指定将用于解密电子邮件的 base64 编码证书。
Base64 Encoded CA certificate

可选。

指定用于签名验证的 base64 编码的可信 CA 证书。

如需了解如何在 Google SecOps 中配置集成,请参阅配置集成

如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例

操作

在配置操作之前,请为集成提供所需的权限。如需了解详情,请参阅本文档的配置 API 权限部分。

删除电子邮件

您可以使用删除电子邮件操作从邮箱中删除一封或多封电子邮件。此操作会根据您的搜索条件删除电子邮件。在获得相应权限后,删除电子邮件操作可以将电子邮件移至不同的邮箱。

此操作是异步的。根据需要在 Google SecOps 集成开发环境 (IDE) 中调整操作超时时间。

此操作不适用于 Google SecOps 实体。

操作输入

删除电子邮件操作需要以下参数:

参数 说明
Delete In Mailbox

必填。

运行删除操作的默认邮箱。如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
Folder Name

必填。

用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Mail IDs

可选。

用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。

此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。

如果提供此参数,搜索会忽略 Subject FilterSender Filter 参数。
Subject Filter

可选。

指定要搜索的电子邮件主题的过滤条件。
Sender Filter

可选。

指定所请求电子邮件发件人的过滤条件。
Timeframe (Minutes)

可选。

一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。
Only Unread

可选。

如果选中此复选框,相应操作将仅搜索未读电子邮件。

默认情况下未选中。
How many mailboxes to process in a single batch

可选。

单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。

默认值为 25

操作输出

下表介绍了与删除电子邮件操作关联的输出类型:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

删除电子邮件操作提供以下输出消息:

输出消息 消息说明

Successfully deleted emails in the following mailboxes: MAILBOX_NAME: DELETED_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 操作成功。

Action was not able to find any emails based on the specified search criteria.

Action failed to delete any emails because the provided mailbox folder name was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用 Delete Email 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

下载电子邮件中的附件

使用从电子邮件下载附件操作,根据提供的条件从电子邮件下载附件。

此操作不适用于 Google SecOps 实体。

此操作是异步的。如有必要,请在 Google SecOps IDE 中调整脚本超时值。

该操作会替换 \` forward slash or/backslash characters in the names of the downloaded attachments with the_` 下划线字符。

操作输入

从电子邮件下载附件操作需要以下参数:

参数 说明
Search In Mailbox

必填。

搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
Folder Name

必填。

要运行搜索的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Download Destination

必填。

用于保存下载的附件的存储类型。

默认情况下,该操作会尝试将附件保存到 Cloud Storage 存储桶。将附件保存到本地文件系统是一种后备选项。

可能的值包括 GCP BucketLocal File System。默认值为 GCP Bucket
Download Path

必填。

下载附件的路径。

将附件保存到 Cloud Storage 存储桶或本地文件系统时,该操作需要您以类 Unix 格式指定下载路径,例如 /tmp/test
Mail IDs

可选。

用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。

此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。

如果提供此参数,搜索会忽略 Subject FilterSender Filter 参数。
Subject Filter

可选。

指定要搜索的电子邮件主题的过滤条件。

此过滤条件使用 contains 逻辑。
Sender Filter

可选。

指定所请求电子邮件发件人的过滤条件。

此过滤条件使用 equals 逻辑。
Download Attachments From EML

可选。

如果选择此项,相应操作会下载 EML 文件中的附件。

默认情况下未选中。
Download attachments to unique path?

可选。

如果选择此项,操作会将附件下载到 Download Path 参数字段中提供的唯一路径,以避免覆盖任何之前下载的附件。

默认情况下未选中。
How many mailboxes to process in a single batch

可选。

单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。

默认值为 25

操作输出

从电子邮件下载附件操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例介绍了使用从电子邮件下载附件操作时收到的 JSON 结果输出:

[
    {
        "attachment_name": "name1.png",
        "downloaded_path": "file_path/name1.png"
    },
    {
        "attachment_name": "name2.png",
        "downloaded_path": "file_path/name2.png"
    }
]
输出消息

从电子邮件下载附件操作提供以下输出消息:

输出消息 消息说明

Downloaded NUMBER_OF_ATTACHMENTS attachments. Files: PATHS.

Failed to find emails in MAILBOX with the following mail ids: EMAIL_IDS.

In the mailboxes listed below, emails were found, but there were no attachments to download. Affected mailboxes: MAILBOXES. Mail IDs without attachments to download: LIST_OF_EMAIL_IDS attachments.

 操作成功。

Failed to find any emails using the provided criteria!

Failed to find any of the provided mailboxes: MAILBOXES

Action failed to run because the provided mailbox folder name FOLDER_NAME was not found in the mailbox MAILBOX

Error executing action. Reason: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用从电子邮件下载附件操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

从附加的 EML 文件中提取数据

使用从附加的 EML 文件中提取数据操作从电子邮件 EML 附件中检索数据,并在操作结果中返回该数据。此操作支持 .eml.msg.ics 文件格式。

此操作不适用于 Google SecOps 实体。

操作输入

从附加的 EML 文件中提取数据操作需要以下参数:

参数 说明
Search In Mailbox

必填。

搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
Folder Name

可选。

要运行搜索的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Mail IDs

必填。

用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。

此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。
Regex Map JSON

可选。

一个 JSON 定义,其中包含要应用于附加电子邮件文件的正则表达式,并在操作 JSON 结果中生成其他键值。此参数值的示例如下:

{ips: \\b\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\b}

操作输出

从附加的 EML 中提取数据操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例描述了使用 Extract Data From Attached EML 操作时收到的 JSON 结果输出:

[
    {
        "type": "EML",
        "subject": "examplesubject",
        "from": "sender@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>example-html</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.eml"
    },
    {
        "type": "MSG",
        "subject": "examplesubject",
        "from": "user@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>examplehtml</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.msg"
    },
    {
        "type": "ICS",
        "subject": "examplesubject",
        "from": "sender@example.com",
        "to": "user1@example.com,user2@example.com",
        "date": "Thu,4Jul202412:11:29+0530",
        "text": "text",
        "html": "<p>example-html</p>",
        "regex": {},
        "regex_from_text_part": {},
        "id": "ID",
        "name": "example.ics"
    }
]
输出消息

从附加的 EML 中提取数据操作提供以下输出消息:

输出消息 消息说明

Extracted data from ATTACHMENT_NAMES attached email files. Files: PATHS

Failed to find emails in MAILBOX with the following mail ids: MAIL_ID_LIST

 操作成功。

Failed to find any emails using the provided criteria!

Failed to find any of the provided mailboxes: MAILBOX_LIST

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用从附加的 EML 文件中提取数据操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

转发电子邮件

使用转发电子邮件操作转发包含之前对话串的电子邮件。 如果拥有适当的权限,此操作可以从集成配置中指定的邮箱以外的邮箱发送电子邮件。

此操作不适用于 Google SecOps 实体。

操作输入

转发电子邮件操作需要以下参数:

参数 说明
Send From

必填。

一个可选的电子邮件地址,用于发送电子邮件(如果权限允许)。

默认情况下,电子邮件是从集成配置中指定的默认邮箱发送的。
Folder Name

可选。

用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Mail ID

必填。

要转发的电子邮件的 ID。
Subject

必填。

电子邮件主题。
Send to

必填。

电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 user1@example.com, user2@example.com
CC

可选。

电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
BCC

可选。

电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
Attachments Paths

可选。

以英文逗号分隔的服务器上存储的文件附件的路径列表,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg
Mail content

必填。

电子邮件正文。

操作输出

下表介绍了与 Forward Email 操作关联的输出类型:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

转发电子邮件操作会提供以下输出消息:

输出消息 消息说明
Email with message ID MAIL_ID was forwarded successfully. 操作成功。

Error executing action "Forward Email" because the provided mail id EMAIL_ID was not found.

Action failed to delete any emails because the provided mailbox folder name was not found in the mailbox(es): MAILBOX: MAILBOX_FOLDER

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用转发电子邮件操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

获取邮箱账号的非设施设置

使用 Get Mailbox Account Out Of Facility Settings 操作可检索所提供的 Google SecOps User 实体的邮箱账号不在办公室 (OOF) 设置。

获取邮箱账号的机构外设置操作使用 Microsoft Graph API 的 Beta 版。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

Get Mailbox Account Out Of Facility Settings 操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例展示了使用获取邮箱账号的设施外设置操作时收到的 JSON 结果输出:

{
   "@odata.context": "https://graph.microsoft.com/beta/$metadata#communications/presences/$entity",
   "id": "ID",
   "availability": "Offline",
   "activity": "Offline",
   "statusMessage": null,
   "outOfOfficeSettings": {
       "message": "\n\nOut Of Facility111\n",
       "isOutOfOffice": true
   }
}
输出消息

将邮箱账号从设施设置中移出操作可以返回以下输出消息:

输出消息 消息说明

Successfully returned OOF settings for ENTITY_ID.

Failed to find the following usernames in Office 365 service: USERNAME_LIST.

 操作成功。

Error executing action "Add Identity Protection Detection Comment". Reason: ERROR_REASON

Action wasn't able to find OOF settings for ENTITY_ID.

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用 Get Mailbox Account Out Of Facility Settings 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

将电子邮件标记为垃圾邮件

使用 Mark Email as Junk 操作将指定邮箱中的电子邮件标记为垃圾邮件。此操作会将相应电子邮件发件人添加到已阻止的发件人列表中,并将相应邮件移至垃圾邮件文件夹。

将电子邮件标记为垃圾邮件操作使用 Beta 版 Microsoft Graph API。

此操作不适用于 Google SecOps 实体。

操作输入

将电子邮件标记为垃圾邮件操作需要以下参数:

参数 说明
Search In Mailbox

必填。

要搜索电子邮件的邮箱。

默认情况下,该操作会尝试在集成配置中指定的默认邮箱中搜索电子邮件。如需在其他邮箱中执行搜索,请为该操作配置适当的权限。

此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
Folder Name

必填。

用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder

默认值为 Inbox
Mail IDs

必填。

要标记为垃圾邮件的邮件的 ID 或 internetMessageId 值。

此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。

操作输出

将电子邮件标记为垃圾邮件操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将电子邮件标记为垃圾邮件操作可以返回以下输出消息:

输出消息 消息说明

Successfully marked the email as junk.

Failed to find email with ID ID in MAILBOX.

Mailbox MAILBOX was not found.

 操作成功。

Error executing action "Mark Email as Junk". Reason: ERROR_REASON

Failed to find any emails based on provided parameters!

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX.

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用将电子邮件标记为垃圾邮件操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

将电子邮件标记为“非垃圾邮件”

使用 Mark Email as Not Junk 操作将特定邮箱中的电子邮件标记为非垃圾邮件。此操作会将发件人从已屏蔽的发件人列表中移除,并将相应邮件移至收件箱文件夹。

将电子邮件标记为“非垃圾邮件”操作使用 Microsoft Graph API 的 Beta 版。

此操作不适用于 Google SecOps 实体。

操作输入

将电子邮件标记为“非垃圾邮件”操作需要以下参数:

参数 说明
Search In Mailbox

必填。

要搜索电子邮件的邮箱。

默认情况下,该操作会尝试在集成配置中指定的默认邮箱中搜索电子邮件。如需在其他邮箱中执行搜索,请为该操作配置适当的权限。

此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
Folder Name

必填。

用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Mail IDs

必填。

要标记为垃圾邮件的邮件的 ID 或 internetMessageId 值。

此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。

操作输出

将电子邮件标记为“非垃圾邮件”操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将电子邮件标记为非垃圾邮件操作可以返回以下输出消息:

输出消息 消息说明

Successfully marked the email as not junk.

Failed to find email with ID ID in MAILBOX.

Mailbox MAILBOX was not found.

 操作成功。

Error executing action "Mark Email as Not Junk". Reason: ERROR_REASON

Failed to find any emails based on provided parameters!

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX.

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表列出了使用将电子邮件标记为“非垃圾邮件”操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

将电子邮件移至文件夹

使用将电子邮件移至文件夹操作可将一封或多封电子邮件从源电子邮件文件夹移至邮箱中的其他文件夹。在获得相应权限后,此操作可以将电子邮件移至集成配置中提供的邮箱以外的其他邮箱。

此操作是异步的。根据需要在 Google SecOps 集成开发环境 (IDE) 中调整操作超时时间。

此操作不适用于 Google SecOps 实体。

操作输入

如需配置将电子邮件移至文件夹操作,请使用以下参数:

参数 说明
Move In Mailbox

必填。

移动操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中进行搜索。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。

Source Folder Name

必填。

要从中移动电子邮件的源文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Destination Folder Name

必填。

用于移动电子邮件的目标文件夹。

请按以下格式提供参数值: Inbox/folder_name/subfolder_name。此参数不区分大小写。
Mail IDs

可选。

用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。

此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。

如果提供此参数,搜索会忽略 Subject FilterSender Filter 参数。
Subject Filter

可选。

指定要搜索的电子邮件主题的过滤条件。

此过滤条件使用 contains 逻辑。
Sender Filter

可选。

指定所请求电子邮件发件人的过滤条件。

此过滤条件使用 equals 逻辑。
Timeframe (Minutes)

可选。

用于指定搜索电子邮件的时间范围(以分钟为单位)的过滤条件。
Only Unread

可选。

如果选中此复选框,相应操作将仅搜索未读电子邮件。

默认情况下未选中。
How many mailboxes to process in a single batch

可选。

单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。

默认值为 25

操作输出

下表介绍了与将电子邮件移至文件夹操作关联的输出类型:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将电子邮件移至文件夹操作提供以下输出消息:

输出消息 消息说明

Successfully moved emails in the following mailboxes: MAILBOX: MOVED_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 操作成功。

Action was not able to find any emails based on the specified search criteria.

Action failed to move any emails because the provided source folder was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Action failed to move any emails because the provided destination folder was not found in the mailbox(es): MAILBOX_NAME, MAILBOX_FOLDER

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用将电子邮件移至文件夹操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

Ping

使用 Ping 操作测试与 Microsoft Graph 邮件服务的连接。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

下表介绍了与 Ping 操作关联的输出类型:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

Ping 操作提供以下输出消息:

输出消息 消息说明
Successfully connected to the Microsoft Graph mail service with the provided connection parameters! 操作成功。
Failed to connect to the Microsoft Graph mail service! Error is ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用 Ping 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

将电子邮件保存到支持请求

使用将电子邮件保存到支持请求操作将电子邮件或电子邮件附件保存到 Google SecOps 支持请求墙。在拥有相应权限的情况下,此操作可以保存来自集成配置中提供的邮箱以外的其他邮箱的电子邮件。

此操作不适用于 Google SecOps 实体。

操作输入

将电子邮件保存到支持请求操作需要以下参数:

参数 说明
Search In Mailbox

必填。

搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中进行搜索。
Folder Name

可选。

用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Mail ID

必填。

要搜索的电子邮件 ID 的英文逗号分隔列表。

如果您使用发送电子邮件操作发送电子邮件,请将参数值设置为 {SendEmail.JSONResult|id}{SendEmail.JSONResult|internetMessageId} 占位符。
Save Only Email Attachments

可选。

如果选中此选项,相应操作将仅保存指定电子邮件中的附件。

默认情况下未选中。
Attachment To Save

可选。

如果选择了 Save Only Email Attachments 参数,则该操作只会保存此参数指定的附件。

此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。
Base64 Encode

可选。

如果选择此项,相应操作会将电子邮件文件编码为 base64 格式。

默认情况下未选中。

操作输出

下表介绍了与将电子邮件保存到支持请求操作关联的输出类型:

操作输出类型 可用性
案例墙附件 可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
案例墙附件

以下附件与将电子邮件保存到支持请求操作相关联:

  • EMAIL_SUBJECT.eml,如果操作会保存电子邮件。

  • 如果操作保存了附件,则附件名称包含文件扩展名(如果有)。

JSON 结果

以下示例介绍了使用将电子邮件保存到支持请求操作时收到的 JSON 结果输出:

{
    "id": "ID",
    "createdDateTime": "2024-02-16T14:10:34Z",
    "eml_info": "example_info",
    "lastModifiedDateTime": "2024-02-16T14:10:41Z",
    "changeKey": "cxsdjjh",
    "categories": [],
    "receivedDateTime": "2024-02-16T14:10:35Z",
    "sentDateTime": "2024-02-16T14:09:36Z",
    "hasAttachments": true,
    "internetMessageId": "INTERNET_MESSAGE_ID",
    "subject": "all attachments",
    "bodyPreview": "all the attachments",
    "importance": "normal",
    "parentFolderId": "PARENT_FOLDER_ID",
    "conversationId": "CONVERSATION_ID",
    "conversationIndex": "example-index",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://example.com/",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "<html><head>example-html</head></html>"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "flag": {
        "flagStatus": "notFlagged"
    }
}
输出消息

在“支持请求墙”上,“将电子邮件保存到支持请求”操作会提供以下输出消息:

输出消息 消息说明

Email successfully saved!

Successfully saved the following attachments: ATTACHMENTS_LIST

The following attachments were not found in email with mail id: EMAIL_ID: ATTACHMENTS_LIST

 操作成功。

Mailbox MAILBOX_NAME was not found.

Action failed to run because the provided mailbox folder name MAILBOX_FOLDER was not found in the mailbox MAILBOX_NAME

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用将电子邮件保存到支持请求操作时,脚本结果输出的值:

脚本结果名称
is_success TrueFalse

搜索电子邮件

使用搜索电子邮件操作可根据提供的搜索条件在默认邮箱中执行电子邮件搜索。获得适当的权限后,此操作可以在其他邮箱中运行搜索。

此操作是异步的。根据需要在 Google SecOps IDE 中调整操作超时时间。

此操作不适用于 Google SecOps 实体。

操作输入

搜索电子邮件操作需要以下参数:

参数 说明
Search In Mailbox

必填。

搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。

对于针对大量邮箱的复杂搜索,请使用 Exchange Extension Pack 集成
Folder Name

必填。

用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder
Subject Filter

可选。

指定要搜索的电子邮件主题的过滤条件。

此过滤条件使用 contains 逻辑。
Sender Filter

可选。

指定所请求电子邮件发件人的过滤条件。

此过滤条件使用 equals 逻辑。
Timeframe (Minutes)

可选。

一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。
Max Emails To Return

可选。

要返回的相应操作的电子邮件数量。

如果您未设置值,系统会使用 API 默认值。

默认值为 10
Only Unread

可选。

如果选中此复选框,相应操作将仅搜索未读电子邮件。

默认情况下未选中。
All Fields To Return

可选。

如果选中,该操作会返回所获取电子邮件的所有可用字段。

默认情况下未选中。
How many mailboxes to process in a single batch

可选。

单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。

默认值为 25

操作输出

下表介绍了与 Search Emails 操作关联的输出类型:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
“支持请求墙”表格

在支持案例墙上,搜索电子邮件操作会提供下表:

表格标题:匹配的电子邮件

列:

  • 邮件 ID
  • Subject
  • 发件人
  • 接收方
  • 收到日期
输出消息

搜索电子邮件操作提供以下输出消息:

Action was not able to find any emails based on the specified search criteria.

输出消息 消息说明

Successfully found emails in the following mailboxes: MAILBOX: FOUND_EMAILS_NUMBER

Mailbox MAILBOX was not found.

 操作成功。

Failed to find any of the provided mailboxes: MAILBOX_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用搜索电子邮件操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

发送电子邮件

使用发送电子邮件操作可从特定邮箱向任意收件人列表发送电子邮件。

此操作可以发送纯文本电子邮件或 HTML 格式的电子邮件。在获得适当的权限后,该操作可以从集成配置中指定的邮箱以外的邮箱发送电子邮件。

此操作不适用于 Google SecOps 实体。

操作输入

发送电子邮件操作需要以下参数:

参数 说明
Send From

必填。

可选的电子邮件地址,用于发送电子邮件(如果权限允许)。

默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。
Subject

必填。

电子邮件主题。
Send to

必填。

电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 user1@example.com, user2@example.com
CC

可选。

电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
BCC

可选。

电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
Attachments Paths

可选。

以英文逗号分隔的服务器上存储的文件附件的路径列表,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg
Attachments Location

必填。

附件的存储位置。

默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。

可能的值为 GCP BucketLocal File System。默认值为 GCP Bucket
Mail Content Type

可选。

电子邮件内容的类型。

可能的值如下:

  • Text
  • HTML

默认值为 Text
Mail Content

必填。

电子邮件正文。
Reply-To Recipients

可选。

要在 Reply-To 标头中使用的收件人列表(以英文逗号分隔)。

使用 Reply-To 标头将回复电子邮件重定向到指定的电子邮件地址,而不是 From 字段中的发件人地址。

操作输出

下表介绍了与发送电子邮件操作关联的输出类型:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

发送电子邮件操作提供以下输出消息:

输出消息 消息说明

Email was sent successfully.

 操作成功。

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用发送电子邮件操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

发送电子邮件 HTML

您可以使用 Send Email HTML 操作,通过特定邮箱将使用 Google SecOps HTML 模板的电子邮件发送给任意收件人列表。在获得适当的权限后,该操作可以从非默认邮箱发送电子邮件。

此操作不适用于 Google SecOps 实体。

操作输入

发送电子邮件 HTML 操作需要以下参数:

参数 说明
Send From

必填。

可选的电子邮件地址,用于发送电子邮件(如果权限允许)。

默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。
Subject

必填。

电子邮件主题。
Send to

必填。

电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 user1@example.com, user2@example.com
CC

可选。

电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
BCC

可选。

电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
Attachments Paths

可选。

要提供的附件的完整路径,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg

您可以在以逗号分隔的字符串中提供多个值。
Email HTML Template

必填。

要使用的 HTML 模板的类型。

可能的值包括 Email HTML TemplateDynamically generated list of available templates

默认值为 Email HTML Template
Mail Content

必填。

电子邮件正文。
Reply-To Recipients

可选。

要在 Reply-To 标头中使用的收件人列表(以英文逗号分隔)。

使用 Reply-To 标头将回复电子邮件重定向到特定电子邮件地址,而不是 From 字段中声明的发件人地址。
Attachment Location

必填。

附件的存储位置。

默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。

可能的值为 GCP BucketLocal File System。默认值为 GCP Bucket

操作输出

发送电子邮件 HTML 操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例介绍了使用发送电子邮件 HTML 操作时收到的 JSON 结果输出:

{
    "createdDateTime": "2024-01-30T16:50:27Z",
    "lastModifiedDateTime": "2024-01-30T16:50:27Z",
    "changeKey": "example-key",
    "categories": [],
    "receivedDateTime": "2024-01-30T16:50:27Z",
    "sentDateTime": "2024-01-30T16:50:27Z",
    "hasAttachments": false,
    "internetMessageId": "outlook.com",
    "subject": "Testing",
    "bodyPreview": "example",
    "importance": "normal",
    "parentFolderId": "ID",
    "conversationId": "ID",
    "conversationIndex": "INDEX",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://example.com",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "content"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "uniqueBody": {
        "contentType": "html",
        "content": "content"
    },
    "flag": {
        "flagStatus": "notFlagged"
    },
    "id": "ID"
}
输出消息

在“案例墙”上,“发送电子邮件 HTML”操作会提供以下输出消息:

输出消息 消息说明
Email was sent successfully. 操作成功。

Action failed to run because the HTML template was not specified.

Action failed to run because the following specified attachments were not found: ATTACHMENT_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用发送电子邮件 HTML 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

发送消息串回复

使用 Send Thread Reply 操作将消息作为电子邮件会话的回复发送。如果拥有适当的权限,该操作可以从集成配置中指定的邮箱以外的邮箱发送电子邮件。

此操作不适用于 Google SecOps 实体。

操作输入

发送消息串回复操作需要以下参数:

参数 说明
Send From

必填。

可选的电子邮件地址,用于发送电子邮件(如果权限允许)。

默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。
Mail ID

必填。

要搜索的电子邮件 ID。
Folder Name

可选。

用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder

默认值为 Inbox
Attachments Paths

可选。

以英文逗号分隔的服务器上存储的文件附件的路径列表,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg
Mail Content

必填。

电子邮件正文。
Reply All

可选。

如果选择此选项,系统会向与原始电子邮件相关的所有收件人发送回复。

默认情况下未选中。

此参数的优先级高于 Reply To 参数。
Reply To

可选。

以英文逗号分隔的电子邮件地址列表,用于接收回复。

如果您未提供任何值,并且未选中 Reply All 复选框,则该操作只会向原始电子邮件发件人发送回复。

如果选中 Reply All 复选框,则操作会忽略此参数。
Attachments Location

必填。

附件的存储位置。

默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。

可能的值为 GCP BucketLocal File System。默认值为 GCP Bucket

操作输出

下表介绍了与 Send Thread Reply 操作关联的输出类型:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

发送帖子回复操作提供以下输出消息:

输出消息 消息说明
Successfully sent reply to the mail with ID: EMAIL_ID 操作成功。
Error executing action "Send Thread Reply". Reason: if you want to send a reply only to your own email address, you need to work with "Reply To" parameter.

操作失败。

检查 Reply To 参数值。

Error executing action "Send Thread Reply" because the provided mail id EMAIL_ID was not found.

Action failed to run because specified attachments were not found: ATTACHMENTS_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用 Send Thread Reply 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

发送投票电子邮件

使用发送投票电子邮件操作发送包含预定义回答选项的电子邮件。此操作使用 Google SecOps HTML 模板来设置电子邮件格式。在获得适当的权限后,发送投票电子邮件操作可以从非默认邮箱发送电子邮件。

此操作不适用于 Google SecOps 实体。

操作输入

发送投票电子邮件操作需要以下参数:

参数 说明
Send From

必填。

可选的电子邮件地址,用于发送电子邮件(如果权限允许)。

默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。
Subject

必填。

电子邮件主题。
Send to

必填。

电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 user1@example.com, user2@example.com
CC

可选。

电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
BCC

可选。

电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。

格式与 Send to 参数的格式相同。
Attachments Paths

可选。

要提供的附件的完整路径,例如 /FILE_DIRECTORY/file.pdf/FILE_DIRECTORY/image.jpg

您可以在以逗号分隔的字符串中提供多个值。
Email HTML Template

必填。

要使用的 HTML 模板的类型。

可能的值包括 Email HTML TemplateDynamically generated list of available templates

默认值为 Email HTML Template
Reply-To Recipients

可选。

要在 Reply-To 标头中使用的收件人列表(以英文逗号分隔)。

使用 Reply-To 标头将回复电子邮件重定向到指定的电子邮件地址,而不是 From 字段中显示的发件人地址。
Structure of voting options

必填。

要发送给接收方的投票的结构。

可能的值为 Yes/NoApprove/Reject。默认值为 Yes/No
Attachment Location

必填。

附件的存储位置。

默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。

可能的值为 GCP BucketLocal File System。默认值为 GCP Bucket

操作输出

发送投票电子邮件操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例介绍了使用发送投票电子邮件操作时收到的 JSON 结果输出:

{
    "createdDateTime": "2024-01-30T16:50:27Z",
    "lastModifiedDateTime": "2024-01-30T16:50:27Z",
    "changeKey": "KEY",
    "categories": [],
    "receivedDateTime": "2024-01-30T16:50:27Z",
    "sentDateTime": "2024-01-30T16:50:27Z",
    "hasAttachments": false,
    "internetMessageId": "<example-message-ID>",
    "subject": "Testing",
    "bodyPreview": "example",
    "importance": "normal",
    "parentFolderId": "FOLDER_ID",
    "conversationId": "CONVERSATION_ID",
    "conversationIndex": "CONVERSATION_INDEX",
    "isDeliveryReceiptRequested": false,
    "isReadReceiptRequested": false,
    "isRead": true,
    "isDraft": false,
    "webLink": "https://www.example.com/about",
    "inferenceClassification": "focused",
    "body": {
        "contentType": "html",
        "content": "content"
    },
    "sender": {
        "emailAddress": {
            "name": "NAME",
            "address": "sender@example.com"
        }
    },
    "from": {
        "emailAddress": {
            "name": "NAME",
            "address": "user@example.com"
        }
    },
    "toRecipients": [
        {
            "emailAddress": {
                "name": "NAME",
                "address": "recipient@example.com"
            }
        }
    ],
    "ccRecipients": [],
    "bccRecipients": [],
    "replyTo": [],
    "uniqueBody": {
        "contentType": "html",
        "content": "content"
    },
    "flag": {
        "flagStatus": "notFlagged"
    },
    "id": "ID"
}
输出消息

在“案例墙”上,“发送投票电子邮件”操作会提供以下输出消息:

输出消息 消息说明
Email was sent successfully. 操作成功。

Action failed to run because the HTML template was not specified.

Action failed to run because the following specified attachments were not found: ATTACHMENT_LIST

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用发送投票电子邮件操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

等待用户发送电子邮件

使用等待用户发送电子邮件操作,根据使用发送电子邮件操作发送的电子邮件,等待用户的回复。

此操作是异步的。根据需要在 Google SecOps IDE 中调整操作超时时间。

此操作不适用于 Google SecOps 实体。

操作输入

等待用户发送电子邮件操作需要以下参数:

参数 说明
Mail ID

必填。

电子邮件的 ID。

如果您使用发送电子邮件操作发送电子邮件,请将参数值设置为 {SendEmail.JSONResult|id}{SendEmail.JSONResult|internetMessageId} 占位符。
Wait for All Recipients To Reply?

可选。

如果选中,该操作会等待所有收件人的回复,直到达到超时时间或收到第一个回复后才继续。

此选项将会默认选中。
Wait Stage Exclude Pattern

可选。

用于从等待阶段排除特定回复的正则表达式。 此参数可与电子邮件正文搭配使用。

例如,如果您配置了 Out of Office.* 正则表达式,该操作就不会将自动设置的“不在办公室”消息视为收件人回复,而是会等待实际用户的回复。
Folder To Check For Reply

可选。

用于搜索用户回复的邮箱电子邮件文件夹。搜索是在发送包含问题的电子邮件的邮箱中运行的。

此参数区分大小写。

默认值为 Inbox
Fetch Response Attachments

可选。

如果选择此操作,并且收件人回复包含附件,则此操作会提取回复并将其作为附件添加到操作结果中。

默认情况下未选中。

操作输出

下表介绍了与 Wait For Email From User 操作关联的输出类型:

操作输出类型 可用性
案例墙附件 可用
案例墙链接 不可用
“支持请求墙”表格 可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
案例墙附件

以下案例墙附件与等待用户发送的电子邮件操作相关联:

类型:实体

附件内容:标题、文件名(包含扩展名,如有)、fileContent。

  • 标题:RECIPIENT_EMAIL 回复附件。
  • 文件名:ATTACHMENT_FILENAME + FILE_EXTENSION
  • fileContent: CONTENT_OF_THE_ATTACHED_FILE
“支持请求墙”表格

“等待用户发送的电子邮件”操作可生成下表:

表格标题:匹配的电子邮件

列:

  • 邮件 ID
  • 收到日期
  • 发件人
  • 收件人
  • Subject
输出消息

等待用户发送的电子邮件操作提供以下输出消息:

输出消息 消息说明

Found the user EMAIL_RECIPIENT reply: USER_REPLY

Timeout getting reply from user: EMAIL_RECIPIENT.

 操作成功。

Action failed to receive any replies until timeout.

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用等待用户发送电子邮件操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

等待投票电子邮件结果

使用 Wait For Vote Email Results 操作可等待用户根据使用 Send Vote Email 操作发送的投票电子邮件做出的回应。

此操作是异步的。根据需要在 Google SecOps IDE 中调整操作超时时间。

此操作不适用于 Google SecOps 实体。

操作输入

等待投票电子邮件结果操作需要以下参数:

参数 说明
Vote Mail Sent From

必填。

发送投票电子邮件操作发送电子邮件时所用的邮箱。

默认值是您在集成配置中指定的邮箱。

如果投票邮件是从其他邮箱发送的,您可以选择为此参数设置其他值。
Mail ID

必填。

电子邮件的 ID。

如果电子邮件是使用 Send Vote Email 操作发送的,请将参数值设置为 SendVoteEmail.JSONResult|idSendEmail.JSONResult|internetMessageId 占位符。

如需返回电子邮件 ID,您可以使用搜索电子邮件操作。
Wait for All Recipients To Reply?

可选。

如果选中,该操作会等待所有收件人的回复,直到达到超时时间或收到第一个回复后才继续。

此选项将会默认选中。
Wait Stage Exclude Pattern

可选。

用于从等待阶段排除特定回复的正则表达式。

此参数可与电子邮件正文搭配使用。

示例:该操作不会将自动“不在办公室”消息视为收件人回复,而是等待实际的用户回复。
Folder To Check For Reply

可选。

用于搜索用户回复的邮箱电子邮件文件夹。搜索会在发送包含问题的电子邮件的邮箱中运行。

此参数接受以英文逗号分隔的文件夹列表,用于在多个文件夹中检查用户回答。

此参数区分大小写。

默认值为 Inbox
Folder To Check For Sent Mail

可选。

用于搜索已发送邮件的邮箱文件夹。 您发送电子邮件提出问题时所用的邮箱。

此参数接受以英文逗号分隔的文件夹列表,用于在多个文件夹中检查用户响应。

此参数区分大小写。 如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder

默认值为 Sent Items
Fetch Response Attachments

可选。

如果选中此选项,并且收件人回复包含附件,则该操作会提取回复并将其作为附件添加到支持请求墙。

默认情况下未选中。

操作输出

等待投票电子邮件结果操作提供以下输出:

操作输出类型 可用性
案例墙附件 可用
案例墙链接 不可用
“支持请求墙”表格 可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
案例墙附件

以下案例墙附件与等待投票电子邮件结果操作相关联:

类型:实体

附件内容:标题、文件名(包含扩展名,如有)、fileContent。

  • 标题:RECIPIENT_EMAIL 回复附件。
  • 文件名:ATTACHMENT_FILENAME + FILE_EXTENSION
  • fileContent: CONTENT_OF_THE_ATTACHED_FILE
“支持请求墙”表格

在案例墙上,等待电子邮件结果操作会生成以下表格:

表格标题:匹配的电子邮件

列:

  • 邮件 ID
  • 收到日期
  • 发件人
  • 收件人
  • Subject
JSON 结果

以下示例介绍了使用等待投票电子邮件结果操作时收到的 JSON 结果输出:

{
    "Responses": [
        {
            "recipient": "user@example.com",
            "vote": "Approve"
        }
    ]
}
输出消息

等待投票电子邮件结果操作提供以下输出消息:

输出消息 消息说明

Found the user EMAIL_RECIPIENT reply: USER_REPLY.

Exceeded timeout to get a reply from user: EMAIL_RECIPIENT.

 操作成功。

Action failed to receive any replies until timeout.

Failed to execute action, the error is: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。
脚本结果

下表介绍了使用等待投票电子邮件结果操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

连接器

如需详细了解如何在 Google SecOps 中配置连接器,请参阅提取数据(连接器)

Microsoft Graph Mail 连接器

使用 Microsoft Graph 邮件连接器从 Microsoft Graph 邮件服务中检索电子邮件。

使用动态列表通过正则表达式过滤电子邮件正文和主题部分中的指定值。默认情况下,连接器使用正则表达式过滤掉电子邮件中的网址。

连接器输入

Microsoft Graph Mail Delegated Connector 需要以下参数:
参数 说明
Product Field Name

必填。

存储商品名称的字段的名称。

默认值为 device_product

商品名称主要影响映射。为了简化和改进连接器的映射流程,默认值 device_product 会解析为从代码引用的回退值。此参数的任何无效输入默认都会解析为回退值。
Event Field Name

必填。

用于确定事件名称(子类型)的字段名称。

默认值为 event_name
Environment Field Name

可选。

存储环境名称的字段的名称。

如果未找到环境字段,则将环境设置为 ""
Environment Regex Pattern

可选。

要对 Environment Field Name 字段中的值运行的正则表达式模式。此参数可让您使用正则表达式逻辑来操纵环境字段。

使用默认值 .* 可检索所需的原始 Environment Field Name 值。

如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 ""
Email Exclude Pattern

可选。

用于排除特定电子邮件(例如垃圾邮件或新闻)的正则表达式。

此参数适用于电子邮件的主题和正文。
PythonProcessTimeout

必填。

运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。

默认值为 300
Azure AD Endpoint

必填。

集成中要使用的 Microsoft Entra 端点。

默认值为 https://login.microsoftonline.com
Microsoft Graph Endpoint

必填。

集成中要使用的 Microsoft Graph 端点。

默认值为 https://graph.microsoft.com
Mail Address

必填。

供连接器使用的电子邮件地址。
Client ID

必填。

Microsoft Entra 应用的应用(客户端)ID。
Secret ID

必填。

Microsoft Entra 应用的客户端密钥值。
Tenant (Directory) ID

必填。

Microsoft Entra ID(租户 ID)值。
Folder to check for emails

必填。

用于搜索电子邮件的电子邮件文件夹。此参数接受以英文逗号分隔的文件夹列表,用于在多个文件夹中搜索用户回答。如需指定子文件夹,请使用正斜杠 /,例如 Inbox/Subfolder

此参数区分大小写。

默认值为 Inbox
Offset Time In Hours

必填。

在首次连接器迭代之前检索电子邮件的小时数。此参数适用于您首次启用连接器后的初始连接器迭代。当最新连接器迭代中的时间戳过期时,连接器可以使用此参数作为回退值。

默认值为 24
Max Emails Per Cycle

必填。

每次连接器迭代要提取的电子邮件数量。

默认值为 10
Unread Emails Only

可选。

如果选中此选项,连接器将仅根据未读电子邮件创建支持请求。

默认情况下未选中。
Mark Emails as Read

可选。

如果选择此选项,连接器会在提取电子邮件后将其标记为已读。

默认情况下未选中。
Disable Overflow

可选。

如果选中此选项,连接器会忽略 Google SecOps 溢出机制。

默认情况下未选中。
Verify SSL

必填。

如果选中此选项,集成会在连接到 Microsoft Graph 时验证 SSL 证书。

此选项将会默认选中。
Original Received Mail Prefix

可选。

要添加到从受监控邮箱中收到的原始电子邮件中提取的事件键(例如 tofromsubject)的前缀。

默认值为 orig
Attached Mail File Prefix

可选。

要添加到从受监控邮箱中收到的附加电子邮件文件中提取的事件键(例如 tofromsubject)的前缀。

默认值为 attach
Create a Separate Google Secops Alert per Attached Mail File

可选。

如果选择此选项,连接器会创建多个提醒,每个附加的电子邮件文件对应一个提醒。

如果您处理附加了多个电子邮件文件的电子邮件,并将 Google SecOps 事件映射设置为从附加的电子邮件文件创建实体,则此行为非常有用。

默认情况下未选中。
Attach Original EML

可选。

如果选中此选项,连接器会将原始电子邮件以 EML 文件的形式附加到支持请求信息中。

默认情况下未选中。
Headers to add to events

可选。

要添加到 Google SecOps 事件的电子邮件标头(以英文逗号分隔的字符串),例如 DKIM-SigantureReceivedFrom

您可以配置与标头完全匹配,也可以将此形参值设置为正则表达式。

连接器会从 internetMessageHeaders 列表中过滤掉配置的值,并将其添加到 Google SecOps 事件中。

如需阻止连接器向事件添加标头,请按如下方式设置参数值:None

默认情况下,连接器会添加所有可用的标头。
Case Name Template

可选。

自定义支持请求名称。

配置此参数后,连接器会将一个名为 custom_case_name 的新键添加到 Google SecOps SOAR 事件中。

您可以提供以下格式的占位符: [name of the field]

示例:Phishing - [event_mailbox]

对于占位符,连接器使用第一个 Google SecOps SOAR 事件。连接器仅处理包含字符串值的键。
Alert Name Template

可选。

自定义提醒名称。

您可以提供以下格式的占位符: [name of the field]

示例:Phishing - [event_mailbox]

对于占位符,连接器使用第一个 Google SecOps SOAR 事件。连接器仅处理包含字符串值的键。如果您未提供值或提供的模板无效,连接器将使用默认的提醒名称。
Proxy Server Address

可选。

要使用的代理服务器的地址。
Proxy Username

可选。

用于进行身份验证的代理用户名。
Proxy Password

可选。

用于进行身份验证的代理密码。
Mail Field Source

可选。

如果选择此选项,集成会从用户详情 mail 属性中检索邮箱地址。如果未选择,集成会从 userPrincipalName 字段检索邮箱地址。

默认情况下未选中。
Base64 Encoded Private Key

可选。

指定将用于解密电子邮件的 base64 编码私钥。
Base64 Encoded Certificate

可选。

指定将用于解密电子邮件的 base64 编码证书。
Base64 Encoded CA certificate

可选。

指定用于签名验证的 base64 编码的可信 CA 证书。

连接器规则

连接器支持代理。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。