Per E‑Mail empfangene URLs scannen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie einen Workflow für die Sicherheitsautomatisierung erstellen, der URLs aus eingehenden E-Mails extrahiert und scannt, um Phishing- oder schädliche Links zu erkennen. So werden gefährliche Links neutralisiert, bevor sie ein Risiko darstellen. Ihr Playbook kann dann sofort Maßnahmen ergreifen, z. B. die URL blockieren oder die E‑Mail unter Quarantäne stellen.

Hinweise

Die folgende Integration muss in Ihrer Umgebung installiert und konfiguriert sein:

  • E‑Mail-Integration: Microsoft Graph Mail oder Gmail (zum Lesen und Extrahieren von Daten aus der E‑Mail/Benachrichtigung).
  • Reputationsintegration: VirusTotal oder ein ähnliches URL-Analysetool.

Wenn Sie per E-Mail empfangene URLs scannen möchten, müssen Sie einen Connector konfigurieren, der ein Postfach überwacht (mit den Integrationen E-Mail oder Exchange).

Scanlogik in Ihrem Playbook erstellen

So erstellen Sie die Scanlogik in Ihrem Playbook:

  1. Verwenden Sie die Aktion der E‑Mail-Integration (z. B. Gmail_Enrich Email), um den vollständigen E‑Mail-Text oder Ereignisdaten abzurufen. Verwenden Sie den Ausdrucksgenerator, um die E‑Mail zu parsen und die spezifischen URLs zu extrahieren, die Sie scannen möchten. Weitere Informationen finden Sie unter Ausdrucks-Generator verwenden.
    Wenn E-Mails in Google Security Operations SOAR eingehen, kann ihr Inhalt entweder durch die Zuordnungsfunktion geparst oder durch die Playbook-Aktion Create Entity (Entität erstellen) extrahiert werden, sofern Playbooks an die eingehenden E-Mails angehängt sind.
  2. Fügen Sie die ausgewählte Aktion (z. B. die VirusTotal_Scan-URL) hinzu und verwenden Sie einen Platzhalter, um die im vorherigen Schritt extrahierte URL einzugeben.
  3. Fügen Sie direkt nach der Scan-Aktion einen Bedingungsablauf hinzu. Weitere Informationen finden Sie unter Abläufe in Playbooks verwenden.
  4. Konfigurieren Sie die Zweige der Bedingung, um das JSON-Ergebnis des Reputationsscans auszuwerten:
    • Zweig 1 (Schadsoftware): Wenn Scan Result als schädlich gemeldet wird (z. B. Punktzahl > 5 oder eine bestimmte Engine eine Bedrohung gefunden hat).
    • Branch 2 (Clean/Unknown): Wenn Scan Result sauber ist oder die Bedingung keine schädlichen Indikatoren findet.

Sobald alle URLs extrahiert wurden, können Sie sie in manuellen Aktionen und in Playbooks verwenden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten