掃描透過電子郵件收到的網址

支援的國家/地區:

本文說明如何建構安全自動化工作流程,從收到的電子郵件中擷取並掃描網址,偵測網路釣魚或惡意連結。這個程序可確保危險連結在造成風險前遭到清除,讓劇本立即採取行動,例如封鎖網址或隔離電子郵件。

事前準備

您必須在環境中安裝及設定下列整合:

  • 電子郵件整合:Microsoft Graph Mail 或 Gmail (從電子郵件/快訊讀取及擷取資料)。
  • 信譽整合:VirusTotal 或類似的網址分析工具。

如要掃描透過電子郵件收到的網址,請設定監控電子郵件信箱的連接器 (透過「電子郵件」或「Exchange」整合服務)。

在應對手冊中建構掃描邏輯

請按照下列步驟,在劇本中建立掃描邏輯:

  1. 使用電子郵件整合的動作 (例如 Gmail_Enrich Email) 取得完整電子郵件內文或活動資料。使用運算式產生器剖析電子郵件,並擷取要掃描的特定網址。詳情請參閱「使用運算式產生器」。
    當電子郵件開始傳送至 Google Security Operations SOAR 時,系統會透過對應功能剖析郵件內容,或透過「建立實體」劇本動作 (如果劇本附加至來信) 擷取內容。
  2. 新增所選動作 (例如 VirusTotal_Scan URL),並使用預留位置輸入上一步擷取的網址。
  3. 在掃描動作後立即新增「條件」流程。詳情請參閱「在劇本中使用流程」。
  4. 設定條件的分支,評估信譽掃描的 JSON 結果:
    • 分支 1 (惡意):如果 Scan Result 遭檢舉為惡意 (例如分數 > 5,或特定引擎發現威脅)。
    • 分支 2 (乾淨/不明):如果 Scan Result 乾淨,或條件無法找到惡意指標。

擷取所有網址後,即可在手動動作和應對手冊中使用。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。