Correo electrónico
Versión de integración: 27.0
Esta integración usa uno o varios componentes de código abierto. Puedes descargar una copia del código fuente completo de esta integración desde el contenedor de almacenamiento.
Requisitos previos
El ejemplo que se proporciona en este documento se basa en Gmail, ya que es el servidor de correo más popular. Gmail ofrece varias opciones para acceder a los datos del buzón desde aplicaciones de terceros:
El acceso a aplicaciones más seguro, habilitado de forma predeterminada, permite iniciar sesión en una cuenta de Google sin exponer la contraseña, ver a qué datos tendrá acceso la aplicación de terceros y más.
Cómo contribuyen a proteger tu cuenta las aplicaciones más seguras
Contraseña de aplicación. Las contraseñas de aplicación son contraseñas de 16 dígitos que permiten a las aplicaciones de terceros acceder al buzón de Gmail. Las contraseñas de aplicación solo se pueden utilizar con cuentas que tengan activada la verificación en dos pasos.
La opción Aplicaciones poco seguras suele estar disponible para aplicaciones de terceros que, por algún motivo, no siguen los estándares de seguridad de Google. Si esta opción no está habilitada, se bloquearán los intentos de acceso a aplicaciones de terceros que no sigan los estándares de seguridad de Google en el buzón de Gmail. Si habilitas esta opción, la cuenta de Gmail será menos segura, por lo que debes usarla con precaución.
Acceso de red a IMAP/SMTP
Para usar una cuenta configurada para acceder al correo con IMAP y enviar correo con SMTP, ve a Detalles de configuración > Cuenta > Activa el acceso para aplicaciones menos seguras.
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Multivalores | Saliente | IMAP/SMTP |
Integrar el correo con Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Descargar archivos adjuntos de correo
Descargar archivos adjuntos de correo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Ruta de descarga | Cadena | N/A | Sí | Guarda el archivo adjunto del mensaje en la ruta de descarga indicada. |
| ID de mensaje | Cadena | N/A | No | Descarga los archivos adjuntos de un correo específico mediante su ID. Por ejemplo, example@mail.gmail.com. |
| Filtro por asunto | Cadena | N/A | No | Condición de filtro para buscar correos por asunto específico. |
| UID de correo electrónico | Cadena | N/A | No | UUID por el que se va a filtrar. |
| Solo no leídos | Casilla | N/A | No | Si se marca, solo se obtendrán los correos no leídos del buzón. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Ejemplo |
|---|---|
| attachments_local_paths | El resultado de la secuencia de comandos devuelve una cadena de rutas completas separadas por comas a los archivos adjuntos guardados. |
Get Mail EML File
Obtiene la información EML de un mensaje de correo.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de mensaje | Cadena | N/A | No | Descarga los archivos adjuntos de un correo específico mediante su ID. Por ejemplo, example@mail.gmail.com. |
| Codificación Base64 | Cadena | true | No | Condición de filtro para buscar correos por asunto específico. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Ejemplo |
|---|---|
| eml_base64 | N/A |
Ping
Prueba la conectividad con el servidor de correo con los parámetros proporcionados en la página de configuración de la integración.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Enviar correo electrónico
Con esta acción, puedes enviar correos desde un solo buzón a varios destinatarios aleatorios. Es posible que se avise a los usuarios del resultado de dichas alertas mediante las alertas correspondientes generadas por Google SecOps o por los usuarios. La acción puede devolver el ID del mensaje de correo para que puedas usarlo y monitorizar la respuesta del nombre de usuario de este correo en la acción "Esperar correo del usuario". Se usa para hacerle al usuario una pregunta de un manual de respuestas y para actuar en el manual de respuestas según la respuesta del usuario.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Destinatarios | Cadena | N/A | Sí | Correo electrónico del destinatario. Si introduce varias direcciones, sepárelas con comas. |
| CC | Cadena | N/A | No | Dirección de correo de copia. Si introduce varias direcciones, sepárelas con comas. |
| Cco | Cadena | N/A | No | Dirección de correo de Cco. Si introduce varias direcciones, sepárelas con comas. |
| Asunto | Cadena | N/A | Sí | El asunto del correo. |
| Contenido | Cadena | N/A | Sí | El cuerpo del correo. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Enviar correo y esperar
Esta acción busca periódicamente el correo único de un usuario en el buzón especificado. Esta función se puede usar con la función "Enviar correo" y la opción "Comprobar ID de mensaje" del parámetro "Enviar correo", lo que te ayuda a tener una preferencia en los cuadernos de estrategias para enviar una solicitud al destinatario y esperar hasta que este haya respondido a la pregunta. El flujo de trabajo de SecOps de Google del manual de procedimientos puede usar ramificaciones basadas en los comentarios del usuario.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Destinatarios | Cadena | N/A | Sí | Correo electrónico del destinatario. Si introduce varias direcciones, sepárelas con comas. |
| CC | Cadena | N/A | No | Dirección de correo de copia. Si introduce varias direcciones, sepárelas con comas. |
| Cco | Cadena | N/A | No | Dirección de correo de Cco. Si introduce varias direcciones, sepárelas con comas. |
| Asunto | Cadena | N/A | Sí | El asunto del correo. |
| Contenido | Cadena | N/A | Sí | El cuerpo del correo. |
| Expresión regular del asunto de exclusión | Cadena | N/A | No | Excluye los correos recibidos por (asunto) insertando una expresión regular y espera el siguiente correo. |
| Expresión regular del cuerpo de exclusión | Cadena | N/A | No | Excluye los correos recibidos por (cuerpo) inserta una expresión regular y espera el siguiente correo. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"body": "Mail Body",
"receivers": "set(['user1@example.com'])",
"cc": [],
"timestamp": 1565012780,
"raw": "Raw Content",
"names": {
"user1@example.com": null,
"user2@example.com": "Tester Testor"
},
"content_type": "multipart/alternative",
"date": "2019-08-05 16:46:20",
"subject": "Re: Subject",
"answer": " ",
"sender": "user2@example.com",
"received_timestamp": null,
"charset": null,
"bcc": [],
"to": ["user1@example.com"],
"email_uid": "173180",
"received_date": null,
"reply_to": null,
"html_body": "HTML Body",
"message_id": "<id@example-domain>",
"plaintext_body": "Plain Text Body",
"in_replay_to": "<id@example-domain>"
}
Conectores
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Email Connector
El conector se conecta al servidor de correo periódicamente para comprobar si hay correos nuevos en un buzón concreto. Si hay un conector nuevo, se enviará un correo y se creará una alerta, que Google SecOps añadirá con la información de este correo.
En este tema se ilustran el mecanismo y la configuración mediante los cuales Google Security Operations se conecta e integra con el correo electrónico IMAP/SMTP, así como los flujos de trabajo y las acciones admitidos que se realizan en la plataforma. En este tema se explica cómo comunicarse con servidores que admiten IMAP, como Gmail, Outlook.com y Yahoo!. Mail.
Reenvío de casos por correo a Google SecOps
Google SecOps se comunica con un servidor de correo para buscar correos casi en tiempo real y reenviarlos para que se traduzcan y se contextualicen como alertas de casos.
Parámetros del conector
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Nombre del campo de producto | Cadena | device_product | Parámetro del framework que se debe definir en todos los conectores. Describe el nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo de evento | Cadena | event_name | Nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 60 | El límite de tiempo de espera (en segundos) del proceso de Python que ejecuta la secuencia de comandos actual. |
| Correo electrónico | Correo electrónico | N/A | Dirección de correo de la bandeja de entrada que se va a monitorizar. |
| Dirección del servidor IMAP | IP_OR_HOST | N/A | Dirección del servidor IMAP al que conectarse. |
| Puerto IMAP | Entero | N/A | Puerto IMAP al que conectarse. |
| Nombre de usuario | Cadena | N/A | Nombre de usuario del buzón de correo del que se extraerán los correos. Por ejemplo, user@example.com. |
| Contraseña | Contraseña | N/A | Contraseña del buzón de correo del que se extraerán los correos. |
| Carpeta en la que se buscarán correos | Cadena | Bandeja de entrada | Este parámetro se puede usar para especificar la carpeta de correo del buzón en la que se buscarán los correos. El parámetro también debe aceptar una lista de carpetas separada por comas para comprobar la respuesta del usuario en varias carpetas. El parámetro distingue entre mayúsculas y minúsculas. |
| Zona horaria del servidor | Cadena | UTC | La zona horaria configurada en el servidor. Por ejemplo: UTC, 2. Asia/Jerusalén). |
| Patrón de regex de entorno | Cadena | N/A | Si se define, el conector extrae el entorno del campo de evento especificado. Puede manipular los datos de los campos mediante el campo de patrón de expresión regular para extraer una cadena específica. |
| IMAP USE SSL | Casilla | Marcada | Indica si se debe usar SSL en la conexión o no. |
| Solo correos no leídos | Casilla | Marcada | Si se marca, solo se extraerán los correos no leídos. |
| Marcar correos como leídos | Casilla | Marcada | Si se marca, los correos se marcarán como leídos después de extraerlos. |
| Adjuntar EML original | Casilla | Desmarcada | Si está marcada, adjunta el mensaje original como archivo .eml. |
| Expresiones regulares para gestionar correos reenviados | Cadena | N | Este parámetro se puede usar para especificar una cadena JSON de una sola línea que gestione los correos reenviados. De esta forma, se pueden buscar los campos Asunto, De y Para del correo original en el correo reenviado. |
| Tiempo de desfase en días | Entero | 5 | Número máximo de días desde los que se deben obtener los correos. Ejemplo: 3. |
| Máximo de correos por ciclo | Entero | 10 | Número máximo de correos que se extraerán en un ciclo. |
| Dirección del servidor proxy | IP_OR_HOST | N/A | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | La contraseña del proxy para autenticarte. |
En el área de la lista dinámica, añade la siguiente regla para extraer valores específicos del correo mediante la expresión regular con el siguiente formato:
Display name: matching regular expression.
Por ejemplo, para extraer URLs del correo, introduce la siguiente regla:
urls: http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*(),]|(?:%0-9a-fA-F))+
Casos prácticos
Monitoriza un buzón de correo específico en busca de correos nuevos para enviarlos al servidor de Google SecOps como alertas.
Reglas de conectores
El conector admite comunicaciones cifradas para las comunicaciones con el servidor de correo (SSL/TLS).
El conector admite la conexión al servidor de correo mediante un proxy para el tráfico IMAP e IMAPS.
El conector tiene un parámetro para especificar la carpeta de correo de la buzón en la que se deben buscar los correos. El parámetro acepta una lista de carpetas separadas por comas para comprobar la respuesta del usuario en varias carpetas. En el parámetro se distingue entre mayúsculas y minúsculas.
El conector admite la codificación Unicode para los correos procesados como comunicaciones de usuario final, que pueden estar en un idioma distinto del inglés.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.