Gmail
本文档提供了有关如何将 Gmail 与 Google Security Operations SOAR 集成的指南。
集成版本:1.0
准备工作
如需使用此集成,您需要拥有 Google Cloud 服务账号。您可以使用现有服务账号,也可以创建新服务账号。此外,还需要在 Google Cloud 组织中启用 Gmail API。
创建服务账号
如需有关创建服务账号的指南,请参阅创建服务账号。
如果您使用服务账号向 Google Cloud进行身份验证,则可以创建 JSON 格式的服务账号密钥,并在配置集成参数时提供下载的 JSON 文件的内容。
出于安全考虑,我们建议您使用工作负载身份电子邮件地址,而不是服务账号密钥。如需详细了解工作负载身份,请参阅工作负载身份。
向您的服务账号进行全网域授权
- 在网域的 Google 管理控制台中,依次前往 主菜单 > 安全性 > 访问权限和数据控件 > API 控件。
- 在全网域授权窗格中,选择管理全网域授权。
- 点击新增。
- 在客户端 ID 字段中,输入在前述服务账号创建步骤中获得的客户端 ID。
在 OAuth 范围字段中,输入以下以英文逗号分隔的集成所需范围列表:
https://mail.google.com/, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/admin.directory.group.member, https://www.googleapis.com/auth/admin.directory.customer.readonly, https://www.googleapis.com/auth/admin.directory.domain.readonly, https://www.googleapis.com/auth/admin.directory.group, https://www.googleapis.com/auth/admin.directory.orgunit, https://www.googleapis.com/auth/admin.directory.user.alias, https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly, https://www.googleapis.com/auth/apps.groups.settings点击授权。
将 Gmail 与 Google SecOps SOAR 集成
Gmail 集成需要以下参数:
| 参数 | 说明 |
|---|---|
Service Account JSON File Content |
可选 服务账号密钥 JSON 文件的内容。
您可以配置此参数或 如需配置此参数,请提供您在创建服务账号时下载的服务账号密钥 JSON 文件的完整内容。 |
Default Mailbox |
必需 集成中要使用的默认邮箱。 |
Workload Identity Email |
可选 工作负载身份的客户端电子邮件地址。 您可以配置此参数或 如需使用工作负载身份电子邮件地址模拟服务账号,请向您的服务账号授予 |
Verify SSL |
可选 如果选择此选项,集成会验证用于连接到 Gmail 的 SSL 证书是否有效。 默认情况下,此参数处于选中状态。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如果需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅处理工作台中的待处理操作和执行手动操作。
添加电子邮件标签
使用 Add Email Label 操作可为指定电子邮件添加标签。
此操作是异步的。在 Google SecOps 集成开发环境 (IDE) 中相应地调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
添加电子邮件标签操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于等待回复的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。此参数接受多个值,这些值以英文逗号分隔的列表形式提供。 |
Internet Message ID |
可选 要搜索的电子邮件的互联网消息 ID。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果您提供互联网消息 ID,相应操作会忽略 |
Labels Filter |
可选 用于指定要搜索的电子邮件标签的过滤条件。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 您可以搜索带有特定标签的电子邮件,例如 |
Subject Filter |
可选
指定要搜索的电子邮件主题的过滤条件。 此过滤条件使用 |
Sender Filter |
可选
指定要搜索的电子邮件发件人的过滤条件。 此过滤条件使用 |
Time Frame (minutes) |
可选
一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。 默认值为 60 分钟。 |
Email Status |
可选 要搜索的电子邮件的状态。 可能的值如下:
默认值为 |
Label |
必需 用于更新电子邮件地址的标签。 此参数接受多个值,这些值以英文逗号分隔的列表形式提供。 如果标签在邮箱中不存在,则该操作会创建标签。 |
操作输出
添加电子邮件标签操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例描述了使用 Add Email Label 操作时收到的 JSON 结果输出:
[
{
"Entity": "email@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
输出消息
添加电子邮件标签操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Add Email Label". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用添加电子邮件标签操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
删除电子邮件
使用 Delete Email 操作可根据提供的搜索条件从邮箱中删除一封或多封电子邮件。默认情况下,此操作会将电子邮件移至回收站。您可以将相应操作配置为永久删除电子邮件,而不是将其移至回收站。
删除电子邮件操作是异步的。在 Google SecOps IDE 中相应地调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
删除电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于等待回复的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Labels Filter |
可选 用于指定要搜索的电子邮件标签的过滤条件。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 您可以搜索带有特定标签的电子邮件,例如 |
Internet Message ID |
可选 要搜索的电子邮件的互联网消息 ID。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果您提供互联网消息 ID,该操作会忽略 |
Subject Filter |
可选
指定要搜索的电子邮件主题的过滤条件。 此过滤条件使用 |
Sender Filter |
可选
指定要搜索的电子邮件发件人的过滤条件。 此过滤条件使用 |
Time Frame (minutes) |
可选
一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。 默认值为 60 分钟。 |
Email Status |
可选 要搜索的电子邮件的状态。 可能的值如下:
默认值为 |
Move to Trash |
可选 如果选中此选项,该操作会将电子邮件移至回收站,并且不会搜索带有回收站标签的电子邮件,除非您将 此选项将会默认选中。 |
操作输出
删除电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用删除电子邮件操作时收到的 JSON 结果输出:
{
"mailbox1": [DELETED_MESSAGE_ID_LIST],
"mailbox2": [DELETED_MESSAGE_ID_LIST]
}
输出消息
删除电子邮件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Delete Email". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用删除电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
转发电子邮件
使用转发电子邮件操作转发电子邮件,包括包含之前会话的电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
转发电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于发送电子邮件的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。 |
Internet Message ID |
必需 要搜索的电子邮件的互联网消息 ID。 。 |
Send To |
必需 电子邮件收件人的电子邮件地址字符串(以英文逗号分隔),例如 |
CC |
可选 以英文逗号分隔的抄送 (CC) 电子邮件收件人的电子邮件地址字符串,例如 |
BCC |
可选 以英文逗号分隔的密件抄送 (BCC) 电子邮件收件人的电子邮件地址字符串,例如 |
Subject |
必需 要转发的电子邮件的新主题。 |
Attachments Paths |
可选 一个以英文逗号分隔的字符串,其中包含存储在 Google SecOps 服务器上的文件附件的路径。 |
Mail Content |
必需 电子邮件的正文。 |
操作输出
转发电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用转发电子邮件操作时收到的 JSON 结果输出:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
输出消息
转发电子邮件操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully forwarded the
MESSAGE_ID email. |
操作成功。 |
Error executing action "Forward Email". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用转发电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 Gmail 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the Google Gmail service with the
provided connection parameters! |
操作成功。 |
Failed to connect to the Google Gmail service! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
移除电子邮件标签
使用 Remove Email Label 操作可从指定电子邮件中移除标签。
此操作是异步的。在 Google SecOps IDE 中相应地调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
移除电子邮件标签操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于等待回复的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。此参数接受多个值,这些值以英文逗号分隔的列表形式提供。 |
Internet Message ID |
可选 要搜索的电子邮件的互联网消息 ID。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果您提供互联网消息 ID,相应操作会忽略 |
Labels Filter |
可选 用于指定要搜索的电子邮件标签的过滤条件。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 您可以搜索带有特定标签的电子邮件,例如 |
Subject Filter |
可选
指定要搜索的电子邮件主题的过滤条件。 此过滤条件使用 |
Sender Filter |
可选
指定要搜索的电子邮件发件人的过滤条件。 此过滤条件使用 |
Time Frame (minutes) |
可选
一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。 默认值为 60 分钟。 |
Email Status |
可选 要搜索的电子邮件的状态。 可能的值如下:
默认值为 |
Label |
必需 要从电子邮件中移除的标签。 此参数接受多个值,这些值以英文逗号分隔的列表形式提供。如需从电子邮件中移除所有标签,请将参数值配置为 |
操作输出
移除电子邮件标签操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用移除电子邮件标签操作时收到的 JSON 结果输出:
[
{
"Entity": "email@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@mail.gmail.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
输出消息
移除电子邮件标签操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Remove Email Label". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用移除电子邮件标签操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
将电子邮件保存到支持请求
使用 Save Email To The Case 操作将电子邮件或电子邮件附件保存到 Google SecOps 中的操作案例墙。
此操作不适用于 Google SecOps 实体。
操作输入
将电子邮件保存到支持请求操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于等待回复的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。 |
Internet Message ID |
必需 要搜索的电子邮件的互联网邮件 ID。 |
Save Only Email Attachments |
可选 如果选中此选项,相应操作将仅保存指定电子邮件中的附件。 默认情况下未选中。 |
Attachment To Save |
可选 如果您选择了 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Base64 Encode |
可选 如果选择此项,相应操作会将电子邮件文件编码为 base64 格式。 默认情况下未选中。 |
操作输出
将电子邮件保存到支持请求操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙附件
将电子邮件保存到支持请求操作会将电子邮件和附件保存为 Google SecOps 中的支持请求证据。
下表介绍了该操作保存的文件:
| 已保存的文件 | 名称和格式 |
|---|---|
| 电子邮件 | EMAIL_SUBJECT.eml
|
Email attachment |
ATTACHMENT_NAME.
ATTACHMENT_EXTENSION |
JSON 结果
以下示例介绍了使用将电子邮件保存到支持请求操作时收到的 JSON 结果输出:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"example\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
输出消息
将电子邮件保存到支持请求操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Save Email To The Case". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Save Email To The Case 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
搜索电子邮件
使用搜索电子邮件操作,根据提供的搜索条件在指定的邮箱中执行电子邮件搜索。
此操作是异步的。在 Google SecOps IDE 中相应地调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
搜索电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于等待回复的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。此参数接受多个值,这些值以英文逗号分隔的列表形式提供。 |
Labels Filter |
可选 用于指定要搜索的电子邮件标签的过滤条件。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 默认值为 您可以搜索带有特定标签的电子邮件,例如 |
Internet Message ID |
可选 要搜索的电子邮件的互联网消息 ID。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果您提供互联网消息 ID,该操作会忽略 |
Subject Filter |
可选
指定要搜索的电子邮件主题的过滤条件。 |
Sender Filter |
可选
指定要搜索的电子邮件发件人的过滤条件。 |
Recipient Filter |
可选
指定要搜索的电子邮件收件人的过滤条件。 |
Time Frame (minutes) |
可选
一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。 默认值为 60 分钟。 |
Email Status |
可选 要搜索的电子邮件的状态。 可能的值如下:
默认值为 |
Headers To Return |
可选
要在操作输出中返回的标头的英文逗号分隔列表。 该操作始终返回以下标头: 如果您未提供任何值,则该操作会返回所有标头。 此参数不区分大小写。 |
Return Email Body |
可选 如果选中,该操作会在操作输出中返回电子邮件的完整正文内容。如果未选择此选项,则无法获取电子邮件中附件名称的相关信息。 默认情况下未选中。 |
Max Emails To Return |
可选 相应操作要返回的电子邮件的最大数量。 默认值为 50。 |
操作输出
搜索电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
搜索电子邮件操作提供以下表格:
表格标题:找到的电子邮件
列:
- Message_id
- 收到日期
- 发件人
- 收件人
- Subject
- 电子邮件正文摘要
- 附件名称
- 可选:在邮箱中找到
JSON 结果
以下示例介绍了使用搜索电子邮件操作时收到的 JSON 结果输出:
[
{
"Entity": "email@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
输出消息
搜索电子邮件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search For Emails". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用搜索电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
发送电子邮件
使用发送电子邮件操作可根据提供的参数发送电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
发送电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于发送电子邮件的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。 |
Subject |
必需 要发送的电子邮件的主题。 |
Send To |
必需 电子邮件收件人的电子邮件地址字符串(以英文逗号分隔),例如 |
CC |
可选 以英文逗号分隔的抄送 (CC) 电子邮件收件人的电子邮件地址字符串,例如 |
BCC |
可选 用于密件抄送 (BCC) 电子邮件收件人的电子邮件地址字符串(以英文逗号分隔),例如 |
Attachments Paths |
可选 一个以英文逗号分隔的字符串,其中包含存储在 Google SecOps 服务器上的文件附件的路径。 |
Mail Content |
必需 电子邮件的正文。 |
Reply-To Recipients |
可选 要在 Reply-To 标头中使用的收件人列表(以英文逗号分隔)。 使用 Reply-To 标头将回复电子邮件重定向到特定电子邮件地址,而不是 From 字段中声明的发件人地址。 |
操作输出
发送电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用发送电子邮件操作时收到的 JSON 结果输出:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"example\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
输出消息
发送电子邮件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Email was sent successfully. |
操作成功。 |
Error executing action "Send Email". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用发送电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
发送消息串回复
使用 Send Thread Reply 操作将消息作为电子邮件会话的回复发送。
此操作不适用于 Google SecOps 实体。
操作输入
发送消息串回复操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于等待回复的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。 |
Internet Message ID |
必需 要搜索的电子邮件的互联网消息 ID。 。 |
Reply To |
可选
以英文逗号分隔的电子邮件地址列表,用于接收回复。 如果您未提供任何值,并且未勾选 |
Reply All |
可选
如果选中,该操作会向与原始电子邮件相关的所有收件人发送回复。 此参数的优先级高于 默认情况下未选中。 |
Attachments Paths |
可选 一个以英文逗号分隔的字符串,其中包含存储在 Google SecOps 服务器上的文件附件的路径。 |
Mail Content |
必需 电子邮件的正文。 |
操作输出
发送帖子回复操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 Send Thread Reply 操作时收到的 JSON 结果输出:
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "email@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "email@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
输出消息
发送线程回复操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully sent a thread reply to the
INTERNET_MESSAGE_ID email.
|
操作成功。 |
Error executing action "Sent Thread Reply". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Send Thread Reply 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
等待线程回复
使用 Wait For Thread Reply 操作等待用户回复,该回复是基于使用 Send Email 操作发送的电子邮件。
此操作是异步的。在 Google SecOps IDE 中相应地调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
等待线程回复操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mailbox |
必需 用于等待回复的邮箱,例如 默认情况下,该操作会使用您为集成配置的默认邮箱。此参数接受多个值,这些值以英文逗号分隔的列表形式提供。 |
Internet Message ID |
必需 要等待的电子邮件的互联网消息 ID。如果邮件是使用发送电子邮件操作发送的,请使用 如需检索互联网邮件 ID,请使用搜索电子邮件操作。 |
Wait for All Recipients to Reply |
可选 如果选择此项,操作会等待所有收件人的回复,直到超时。 默认情况下未选中。 |
Fetch Response Attachments |
可选 如果选择此选项,并且收件人回复包含附件,则该操作会检索电子邮件附件,并将其作为附件添加到 Google SecOps 中的支持请求墙。 默认情况下未选中。 |
操作输出
等待线程回复操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用等待线程回复操作时收到的 JSON 结果输出:
[
{
"Entity": "reply@example.com",
"EntityResult": [
{
"id": "ID",
"thread_id": "THREAD_ID",
"label_ids": [
"CATEGORY_PERSONAL",
"INBOX"
],
"snippet": "SNIPPET",
"history_id": "10576",
"internal_date": 1728217410000,
"message_id": "<CAAfJ0RiApRCW7jbTMQdjia+cnzrsWR4UNbB4x94srTZHaEG+Vw@example.com>",
"subject": "SUBJECT",
"from": "example@example.com",
"headers": {
"delivered-to": "reply@example.com",
"received": [
"by 2002:a096512 named unknown by gmailapi.google.com with HTTPREST; Sun, 6 Oct 2024 12:23:30 +0000"
],
"x-google-smtp-source": "AGHT+IEq/FCBnUtDRgoabTbX8/z1dIKeKteo3Ic5+sbufKyI22pP1gK1soG9jSmV7dMEQXlIVdRf",
"x-received": [
"by 2002:a05:620a:0:b0:374:ce15:9995 with SMTP id ffacd0b85a97d-37d0e78253cmr6681102f8f.34.1728217410309; Sun, 06 Oct 2024 05:23:30 -0700 (PDT)"
],
"arc-seal": "i=1; aLC/Hhaf3TqCPqGGiSfvDT7bxtQp1lz c9xg==",
"arc-message-signature": "i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:subject:message-id:datG+AhKivQ7tcf2K8m9B/lexnQw/puC+acDzdYkIqU6 o4ne1qpcJKc32l6V0+ggtGSuHFvp6ySOZkhLJqei9RXBd6HPV3Yj5nVexbhlFuH29w3E KpGg==; dara=google.com",
"arc-authentication-results": "i=1; mx.google.com; dkim=pass header.i=@labilfrom=example@example.com; dara=pass header.i=@example.com",
},
"mimetype": "text/plain",
"text_bodies": [
"text\r\n"
],
"html_bodies": [],
"file_attachments": [],
"date": "Sun, 6 Oct 2024 12:23:30 +0000",
"to": "reply@example.com",
"cc": null,
"bcc": null,
"in-reply-to": null,
"reply-to": null
}
]
}
]
输出消息
等待线程回复操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Wait For Thread Reply". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用等待线程回复操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅提取数据(连接器)。
Gmail 连接器
使用 Gmail 连接器从指定的邮箱检索 Gmail 电子邮件。
Gmail 连接器不会注入带有已安排标签的电子邮件,原因如下:
- 连接器仅提取已发送的电子邮件。已设为定时发送标签表示电子邮件仅已设为定时发送,但尚未发送。
- 连接器需要时间戳才能检索电子邮件。定时发送的电子邮件没有时间戳。
连接器输入
Gmail 连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必需 存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需 用于确定事件名称(子类型)的字段名称。 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果未找到环境字段,则将环境设置为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
Email Exclude Pattern |
可选 用于排除特定电子邮件(例如垃圾邮件或新闻)的正则表达式。 此参数适用于电子邮件的主题和正文。例如,如需排除自动回复电子邮件,您可以配置以下正则表达式: |
Script Timeout (Seconds) |
必需 运行当前脚本的 Python 进程的超时限制(以秒为单位)。 默认值为 300 秒。 |
Service Account JSON File Content |
可选 服务账号密钥 JSON 文件的内容。 您可以配置此参数或 如需配置此参数,请提供您在创建服务账号时下载的服务账号密钥 JSON 文件的完整内容。 |
Workload Identity Email |
可选 您的服务账号的客户端电子邮件地址。 您可以配置此参数或 如需通过工作负载模拟服务账号,请向您的 Google SecOps 服务账号授予 |
Disable Overflow |
可选 如果选中此选项,连接器会在创建提醒期间忽略 Google SecOps 溢出机制。 默认情况下未选中。 |
Default Mailbox |
必需 用作集成默认邮箱的电子邮件地址,例如 |
Labels Filter |
可选 要注入 Google SecOps 的电子邮件的标签。 连接器支持嵌套标签。
以 Gmail 可接受的格式提供标签,例如 |
Email Status |
可选 要搜索的电子邮件的状态。 可能的值如下:
Both。 |
Extract Headers |
可选 要从 默认情况下,连接器会将所有标头添加到事件中。如需仅添加特定标头,请以英文逗号分隔列表的形式输入这些标头,例如 此参数不区分大小写。 |
Attached Mail File Prefix |
可选 要添加到从受监控邮箱中收到的附加电子邮件文件中提取的事件键(例如 默认值为 |
Original Received Mail Prefix |
可选 要添加到从受监控邮箱中收到的原始电子邮件中提取的事件键(例如 默认值为 |
Attach Original EML |
可选 如果选中此复选框,连接器会将原始电子邮件作为元素标记语言 (EML) 文件附加到支持请求信息中。 默认情况下未选中。 |
Create Alert Per Attachment File
|
可选 如果选择此选项,连接器会创建多个提醒,每个附加的电子邮件文件对应一个提醒。 如果您处理附加了多个电子邮件文件的电子邮件,并将 Google SecOps 事件映射设置为从附加的电子邮件文件创建实体,则此行为非常有用。 默认情况下未选中。 |
Max Emails Per Cycle |
可选 每次连接器迭代要检索的电子邮件数量上限。 上限为 100。默认值为 10。 |
Max Hours Backwards |
可选 首次连接器迭代之前的小时数,用于检索事件。此参数适用于首次启用连接器后的初始连接器迭代,或已过期的连接器时间戳的回退值。 默认值为 24。 |
Case Name Template |
可选 自定义支持请求名称。 配置此参数后,连接器会向 Google SecOps 事件添加一个名为 您可以提供以下格式的占位符:
示例: 对于占位符,连接器使用第一个 Google SecOps 事件。连接器仅处理包含字符串值的键。如需配置此参数,请指定不带前缀的事件字段。 |
Alert Name Template |
可选 自定义提醒名称。 您可以提供以下格式的占位符:
示例: 对于占位符,连接器使用第一个 Google SecOps SOAR 事件。连接器仅处理包含字符串值的键。如果您未提供值或提供的模板无效,连接器将使用默认的提醒名称。如需配置此参数,请指定不带前缀的事件字段。 |
Verify SSL |
必需 如果选择此选项,集成会验证用于连接到 Gmail 的 SSL 证书是否有效。此选项将会默认选中。 |
Proxy Server Address |
可选 要使用的代理服务器的地址。 |
Proxy Username |
可选 用于进行身份验证的代理用户名。 |
Proxy Password |
可选 用于进行身份验证的代理密码。 |
连接器规则
Gmail 连接器支持动态列表。
如需过滤电子邮件正文和主题中的特定值,请使用以下格式的动态列表正则表达式:key: regex,例如 subject: (?<=Subject: ).*。例如,在找到与 subject: (?<=Subject: ).* 正则表达式匹配的内容后,连接器会创建一个 Google SecOps 提醒事件,并向其中添加一个名称为 subject 的新键。新键值与正则表达式匹配。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。