Microsoft Graph 邮件(委托)
准备工作
在 Google SecOps 中配置 Microsoft Graph Mail Delegated 集成之前,请完成以下步骤:
创建 Microsoft Entra 应用
如需创建 Microsoft Entra 应用,请完成以下步骤:
以用户管理员或密码管理员身份登录 Azure 门户。
选择 Microsoft Entra ID。
依次前往应用注册 > 新注册。
输入应用的名称。
选择合适的受支持账号类型。
使用以下值配置重定向 URI:
平台:
Web重定向网址:
http://localhost
点击注册。
保存应用(客户端)ID 和目录(租户)ID 值,以配置集成参数。
配置 API 权限
如需为集成配置 API 权限,请完成以下步骤:
在 Azure 门户中,依次前往 API 权限 > 添加权限。
依次选择 Microsoft Graph > 应用权限。
在选择权限部分中,选择以下必需权限:
Mail.ReadMail.ReadWriteMail.SendUser.ReadDirectory.Read.All
点击添加权限。
点击为
ORGANIZATION_NAME授予管理员同意书。当系统显示授予管理员同意权限确认对话框时,点击是。
创建客户端密钥
如需创建客户端密钥,请完成以下步骤:
前往证书和密钥 > 新客户端密钥。
为客户端密钥提供说明并设置其失效期限。
点击 Add(添加)。
保存客户端密钥的值(而非密钥 ID),以便在配置集成时将其用作客户端密钥值参数值。客户端密钥值仅显示一次。
生成刷新令牌
如需生成刷新令牌,请完成以下步骤:
配置集成参数(
Refresh Token参数除外),然后保存这些参数。可选:在 Google SecOps 中模拟案例。
运行 Get Authorization 操作。
运行 Generate Token 操作。
配置
Refresh Token参数。
可选:模拟支持请求
如需生成刷新令牌,请对任何支持请求执行手动操作。如果您的 Google SecOps 实例是新实例,并且没有现有支持请求,请模拟一个支持请求。
如需在 Google SecOps 中模拟支持请求,请按以下步骤操作:
在左侧导航栏中,选择支持请求。
在支持请求页面上,依次点击 添加“添加支持请求”图标 > 模拟支持请求。
选择任意默认情形,然后点击创建。您选择模拟哪种情况无关紧要。
点击模拟。
如果您有非默认环境,并且想要使用该环境,请选择正确的环境,然后点击模拟。
在支持请求标签页中,点击刷新。您模拟的支持请求会显示在支持请求列表中。
运行“获取授权”操作
如需手动运行 Get Authorization 操作,请完成以下步骤:
在支持请求标签页中,选择任意支持请求或使用模拟支持请求打开支持请求视图。
在支持请求视图中,点击
手动操作。在手动操作的搜索字段中,输入
Microsoft Graph Mail Delegated。在“Microsoft Graph Mail Delegated”集成下的结果中,选择获取授权。 此操作会返回一个授权链接,用于以交互方式登录 Microsoft Entra 应用。
点击执行。
执行操作后,前往支持请求的支持请求墙。在 Microsoft Graph Mail Delegated_Get Authorization 操作记录中,点击查看更多。复制授权链接。
在无痕模式下打开新的浏览器窗口,然后粘贴生成的授权网址。系统会打开 Azure 登录页面。
使用您在集成时使用的用户凭据登录。登录后,浏览器会将您重定向到地址栏中包含代码的地址。
由于应用会将您重定向到
http://localhost,因此浏览器预计会显示错误。复制地址栏中包含访问代码的完整网址。
运行“生成令牌”操作
如需手动运行 Generate Token 操作,请完成以下步骤:
在支持请求标签页中,选择任意支持请求或使用模拟支持请求打开支持请求视图。
在支持请求视图标签页中,点击
手动操作。在手动操作的搜索字段中,输入
Microsoft Graph Mail Delegated。在“Microsoft Graph Mail Delegated”集成下的结果中,选择生成令牌。
在
Authorization URL字段中,粘贴您在运行 Get Authentication 操作后复制的包含访问代码的完整网址。点击执行。
执行操作后,前往相应支持请求的支持请求墙。在 Microsoft Graph Mail Delegated_Generate Token 操作记录中,点击查看更多。
复制生成的刷新令牌的完整值。
配置刷新令牌参数
前往 Microsoft Graph Mail Delegated 集成的配置对话框。
将您在生成令牌操作中获得的刷新令牌值输入到刷新令牌字段中。
点击保存。
点击测试,测试配置是否正确以及集成是否按预期运行。
集成参数
Microsoft Graph Mail Delegated 集成需要以下参数:| 参数 | 说明 |
|---|---|
Microsoft Entra ID Endpoint
|
必填。 集成中要使用的 Microsoft Entra ID 端点。 不同租户类型的值可能不同。 默认值为 |
Microsoft Graph Endpoint |
必填。 集成中要使用的 Microsoft Graph 端点。 不同租户类型的值可能不同。 默认值为 |
Client ID |
必填。 要在集成中使用的 Microsoft Entra 应用的客户端(应用)ID。 |
Client Secret Value |
必填。 要在集成中使用的 Microsoft Entra 应用的客户端密钥值。 |
Microsoft Entra ID Directory ID
|
必填。 Microsoft Entra ID(租户 ID)值。 |
User Mailbox
|
必填。 要在集成中使用的邮箱。 |
Refresh Token
|
必填。 用于身份验证的刷新令牌。 |
Redirect URL |
必填。 您在创建 Microsoft Entra ID 应用时配置的重定向网址。 默认值为 |
Mail Field Source |
必填。 如果选择此选项,集成会从用户详情 此选项将会默认选中。 |
Verify SSL |
必填。 如果选中此选项,集成会在连接到 Microsoft Graph 时验证 SSL 证书。 此选项将会默认选中。 |
Base64 Encoded Private Key |
可选。 指定将用于解密电子邮件的 base64 编码私钥。 |
Base64 Encoded Certificate |
可选。 指定将用于解密电子邮件的 base64 编码证书。 |
Base64 Encoded CA certificate |
可选。 指定用于签名验证的 base64 编码的可信 CA 证书。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
在配置操作之前,请为集成提供所需的权限。如需了解详情,请参阅本文档的配置 API 权限部分。
删除电子邮件
您可以使用删除电子邮件操作从邮箱中删除一封或多封电子邮件。此操作会根据您的搜索条件删除电子邮件。在获得相应权限后,删除电子邮件操作可以将电子邮件移至不同的邮箱。
此操作是异步的。根据需要在 Google SecOps 集成开发环境 (IDE) 中调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
删除电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Delete In Mailbox |
必填。 运行删除操作的默认邮箱。如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Folder Name |
必填。 用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 |
Mail IDs |
可选。 用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。 此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。 如果提供此参数,搜索会忽略 |
Subject Filter |
可选。 指定要搜索的电子邮件主题的过滤条件。 |
Sender Filter |
可选。 指定所请求电子邮件发件人的过滤条件。 |
Timeframe (Minutes) |
可选。 一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。 |
Only Unread |
可选。 如果选中此复选框,相应操作将仅搜索未读电子邮件。 默认情况下未选中。 |
How many mailboxes to process in a single batch |
可选。 单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。 默认值为 |
操作输出
下表介绍了与删除电子邮件操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
删除电子邮件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Delete Email 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
下载电子邮件中的附件
使用从电子邮件下载附件操作,根据提供的条件从电子邮件下载附件。
此操作不适用于 Google SecOps 实体。
此操作是异步的。如有必要,请在 Google SecOps IDE 中调整脚本超时值。
该操作会替换 \` forward slash or/backslash characters in
the names of the downloaded attachments with the_` 下划线字符。
操作输入
从电子邮件下载附件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Search In Mailbox |
必填。 搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Folder Name |
必填。 要运行搜索的邮箱文件夹。如需指定子文件夹,请使用正斜杠 |
Download Destination |
必填。 用于保存下载的附件的存储类型。 默认情况下,该操作会尝试将附件保存到 Cloud Storage 存储桶。将附件保存到本地文件系统是一种后备选项。 可能的值包括 |
Download Path |
必填。 下载附件的路径。 将附件保存到 Cloud Storage 存储桶或本地文件系统时,该操作需要您以类 Unix 格式指定下载路径,例如 |
Mail IDs |
可选。 用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。 此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。 如果提供此参数,搜索会忽略 |
Subject Filter |
可选。 指定要搜索的电子邮件主题的过滤条件。 此过滤条件使用 |
Sender Filter |
可选。 指定所请求电子邮件发件人的过滤条件。 此过滤条件使用 |
Download Attachments From EML |
可选。 如果选择此项,相应操作会下载 EML 文件中的附件。 默认情况下未选中。 |
Download attachments to unique path? |
可选。 如果选择此项,操作会将附件下载到 默认情况下未选中。 |
How many mailboxes to process in a single batch |
可选。 单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。 默认值为 |
操作输出
从电子邮件下载附件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用从电子邮件下载附件操作时收到的 JSON 结果输出:
[
{
"attachment_name": "name1.png",
"downloaded_path": "file_path/name1.png"
},
{
"attachment_name": "name2.png",
"downloaded_path": "file_path/name2.png"
}
]
输出消息
从电子邮件下载附件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用从电子邮件下载附件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
从附加的 EML 文件中提取数据
使用从附加的 EML 文件中提取数据操作从电子邮件 EML 附件中检索数据,并在操作结果中返回该数据。此操作支持 .eml、.msg 和 .ics 文件格式。
此操作不适用于 Google SecOps 实体。
操作输入
从附加的 EML 文件中提取数据操作需要以下参数:
| 参数 | 说明 |
|---|---|
Search In Mailbox |
必填。 搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Folder Name |
可选。 要运行搜索的邮箱文件夹。如需指定子文件夹,请使用正斜杠 |
Mail IDs |
必填。 用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。 此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。 |
Regex Map JSON |
可选。 一个 JSON 定义,其中包含要应用于附加电子邮件文件的正则表达式,并在操作 JSON 结果中生成其他键值。此参数值的示例如下: {ips: \\b\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\b}
|
操作输出
从附加的 EML 中提取数据操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例描述了使用 Extract Data From Attached EML 操作时收到的 JSON 结果输出:
[
{
"type": "EML",
"subject": "examplesubject",
"from": "sender@example.com",
"to": "user1@example.com,user2@example.com",
"date": "Thu,4Jul202412:11:29+0530",
"text": "text",
"html": "<p>example-html</p>",
"regex": {},
"regex_from_text_part": {},
"id": "ID",
"name": "example.eml"
},
{
"type": "MSG",
"subject": "examplesubject",
"from": "user@example.com",
"to": "user1@example.com,user2@example.com",
"date": "Thu,4Jul202412:11:29+0530",
"text": "text",
"html": "<p>examplehtml</p>",
"regex": {},
"regex_from_text_part": {},
"id": "ID",
"name": "example.msg"
},
{
"type": "ICS",
"subject": "examplesubject",
"from": "sender@example.com",
"to": "user1@example.com,user2@example.com",
"date": "Thu,4Jul202412:11:29+0530",
"text": "text",
"html": "<p>example-html</p>",
"regex": {},
"regex_from_text_part": {},
"id": "ID",
"name": "example.ics"
}
]
输出消息
从附加的 EML 中提取数据操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用从附加的 EML 文件中提取数据操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
转发电子邮件
使用转发电子邮件操作转发包含之前对话串的电子邮件。 如果拥有适当的权限,此操作可以从集成配置中指定的邮箱以外的邮箱发送电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
转发电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Send From |
必填。 一个可选的电子邮件地址,用于发送电子邮件(如果权限允许)。 默认情况下,电子邮件是从集成配置中指定的默认邮箱发送的。 |
Folder Name |
可选。 用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 |
Mail ID |
必填。 要转发的电子邮件的 ID。 |
Subject |
必填。 电子邮件主题。 |
Send to |
必填。 电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 |
CC |
可选。 电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
BCC |
可选。 电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
Attachments Paths |
可选。 以英文逗号分隔的服务器上存储的文件附件的路径列表,例如 |
Mail content |
必填。 电子邮件正文。 |
操作输出
下表介绍了与 Forward Email 操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
转发电子邮件操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Email with message ID
MAIL_ID was forwarded successfully. |
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用转发电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
生成令牌
使用生成令牌操作可获取具有委托身份验证的集成配置的刷新令牌。使用您在 Get Authorization 操作中收到的授权网址。
此操作不适用于 Google SecOps 实体。
首次生成刷新令牌后,建议您配置并激活刷新令牌续订作业,以便该作业自动续订并保持刷新令牌有效。
操作输入
生成令牌操作需要以下参数:
| 参数 | 说明 |
|---|---|
Authorization URL |
必需。您在 Get Authorization 操作中收到的授权网址。需要提供网址才能请求刷新令牌。 |
操作输出
生成令牌操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
生成令牌操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Generate Token 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取授权
使用 Get Authorization 操作获取包含委托身份验证的访问代码的链接。复制整个链接,并在生成令牌操作中使用该链接来获取刷新令牌。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
获取授权操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
获取授权操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Authorization URL generated successfully. To obtain a URL with
access code, go to the link below as the user that you configured for the
integration. Provide the URL with the access code in the Generate Token
action. |
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Authorization 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取邮箱账号的非设施设置
使用 Get Mailbox Account Out Of Facility Settings 操作可检索所提供的 Google SecOps User 实体的邮箱账号不在办公室 (OOF) 设置。
获取邮箱账号的机构外设置操作使用 Microsoft Graph API 的 Beta 版。
此操作在 Google SecOps User 实体上运行。
操作输入
无。
操作输出
Get Mailbox Account Out Of Facility Settings 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取邮箱账号的设施外设置操作时收到的 JSON 结果输出:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#communications/presences/$entity",
"id": "ID",
"availability": "Offline",
"activity": "Offline",
"statusMessage": null,
"outOfOfficeSettings": {
"message": "\n\nOut Of Facility111\n",
"isOutOfOffice": true
}
}
输出消息
将邮箱账号从设施设置中移出操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Mailbox Account Out Of Facility Settings 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
将电子邮件标记为垃圾邮件
使用 Mark Email as Junk 操作将指定邮箱中的电子邮件标记为垃圾邮件。此操作会将相应电子邮件发件人添加到已阻止的发件人列表中,并将相应邮件移至垃圾邮件文件夹。
将电子邮件标记为垃圾邮件操作使用 Beta 版 Microsoft Graph API。
此操作不适用于 Google SecOps 实体。
操作输入
将电子邮件标记为垃圾邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Search In Mailbox |
必填。 要搜索电子邮件的邮箱。 默认情况下,该操作会尝试在集成配置中指定的默认邮箱中搜索电子邮件。如需在其他邮箱中执行搜索,请为该操作配置适当的权限。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Folder Name |
必填。 用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 默认值为 |
Mail IDs |
必填。 要标记为垃圾邮件的邮件的 ID 或 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
操作输出
将电子邮件标记为垃圾邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将电子邮件标记为垃圾邮件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将电子邮件标记为垃圾邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
将电子邮件标记为“非垃圾邮件”
使用 Mark Email as Not Junk 操作将特定邮箱中的电子邮件标记为非垃圾邮件。此操作会将发件人从已屏蔽的发件人列表中移除,并将相应邮件移至收件箱文件夹。
将电子邮件标记为“非垃圾邮件”操作使用 Microsoft Graph API 的 Beta 版。
此操作不适用于 Google SecOps 实体。
操作输入
将电子邮件标记为“非垃圾邮件”操作需要以下参数:
| 参数 | 说明 |
|---|---|
Search In Mailbox |
必填。 要搜索电子邮件的邮箱。 默认情况下,该操作会尝试在集成配置中指定的默认邮箱中搜索电子邮件。如需在其他邮箱中执行搜索,请为该操作配置适当的权限。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Folder Name |
必填。 用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 |
Mail IDs |
必填。 要标记为垃圾邮件的邮件的 ID 或 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
操作输出
将电子邮件标记为“非垃圾邮件”操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将电子邮件标记为非垃圾邮件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将电子邮件标记为“非垃圾邮件”操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
将电子邮件移至文件夹
使用将电子邮件移至文件夹操作可将一封或多封电子邮件从源电子邮件文件夹移至邮箱中的其他文件夹。在获得相应权限后,此操作可以将电子邮件移至集成配置中提供的邮箱以外的其他邮箱。
此操作是异步的。根据需要在 Google SecOps 集成开发环境 (IDE) 中调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
如需配置将电子邮件移至文件夹操作,请使用以下参数:
| 参数 | 说明 |
|---|---|
Move In Mailbox |
必填。 移动操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中进行搜索。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Source Folder Name |
必填。 要从中移动电子邮件的源文件夹。如需指定子文件夹,请使用正斜杠 |
Destination Folder Name |
必填。 用于移动电子邮件的目标文件夹。 请按以下格式提供参数值:
|
Mail IDs |
可选。 用于搜索具有特定电子邮件 ID 的电子邮件的过滤条件。 此参数接受以英文逗号分隔的电子邮件 ID 列表,用于搜索电子邮件。 如果提供此参数,搜索会忽略 |
Subject Filter |
可选。 指定要搜索的电子邮件主题的过滤条件。 此过滤条件使用 |
Sender Filter |
可选。 指定所请求电子邮件发件人的过滤条件。 此过滤条件使用 |
Timeframe (Minutes) |
可选。 用于指定搜索电子邮件的时间范围(以分钟为单位)的过滤条件。 |
Only Unread |
可选。 如果选中此复选框,相应操作将仅搜索未读电子邮件。 默认情况下未选中。 |
How many mailboxes to process in a single batch |
可选。 单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。 默认值为 |
操作输出
下表介绍了与将电子邮件移至文件夹操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将电子邮件移至文件夹操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用将电子邮件移至文件夹操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 Microsoft Graph 邮件服务的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
下表介绍了与 Ping 操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the Microsoft Graph mail service with
the provided connection parameters! |
操作成功。 |
Failed to connect to the Microsoft Graph mail service! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
运行 Microsoft 搜索查询
使用 Run Microsoft Search Query 操作通过 Microsoft 搜索引擎执行搜索。搜索会使用您指定的基本或高级查询。如需详细了解 Microsoft Search,请参阅 Microsoft Graph 中的 Microsoft Search API 概览。
根据实体的范围,运行 Microsoft 搜索查询操作可能需要您配置其他权限。如需详细了解特定实体类型所需的权限,请参阅使用 Microsoft Search API 查询数据。如需详细了解如何为集成配置权限,请参阅配置 API 权限。
此操作不适用于 Google SecOps 实体。
操作输入
运行 Microsoft 搜索查询操作需要以下参数:
| 参数 | 说明 |
|---|---|
Entity Types To Search |
可选。 搜索响应的预期资源类型的英文逗号分隔列表。 可能的值如下:
|
Fields To Return |
可选。 要在搜索响应中返回的字段。如果您未配置此参数,则该操作会返回所有可用字段。 |
Search Query |
可选。 用于运行搜索的查询。如需详细了解搜索查询示例,请参阅使用 Microsoft Search API 搜索 Outlook 消息。 |
Max Rows To Return |
可选。 操作要返回的最大行数。 如果您未配置此参数,该操作会使用默认值。 默认值为 |
Advanced Query |
可选。 要使用的完整搜索载荷,而不是使用其他操作参数构建搜索查询。将搜索载荷格式设置为 JSON 字符串。如果您配置此参数,相应操作会忽略所有其他参数。 |
操作输出
运行 Microsoft 搜索查询 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
运行 Microsoft 搜索查询操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Run Microsoft Search Query 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
将电子邮件保存到支持请求
使用将电子邮件保存到支持请求操作将电子邮件或电子邮件附件保存到 Google SecOps 支持请求墙。在拥有相应权限的情况下,此操作可以保存来自集成配置中提供的邮箱以外的其他邮箱的电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
将电子邮件保存到支持请求操作需要以下参数:
| 参数 | 说明 |
|---|---|
Search In Mailbox |
必填。 搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中进行搜索。 |
Folder Name |
可选。 用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 |
Mail ID |
必填。 要搜索的电子邮件 ID 的英文逗号分隔列表。 如果您使用发送电子邮件操作发送电子邮件,请将参数值设置为 |
Save Only Email Attachments |
可选。 如果选中此选项,相应操作将仅保存指定电子邮件中的附件。 默认情况下未选中。 |
Attachment To Save |
可选。 如果选择了 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 |
Base64 Encode |
可选。 如果选择此项,相应操作会将电子邮件文件编码为 base64 格式。 默认情况下未选中。 |
操作输出
下表介绍了与将电子邮件保存到支持请求操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙附件
以下附件与将电子邮件保存到支持请求操作相关联:
EMAIL_SUBJECT.eml,如果操作会保存电子邮件。如果操作保存了附件,则附件名称包含文件扩展名(如果有)。
JSON 结果
以下示例介绍了使用将电子邮件保存到支持请求操作时收到的 JSON 结果输出:
{
"id": "ID",
"createdDateTime": "2024-02-16T14:10:34Z",
"eml_info": "example_info",
"lastModifiedDateTime": "2024-02-16T14:10:41Z",
"changeKey": "cxsdjjh",
"categories": [],
"receivedDateTime": "2024-02-16T14:10:35Z",
"sentDateTime": "2024-02-16T14:09:36Z",
"hasAttachments": true,
"internetMessageId": "INTERNET_MESSAGE_ID",
"subject": "all attachments",
"bodyPreview": "all the attachments",
"importance": "normal",
"parentFolderId": "PARENT_FOLDER_ID",
"conversationId": "CONVERSATION_ID",
"conversationIndex": "example-index",
"isDeliveryReceiptRequested": false,
"isReadReceiptRequested": false,
"isRead": true,
"isDraft": false,
"webLink": "https://example.com/",
"inferenceClassification": "focused",
"body": {
"contentType": "html",
"content": "<html><head>example-html</head></html>"
},
"sender": {
"emailAddress": {
"name": "NAME",
"address": "sender@example.com"
}
},
"from": {
"emailAddress": {
"name": "NAME",
"address": "user@example.com"
}
},
"toRecipients": [
{
"emailAddress": {
"name": "NAME",
"address": "recipient@example.com"
}
}
],
"ccRecipients": [],
"bccRecipients": [],
"replyTo": [],
"flag": {
"flagStatus": "notFlagged"
}
}
输出消息
在“支持请求墙”上,“将电子邮件保存到支持请求”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用将电子邮件保存到支持请求操作时,脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
搜索电子邮件
使用搜索电子邮件操作可根据提供的搜索条件在默认邮箱中执行电子邮件搜索。获得适当的权限后,此操作可以在其他邮箱中运行搜索。
此操作是异步的。根据需要在 Google SecOps IDE 中调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
搜索电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Search In Mailbox |
必填。 搜索操作运行的默认邮箱。 如果权限允许,该操作还可以在其他邮箱中搜索。 此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 对于针对大量邮箱的复杂搜索,请使用 Exchange Extension Pack 集成。 |
Folder Name |
必填。 用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 |
Subject Filter |
可选。 指定要搜索的电子邮件主题的过滤条件。 此过滤条件使用 |
Sender Filter |
可选。 指定所请求电子邮件发件人的过滤条件。 此过滤条件使用 |
Timeframe (Minutes) |
可选。 一种过滤条件,用于指定搜索电子邮件的时间范围(以分钟为单位)。 |
Max Emails To Return |
可选。 要返回的相应操作的电子邮件数量。 如果您未设置值,系统会使用 API 默认值。 默认值为 |
Only Unread |
可选。 如果选中此复选框,相应操作将仅搜索未读电子邮件。 默认情况下未选中。 |
All Fields To Return |
可选。 如果选中,该操作会返回所获取电子邮件的所有可用字段。 默认情况下未选中。 |
How many mailboxes to process in a single batch |
可选。 单个批次(与邮件服务器的单次连接)中要处理的邮箱数量。 默认值为 |
操作输出
下表介绍了与 Search Emails 操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
在支持案例墙上,搜索电子邮件操作会提供下表:
表格标题:匹配的电子邮件
列:
- 邮件 ID
- Subject
- 发件人
- 接收方
- 收到日期
输出消息
搜索电子邮件操作提供以下输出消息:
Action was not able to find any emails based on the specified
search criteria.
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用搜索电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
发送电子邮件
使用发送电子邮件操作可从特定邮箱向任意收件人列表发送电子邮件。
此操作可以发送纯文本电子邮件或 HTML 格式的电子邮件。在获得适当的权限后,该操作可以从集成配置中指定的邮箱以外的邮箱发送电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
发送电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Send From |
必填。 可选的电子邮件地址,用于发送电子邮件(如果权限允许)。 默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。 |
Subject |
必填。 电子邮件主题。 |
Send to |
必填。 电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 |
CC |
可选。 电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
BCC |
可选。 电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
Attachments Paths |
可选。 以英文逗号分隔的服务器上存储的文件附件的路径列表,例如 |
Attachments Location |
必填。 附件的存储位置。 默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。 可能的值为 |
Mail Content Type |
可选。 电子邮件内容的类型。 可能的值如下:
默认值为 |
Mail Content |
必填。 电子邮件正文。 |
Reply-To Recipients |
可选。 要在 Reply-To 标头中使用的收件人列表(以英文逗号分隔)。 使用 Reply-To 标头将回复电子邮件重定向到指定的电子邮件地址,而不是 From 字段中的发件人地址。 |
操作输出
下表介绍了与发送电子邮件操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
发送电子邮件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用发送电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
发送电子邮件 HTML
您可以使用 Send Email HTML 操作,通过特定邮箱将使用 Google SecOps HTML 模板的电子邮件发送给任意收件人列表。在获得适当的权限后,该操作可以从非默认邮箱发送电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
发送电子邮件 HTML 操作需要以下参数:
| 参数 | 说明 |
|---|---|
Send From |
必填。 可选的电子邮件地址,用于发送电子邮件(如果权限允许)。 默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。 |
Subject |
必填。 电子邮件主题。 |
Send to |
必填。 电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 |
CC |
可选。 电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
BCC |
可选。 电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
Attachments Paths |
可选。 要提供的附件的完整路径,例如 您可以在以逗号分隔的字符串中提供多个值。 |
Email HTML Template |
必填。 要使用的 HTML 模板的类型。 可能的值包括 默认值为 |
Mail Content |
必填。 电子邮件正文。 |
Reply-To Recipients |
可选。 要在 Reply-To 标头中使用的收件人列表(以英文逗号分隔)。 使用 Reply-To 标头将回复电子邮件重定向到特定电子邮件地址,而不是 From 字段中声明的发件人地址。 |
Attachment Location |
必填。 附件的存储位置。 默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。 可能的值为 |
操作输出
发送电子邮件 HTML 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用发送电子邮件 HTML 操作时收到的 JSON 结果输出:
{
"createdDateTime": "2024-01-30T16:50:27Z",
"lastModifiedDateTime": "2024-01-30T16:50:27Z",
"changeKey": "example-key",
"categories": [],
"receivedDateTime": "2024-01-30T16:50:27Z",
"sentDateTime": "2024-01-30T16:50:27Z",
"hasAttachments": false,
"internetMessageId": "outlook.com",
"subject": "Testing",
"bodyPreview": "example",
"importance": "normal",
"parentFolderId": "ID",
"conversationId": "ID",
"conversationIndex": "INDEX",
"isDeliveryReceiptRequested": false,
"isReadReceiptRequested": false,
"isRead": true,
"isDraft": false,
"webLink": "https://example.com",
"inferenceClassification": "focused",
"body": {
"contentType": "html",
"content": "content"
},
"sender": {
"emailAddress": {
"name": "NAME",
"address": "sender@example.com"
}
},
"from": {
"emailAddress": {
"name": "NAME",
"address": "user@example.com"
}
},
"toRecipients": [
{
"emailAddress": {
"name": "NAME",
"address": "recipient@example.com"
}
}
],
"ccRecipients": [],
"bccRecipients": [],
"replyTo": [],
"uniqueBody": {
"contentType": "html",
"content": "content"
},
"flag": {
"flagStatus": "notFlagged"
},
"id": "ID"
}
输出消息
在“案例墙”上,“发送电子邮件 HTML”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Email was sent successfully. |
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用发送电子邮件 HTML 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
发送消息串回复
使用 Send Thread Reply 操作将消息作为电子邮件会话的回复发送。如果拥有适当的权限,该操作可以从集成配置中指定的邮箱以外的邮箱发送电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
发送消息串回复操作需要以下参数:
| 参数 | 说明 |
|---|---|
Send From |
必填。 可选的电子邮件地址,用于发送电子邮件(如果权限允许)。 默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。 |
Mail ID |
必填。 要搜索的电子邮件 ID。 |
Folder Name |
可选。 用于搜索电子邮件的邮箱文件夹。如需指定子文件夹,请使用正斜杠 默认值为 |
Attachments Paths |
可选。 以英文逗号分隔的服务器上存储的文件附件的路径列表,例如 |
Mail Content |
必填。 电子邮件正文。 |
Reply All |
可选。 如果选择此选项,系统会向与原始电子邮件相关的所有收件人发送回复。 默认情况下未选中。
此参数的优先级高于 |
Reply To |
可选。 以英文逗号分隔的电子邮件地址列表,用于接收回复。 如果您未提供任何值,并且未选中 如果选中 |
Attachments Location |
必填。 附件的存储位置。 默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。 可能的值为 |
操作输出
下表介绍了与 Send Thread Reply 操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
发送帖子回复操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully sent reply to the mail with ID:
EMAIL_ID |
操作成功。 |
Error executing action "Send Thread Reply". Reason: if you want
to send a reply only to your own email address, you need to work with
"Reply To" parameter. |
操作失败。 检查 |
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Send Thread Reply 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
发送投票电子邮件
使用发送投票电子邮件操作发送包含预定义回答选项的电子邮件。此操作使用 Google SecOps HTML 模板来设置电子邮件格式。在获得适当的权限后,发送投票电子邮件操作可以从非默认邮箱发送电子邮件。
此操作不适用于 Google SecOps 实体。
操作输入
发送投票电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Send From |
必填。 可选的电子邮件地址,用于发送电子邮件(如果权限允许)。 默认情况下,该操作会从集成配置中指定的默认邮箱发送电子邮件。 |
Subject |
必填。 电子邮件主题。 |
Send to |
必填。 电子邮件收件人的电子邮件地址列表(以英文逗号分隔),例如 |
CC |
可选。 电子邮件“抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
BCC |
可选。 电子邮件“密件抄送”字段中以英文逗号分隔的电子邮件地址列表。 格式与 |
Attachments Paths |
可选。 要提供的附件的完整路径,例如 您可以在以逗号分隔的字符串中提供多个值。 |
Email HTML Template |
必填。 要使用的 HTML 模板的类型。 可能的值包括 默认值为 |
Reply-To Recipients |
可选。 要在 Reply-To 标头中使用的收件人列表(以英文逗号分隔)。 使用 Reply-To 标头将回复电子邮件重定向到指定的电子邮件地址,而不是 From 字段中显示的发件人地址。 |
Structure of voting options |
必填。 要发送给接收方的投票的结构。 可能的值为 |
Attachment Location |
必填。 附件的存储位置。 默认情况下,该操作会尝试从 Cloud Storage 存储桶上传附件。 可能的值为 |
操作输出
发送投票电子邮件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用发送投票电子邮件操作时收到的 JSON 结果输出:
{
"createdDateTime": "2024-01-30T16:50:27Z",
"lastModifiedDateTime": "2024-01-30T16:50:27Z",
"changeKey": "KEY",
"categories": [],
"receivedDateTime": "2024-01-30T16:50:27Z",
"sentDateTime": "2024-01-30T16:50:27Z",
"hasAttachments": false,
"internetMessageId": "<example-message-ID>",
"subject": "Testing",
"bodyPreview": "example",
"importance": "normal",
"parentFolderId": "FOLDER_ID",
"conversationId": "CONVERSATION_ID",
"conversationIndex": "CONVERSATION_INDEX",
"isDeliveryReceiptRequested": false,
"isReadReceiptRequested": false,
"isRead": true,
"isDraft": false,
"webLink": "https://www.example.com/about",
"inferenceClassification": "focused",
"body": {
"contentType": "html",
"content": "content"
},
"sender": {
"emailAddress": {
"name": "NAME",
"address": "sender@example.com"
}
},
"from": {
"emailAddress": {
"name": "NAME",
"address": "user@example.com"
}
},
"toRecipients": [
{
"emailAddress": {
"name": "NAME",
"address": "recipient@example.com"
}
}
],
"ccRecipients": [],
"bccRecipients": [],
"replyTo": [],
"uniqueBody": {
"contentType": "html",
"content": "content"
},
"flag": {
"flagStatus": "notFlagged"
},
"id": "ID"
}
输出消息
在“案例墙”上,“发送投票电子邮件”操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Email was sent successfully. |
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用发送投票电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
等待用户发送电子邮件
使用等待用户发送电子邮件操作,根据使用发送电子邮件操作发送的电子邮件,等待用户的回复。
此操作是异步的。根据需要在 Google SecOps IDE 中调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
等待用户发送电子邮件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mail ID |
必填。 电子邮件的 ID。 如果您使用发送电子邮件操作发送电子邮件,请将参数值设置为 |
Wait for All Recipients To Reply? |
可选。 如果选中,该操作会等待所有收件人的回复,直到达到超时时间或收到第一个回复后才继续。 此选项将会默认选中。 |
Wait Stage Exclude Pattern |
可选。 用于从等待阶段排除特定回复的正则表达式。 此参数可与电子邮件正文搭配使用。 例如,如果您配置了 |
Folder To Check For Reply |
可选。 用于搜索用户回复的邮箱电子邮件文件夹。搜索是在发送包含问题的电子邮件的邮箱中运行的。 此参数区分大小写。 默认值为 |
Fetch Response Attachments |
可选。 如果选择此操作,并且收件人回复包含附件,则此操作会提取回复并将其作为附件添加到操作结果中。 默认情况下未选中。 |
操作输出
下表介绍了与 Wait For Email From User 操作关联的输出类型:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙附件
以下案例墙附件与等待用户发送的电子邮件操作相关联:
类型:实体
附件内容:标题、文件名(包含扩展名,如有)、fileContent。
- 标题:
RECIPIENT_EMAIL回复附件。 - 文件名:
ATTACHMENT_FILENAME+FILE_EXTENSION - fileContent:
CONTENT_OF_THE_ATTACHED_FILE
“支持请求墙”表格
“等待用户发送的电子邮件”操作可生成下表:
表格标题:匹配的电子邮件
列:
- 邮件 ID
- 收到日期
- 发件人
- 收件人
- Subject
输出消息
等待用户发送的电子邮件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to execute action, the error is:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用等待用户发送电子邮件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
等待投票电子邮件结果
使用 Wait For Vote Email Results 操作可等待用户根据使用 Send Vote Email 操作发送的投票电子邮件做出的回应。
此操作是异步的。根据需要在 Google SecOps IDE 中调整操作超时时间。
此操作不适用于 Google SecOps 实体。
操作输入
等待投票电子邮件结果操作需要以下参数:
| 参数 | 说明 |
|---|---|
Vote Mail Sent From |
必填。 发送投票电子邮件操作发送电子邮件时所用的邮箱。 默认值是您在集成配置中指定的邮箱。 如果投票邮件是从其他邮箱发送的,您可以选择为此参数设置其他值。 |
Mail ID |
必填。 电子邮件的 ID。 如果电子邮件是使用 如需返回电子邮件 ID,您可以使用搜索电子邮件操作。 |
Wait for All Recipients To Reply? |
可选。 如果选中,该操作会等待所有收件人的回复,直到达到超时时间或收到第一个回复后才继续。 此选项将会默认选中。 |
Wait Stage Exclude Pattern |
可选。 用于从等待阶段排除特定回复的正则表达式。 此参数可与电子邮件正文搭配使用。 示例:该操作不会将自动“不在办公室”消息视为收件人回复,而是等待实际的用户回复。 |
Folder To Check For Reply |
可选。 用于搜索用户回复的邮箱电子邮件文件夹。搜索会在发送包含问题的电子邮件的邮箱中运行。 此参数接受以英文逗号分隔的文件夹列表,用于在多个文件夹中检查用户回答。 此参数区分大小写。 默认值为 |
Folder To Check For Sent Mail |
可选。 用于搜索已发送邮件的邮箱文件夹。 您发送电子邮件提出问题时所用的邮箱。 此参数接受以英文逗号分隔的文件夹列表,用于在多个文件夹中检查用户响应。 此参数区分大小写。
如需指定子文件夹,请使用正斜杠 默认值为 |
Fetch Response Attachments |
可选。 如果选中此选项,并且收件人回复包含附件,则该操作会提取回复并将其作为附件添加到支持请求墙。 默认情况下未选中。 |
操作输出
等待投票电子邮件结果操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙附件
以下案例墙附件与等待投票电子邮件结果操作相关联:
类型:实体
附件内容:标题、文件名(包含扩展名,如有)、fileContent。
- 标题:
RECIPIENT_EMAIL回复附件。 - 文件名:
ATTACHMENT_FILENAME+FILE_EXTENSION - fileContent:
CONTENT_OF_THE_ATTACHED_FILE
“支持请求墙”表格
在案例墙上,等待电子邮件结果操作会生成以下表格:
表格标题:匹配的电子邮件
列:
- 邮件 ID
- 收到日期
- 发件人
- 收件人
- Subject
JSON 结果
以下示例介绍了使用等待投票电子邮件结果操作时收到的 JSON 结果输出:
{
"Responses": [
{
"recipient": "user@example.com",
"vote": "Approve"
}
]
}
输出消息
等待投票电子邮件结果操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用等待投票电子邮件结果操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅提取数据(连接器)。
Microsoft Graph Mail 委托连接器
使用 Microsoft Graph Mail Delegated Connector 从 Microsoft Graph 邮件服务中检索电子邮件。
Microsoft Graph 邮件委托连接器在 Microsoft 365 中使用委托身份验证,并且需要用户进行交互式登录才能连接到 Microsoft 365。
使用动态列表通过正则表达式过滤电子邮件正文和主题部分中的指定值。默认情况下,连接器使用正则表达式过滤掉电子邮件中的网址。
连接器前提条件
Microsoft Graph Mail Delegated Connector 要求您配置集成参数并生成刷新令牌。
连接器输入
Microsoft Graph Mail Delegated Connector 需要以下参数:| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 默认值为 商品名称主要影响映射。为了简化和改进连接器的映射流程,默认值 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段名称。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果未找到环境字段,则将环境设置为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为 |
Email Exclude Pattern |
可选。 用于排除特定电子邮件(例如垃圾邮件或新闻)的正则表达式。 此参数适用于电子邮件的主题和正文。 |
Script Timeout (Seconds)
|
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
Microsoft Entra ID Endpoint
|
必填。 集成中要使用的 Microsoft Entra 端点。 默认值为 |
Microsoft Graph Endpoint |
必填。 集成中要使用的 Microsoft Graph 端点。 默认值为 |
Mail Address |
必填。 供连接器使用的电子邮件地址。 |
Refresh Token
|
必填。 用于身份验证的刷新令牌。 |
Client ID |
必填。 Microsoft Entra 应用的应用(客户端)ID。 |
Client Secret Value |
必填。 Microsoft Entra 应用的客户端密钥值。 |
Microsoft Entra ID Directory ID
|
必填。 Microsoft Entra ID(租户 ID)值。 |
Folder to check for emails |
必填。 用于搜索电子邮件的电子邮件文件夹。此参数接受以英文逗号分隔的文件夹列表,用于在多个文件夹中搜索用户回答。如需指定子文件夹,请使用正斜杠 此参数区分大小写。 默认值为 |
Offset Time In Hours |
必填。 在首次连接器迭代之前检索电子邮件的小时数。此参数适用于您首次启用连接器后的初始连接器迭代。当最新连接器迭代中的时间戳过期时,连接器可以使用此参数作为回退值。 默认值为 |
Max Emails Per Cycle |
必填。 每次连接器迭代要提取的电子邮件数量。 默认值为 |
Unread Emails Only |
可选。 如果选中此选项,连接器将仅根据未读电子邮件创建支持请求。 默认情况下未选中。 |
Mark Emails as Read |
可选。 如果选择此选项,连接器会在提取电子邮件后将其标记为已读。 默认情况下未选中。 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 默认情况下未选中。 |
Verify SSL |
必填。 如果选中此选项,集成会在连接到 Microsoft Graph 时验证 SSL 证书。 此选项将会默认选中。 |
Original Received Mail Prefix |
可选。 要添加到从受监控邮箱中收到的原始电子邮件中提取的事件键(例如 默认值为 |
Attached Mail File Prefix |
可选。 要添加到从受监控邮箱中收到的附加电子邮件文件中提取的事件键(例如 默认值为 |
Create a Separate Google Secops Alert per Attached Mail File
|
可选。 如果选择此选项,连接器会创建多个提醒,每个附加的电子邮件文件对应一个提醒。 如果您处理附加了多个电子邮件文件的电子邮件,并将 Google SecOps 事件映射设置为从附加的电子邮件文件创建实体,则此行为非常有用。 默认情况下未选中。 |
Attach Original EML |
可选。 如果选中此选项,连接器会将原始电子邮件以 EML 文件的形式附加到支持请求信息中。 默认情况下未选中。 |
Headers to add to events |
可选。 要添加到 Google SecOps 事件的电子邮件标头(以英文逗号分隔的字符串),例如 您可以配置与标头完全匹配,也可以将此形参值设置为正则表达式。 连接器会从 如需阻止连接器向事件添加标头,请按如下方式设置参数值: 默认情况下,连接器会添加所有可用的标头。 |
Case Name Template |
可选。 自定义支持请求名称。 配置此参数后,连接器会将一个名为 您可以提供以下格式的占位符:
示例: 对于占位符,连接器使用第一个 Google SecOps SOAR 事件。连接器仅处理包含字符串值的键。 |
Alert Name Template |
可选。 自定义提醒名称。 您可以提供以下格式的占位符:
示例: 对于占位符,连接器使用第一个 Google SecOps SOAR 事件。连接器仅处理包含字符串值的键。如果您未提供值或提供的模板无效,连接器将使用默认的提醒名称。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
Mail Field Source |
可选。 如果选择此选项,集成会从用户详情 此选项将会默认选中。 |
Base64 Encoded Private Key |
可选。 指定将用于解密电子邮件的 base64 编码私钥。 |
Base64 Encoded Certificate |
可选。 指定将用于解密电子邮件的 base64 编码证书。 |
Base64 Encoded CA certificate |
可选。 指定用于签名验证的 base64 编码的可信 CA 证书。 |
连接器规则
连接器支持代理。
作业
如需在 Google SecOps 中配置作业,请完成以下步骤:
- 在左侧导航栏中,依次选择响应 > 作业调度器。
- 在作业标签页中,点击 添加 新建作业。
- 从列表中选择所需作业,然后点击保存。
- 继续进行作业配置。
刷新令牌续订作业
使用刷新令牌续订作业定期更新集成所用的刷新令牌。
默认情况下,刷新令牌每 90 天过期一次。建议您将此作业配置为每 7 天或 14 天自动运行一次,以确保刷新令牌保持最新状态。
作业输入
刷新令牌续订作业需要以下参数:
| 参数 | 说明 |
|---|---|
Integration Environments |
可选。 要为其更新刷新令牌的集成环境。此参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如需配置此参数,请用 |
Connector Names |
可选。 要为其更新刷新令牌的连接器名称。此参数接受以英文逗号分隔的字符串形式的多个值。 如需配置此参数,请将每个连接器名称都用英文双引号 ( |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。