Diese Seite wurde von der Cloud Translation API übersetzt.

Proofpoint TAP-Benachrichtigungslogs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Protokolle für Proofpoint Targeted Attack Protection (TAP)-Benachrichtigungen erfassen können, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label PROOFPOINT_MAIL.

Proofpoint TAP-Benachrichtigungen konfigurieren

Melden Sie sich mit Ihren Anmeldedaten im Proofpoint Threat Insight-Portal an.
Wählen Sie auf dem Tab Einstellungen die Option Verbundene Anwendungen aus. Der Abschnitt Dienstanmeldedaten wird angezeigt.
Klicken Sie im Bereich Name auf Create new credential (Neue Anmeldedaten erstellen).
Geben Sie den Namen Ihrer Organisation ein, z. B. altostrat.com.
Klicken Sie auf Erstellen. Im Dialogfeld Generated service credential (Generierte Dienstanmeldedaten) werden die Werte Service principal (Dienstprinzipal) und Secret (Secret) angezeigt.
Kopieren Sie die Werte für Service principal (Dienstprinzipal) und Secret (Secret). Die Werte werden nur bei der Erstellung angezeigt und sind erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
Klicken Sie auf Fertig.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Proofpoint TAP alerts logs (Proofpoint TAP-Benachrichtigungslogs).
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie Proofpoint TAP alerts als Log type (Protokolltyp) aus.
Klicken Sie auf Weiter.
Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Nutzername: Geben Sie den Dienstprinzipal an, den Sie zuvor erhalten haben.
- Secret: Geben Sie das Secret an, das Sie zuvor abgerufen haben.
Klicken Sie auf Weiter und dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Nutzername: Geben Sie den Dienstprinzipal an, den Sie zuvor erhalten haben.
Secret: Geben Sie das Secret an, das Sie zuvor abgerufen haben.

Erweiterte Optionen

Feedname:Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp:Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace:Der mit dem Feed verknüpfte Namespace.
Aufnahmelabels:Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn Sie Probleme beim Erstellen von Feeds haben, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Dieser Parser verarbeitet Proofpoint Mail-Protokolle im JSON- oder Schlüssel/Wert-Format und extrahiert Details zu E-Mail- und Netzwerkaktivitäten. Es ordnet Protokollfelder dem UDM zu, kategorisiert Ereignisse wie E-Mail-Transaktionen und HTTP-Netzwerkanfragen und reichert sie mit Sicherheitsdetails wie Aktionen, Kategorien und Informationen zu Bedrohungen an.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.action_details`	Der Wert von `action` aus dem Rohlog wird direkt zugeordnet.
`adultscore`	`additional.fields[].key`: „adultscore“ `additional.fields[].value.string_value`: Wert von „adultscore“	Der Wert von `adultscore` aus dem Rohlog wird in `additional_fields` eingefügt.
`attachments`	`additional.fields[].key`: „attachments“ `additional_fields[].value.string_value`: Wert von „attachments“	Der Wert von `attachments` aus dem Rohlog wird in `additional_fields` eingefügt.
`campaignID`	`security_result.rule_id`	Der Wert von `campaignID` aus dem Rohlog wird direkt zugeordnet.
`ccAddresses`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`cid`	`additional.fields[].key`: „cid“ `additional_fields[].value.string_value`: Wert von „cid“	Der Wert von `cid` aus dem Rohlog wird in `additional_fields` eingefügt.
`cipher`/`tls`	`network.tls.cipher`	Wenn `cipher` vorhanden und nicht „NONE“ ist, wird der Wert verwendet. Andernfalls wird der Wert von `tls` verwendet, sofern er vorhanden und nicht „NONE“ ist.
`classification`	`security_result.category_details`	Der Wert von `classification` aus dem Rohlog wird direkt zugeordnet.
`clickIP`	`principal.asset.ip` `principal.ip`	Der Wert von `clickIP` aus dem Rohlog wird direkt zugeordnet.
`clickTime`	`metadata.event_timestamp.seconds`	Der Parser wandelt den `clickTime`-String in einen Zeitstempel um und ordnet ihn zu.
`clicksBlocked[].campaignId`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`clicksBlocked[].clickIP`	`principal.asset.ip` `principal.ip`	Der Wert von `clickIP` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].clickTime`	`metadata.event_timestamp.seconds`	Der Parser wandelt den `clickTime`-String in einen Zeitstempel um und ordnet ihn zu.
`clicksBlocked[].classification`	`security_result.category_details`	Der Wert von `classification` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].GUID`	`metadata.product_log_id`	Der Wert von `GUID` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].id`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`clicksBlocked[].messageID`	`network.email.mail_id`	Der Wert von `messageID` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].recipient`	`target.user.email_addresses`	Der Wert von `recipient` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].sender`	`principal.user.email_addresses`	Der Wert von `sender` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].senderIP`	`about.ip`	Der Wert von `senderIP` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].threatID`	`security_result.threat_id`	Der Wert von `threatID` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`clicksBlocked[].threatURL`	`security_result.url_back_to_product`	Der Wert von `threatURL` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].threatStatus`	`security_result.threat_status`	Der Wert von `threatStatus` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].url`	`target.url`	Der Wert von `url` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].userAgent`	`network.http.user_agent`	Der Wert von `userAgent` im Array `clicksBlocked` wird zugeordnet.
`clicksPermitted[].campaignId`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`clicksPermitted[].clickIP`	`principal.asset.ip` `principal.ip`	Der Wert von `clickIP` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].clickTime`	`metadata.event_timestamp.seconds`	Der Parser wandelt den `clickTime`-String in einen Zeitstempel um und ordnet ihn zu.
`clicksPermitted[].classification`	`security_result.category_details`	Der Wert von `classification` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].guid`	`metadata.product_log_id`	Der Wert von `guid` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].id`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`clicksPermitted[].messageID`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`clicksPermitted[].recipient`	`target.user.email_addresses`	Der Wert von `recipient` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].sender`	`principal.user.email_addresses`	Der Wert von `sender` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].senderIP`	`about.ip`	Der Wert von `senderIP` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].threatID`	`security_result.threat_id`	Der Wert von `threatID` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`clicksPermitted[].threatURL`	`security_result.url_back_to_product`	Der Wert von `threatURL` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].url`	`target.url`	Der Wert von `url` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].userAgent`	`network.http.user_agent`	Der Wert von `userAgent` im Array `clicksPermitted` wird zugeordnet.
`cmd`	`principal.process.command_line` oder `network.http.method`	Wenn `sts` (HTTP-Statuscode) vorhanden ist, wird `cmd` `network.http.method` zugeordnet. Andernfalls wird sie `principal.process.command_line` zugeordnet.
`collection_time.seconds`	`metadata.event_timestamp.seconds`	Der Wert von `collection_time.seconds` aus dem Rohlog wird direkt zugeordnet.
`completelyRewritten`	`security_result.detection_fields[].key`: "completelyRewritten" `security_result.detection_fields[].value`: Wert von „completelyRewritten“	Der Wert von `completelyRewritten` aus dem Rohlog wird in `security_result.detection_fields` eingefügt.
`contentType`	`about.file.mime_type`	Der Wert von `contentType` aus dem Rohlog wird direkt zugeordnet.
`country`	`principal.location.country_or_region`	Der Wert von `country` aus dem Rohlog wird direkt zugeordnet.
`create_time.seconds`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`data`	(Mehrere Felder)	Die JSON-Nutzlast im Feld `data` wird geparst und verschiedenen UDM-Feldern zugeordnet.
`date`/`date_log_rebase`	`metadata.event_timestamp.seconds`	Der Parser setzt das Datum mithilfe der Felder `date_log_rebase` oder `date` und `timeStamp` auf einen Zeitstempel zurück.
`dict`	`security_result.category_details`	Der Wert von `dict` aus dem Rohlog wird direkt zugeordnet.
`disposition`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`dnsid`	`network.dns.id`	Der Wert von `dnsid` aus dem Rohlog wird direkt zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`domain`/`hfrom_domain`	`principal.administrative_domain`	Wenn `domain` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `hfrom_domain` verwendet, sofern vorhanden.
`duration`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`eid`	`additional.fields[].key`: „eid“ `additional_fields[].value.string_value`: Wert von „eid“	Der Wert von `eid` aus dem Rohlog wird in `additional_fields` eingefügt.
`engine`	`metadata.product_version`	Der Wert von `engine` aus dem Rohlog wird direkt zugeordnet.
`err` / `msg` / `result_detail` / `tls-alert`	`security_result.description`	Der erste verfügbare Wert aus `msg`, `err`, `result_detail` oder `tls-alert` (nach dem Entfernen von Anführungszeichen) wird zugeordnet.
`file`/`name`	`principal.process.file.full_path`	Wenn `file` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `name` verwendet, sofern vorhanden.
`filename`	`about.file.full_path`	Der Wert von `filename` aus dem Rohlog wird direkt zugeordnet.
`folder`	`additional.fields[].key`: „folder“ `additional_fields[].value.string_value`: Wert des Ordners	Der Wert von `folder` aus dem Rohlog wird in `additional_fields` eingefügt.
`from` / `hfrom` / `value`	`network.email.from`	Es gilt eine komplexe Logik (siehe Parsercode). Verarbeitet die Zeichen `<` und `>` und prüft, ob das E‑Mail-Format gültig ist.
`fromAddress`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`GUID`	`metadata.product_log_id`	Der Wert von `GUID` aus dem Rohlog wird direkt zugeordnet.
`headerCC`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`headerFrom`	`additional.fields[].key`: "headerFrom" `additional_fields[].value.string_value`: Wert von headerFrom	Der Wert von `headerFrom` aus dem Rohlog wird in `additional_fields` eingefügt.
`headerReplyTo`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`headerTo`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`helo`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`hops-ip`/`lip`	`intermediary.ip`	Wenn `hops-ip` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `lip` verwendet, sofern vorhanden.
`host`	`principal.hostname`	Der Wert von `host` aus dem Rohlog wird direkt zugeordnet.
`id`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`impostorScore`	`additional.fields[].key`: „impostorScore“ `additional_fields[].value.number_value`: Wert von „impostorScore“	Der Wert von `impostorScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`ip`	`principal.asset.ip` `principal.ip`	Der Wert von `ip` aus dem Rohlog wird direkt zugeordnet.
`log_level`	`security_result.severity_details`	Der Wert von `log_level` wird zugeordnet und auch zum Ableiten von `security_result.severity` verwendet.
`m`	`network.email.mail_id`	Der Wert von `m` wird zugeordnet, nachdem die Zeichen `<` und `>` entfernt wurden.
`malwareScore`	`additional.fields[].key`: „malwareScore“ `additional_fields[].value.number_value`: Wert von „malwareScore“	Der Wert von `malwareScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`md5`	`about.file.md5`	Der Wert von `md5` aus dem Rohlog wird direkt zugeordnet.
`messageID`	`network.email.mail_id`	Der Wert von `messageID` wird zugeordnet, nachdem die Zeichen `<` und `>` entfernt wurden.
`messagesBlocked` (Array)	(Mehrere Felder)	Das Array von `messagesBlocked`-Objekten wird durchlaufen und die Felder jedes Objekts werden UDM-Feldern zugeordnet.
`messagesBlocked[].ccAddresses`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].cluster`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].completelyRewritten`	`security_result.detection_fields[].key`: "completelyRewritten" `security_result.detection_fields[].value`: Wert von „completelyRewritten“	Der Wert von `completelyRewritten` aus dem Rohlog wird in `security_result.detection_fields` eingefügt.
`messagesBlocked[].fromAddress`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].GUID`	`metadata.product_log_id`	Der Wert von `GUID` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].headerFrom`	`additional.fields[].key`: "headerFrom" `additional_fields[].value.string_value`: Wert von headerFrom	Der Wert von `headerFrom` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].headerReplyTo`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].id`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].impostorScore`	`additional.fields[].key`: „impostorScore“ `additional_fields[].value.number_value`: Wert von „impostorScore“	Der Wert von `impostorScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].malwareScore`	`additional.fields[].key`: „malwareScore“ `additional_fields[].value.number_value`: Wert von „malwareScore“	Der Wert von `malwareScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].messageID`	`network.email.mail_id`	Der Wert von `messageID` wird zugeordnet, nachdem die Zeichen `<` und `>` entfernt wurden.
`messagesBlocked[].messageParts`	`about.file` (wiederholt)	Jedes Objekt im `messageParts`-Array wird einem separaten `about.file`-Objekt zugeordnet.
`messagesBlocked[].messageParts[].contentType`	`about.file.mime_type`	Der Wert von `contentType` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].messageParts[].disposition`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].messageParts[].filename`	`about.file.full_path`	Der Wert von `filename` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].messageParts[].md5`	`about.file.md5`	Der Wert von `md5` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].messageParts[].sandboxStatus`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].messageParts[].sha256`	`about.file.sha256`	Der Wert von `sha256` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].messageSize`	`additional.fields[].key`: "messageSize" `additional_fields[].value.number_value`: Value of messageSize	Der Wert von `messageSize` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].messageTime`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].modulesRun`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].phishScore`	`additional.fields[].key`: „phishScore“ `additional_fields[].value.number_value`: Wert von „phishScore“	Der Wert von `phishScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].policyRoutes`	`additional.fields[].key`: "PolicyRoutes" `additional_fields[].value.list_value.values[].string_value`: Wert von policyRoutes	Die Werte von `policyRoutes` aus dem Rohlog werden als Liste in `additional_fields` eingefügt.
`messagesBlocked[].QID`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].quarantineFolder`	`additional.fields[].key`: „quarantineFolder“ `additional_fields[].value.string_value`: Wert von „quarantineFolder“	Der Wert von `quarantineFolder` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].quarantineRule`	`additional.fields[].key`: „quarantineRule“ `additional_fields[].value.string_value`: Wert von quarantineRule	Der Wert von `quarantineRule` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].recipient`	`target.user.email_addresses`	Der Wert von `recipient` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].replyToAddress`	`network.email.reply_to`	Der Wert von `replyToAddress` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].sender`	`principal.user.email_addresses`	Der Wert von `sender` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].senderIP`	`principal.asset.ip` `principal.ip`	Der Wert von `senderIP` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].spamScore`	`additional.fields[].key`: „spamScore“ `additional_fields[].value.number_value`: Wert von „spamScore“	Der Wert von `spamScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`messagesBlocked[].subject`	`network.email.subject`	Der Wert von `subject` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap`	`security_result` (wiederholt)	Jedes Objekt im `threatsInfoMap`-Array wird einem separaten `security_result`-Objekt zugeordnet.
`messagesBlocked[].threatsInfoMap[].classification`	`security_result.category_details`	Der Wert von `classification` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threat`	`security_result.about.url`	Der Wert von `threat` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatID`	`security_result.threat_id`	Der Wert von `threatID` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatStatus`	`security_result.threat_status`	Der Wert von `threatStatus` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatType`	`security_result.threat_name`	Der Wert von `threatType` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatUrl`	`security_result.url_back_to_product`	Der Wert von `threatUrl` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].toAddresses`	`network.email.to`	Der Wert von `toAddresses` aus dem Rohlog wird direkt zugeordnet.
`messagesBlocked[].xmailer`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`messagesDelivered` (Array)	(Mehrere Felder)	Das Array von `messagesDelivered`-Objekten wird durchlaufen und die Felder jedes Objekts werden UDM-Feldern zugeordnet. Ähnliche Logik wie `messagesBlocked`.
`message`	(Mehrere Felder)	Wenn das Feld `message` gültiges JSON enthält, wird es geparst und verschiedenen UDM-Feldern zugeordnet.
`metadata.event_type`	`metadata.event_type`	Auf „EMAIL_TRANSACTION“ festgelegt, wenn `message` nicht JSON ist. Andernfalls wird der Wert aus den JSON-Daten abgeleitet. Wird auf „GENERIC_EVENT“ gesetzt, wenn die Syslog-Nachricht nicht geparst werden kann.
`metadata.log_type`	`metadata.log_type`	Fest codiert auf „PROOFPOINT_MAIL“.
`metadata.product_event_type`	`metadata.product_event_type`	Wird basierend auf den JSON-Daten auf „messagesBlocked“, „messagesDelivered“, „clicksPermitted“ oder „clicksBlocked“ gesetzt.
`metadata.product_name`	`metadata.product_name`	Fest codiert auf „TAP“.
`metadata.vendor_name`	`metadata.vendor_name`	Fest codiert auf „PROOFPOINT“.
`mime`	`principal.process.file.mime_type`	Der Wert von `mime` aus dem Rohlog wird direkt zugeordnet.
`mod`	`additional.fields[].key`: „module“ `additional_fields[].value.string_value`: Wert von mod	Der Wert von `mod` aus dem Rohlog wird in `additional_fields` eingefügt.
`oContentType`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`path`/`uri`	`principal.url`	Wenn `path` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `uri` verwendet, sofern vorhanden.
`phishScore`	`additional.fields[].key`: „phishScore“ `additional_fields[].value.number_value`: Wert von „phishScore“	Der Wert von `phishScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`pid`	`principal.process.pid`	Der Wert von `pid` aus dem Rohlog wird direkt zugeordnet.
`policy`	`network.direction`	Wenn `policy` „inbound“ ist, wird das UDM-Feld auf „INBOUND“ gesetzt. Wenn `policy` „outbound“ ist, wird das UDM-Feld auf „OUTBOUND“ festgelegt.
`policyRoutes`	`additional.fields[].key`: "PolicyRoutes" `additional_fields[].value.list_value.values[].string_value`: Wert von policyRoutes	Die Werte von `policyRoutes` aus dem Rohlog werden als Liste in `additional_fields` eingefügt.
`profile`	`additional.fields[].key`: „profile“ `additional_fields[].value.string_value`: Wert des Profils	Der Wert von `profile` aus dem Rohlog wird in `additional_fields` eingefügt.
`prot`	`proto`	Der Wert von `prot` wird in `protocol` extrahiert, in Großbuchstaben umgewandelt und dann `proto` zugeordnet.
`proto`	`network.application_protocol`	Der Wert von `proto` (oder der abgeleitete Wert von `prot`) wird zugeordnet. Wenn der Wert „ESMTP“ ist, wird er vor der Zuordnung in „SMTP“ geändert.
`querydepth`	`additional.fields[].key`: „querydepth“ `additional_fields[].value.string_value`: Wert von „querydepth“	Der Wert von `querydepth` aus dem Rohlog wird in `additional_fields` eingefügt.
`queryEndTime`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`qid`	`additional.fields[].key`: „qid“ `additional_fields[].value.string_value`: Wert von qid	Der Wert von `qid` aus dem Rohlog wird in `additional_fields` eingefügt.
`rcpt`/`rcpts`	`network.email.to`	Wenn `rcpt` vorhanden und eine gültige E‑Mail-Adresse ist, wird sie in das Feld `to` eingefügt. Dieselbe Logik gilt für `rcpts`.
`recipient`	`target.user.email_addresses`	Der Wert von `recipient` aus dem Rohlog wird direkt zugeordnet.
`relay`	`intermediary.hostname` `intermediary.ip`	Das Feld `relay` wird geparst, um Hostname und IP-Adresse zu extrahieren, die dann `intermediary.hostname` bzw. `intermediary.ip` zugeordnet werden.
`replyToAddress`	`network.email.reply_to`	Der Wert von `replyToAddress` aus dem Rohlog wird direkt zugeordnet.
`result`	`security_result.action`	Wenn `result` „pass“ ist, wird das UDM-Feld auf „ALLOW“ gesetzt. Wenn `result` „fail“ ist, wird das UDM-Feld auf „BLOCK“ gesetzt.
`routes`	`additional.fields[].key`: „routes“ `additional_fields[].value.string_value`: Wert von „routes“	Der Wert von `routes` aus dem Rohlog wird in `additional_fields` eingefügt.
`s`	`network.session_id`	Der Wert von `s` aus dem Rohlog wird direkt zugeordnet.
`sandboxStatus`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`selector`	`additional.fields[].key`: „selector“ `additional_fields[].value.string_value`: Wert des Selektors	Der Wert von `selector` aus dem Rohlog wird in `additional_fields` eingefügt.
`sender`	`principal.user.email_addresses`	Der Wert von `sender` aus dem Rohlog wird direkt zugeordnet.
`senderIP`	`principal.asset.ip` `principal.ip` oder `about.ip`	Wenn es sich um ein Klickereignis handelt, wird es `about.ip` zugeordnet. Andernfalls wird sie `principal.asset.ip` und `principal.ip` zugeordnet.
`sha256`	`security_result.about.file.sha256` oder `about.file.sha256`	Wenn sie sich in einer threatInfoMap befindet, wird sie `security_result.about.file.sha256` zugeordnet. Andernfalls wird sie `about.file.sha256` zugeordnet.
`size`	`principal.process.file.size` oder `additional.fields[].key`: „messageSize“ `additional_fields[].value.number_value`: Wert von „messageSize“	Wenn es sich in einem Nachrichtenereignis befindet, wird es `additional.fields[].messageSize` zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert. Andernfalls wird sie `principal.process.file.size` zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`spamScore`	`additional.fields[].key`: „spamScore“ `additional_fields[].value.number_value`: Wert von „spamScore“	Der Wert von `spamScore` aus dem Rohlog wird in `additional_fields` eingefügt.
`stat`	`additional.fields[].key`: „status“ `additional_fields[].value.string_value`: Wert des Status	Der Wert von `stat` aus dem Rohlog wird in `additional_fields` eingefügt.
`status`	`additional.fields[].key`: „status“ `additional_fields[].value.string_value`: Wert des Status	Der Wert von `status` (nach dem Entfernen von Anführungszeichen) aus dem Rohlog wird in `additional_fields` eingefügt.
`sts`	`network.http.response_code`	Der Wert von `sts` aus dem Rohlog wird direkt zugeordnet und in eine Ganzzahl konvertiert.
`subject`	`network.email.subject`	Der Wert von `subject` aus dem Rohlog wird direkt zugeordnet, nachdem Anführungszeichen entfernt wurden.
`threatID`	`security_result.threat_id`	Der Wert von `threatID` aus dem Rohlog wird direkt zugeordnet.
`threatStatus`	`security_result.threat_status`	Der Wert von `threatStatus` aus dem Rohlog wird direkt zugeordnet.
`threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`threatType`	`security_result.threat_name`	Der Wert von `threatType` aus dem Rohlog wird direkt zugeordnet.
`threatUrl`/`threatURL`	`security_result.url_back_to_product`	Der Wert von `threatUrl` oder `threatURL` aus dem Rohlog wird direkt zugeordnet.
`threatsInfoMap`	`security_result` (wiederholt)	Jedes Objekt im `threatsInfoMap`-Array wird einem separaten `security_result`-Objekt zugeordnet.
`tls`	`network.tls.cipher`	Wenn `cipher` nicht vorhanden oder „NONE“ ist, wird der Wert von `tls` verwendet, sofern er nicht „NONE“ ist.
`tls_verify`/`verify`	`security_result.action`	Wenn `verify` vorhanden ist, wird der Wert verwendet, um die Aktion zu bestimmen. Andernfalls wird `tls_verify` verwendet. „FAIL“ wird „BLOCK“ zugeordnet, „OK“ wird „ALLOW“ zugeordnet.
`tls_version`/`version`	`network.tls.version`	Wenn `tls_version` vorhanden und nicht „NONE“ ist, wird der Wert verwendet. Andernfalls wird der Wert verwendet, wenn `version` mit „TLS“ übereinstimmt.
`to`	`network.email.to`	Der Wert von `to` wird zugeordnet, nachdem die Zeichen `<` und `>` entfernt wurden. Wenn es sich nicht um eine gültige E-Mail-Adresse handelt, wird sie `additional_fields` hinzugefügt.
`toAddresses`	`network.email.to`	Der Wert von `toAddresses` aus dem Rohlog wird direkt zugeordnet.
`timestamp.seconds`	`metadata.event_timestamp.seconds`	Der Wert von `timestamp.seconds` aus dem Rohlog wird direkt zugeordnet.
`type`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`url`	`target.url` oder `principal.url`	Wenn es sich um ein Klickereignis handelt, wird es `target.url` zugeordnet. Andernfalls wird sie `principal.url` zugeordnet.
`userAgent`	`network.http.user_agent`	Der Wert von `userAgent` aus dem Rohlog wird direkt zugeordnet.
`uri`	`principal.url`	Wenn `path` nicht vorhanden ist, wird der Wert von `uri` verwendet.
`value`	`network.email.from`	Wenn `from` und `hfrom` keine gültigen E-Mail-Adressen sind und `value` eine gültige E-Mail-Adresse ist (nach dem Entfernen der Zeichen `<` und `>`), wird sie zugeordnet.
`vendor`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
`verify`	`security_result.action`	Wenn `verify` vorhanden ist, wird es verwendet, um die Aktion zu bestimmen. „NOT“ wird „BLOCK“ zugeordnet, andere Werte werden „ALLOW“ zugeordnet.
`version`	`network.tls.version`	Wenn `tls_version` nicht vorhanden oder „NONE“ ist und `version` „TLS“ enthält, wird es zugeordnet.
`virusthreat`	`security_result.threat_name`	Der Wert von `virusthreat` aus dem Rohlog wird direkt zugeordnet, sofern er nicht „unknown“ ist.
`virusthreatid`	`security_result.threat_id`	Der Wert von `virusthreatid` (nach dem Entfernen von Anführungszeichen) aus dem Rohlog wird direkt zugeordnet, sofern er nicht „unknown“ ist.
`xmailer`	Nicht zugeordnet	Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten