Recopila registros de alertas de TAP de Proofpoint

Compatible con:

En este documento, se describe cómo puedes recopilar registros de alertas de Proofpoint Targeted Attack Protection (TAP) configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia PROOFPOINT_MAIL.

Configura las alertas de TAP de Proofpoint

  1. Accede al portal de estadísticas de amenazas de Proofpoint con tus credenciales.
  2. En la pestaña Configuración, selecciona Aplicaciones conectadas. Aparecerá la sección Credenciales de servicio.
  3. En la sección Nombre, haz clic en Crear credencial nueva.
  4. Escribe el nombre de tu organización, como altostrat.com.
  5. Haz clic en Generar. En el diálogo Credencial de servicio generada, aparecen los valores de Principal de servicio y Secreto.
  6. Copia los valores de Principal de servicio y Secreto. Los valores se muestran solo en el momento de la creación y son obligatorios cuando configuras el feed de Google Security Operations.
  7. Haz clic en Listo.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de alertas de TAP de Proofpoint.
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona Alertas de TAP de Proofpoint como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Nombre de usuario: Especifica la entidad de servicio que obtuviste anteriormente.
    • Secret: Especifica el secreto que obtuviste antes.
  9. Haz clic en Siguiente y, luego, en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Nombre de usuario: Especifica la entidad de servicio que obtuviste anteriormente.
  • Secret: Especifica el secreto que obtuviste antes.

Opciones avanzadas

  • Nombre del feed: Es un valor predeterminado que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador controla los registros de Proofpoint Mail en formato JSON o de clave-valor, y extrae detalles de la actividad de correo electrónico y de red. Asigna campos de registro al UDM, categoriza eventos como transacciones de correo electrónico y solicitudes HTTP de red, y los enriquece con detalles de seguridad, como acciones, categorías e información sobre amenazas.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
action security_result.action_details El valor de action del registro sin procesar se asigna directamente.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: Valor de adultscore		 El valor de adultscore del registro sin procesar se coloca en additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: Valor de los archivos adjuntos		 El valor de attachments del registro sin procesar se coloca en additional_fields.
campaignID security_result.rule_id El valor de campaignID del registro sin procesar se asigna directamente.
ccAddresses Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: Valor de cid		 El valor de cid del registro sin procesar se coloca en additional_fields.
cipher/tls network.tls.cipher Si cipher está presente y no es "NONE", se usa su valor. De lo contrario, si tls está presente y no es "NONE", se usa su valor.
classification security_result.category_details El valor de classification del registro sin procesar se asigna directamente.
clickIP principal.asset.ip
principal.ip		 El valor de clickIP del registro sin procesar se asigna directamente.
clickTime metadata.event_timestamp.seconds El analizador convierte la cadena clickTime en una marca de tiempo y la asigna.
clicksBlocked[].campaignId Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 Se asigna el valor de clickIP dentro del array clicksBlocked.
clicksBlocked[].clickTime metadata.event_timestamp.seconds El analizador convierte la cadena clickTime en una marca de tiempo y la asigna.
clicksBlocked[].classification security_result.category_details Se asigna el valor de classification dentro del array clicksBlocked.
clicksBlocked[].GUID metadata.product_log_id Se asigna el valor de GUID dentro del array clicksBlocked.
clicksBlocked[].id Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
clicksBlocked[].messageID network.email.mail_id Se asigna el valor de messageID dentro del array clicksBlocked.
clicksBlocked[].recipient target.user.email_addresses Se asigna el valor de recipient dentro del array clicksBlocked.
clicksBlocked[].sender principal.user.email_addresses Se asigna el valor de sender dentro del array clicksBlocked.
clicksBlocked[].senderIP about.ip Se asigna el valor de senderIP dentro del array clicksBlocked.
clicksBlocked[].threatID security_result.threat_id Se asigna el valor de threatID dentro del array clicksBlocked.
clicksBlocked[].threatTime Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
clicksBlocked[].threatURL security_result.url_back_to_product Se asigna el valor de threatURL dentro del array clicksBlocked.
clicksBlocked[].threatStatus security_result.threat_status Se asigna el valor de threatStatus dentro del array clicksBlocked.
clicksBlocked[].url target.url Se asigna el valor de url dentro del array clicksBlocked.
clicksBlocked[].userAgent network.http.user_agent Se asigna el valor de userAgent dentro del array clicksBlocked.
clicksPermitted[].campaignId Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 Se asigna el valor de clickIP dentro del array clicksPermitted.
clicksPermitted[].clickTime metadata.event_timestamp.seconds El analizador convierte la cadena clickTime en una marca de tiempo y la asigna.
clicksPermitted[].classification security_result.category_details Se asigna el valor de classification dentro del array clicksPermitted.
clicksPermitted[].guid metadata.product_log_id Se asigna el valor de guid dentro del array clicksPermitted.
clicksPermitted[].id Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
clicksPermitted[].messageID Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
clicksPermitted[].recipient target.user.email_addresses Se asigna el valor de recipient dentro del array clicksPermitted.
clicksPermitted[].sender principal.user.email_addresses Se asigna el valor de sender dentro del array clicksPermitted.
clicksPermitted[].senderIP about.ip Se asigna el valor de senderIP dentro del array clicksPermitted.
clicksPermitted[].threatID security_result.threat_id Se asigna el valor de threatID dentro del array clicksPermitted.
clicksPermitted[].threatTime Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
clicksPermitted[].threatURL security_result.url_back_to_product Se asigna el valor de threatURL dentro del array clicksPermitted.
clicksPermitted[].url target.url Se asigna el valor de url dentro del array clicksPermitted.
clicksPermitted[].userAgent network.http.user_agent Se asigna el valor de userAgent dentro del array clicksPermitted.
cmd principal.process.command_line o network.http.method Si está presente sts (código de estado HTTP), cmd se asigna a network.http.method. De lo contrario, se asigna a principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds El valor de collection_time.seconds del registro sin procesar se asigna directamente.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Valor de completelyRewritten		 El valor de completelyRewritten del registro sin procesar se coloca en security_result.detection_fields.
contentType about.file.mime_type El valor de contentType del registro sin procesar se asigna directamente.
country principal.location.country_or_region El valor de country del registro sin procesar se asigna directamente.
create_time.seconds Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
data (Varios campos) La carga útil de JSON en el campo data se analiza y se asigna a varios campos del UDM.
date/date_log_rebase metadata.event_timestamp.seconds El analizador vuelve a establecer la fecha en una marca de tiempo con los campos date_log_rebase o date y timeStamp.
dict security_result.category_details El valor de dict del registro sin procesar se asigna directamente.
disposition Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
dnsid network.dns.id El valor de dnsid del registro sin procesar se asigna y convierte directamente en un número entero sin signo.
domain/hfrom_domain principal.administrative_domain Si domain está presente, se usa su valor. De lo contrario, si hfrom_domain está presente, se usa su valor.
duration Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: Valor de eid		 El valor de eid del registro sin procesar se coloca en additional_fields.
engine metadata.product_version El valor de engine del registro sin procesar se asigna directamente.
err / msg / result_detail / tls-alert security_result.description Se asigna el primer valor disponible entre msg, err, result_detail o tls-alert (después de quitar las comillas).
file/name principal.process.file.full_path Si file está presente, se usa su valor. De lo contrario, si name está presente, se usa su valor.
filename about.file.full_path El valor de filename del registro sin procesar se asigna directamente.
folder additional.fields[].key: "folder"
additional_fields[].value.string_value: Valor de la carpeta		 El valor de folder del registro sin procesar se coloca en additional_fields.
from / hfrom / value network.email.from Se aplica una lógica compleja (consulta el código del analizador). Controla los caracteres < y >, y verifica que el formato de correo electrónico sea válido.
fromAddress Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
GUID metadata.product_log_id El valor de GUID del registro sin procesar se asigna directamente.
headerCC Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Valor de headerFrom		 El valor de headerFrom del registro sin procesar se coloca en additional_fields.
headerReplyTo Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
headerTo Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
helo Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
hops-ip/lip intermediary.ip Si hops-ip está presente, se usa su valor. De lo contrario, si lip está presente, se usa su valor.
host principal.hostname El valor de host del registro sin procesar se asigna directamente.
id Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Valor de impostorScore		 El valor de impostorScore del registro sin procesar se coloca en additional_fields.
ip principal.asset.ip
principal.ip		 El valor de ip del registro sin procesar se asigna directamente.
log_level security_result.severity_details El valor de log_level se asigna y también se usa para derivar security_result.severity.
m network.email.mail_id Se asigna el valor de m (después de quitar los caracteres < y >).
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: Valor de malwareScore		 El valor de malwareScore del registro sin procesar se coloca en additional_fields.
md5 about.file.md5 El valor de md5 del registro sin procesar se asigna directamente.
messageID network.email.mail_id Se asigna el valor de messageID (después de quitar los caracteres < y >).
messagesBlocked (array) (Varios campos) Se itera el array de objetos messagesBlocked y los campos de cada objeto se asignan a los campos del UDM.
messagesBlocked[].ccAddresses Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].cluster Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Valor de completelyRewritten		 El valor de completelyRewritten del registro sin procesar se coloca en security_result.detection_fields.
messagesBlocked[].fromAddress Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].GUID metadata.product_log_id El valor de GUID del registro sin procesar se asigna directamente.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Valor de headerFrom		 El valor de headerFrom del registro sin procesar se coloca en additional_fields.
messagesBlocked[].headerReplyTo Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].id Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Valor de impostorScore		 El valor de impostorScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: Valor de malwareScore		 El valor de malwareScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].messageID network.email.mail_id Se asigna el valor de messageID (después de quitar los caracteres < y >).
messagesBlocked[].messageParts about.file (repetido) Cada objeto del array messageParts se asigna a un objeto about.file independiente.
messagesBlocked[].messageParts[].contentType about.file.mime_type El valor de contentType del registro sin procesar se asigna directamente.
messagesBlocked[].messageParts[].disposition Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].messageParts[].filename about.file.full_path El valor de filename del registro sin procesar se asigna directamente.
messagesBlocked[].messageParts[].md5 about.file.md5 El valor de md5 del registro sin procesar se asigna directamente.
messagesBlocked[].messageParts[].sandboxStatus Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].messageParts[].sha256 about.file.sha256 El valor de sha256 del registro sin procesar se asigna directamente.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Valor de messageSize		 El valor de messageSize del registro sin procesar se coloca en additional_fields.
messagesBlocked[].messageTime Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].modulesRun Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: Valor de phishScore		 El valor de phishScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes		 Los valores de policyRoutes del registro sin procesar se colocan como una lista en additional_fields.
messagesBlocked[].QID Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: Valor de quarantineFolder		 El valor de quarantineFolder del registro sin procesar se coloca en additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: Valor de quarantineRule		 El valor de quarantineRule del registro sin procesar se coloca en additional_fields.
messagesBlocked[].recipient target.user.email_addresses El valor de recipient del registro sin procesar se asigna directamente.
messagesBlocked[].replyToAddress network.email.reply_to El valor de replyToAddress del registro sin procesar se asigna directamente.
messagesBlocked[].sender principal.user.email_addresses El valor de sender del registro sin procesar se asigna directamente.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 El valor de senderIP del registro sin procesar se asigna directamente.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Valor de spamScore		 El valor de spamScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].subject network.email.subject El valor de subject del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap security_result (repetido) Cada objeto del array threatsInfoMap se asigna a un objeto security_result independiente.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details El valor de classification del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url El valor de threat del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id El valor de threatID del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status El valor de threatStatus del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatTime Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name El valor de threatType del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product El valor de threatUrl del registro sin procesar se asigna directamente.
messagesBlocked[].toAddresses network.email.to El valor de toAddresses del registro sin procesar se asigna directamente.
messagesBlocked[].xmailer Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
messagesDelivered (array) (Varios campos) Se itera el array de objetos messagesDelivered y los campos de cada objeto se asignan a los campos del UDM. Lógica similar a la de messagesBlocked.
message (Varios campos) Si el campo message es un JSON válido, se analiza y se asigna a varios campos de UDM.
metadata.event_type metadata.event_type Se establece en "EMAIL_TRANSACTION" si message no es JSON; de lo contrario, se deriva de los datos JSON. Se establece en "GENERIC_EVENT" si no se puede analizar el mensaje de syslog.
metadata.log_type metadata.log_type Se codifica como "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Se establece en "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" según los datos JSON.
metadata.product_name metadata.product_name Se codificó de forma rígida como "TAP".
metadata.vendor_name metadata.vendor_name Está codificado como "PROOFPOINT".
mime principal.process.file.mime_type El valor de mime del registro sin procesar se asigna directamente.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: Valor del mod		 El valor de mod del registro sin procesar se coloca en additional_fields.
oContentType Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
path/uri principal.url Si path está presente, se usa su valor. De lo contrario, si uri está presente, se usa su valor.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: Valor de phishScore		 El valor de phishScore del registro sin procesar se coloca en additional_fields.
pid principal.process.pid El valor de pid del registro sin procesar se asigna directamente.
policy network.direction Si policy es "inbound", el campo UDM se establece en "INBOUND". Si policy es "outbound", el campo de UDM se establece en "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes		 Los valores de policyRoutes del registro sin procesar se colocan como una lista en additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: Valor del perfil		 El valor de profile del registro sin procesar se coloca en additional_fields.
prot proto El valor de prot se extrae en protocol, se convierte en mayúsculas y, luego, se asigna a proto.
proto network.application_protocol Se asigna el valor de proto (o el valor derivado de prot). Si el valor es "ESMTP", se cambia a "SMTP" antes de la asignación.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: Valor de querydepth		 El valor de querydepth del registro sin procesar se coloca en additional_fields.
queryEndTime Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: Valor de qid		 El valor de qid del registro sin procesar se coloca en additional_fields.
rcpt/rcpts network.email.to Si rcpt está presente y es una dirección de correo electrónico válida, se combina en el campo to. Se aplica la misma lógica para rcpts.
recipient target.user.email_addresses El valor de recipient del registro sin procesar se asigna directamente.
relay intermediary.hostname
intermediary.ip		 El campo relay se analiza para extraer el nombre de host y la dirección IP, que luego se asignan a intermediary.hostname y intermediary.ip, respectivamente.
replyToAddress network.email.reply_to El valor de replyToAddress del registro sin procesar se asigna directamente.
result security_result.action Si result es "pass", el campo de UDM se establece en "ALLOW". Si result es "fail", el campo del UDM se establece en "BLOCK".
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: Valor de rutas		 El valor de routes del registro sin procesar se coloca en additional_fields.
s network.session_id El valor de s del registro sin procesar se asigna directamente.
sandboxStatus Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
selector additional.fields[].key: "selector"
additional_fields[].value.string_value: Valor del selector		 El valor de selector del registro sin procesar se coloca en additional_fields.
sender principal.user.email_addresses El valor de sender del registro sin procesar se asigna directamente.
senderIP principal.asset.ip
principal.ip o about.ip		 Si se encuentra dentro de un evento de clic, se asigna a about.ip. De lo contrario, se asigna a principal.asset.ip y principal.ip.
sha256 security_result.about.file.sha256 o about.file.sha256 Si se encuentra dentro de un threatInfoMap, se asigna a security_result.about.file.sha256. De lo contrario, se asigna a about.file.sha256.
size principal.process.file.size o additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Valor de messageSize		 Si se encuentra dentro de un evento de mensaje, se asigna a additional.fields[].messageSize y se convierte en un número entero sin signo. De lo contrario, se asigna a principal.process.file.size y se convierte en un número entero sin signo.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Valor de spamScore		 El valor de spamScore del registro sin procesar se coloca en additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: Valor de la estadística		 El valor de stat del registro sin procesar se coloca en additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: Valor del estado		 El valor de status (después de quitar las comillas) del registro sin procesar se coloca en additional_fields.
sts network.http.response_code El valor de sts del registro sin procesar se asigna y convierte directamente en un número entero.
subject network.email.subject El valor de subject del registro sin procesar se asigna directamente después de quitar las comillas.
threatID security_result.threat_id El valor de threatID del registro sin procesar se asigna directamente.
threatStatus security_result.threat_status El valor de threatStatus del registro sin procesar se asigna directamente.
threatTime Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
threatType security_result.threat_name El valor de threatType del registro sin procesar se asigna directamente.
threatUrl/threatURL security_result.url_back_to_product El valor de threatUrl o threatURL del registro sin procesar se asigna directamente.
threatsInfoMap security_result (repetido) Cada objeto del array threatsInfoMap se asigna a un objeto security_result independiente.
tls network.tls.cipher Si cipher no está presente o es "NONE", se usa el valor de tls si no es "NONE".
tls_verify/verify security_result.action Si verify está presente, su valor se usa para determinar la acción. De lo contrario, se usa tls_verify. "FAIL" se asigna a "BLOCK", y "OK" se asigna a "ALLOW".
tls_version/version network.tls.version Si tls_version está presente y no es "NONE", se usa su valor. De lo contrario, si version coincide con "TLS", se usa su valor.
to network.email.to Se asigna el valor de to (después de quitar los caracteres < y >). Si no es una dirección de correo electrónico válida, se agrega a additional_fields.
toAddresses network.email.to El valor de toAddresses del registro sin procesar se asigna directamente.
timestamp.seconds metadata.event_timestamp.seconds El valor de timestamp.seconds del registro sin procesar se asigna directamente.
type Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
url target.url o principal.url Si se encuentra dentro de un evento de clic, se asigna a target.url. De lo contrario, se asigna a principal.url.
userAgent network.http.user_agent El valor de userAgent del registro sin procesar se asigna directamente.
uri principal.url Si path no está presente, se usa el valor de uri.
value network.email.from Si from y hfrom no son direcciones de correo electrónico válidas, y value es una dirección de correo electrónico válida (después de quitar los caracteres < y >), se asigna.
vendor Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
verify security_result.action Si verify está presente, se usa para determinar la acción. "NOT" se asigna a "BLOCK", y otros valores se asignan a "ALLOW".
version network.tls.version Si tls_version no está presente o es "NONE", y version contiene "TLS", se asigna.
virusthreat security_result.threat_name El valor de virusthreat del registro sin procesar se asigna directamente si no es "unknown".
virusthreatid security_result.threat_id El valor de virusthreatid (después de quitar las comillas) del registro sin procesar se asigna directamente si no es "unknown".
xmailer Sin asignar Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.