Esta página se ha traducido con Cloud Translation API.

Recoger registros de alertas de Proofpoint TAP

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo puede recoger registros de alertas de Proofpoint Targeted Attack Protection (TAP) configurando un feed de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión PROOFPOINT_MAIL.

Configurar alertas de Proofpoint TAP

Inicia sesión en el portal de estadísticas de amenazas de Proofpoint con tus credenciales.
En la pestaña Configuración, selecciona Aplicaciones conectadas. Aparecerá la sección Credenciales de servicio.
En la sección Nombre, haz clic en Crear nueva credencial.
Escribe el nombre de tu organización, como altostrat.com.
Haz clic en Generar. En el cuadro de diálogo Credencial de servicio generada, aparecen los valores Principal de servicio y Secreto.
Copia los valores de Principal de servicio y Secreto. Los valores solo se muestran en el momento de la creación y son obligatorios cuando configuras el feed de Google Security Operations.
Haz clic en Listo.

Configurar feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de alertas de TAP de Proofpoint).
Seleccione API de terceros como Tipo de fuente.
Seleccione Alertas de Proofpoint TAP como Tipo de registro.
Haz clic en Siguiente.
Configure los siguientes parámetros de entrada obligatorios:
- Nombre de usuario: especifica el principal de servicio que has obtenido anteriormente.
- Secreto: especifica el secreto que has obtenido anteriormente.
Haz clic en Siguiente y, a continuación, en Enviar.

Referencia de asignación de campos

Este analizador gestiona los registros de correo de Proofpoint en formato JSON o de clave-valor, y extrae los detalles de la actividad de correo y de red. Asigna campos de registro al UDM, categoriza eventos como transacciones de correo electrónico y solicitudes HTTP de red, y los enriquece con detalles de seguridad como acciones, categorías e información sobre amenazas.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Observación
`action`	`security_result.action_details`	El valor de `action` del registro sin procesar se asigna directamente.
`adultscore`	`additional.fields[].key`: "adultscore" `additional.fields[].value.string_value`: valor de adultscore	El valor de `adultscore` del registro sin procesar se coloca en `additional_fields`.
`attachments`	`additional.fields[].key`: "attachments" `additional_fields[].value.string_value`: valor de los archivos adjuntos	El valor de `attachments` del registro sin procesar se coloca en `additional_fields`.
`campaignID`	`security_result.rule_id`	El valor de `campaignID` del registro sin procesar se asigna directamente.
`ccAddresses`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`cid`	`additional.fields[].key`: `cid` `additional_fields[].value.string_value`: valor de `cid`	El valor de `cid` del registro sin procesar se coloca en `additional_fields`.
`cipher`/`tls`	`network.tls.cipher`	Si `cipher` está presente y no es "NONE", se usa su valor. De lo contrario, si `tls` está presente y no es "NONE", se usa su valor.
`classification`	`security_result.category_details`	El valor de `classification` del registro sin procesar se asigna directamente.
`clickIP`	`principal.asset.ip` `principal.ip`	El valor de `clickIP` del registro sin procesar se asigna directamente.
`clicks.impostorScore`	`security_result.detection_fields`	Asignado a un par clave-valor en `security_result.detection_fields`
`clicks.malwareScore`	`security_result.detection_fields`	Asignado a un par clave-valor en `security_result.detection_fields`
`clicks.phishScore`	`security_result.detection_fields`	Asignado a un par clave-valor en `security_result.detection_fields`
`clicks.quarantineFolder`	`security_result.priority` o `security_result.detection_fields`	Si `click.quarantineFolder` es igual a "prioridad baja" o "prioridad alta", asigna el valor al campo `security_result.priority` de UDM. De lo contrario, asigna el valor a `security_result.detection_fields`.
`clicks.quarantineRule`	`security_result.rule_name`	Asignado a un par clave-valor en `security_result.rule_name`
`clicks.sender`	Sin asignar
`clicks.senderIP`	`principal.ip`	Asignado a un par clave-valor en `principal.ip`
`clicks.spamScore`	`security_result.detection_fields`	Asignado a un par clave-valor en `security_result.detection_fields`
`clicksBlocked[].campaignId`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`clicksBlocked[].clickIP`	`principal.asset.ip` `principal.ip`	Se asigna el valor de `clickIP` en la matriz `clicksBlocked`.
`clicksBlocked[].clickTime`	`metadata.event_timestamp.seconds`	El analizador convierte la cadena `clickTime` en una marca de tiempo y la asigna.
`clicksBlocked[].classification`	`security_result.category_details`	Se asigna el valor de `classification` en la matriz `clicksBlocked`.
`clicksBlocked[].GUID`	`metadata.product_log_id`	Se asigna el valor de `GUID` en la matriz `clicksBlocked`.
`clicksBlocked[].id`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`clicksBlocked[].messageID`	`network.email.mail_id`	Se asigna el valor de `messageID` en la matriz `clicksBlocked`.
`clicksBlocked[].recipient`	`target.user.email_addresses`	Se asigna el valor de `recipient` en la matriz `clicksBlocked`.
`clicksBlocked[].sender`	`principal.user.email_addresses`	Se asigna el valor de `sender` en la matriz `clicksBlocked`.
`clicksBlocked[].senderIP`	`about.ip`	Se asigna el valor de `senderIP` en la matriz `clicksBlocked`. La entrada general `senderIP` se asigna a `principal.asset.ip` o `principal.ip`.
`clicksBlocked[].threatID`	`security_result.threat_id`	Se asigna el valor de `threatID` en la matriz `clicksBlocked`.
`clicksBlocked[].threatTime`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`clicksBlocked[].threatURL`	`security_result.url_back_to_product`	Se asigna el valor de `threatURL` en la matriz `clicksBlocked`.
`clicksBlocked[].threatStatus`	`security_result.threat_status`	Se asigna el valor de `threatStatus` en la matriz `clicksBlocked`.
`clicksBlocked[].url`	`target.url`	Se asigna el valor de `url` en la matriz `clicksBlocked`.
`clicksBlocked[].userAgent`	`network.http.user_agent`	Se asigna el valor de `userAgent` en la matriz `clicksBlocked`.
`clicksPermitted[].campaignId`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`clicksPermitted[].clickIP`	`principal.asset.ip` `principal.ip`	Se asigna el valor de `clickIP` en la matriz `clicksPermitted`.
`clicksPermitted[].clickTime`	`metadata.event_timestamp.seconds`	El analizador convierte la cadena `clickTime` en una marca de tiempo y la asigna.
`clicksPermitted[].classification`	`security_result.category_details`	Se asigna el valor de `classification` en la matriz `clicksPermitted`.
`clicksPermitted[].guid`	`metadata.product_log_id`	Se asigna el valor de `guid` en la matriz `clicksPermitted`.
`clicksPermitted[].id`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`clicksPermitted[].messageID`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`clicksPermitted[].recipient`	`target.user.email_addresses`	Se asigna el valor de `recipient` en la matriz `clicksPermitted`.
`clicksPermitted[].sender`	`principal.user.email_addresses`	Se asigna el valor de `sender` en la matriz `clicksPermitted`.
`clicksPermitted[].senderIP`	`about.ip`	Se asigna el valor de `senderIP` en la matriz `clicksPermitted`.
`clicksPermitted[].threatID`	`security_result.threat_id`	Se asigna el valor de `threatID` en la matriz `clicksPermitted`.
`clicksPermitted[].threatTime`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`clicksPermitted[].threatURL`	`security_result.url_back_to_product`	Se asigna el valor de `threatURL` en la matriz `clicksPermitted`.
`clicksPermitted[].url`	`target.url`	Se asigna el valor de `url` en la matriz `clicksPermitted`.
`clicksPermitted[].userAgent`	`network.http.user_agent`	Se asigna el valor de `userAgent` en la matriz `clicksPermitted`.
`clickTime`	`metadata.event_timestamp.seconds`	El analizador convierte la cadena `clickTime` en una marca de tiempo y la asigna.
`cmd`	`principal.process.command_line` o `network.http.method`	Si se incluye `sts` (código de estado HTTP), `cmd` se asigna a `network.http.method`. De lo contrario, se asigna a `principal.process.command_line`.
`collection_time.seconds`	`metadata.event_timestamp.seconds`	El valor de `collection_time.seconds` del registro sin procesar se asigna directamente.
`completelyRewritten`	`security_result.detection_fields[].key`: "completelyRewritten" `security_result.detection_fields[].value`: valor de completelyRewritten	El valor de `completelyRewritten` del registro sin procesar se coloca en `security_result.detection_fields`.
`contentType`	`about.file.mime_type`	El valor de `contentType` del registro sin procesar se asigna directamente.
`country`	`principal.location.country_or_region`	El valor de `country` del registro sin procesar se asigna directamente.
`create_time.seconds`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`data`	(Varios campos)	La carga útil JSON del campo `data` se analiza y se asigna a varios campos de UDM.
`date`/`date_log_rebase`	`metadata.event_timestamp.seconds`	El analizador vuelve a basar la fecha en una marca de tiempo usando los campos `date_log_rebase` o `date` y `timeStamp`.
`dict`	`security_result.category_details`	El valor de `dict` del registro sin procesar se asigna directamente.
`disposition`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`dnsid`	`network.dns.id`	El valor de `dnsid` del registro sin procesar se asigna directamente y se convierte en un número entero sin signo.
`domain`/`hfrom_domain`	`principal.administrative_domain`	Si `domain` está presente, se usa su valor. De lo contrario, si `hfrom_domain` está presente, se usa su valor.
`duration`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`eid`	`additional.fields[].key`: "eid" `additional_fields[].value.string_value`: valor de eid	El valor de `eid` del registro sin procesar se coloca en `additional_fields`.
`engine`	`metadata.product_version`	El valor de `engine` del registro sin procesar se asigna directamente.
`err` / `msg` / `result_detail` / `tls-alert`	`security_result.description`	Se asigna el primer valor disponible de `msg`, `err`, `result_detail` o `tls-alert` (después de quitar las comillas).
`file`/`name`	`principal.process.file.full_path`	Si `file` está presente, se usa su valor. De lo contrario, si `name` está presente, se usa su valor.
`filename`	`about.file.full_path`	El valor de `filename` del registro sin procesar se asigna directamente.
`folder`	`additional.fields[].key`: "folder" `additional_fields[].value.string_value`: valor de la carpeta	El valor de `folder` del registro sin procesar se coloca en `additional_fields`.
`from` / `hfrom` / `value`	`network.email.from`	Se aplica una lógica compleja (consulta el código del analizador). Gestiona los caracteres `<` y `>`, y comprueba que el formato del correo sea válido.
`fromAddress`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`GUID`	`metadata.product_log_id`	El valor de `GUID` del registro sin procesar se asigna directamente.
`headerCC`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`headerFrom`	`additional.fields[].key`: "headerFrom" `additional_fields[].value.string_value`: valor de headerFrom	El valor de `headerFrom` del registro sin procesar se coloca en `additional_fields`.
`headerReplyTo`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`headerTo`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`helo`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`hops-ip`/`lip`	`intermediary.ip`	Si `hops-ip` está presente, se usa su valor. De lo contrario, si `lip` está presente, se usa su valor.
`host`	`principal.hostname`	El valor de `host` del registro sin procesar se asigna directamente.
`id`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`impostorScore`	`security_result.detection_fields`
`ip`	`principal.asset.ip` `principal.ip`	El valor de `ip` del registro sin procesar se asigna directamente.
`log_level`	`security_result.severity_details`	El valor de `log_level` se asigna y también se usa para obtener `security_result.severity`.
`m`	`network.email.mail_id`	Se asigna el valor de `m` (después de quitar los caracteres `<` y `>`).
`malwareScore`	`security_result.detection_fields`
`md5`	`about.file.md5`	El valor de `md5` del registro sin procesar se asigna directamente.
`messageID`	`network.email.mail_id`	Se asigna el valor de `messageID` (después de quitar los caracteres `<` y `>`).
`messagesBlocked` (array)	(Varios campos)	Se itera la matriz de objetos `messagesBlocked` y los campos de cada objeto se asignan a los campos de UDM.
`messagesBlocked[].ccAddresses`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].cluster`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].completelyRewritten`	`security_result.detection_fields[].key`: "completelyRewritten" `security_result.detection_fields[].value`: valor de completelyRewritten	El valor de `completelyRewritten` del registro sin procesar se coloca en `security_result.detection_fields`.
`messagesBlocked[].fromAddress`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].GUID`	`metadata.product_log_id`	El valor de `GUID` del registro sin procesar se asigna directamente.
`messagesBlocked[].headerFrom`	`additional.fields[].key`: "headerFrom" `additional_fields[].value.string_value`: valor de headerFrom	El valor de `headerFrom` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].headerReplyTo`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].id`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].impostorScore`	`additional.fields[].key`: "impostorScore" `additional_fields[].value.number_value`: valor de impostorScore	El valor de `impostorScore` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].malwareScore`	`additional.fields[].key`: "malwareScore" `additional_fields[].value.number_value`: valor de malwareScore	El valor de `malwareScore` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].messageID`	`network.email.mail_id`	Se asigna el valor de `messageID` (después de quitar los caracteres `<` y `>`).
`messagesBlocked[].messageParts`	`about.file` (repetido)	Cada objeto de la matriz `messageParts` se asigna a un objeto `about.file` independiente.
`messagesBlocked[].messageParts[].contentType`	`about.file.mime_type`	El valor de `contentType` del registro sin procesar se asigna directamente.
`messagesBlocked[].messageParts[].disposition`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].messageParts[].filename`	`about.file.full_path`	El valor de `filename` del registro sin procesar se asigna directamente.
`messagesBlocked[].messageParts[].md5`	`about.file.md5`	El valor de `md5` del registro sin procesar se asigna directamente.
`messagesBlocked[].messageParts[].sandboxStatus`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].messageParts[].sha256`	`about.file.sha256`	El valor de `sha256` del registro sin procesar se asigna directamente.
`messagesBlocked[].messageSize`	`additional.fields[].key`: "messageSize" `additional_fields[].value.number_value`: valor de messageSize	El valor de `messageSize` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].messageTime`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].modulesRun`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].phishScore`	`additional.fields[].key`: "phishScore" `additional_fields[].value.number_value`: valor de phishScore	El valor de `phishScore` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].policyRoutes`	`additional.fields[].key`: "PolicyRoutes" `additional_fields[].value.list_value.values[].string_value`: valor de policyRoutes	Los valores de `policyRoutes` del registro sin procesar se colocan como una lista en `additional_fields`.
`messagesBlocked[].QID`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].quarantineFolder`	`additional.fields[].key`: "quarantineFolder" `additional_fields[].value.string_value`: valor de quarantineFolder	El valor de `quarantineFolder` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].quarantineRule`	`additional.fields[].key`: "quarantineRule" `additional_fields[].value.string_value`: valor de quarantineRule	El valor de `quarantineRule` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].recipient`	`target.user.email_addresses`	El valor de `recipient` del registro sin procesar se asigna directamente.
`messagesBlocked[].replyToAddress`	`network.email.reply_to`	El valor de `replyToAddress` del registro sin procesar se asigna directamente.
`messagesBlocked[].sender`	`principal.user.email_addresses`	El valor de `sender` del registro sin procesar se asigna directamente.
`messagesBlocked[].senderIP`	`principal.asset.ip` `principal.ip`	El valor de `senderIP` del registro sin procesar se asigna directamente.
`messagesBlocked[].spamScore`	`additional.fields[].key`: "spamScore" `additional_fields[].value.number_value`: valor de spamScore	El valor de `spamScore` del registro sin procesar se coloca en `additional_fields`.
`messagesBlocked[].subject`	`network.email.subject`	El valor de `subject` del registro sin procesar se asigna directamente.
`messagesBlocked[].threatsInfoMap`	`security_result` (repetido)	Cada objeto de la matriz `threatsInfoMap` se asigna a un objeto `security_result` independiente.
`messagesBlocked[].threatsInfoMap[].classification`	`security_result.category_details`	El valor de `classification` del registro sin procesar se asigna directamente.
`messagesBlocked[].threatsInfoMap[].threat`	`security_result.about.url`	El valor de `threat` del registro sin procesar se asigna directamente.
`messagesBlocked[].threatsInfoMap[].threatID`	`security_result.threat_id`	El valor de `threatID` del registro sin procesar se asigna directamente.
`messagesBlocked[].threatsInfoMap[].threatStatus`	`security_result.threat_status`	El valor de `threatStatus` del registro sin procesar se asigna directamente.
`messagesBlocked[].threatsInfoMap[].threatTime`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesBlocked[].threatsInfoMap[].threatType`	`security_result.threat_name`	El valor de `threatType` del registro sin procesar se asigna directamente.
`messagesBlocked[].threatsInfoMap[].threatUrl`	`security_result.url_back_to_product`	El valor de `threatUrl` del registro sin procesar se asigna directamente.
`messagesBlocked[].toAddresses`	`network.email.to`	El valor de `toAddresses` del registro sin procesar se asigna directamente.
`messagesBlocked[].xmailer`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`messagesDelivered` (array)	(Varios campos)	Se itera la matriz de objetos `messagesDelivered` y los campos de cada objeto se asignan a los campos de UDM. Lógica similar a la de `messagesBlocked`.
`message`	(Varios campos)	Si el campo `message` es un JSON válido, se analiza y se asigna a varios campos de UDM.
`metadata.event_type`	`metadata.event_type`	Se asigna el valor "EMAIL_TRANSACTION" si `message` no es JSON. De lo contrario, se deriva de los datos JSON. Se asigna el valor "GENERIC_EVENT" si no se puede analizar el mensaje syslog.
`metadata.log_type`	`metadata.log_type`	Codificado como "PROOFPOINT_MAIL".
`metadata.product_event_type`	`metadata.product_event_type`	Asigna el valor "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" en función de los datos JSON.
`metadata.product_name`	`metadata.product_name`	Se ha codificado como "TAP".
`metadata.vendor_name`	`metadata.vendor_name`	Codificado como "PROOFPOINT".
`mime`	`principal.process.file.mime_type`	El valor de `mime` del registro sin procesar se asigna directamente.
`mod`	`additional.fields[].key`: "module" `additional_fields[].value.string_value`: valor de mod	El valor de `mod` del registro sin procesar se coloca en `additional_fields`.
`msg.imposterScore`	`security_result.detection_fields`	Asignado a un par clave-valor en `security_result.detection_fields`
`msg.malwareScore`	`security_result.detection_fields`	Asignado a un par clave-valor en `security_result.detection_fields`
`msg.phishScore`	`security_result.detection_fields`	Asignado a un par clave-valor en `security_result.detection_fields`
`msg.quarantineFolder`	`security_result.priority` o `security_result.detection_fields`	Si `msg.quarantineFolder` es igual a "prioridad baja" o "prioridad alta", asigna el valor al campo `security_result.priority` de UDM. De lo contrario, asigna el valor a `security_result.detection_fields`.
`msg.quarantineRule`	`security_result.rule_name`
`msg.spamScore`	`security_result.detection_fields`
`msgPart.contentType`	Sin asignar
`oContentType`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`partData.contentType`	`about.file.mime_type`
`partData.disposition`	`additional.fields`
`partData.filename`	`about.file.full_path`
`partData.md5`	`about.file.md5`
`partData.sha256`	`about.file.sha256`
`partData.contentType`	`security_result.detection_fields`
`path`/`uri`	`principal.url`	Si `path` está presente, se usa su valor. De lo contrario, si `uri` está presente, se usa su valor.
`phishScore`	`security_result.detection_fields`
`pid`	`principal.process.pid`	El valor de `pid` del registro sin procesar se asigna directamente.
`policy`	`network.direction`	Si `policy` es "inbound", el campo UDM se define como "INBOUND". Si `policy` es "outbound", el campo UDM se define como "OUTBOUND".
`policyRoutes`	`additional.fields[].key`: "PolicyRoutes" `additional_fields[].value.list_value.values[].string_value`: valor de policyRoutes	Los valores de `policyRoutes` del registro sin procesar se colocan como una lista en `additional_fields`.
`profile`	`additional.fields[].key`: "profile" `additional_fields[].value.string_value`: valor del perfil	El valor de `profile` del registro sin procesar se coloca en `additional_fields`.
`prot`	`proto`	El valor de `prot` se extrae a `protocol`, se convierte a mayúsculas y, a continuación, se asigna a `proto`.
`proto`	`network.application_protocol`	Se asigna el valor de `proto` (o el valor derivado de `prot`). Si el valor es "ESMTP", se cambia a "SMTP" antes de la asignación.
`querydepth`	`additional.fields[].key`: "querydepth" `additional_fields[].value.string_value`: valor de querydepth	El valor de `querydepth` del registro sin procesar se coloca en `additional_fields`.
`queryEndTime`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`qid`	`additional.fields[].key`: "qid" `additional_fields[].value.string_value`: valor de qid	El valor de `qid` del registro sin procesar se coloca en `additional_fields`.
`quarantineFolder`	`security_result.priority` o `security_result.detection_fields`	Si `quarantineFolder` es igual a "prioridad baja" o "prioridad alta", asigna el valor al campo `security_result.priority` de UDM. De lo contrario, asigna el valor a `security_result.detection_fields`.
`rcpt`/`rcpts`	`network.email.to`	Si `rcpt` está presente y es una dirección de correo válida, se combina con el campo `to`. Se aplica la misma lógica a `rcpts`.
`recipient`	`target.user.email_addresses`	El valor de `recipient` del registro sin procesar se asigna directamente.
`relay`	`intermediary.hostname` `intermediary.ip`	El campo `relay` se analiza para extraer el nombre de host y la dirección IP, que se asignan a `intermediary.hostname` y `intermediary.ip`, respectivamente.
`replyToAddress`	`network.email.reply_to`	El valor de `replyToAddress` del registro sin procesar se asigna directamente.
`result`	`security_result.action`	Si `result` es "pass", el campo UDM se define como "ALLOW". Si `result` es "fail", el campo UDM se define como "BLOCK".
`routes`	`additional.fields[].key`: "routes" `additional_fields[].value.string_value`: valor de las rutas	El valor de `routes` del registro sin procesar se coloca en `additional_fields`.
`s`	`network.session_id`	El valor de `s` del registro sin procesar se asigna directamente.
`sandboxStatus`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`selector`	`additional.fields[].key`: "selector" `additional_fields[].value.string_value`: valor del selector	El valor de `selector` del registro sin procesar se coloca en `additional_fields`.
`sender`	`principal.user.email_addresses`	El valor de `sender` del registro sin procesar se asigna directamente.
`senderIP`	`principal.asset.ip` `principal.ip` o `about.ip`	Si se encuentra en un evento de clic, se asigna a `about.ip`. De lo contrario, se asigna a `principal.asset.ip` y `principal.ip`.
`sha256`	`security_result.about.file.sha256` o `about.file.sha256`	Si está en un threatInfoMap, se asigna a `security_result.about.file.sha256`. De lo contrario, se asigna a `about.file.sha256`.
`size`	`principal.process.file.size` o `additional.fields[].key`: "messageSize" `additional_fields[].value.number_value`: valor de messageSize	Si está dentro de un evento de mensaje, se asigna a `additional.fields[].messageSize` y se convierte en un entero sin signo. De lo contrario, se asigna a `principal.process.file.size` y se convierte en un número entero sin signo.
`spamScore`	`security_result.detection_fields`
`stat`	`additional.fields[].key`: "status" `additional_fields[].value.string_value`: valor de la estadística	El valor de `stat` del registro sin procesar se coloca en `additional_fields`.
`status`	`additional.fields[].key`: "status" `additional_fields[].value.string_value`: valor del estado	El valor de `status` (después de quitar las comillas) del registro sin procesar se coloca en `additional_fields`.
`sts`	`network.http.response_code`	El valor de `sts` del registro sin procesar se asigna directamente y se convierte en un número entero.
`subject`	`network.email.subject`	El valor de `subject` del registro sin procesar se asigna directamente después de quitar las comillas.
`threatID`	`security_result.threat_id`	El valor de `threatID` del registro sin procesar se asigna directamente.
`threatStatus`	`security_result.threat_status`	El valor de `threatStatus` del registro sin procesar se asigna directamente.
`threatTime`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`threatType`	`security_result.threat_name`	El valor de `threatType` del registro sin procesar se asigna directamente.
`threatUrl`/`threatURL`	`security_result.url_back_to_product`	El valor de `threatUrl` o `threatURL` del registro sin procesar se asigna directamente.
`threatsInfoMap`	`security_result` (repetido)	Cada objeto de la matriz `threatsInfoMap` se asigna a un objeto `security_result` independiente.
`tls`	`network.tls.cipher`	Si `cipher` no está presente o es "NONE", se usa el valor de `tls` si no es "NONE".
`tls_verify`/`verify`	`security_result.action`	Si `verify` está presente, su valor se usa para determinar la acción. De lo contrario, se usa `tls_verify`. "FAIL" se asigna a "BLOCK" y "OK" se asigna a "ALLOW".
`tls_version`/`version`	`network.tls.version`	Si `tls_version` está presente y no es "NONE", se usa su valor. De lo contrario, si `version` coincide con "TLS", se usa su valor.
`to`	`network.email.to`	Se asigna el valor de `to` (después de quitar los caracteres `<` y `>`). Si no es una dirección de correo válida, se añade a `additional_fields`.
`toAddresses`	`network.email.to`	El valor de `toAddresses` del registro sin procesar se asigna directamente.
`timestamp.seconds`	`metadata.event_timestamp.seconds`	El valor de `timestamp.seconds` del registro sin procesar se asigna directamente.
`type`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`url`	`target.url` o `principal.url`	Si se encuentra en un evento de clic, se asigna a `target.url`. De lo contrario, se asigna a `principal.url`.
`userAgent`	`network.http.user_agent`	El valor de `userAgent` del registro sin procesar se asigna directamente.
`uri`	`principal.url`	Si no se incluye `path`, se usa el valor de `uri`.
`value`	`network.email.from`	Si `from` y `hfrom` no son direcciones de correo válidas y `value` sí lo es (después de quitar los caracteres `<` y `>`), se asigna.
`vendor`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.
`verify`	`security_result.action`	Si `verify` está presente, se usa para determinar la acción. "NOT" se asigna a "BLOCK", y otros valores se asignan a "ALLOW".
`version`	`network.tls.version`	Si `tls_version` no está presente o tiene el valor "NONE" y `version` contiene "TLS", se asigna.
`virusthreat`	`security_result.threat_name`	El valor de `virusthreat` del registro sin procesar se asigna directamente si no es "unknown".
`virusthreatid`	`security_result.threat_id`	El valor de `virusthreatid` (después de quitar las comillas) del registro sin procesar se asigna directamente si no es "unknown".
`xmailer`	Sin asignar	Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado.

Referencia de delta de asignación de UDM

El 9 de septiembre del 2025, Google SecOps lanzó una nueva versión del analizador de Symantec Endpoint Protection, que incluye cambios significativos en la asignación de campos de registro de Symantec Endpoint Protection a campos de UDM y actualizaciones de las clasificaciones de tipos de eventos (asignaciones).

Delta de asignación de campos de registro

En la siguiente tabla se muestran los cambios en la forma en que se asignan los campos de registro de Symantec Endpoint Protection a los campos de UDM. En la columna Asignación antigua se muestran los campos expuestos antes del 9 de septiembre del 2025, y en la columna Asignación actual se muestran los campos nuevos.

Campo de registro	Asignación antigua	Asignación actual
`clicks.impostorScore`	`additional.fields`	`security_result.detection_fields`
`clicks.malwareScore`	`additional.fields`	`security_result.detection_fields`
`clicks.phishScore`	`additional.fields`	`security_result.detection_fields`
`clicks.quarantineFolder`	`additional.fields`	Si `quarantineFolder` es igual a `low priority` o `high priority`,asigna el valor `security_result.priority`. De lo contrario, asigna el valor `security_result.detection_fields`.
`clicks.quarantineRule`	`additional.fields`	`security_result.rule_name`
`clicks.sender`	`about.email`	`Not Mapped`
`clicks.senderIP`	`about.ip`	`principal.ip`
`clicks.spamScore`	`additional.fields`	`security_result.detection_fields`
`impostorScore`	`additional.fields`	`security_result.detection_fields`
`malwareScore`	`additional.fields`	`security_result.detection_fields`
`msg.impostorScore`	`additional.fields`	`security_result.detection_fields`
`msg.malwareScore`	`additional.fields`	`security_result.detection_fields`
`msg.phishScore`	`additional.fields`	`security_result.detection_fields`
`msg.quarantineFolder`	`additional.fields`	Si `quarantineFolder` es igual a `low priority` o `high priority`,asigna el valor `security_result.priority`. De lo contrario, asigna el valor `security_result.detection_fields`.
`msg.quarantineRule`	`additional.fields`	`security_result.rule_name`
`msg.spamScore`	`additional.fields`	`security_result.detection_fields`
`msgPart.contentType`	`additional.fields`	`Not Mapped`
`partData.contentType`	`principal.process.file.mime_type`	`about.file.mime_type`
`partData.disposition`	`security_result.detection_fields`	`additional.fields`
`partData.filename`	`principal.process.file.full_path`	`about.file.full_path`
`partData.md5`	`principal.process.file.md5`	`about.file.md5`
`partData.sha256`	`about.file.sha1`	`about.file.sha256`
`phishScore`	`additional.fields`	`security_result.detection_fields`
`quarantineFolder`	`additional.fields`	`if`quarantineFolder`is equal to`prioridad baja`or`prioridad alta`then map to UDM field`security_result.priority`else security_result.detection_fields`
`spamScore`	`additional.fields`	`security_result.detection_fields`

Delta de asignación de tipos de eventos

Varios eventos que antes se clasificaban como eventos genéricos ahora se clasifican correctamente con tipos de eventos más significativos.

En la siguiente tabla se muestra la diferencia en la gestión de los tipos de eventos de Symantec Endpoint Protection antes del 9 de septiembre del 2025 y después (se indican en las columnas Old event_type y Current event_type, respectivamente).

Formato	eventType del registro	Old event_type	Current event_type
`SYSLOG+KV`	Si el registro tiene los campos `fromAddress`, `toAddresses`, `hfrom`, `from`, `value`,`to`,`rcpt`,`rcpts`,`mailer`,`proto` o `mod`		`EMAIL_TRANSACTION`
	Si el registro solo contiene detalles de `mail_id`	`EMAIL_TRANSACTION`	`EMAIL_UNCATEGORIZED`
Registros de `CEF`	eventname= `messagesDelivered`, `messagesBlocked`		`EMAIL_TRANSACTION`
	si el registro tiene `emails`, `sender`, `headerReplyTo` o `orig_recipient`		`USER_UNCATEGORIED`
	Si el registro tiene `src`, `host`		`STATUS_UPDATE`
`SYSLOG+JSON`	eventname= `messagesDelivered`, `messagesBlocked`, `clicksPermitted`, `clicksBlocked`		`EMAIL_TRANSACTION`
`JSON`	`record.address`		`USER_UNCATEGORIZED`
	`lookalikeDomain.name`		`STATUS_UPDATE`

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.