Recopila registros de alertas de TAP de Proofpoint
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de alertas de Proofpoint Targeted Attack Protection (TAP) configurando un feed de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia PROOFPOINT_MAIL.
Configura las alertas de Proofpoint TAP
- Accede al portal de estadísticas de amenazas de Proofpoint con tus credenciales.
- En la pestaña Configuración, selecciona Aplicaciones conectadas. Aparecerá la sección Credenciales de servicio.
- En la sección Nombre, haz clic en Crear credencial nueva.
- Escribe el nombre de tu organización, como
altostrat.com. - Haz clic en Generar. En el diálogo Credencial de servicio generada, aparecen los valores de Principal de servicio y Secreto.
- Copia los valores de Principal de servicio y Secreto. Los valores se muestran solo en el momento de la creación y son obligatorios cuando configuras el feed de Google Security Operations.
- Haz clic en Listo.
Configura feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de alertas de TAP de Proofpoint.
- Selecciona API de terceros como el Tipo de origen.
- Selecciona Alertas de TAP de Proofpoint como el Tipo de registro.
- Haz clic en Siguiente.
- Configura los siguientes parámetros de entrada obligatorios:
- Nombre de usuario: Especifica la entidad de servicio que obtuviste anteriormente.
- Secret: Especifica el secreto que obtuviste antes.
- Haz clic en Siguiente y, luego, en Enviar.
Referencia de la asignación de campos
Este analizador controla los registros de Proofpoint Mail en formato JSON o de clave-valor, y extrae detalles de la actividad de correo electrónico y de red. Asigna campos de registro al UDM, categoriza eventos como transacciones de correo electrónico y solicitudes HTTP de red, y los enriquece con detalles de seguridad, como acciones, categorías e información sobre amenazas.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Observación |
|---|---|---|
action |
security_result.action_details |
El valor de action del registro sin procesar se asigna directamente. |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value: Valor de adultscore |
El valor de adultscore del registro sin procesar se coloca en additional_fields. |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: Valor de los archivos adjuntos |
El valor de attachments del registro sin procesar se coloca en additional_fields. |
campaignID |
security_result.rule_id |
El valor de campaignID del registro sin procesar se asigna directamente. |
ccAddresses |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
cid |
additional.fields[].key: cidadditional_fields[].value.string_value: Valor de cid |
El valor de cid del registro sin procesar se coloca en additional_fields. |
cipher/tls |
network.tls.cipher |
Si cipher está presente y no es "NONE", se usa su valor. De lo contrario, si tls está presente y no es "NONE", se usa su valor. |
classification |
security_result.category_details |
El valor de classification del registro sin procesar se asigna directamente. |
clickIP |
principal.asset.ipprincipal.ip |
El valor de clickIP del registro sin procesar se asigna directamente. |
clicks.impostorScore |
security_result.detection_fields |
Se asigna a un par clave-valor en security_result.detection_fields. |
clicks.malwareScore |
security_result.detection_fields |
Se asigna a un par clave-valor en security_result.detection_fields. |
clicks.phishScore |
security_result.detection_fields |
Se asigna a un par clave-valor en security_result.detection_fields. |
clicks.quarantineFolder |
security_result.priority o security_result.detection_fields |
Si click.quarantineFolder es igual a "prioridad baja" o "prioridad alta", se asigna al campo security_result.priority del UDM; de lo contrario, se asigna a security_result.detection_fields. |
clicks.quarantineRule |
security_result.rule_name |
Se asigna a un par clave-valor en security_result.rule_name. |
clicks.sender |
Sin asignar | |
clicks.senderIP |
principal.ip |
Se asigna a un par clave-valor en principal.ip. |
clicks.spamScore |
security_result.detection_fields |
Se asigna a un par clave-valor en security_result.detection_fields. |
clicksBlocked[].campaignId |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
Se asigna el valor de clickIP dentro del array clicksBlocked. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
El analizador convierte la cadena clickTime en una marca de tiempo y la asigna. |
clicksBlocked[].classification |
security_result.category_details |
Se asigna el valor de classification dentro del array clicksBlocked. |
clicksBlocked[].GUID |
metadata.product_log_id |
Se asigna el valor de GUID dentro del array clicksBlocked. |
clicksBlocked[].id |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
clicksBlocked[].messageID |
network.email.mail_id |
Se asigna el valor de messageID dentro del array clicksBlocked. |
clicksBlocked[].recipient |
target.user.email_addresses |
Se asigna el valor de recipient dentro del array clicksBlocked. |
clicksBlocked[].sender |
principal.user.email_addresses |
Se asigna el valor de sender dentro del array clicksBlocked. |
clicksBlocked[].senderIP |
about.ip |
Se asigna el valor de senderIP dentro del array clicksBlocked. La entrada general senderIP se asigna a principal.asset.ip o principal.ip. |
clicksBlocked[].threatID |
security_result.threat_id |
Se asigna el valor de threatID dentro del array clicksBlocked. |
clicksBlocked[].threatTime |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
Se asigna el valor de threatURL dentro del array clicksBlocked. |
clicksBlocked[].threatStatus |
security_result.threat_status |
Se asigna el valor de threatStatus dentro del array clicksBlocked. |
clicksBlocked[].url |
target.url |
Se asigna el valor de url dentro del array clicksBlocked. |
clicksBlocked[].userAgent |
network.http.user_agent |
Se asigna el valor de userAgent dentro del array clicksBlocked. |
clicksPermitted[].campaignId |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
Se asigna el valor de clickIP dentro del array clicksPermitted. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
El analizador convierte la cadena clickTime en una marca de tiempo y la asigna. |
clicksPermitted[].classification |
security_result.category_details |
Se asigna el valor de classification dentro del array clicksPermitted. |
clicksPermitted[].guid |
metadata.product_log_id |
Se asigna el valor de guid dentro del array clicksPermitted. |
clicksPermitted[].id |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
clicksPermitted[].messageID |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
clicksPermitted[].recipient |
target.user.email_addresses |
Se asigna el valor de recipient dentro del array clicksPermitted. |
clicksPermitted[].sender |
principal.user.email_addresses |
Se asigna el valor de sender dentro del array clicksPermitted. |
clicksPermitted[].senderIP |
about.ip |
Se asigna el valor de senderIP dentro del array clicksPermitted. |
clicksPermitted[].threatID |
security_result.threat_id |
Se asigna el valor de threatID dentro del array clicksPermitted. |
clicksPermitted[].threatTime |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
Se asigna el valor de threatURL dentro del array clicksPermitted. |
clicksPermitted[].url |
target.url |
Se asigna el valor de url dentro del array clicksPermitted. |
clicksPermitted[].userAgent |
network.http.user_agent |
Se asigna el valor de userAgent dentro del array clicksPermitted. |
clickTime |
metadata.event_timestamp.seconds |
El analizador convierte la cadena clickTime en una marca de tiempo y la asigna. |
cmd |
principal.process.command_line o network.http.method |
Si está presente sts (código de estado HTTP), cmd se asigna a network.http.method. De lo contrario, se asigna a principal.process.command_line. |
collection_time.seconds |
metadata.event_timestamp.seconds |
El valor de collection_time.seconds del registro sin procesar se asigna directamente. |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Valor de completelyRewritten |
El valor de completelyRewritten del registro sin procesar se coloca en security_result.detection_fields. |
contentType |
about.file.mime_type |
El valor de contentType del registro sin procesar se asigna directamente. |
country |
principal.location.country_or_region |
El valor de country del registro sin procesar se asigna directamente. |
create_time.seconds |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
data |
(Varios campos) | La carga útil de JSON en el campo data se analiza y se asigna a varios campos del UDM. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
El analizador vuelve a establecer la fecha en una marca de tiempo con los campos date_log_rebase o date y timeStamp. |
dict |
security_result.category_details |
El valor de dict del registro sin procesar se asigna directamente. |
disposition |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
dnsid |
network.dns.id |
El valor de dnsid del registro sin procesar se asigna y convierte directamente en un número entero sin signo. |
domain/hfrom_domain |
principal.administrative_domain |
Si domain está presente, se usa su valor. De lo contrario, si hfrom_domain está presente, se usa su valor. |
duration |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: Valor de eid |
El valor de eid del registro sin procesar se coloca en additional_fields. |
engine |
metadata.product_version |
El valor de engine del registro sin procesar se asigna directamente. |
err / msg / result_detail / tls-alert |
security_result.description |
Se asigna el primer valor disponible entre msg, err, result_detail o tls-alert (después de quitar las comillas). |
file/name |
principal.process.file.full_path |
Si file está presente, se usa su valor. De lo contrario, si name está presente, se usa su valor. |
filename |
about.file.full_path |
El valor de filename del registro sin procesar se asigna directamente. |
folder |
additional.fields[].key: "folder"additional_fields[].value.string_value: Valor de la carpeta |
El valor de folder del registro sin procesar se coloca en additional_fields. |
from / hfrom / value |
network.email.from |
Se aplica una lógica compleja (consulta el código del analizador). Controla los caracteres < y >, y verifica que el formato de correo electrónico sea válido. |
fromAddress |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
GUID |
metadata.product_log_id |
El valor de GUID del registro sin procesar se asigna directamente. |
headerCC |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Valor de headerFrom |
El valor de headerFrom del registro sin procesar se coloca en additional_fields. |
headerReplyTo |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
headerTo |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
helo |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
hops-ip/lip |
intermediary.ip |
Si hops-ip está presente, se usa su valor. De lo contrario, si lip está presente, se usa su valor. |
host |
principal.hostname |
El valor de host del registro sin procesar se asigna directamente. |
id |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
El valor de ip del registro sin procesar se asigna directamente. |
log_level |
security_result.severity_details |
El valor de log_level se asigna y también se usa para derivar security_result.severity. |
m |
network.email.mail_id |
Se asigna el valor de m (después de quitar los caracteres < y >). |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
El valor de md5 del registro sin procesar se asigna directamente. |
messageID |
network.email.mail_id |
Se asigna el valor de messageID (después de quitar los caracteres < y >). |
messagesBlocked (array) |
(Varios campos) | Se itera el array de objetos messagesBlocked y los campos de cada objeto se asignan a los campos del UDM. |
messagesBlocked[].ccAddresses |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].cluster |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Valor de completelyRewritten |
El valor de completelyRewritten del registro sin procesar se coloca en security_result.detection_fields. |
messagesBlocked[].fromAddress |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].GUID |
metadata.product_log_id |
El valor de GUID del registro sin procesar se asigna directamente. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Valor de headerFrom |
El valor de headerFrom del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].headerReplyTo |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].id |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: Valor de impostorScore |
El valor de impostorScore del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: Valor de malwareScore |
El valor de malwareScore del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].messageID |
network.email.mail_id |
Se asigna el valor de messageID (después de quitar los caracteres < y >). |
messagesBlocked[].messageParts |
about.file (repetido) |
Cada objeto del array messageParts se asigna a un objeto about.file independiente. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
El valor de contentType del registro sin procesar se asigna directamente. |
messagesBlocked[].messageParts[].disposition |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
El valor de filename del registro sin procesar se asigna directamente. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
El valor de md5 del registro sin procesar se asigna directamente. |
messagesBlocked[].messageParts[].sandboxStatus |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
El valor de sha256 del registro sin procesar se asigna directamente. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: Valor de messageSize |
El valor de messageSize del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].messageTime |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].modulesRun |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: Valor de phishScore |
El valor de phishScore del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes |
Los valores de policyRoutes del registro sin procesar se colocan como una lista en additional_fields. |
messagesBlocked[].QID |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: Valor de quarantineFolder |
El valor de quarantineFolder del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: Valor de quarantineRule |
El valor de quarantineRule del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].recipient |
target.user.email_addresses |
El valor de recipient del registro sin procesar se asigna directamente. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
El valor de replyToAddress del registro sin procesar se asigna directamente. |
messagesBlocked[].sender |
principal.user.email_addresses |
El valor de sender del registro sin procesar se asigna directamente. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
El valor de senderIP del registro sin procesar se asigna directamente. |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: Valor de spamScore |
El valor de spamScore del registro sin procesar se coloca en additional_fields. |
messagesBlocked[].subject |
network.email.subject |
El valor de subject del registro sin procesar se asigna directamente. |
messagesBlocked[].threatsInfoMap |
security_result (repetido) |
Cada objeto del array threatsInfoMap se asigna a un objeto security_result independiente. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
El valor de classification del registro sin procesar se asigna directamente. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
El valor de threat del registro sin procesar se asigna directamente. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
El valor de threatID del registro sin procesar se asigna directamente. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
El valor de threatStatus del registro sin procesar se asigna directamente. |
messagesBlocked[].threatsInfoMap[].threatTime |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
El valor de threatType del registro sin procesar se asigna directamente. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
El valor de threatUrl del registro sin procesar se asigna directamente. |
messagesBlocked[].toAddresses |
network.email.to |
El valor de toAddresses del registro sin procesar se asigna directamente. |
messagesBlocked[].xmailer |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
messagesDelivered (array) |
(Varios campos) | Se itera el array de objetos messagesDelivered y los campos de cada objeto se asignan a los campos del UDM. Lógica similar a la de messagesBlocked. |
message |
(Varios campos) | Si el campo message es un JSON válido, se analiza y se asigna a varios campos de UDM. |
metadata.event_type |
metadata.event_type |
Se establece en "EMAIL_TRANSACTION" si message no es JSON; de lo contrario, se deriva de los datos JSON. Se establece en "GENERIC_EVENT" si no se puede analizar el mensaje de syslog. |
metadata.log_type |
metadata.log_type |
Se codifica como "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Se establece en "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" según los datos JSON. |
metadata.product_name |
metadata.product_name |
Se codificó de forma rígida como "TAP". |
metadata.vendor_name |
metadata.vendor_name |
Está codificado como "PROOFPOINT". |
mime |
principal.process.file.mime_type |
El valor de mime del registro sin procesar se asigna directamente. |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: Valor del mod |
El valor de mod del registro sin procesar se coloca en additional_fields. |
msg.imposterScore |
security_result.detection_fields |
Se asigna a un par clave-valor en security_result.detection_fields. |
msg.malwareScore |
security_result.detection_fields |
Se asigna a un par clave-valor en security_result.detection_fields. |
msg.phishScore |
security_result.detection_fields |
Se asigna a un par clave-valor en security_result.detection_fields. |
msg.quarantineFolder |
security_result.priority o security_result.detection_fields |
Si msg.quarantineFolder es igual a "prioridad baja" o "prioridad alta", se asigna al campo security_result.priority del UDM; de lo contrario, se asigna a security_result.detection_fields. |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
Sin asignar | |
oContentType |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path/uri |
principal.url |
Si path está presente, se usa su valor. De lo contrario, si uri está presente, se usa su valor. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
El valor de pid del registro sin procesar se asigna directamente. |
policy |
network.direction |
Si policy es "inbound", el campo UDM se establece en "INBOUND". Si policy es "outbound", el campo de UDM se establece en "OUTBOUND". |
policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes |
Los valores de policyRoutes del registro sin procesar se colocan como una lista en additional_fields. |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: Valor del perfil |
El valor de profile del registro sin procesar se coloca en additional_fields. |
prot |
proto |
El valor de prot se extrae en protocol, se convierte en mayúsculas y, luego, se asigna a proto. |
proto |
network.application_protocol |
Se asigna el valor de proto (o el valor derivado de prot). Si el valor es "ESMTP", se cambia a "SMTP" antes de la asignación. |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: Valor de querydepth |
El valor de querydepth del registro sin procesar se coloca en additional_fields. |
queryEndTime |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: Valor de qid |
El valor de qid del registro sin procesar se coloca en additional_fields. |
quarantineFolder |
security_result.priority o security_result.detection_fields |
Si quarantineFolder es igual a "prioridad baja" o "prioridad alta", se asigna al campo security_result.priority del UDM; de lo contrario, se asigna a security_result.detection_fields. |
rcpt/rcpts |
network.email.to |
Si rcpt está presente y es una dirección de correo electrónico válida, se combina en el campo to. Se aplica la misma lógica para rcpts. |
recipient |
target.user.email_addresses |
El valor de recipient del registro sin procesar se asigna directamente. |
relay |
intermediary.hostnameintermediary.ip |
El campo relay se analiza para extraer el nombre de host y la dirección IP, que luego se asignan a intermediary.hostname y intermediary.ip, respectivamente. |
replyToAddress |
network.email.reply_to |
El valor de replyToAddress del registro sin procesar se asigna directamente. |
result |
security_result.action |
Si result es "pass", el campo de UDM se establece en "ALLOW". Si result es "fail", el campo del UDM se establece en "BLOCK". |
routes |
additional.fields[].key: "routes"additional_fields[].value.string_value: Valor de rutas |
El valor de routes del registro sin procesar se coloca en additional_fields. |
s |
network.session_id |
El valor de s del registro sin procesar se asigna directamente. |
sandboxStatus |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
selector |
additional.fields[].key: "selector"additional_fields[].value.string_value: Valor del selector |
El valor de selector del registro sin procesar se coloca en additional_fields. |
sender |
principal.user.email_addresses |
El valor de sender del registro sin procesar se asigna directamente. |
senderIP |
principal.asset.ipprincipal.ip o about.ip |
Si se encuentra dentro de un evento de clic, se asigna a about.ip. De lo contrario, se asigna a principal.asset.ip y principal.ip. |
sha256 |
security_result.about.file.sha256 o about.file.sha256 |
Si se encuentra dentro de un threatInfoMap, se asigna a security_result.about.file.sha256. De lo contrario, se asigna a about.file.sha256. |
size |
principal.process.file.size o additional.fields[].key: "messageSize"additional_fields[].value.number_value: Valor de messageSize |
Si se encuentra dentro de un evento de mensaje, se asigna a additional.fields[].messageSize y se convierte en un número entero sin signo. De lo contrario, se asigna a principal.process.file.size y se convierte en un número entero sin signo. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key: "status"additional_fields[].value.string_value: Valor de la estadística |
El valor de stat del registro sin procesar se coloca en additional_fields. |
status |
additional.fields[].key: "status"additional_fields[].value.string_value: Valor del estado |
El valor de status (después de quitar las comillas) del registro sin procesar se coloca en additional_fields. |
sts |
network.http.response_code |
El valor de sts del registro sin procesar se asigna y convierte directamente en un número entero. |
subject |
network.email.subject |
El valor de subject del registro sin procesar se asigna directamente después de quitar las comillas. |
threatID |
security_result.threat_id |
El valor de threatID del registro sin procesar se asigna directamente. |
threatStatus |
security_result.threat_status |
El valor de threatStatus del registro sin procesar se asigna directamente. |
threatTime |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
threatType |
security_result.threat_name |
El valor de threatType del registro sin procesar se asigna directamente. |
threatUrl/threatURL |
security_result.url_back_to_product |
El valor de threatUrl o threatURL del registro sin procesar se asigna directamente. |
threatsInfoMap |
security_result (repetido) |
Cada objeto del array threatsInfoMap se asigna a un objeto security_result independiente. |
tls |
network.tls.cipher |
Si cipher no está presente o es "NONE", se usará el valor de tls si no es "NONE". |
tls_verify/verify |
security_result.action |
Si verify está presente, su valor se usa para determinar la acción. De lo contrario, se usa tls_verify. "FAIL" se asigna a "BLOCK", y "OK" se asigna a "ALLOW". |
tls_version/version |
network.tls.version |
Si tls_version está presente y no es "NONE", se usa su valor. De lo contrario, si version coincide con "TLS", se usa su valor. |
to |
network.email.to |
Se asigna el valor de to (después de quitar los caracteres < y >). Si no es una dirección de correo electrónico válida, se agrega a additional_fields. |
toAddresses |
network.email.to |
El valor de toAddresses del registro sin procesar se asigna directamente. |
timestamp.seconds |
metadata.event_timestamp.seconds |
El valor de timestamp.seconds del registro sin procesar se asigna directamente. |
type |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
url |
target.url o principal.url |
Si se encuentra dentro de un evento de clic, se asigna a target.url. De lo contrario, se asigna a principal.url. |
userAgent |
network.http.user_agent |
El valor de userAgent del registro sin procesar se asigna directamente. |
uri |
principal.url |
Si path no está presente, se usa el valor de uri. |
value |
network.email.from |
Si from y hfrom no son direcciones de correo electrónico válidas, y value es una dirección de correo electrónico válida (después de quitar los caracteres < y >), se asigna. |
vendor |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
verify |
security_result.action |
Si verify está presente, se usa para determinar la acción. "NOT" se asigna a "BLOCK", y otros valores se asignan a "ALLOW". |
version |
network.tls.version |
Si tls_version no está presente o es "NONE", y version contiene "TLS", se asigna. |
virusthreat |
security_result.threat_name |
El valor de virusthreat del registro sin procesar se asigna directamente si no es "unknown". |
virusthreatid |
security_result.threat_id |
El valor de virusthreatid (después de quitar las comillas) del registro sin procesar se asigna directamente si no es "unknown". |
xmailer |
Sin asignar | Si bien está presente en los registros sin procesar, este campo no se asigna al objeto IDM en el UDM proporcionado. |
Referencia del delta de asignación del UDM
El 9 de septiembre de 2025, Google SecOps lanzó una nueva versión del analizador de Symantec Endpoint Protection, que incluye cambios significativos en la asignación de campos de registro de Symantec Endpoint Protection a campos de UDM y actualizaciones en las clasificaciones (asignaciones) de tipos de eventos.
Delta de la asignación de campos de registro
En la siguiente tabla, se muestran los cambios en la forma en que los campos de registro de Symantec Endpoint Protection se asignan a los campos del UDM. En la columna Asignación anterior, se enumeran los campos expuestos antes del 9 de septiembre de 2025, y en la columna Asignación actual, se enumeran los campos nuevos.
| Campo de registro | Asignación anterior | Asignación actual |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
Si quarantineFolderes igual a low priority o high priority,se asigna a security_result.priority. De lo contrario, asigna security_result.detection_fields. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
Si quarantineFolderes igual a low priority o high priority,se asigna a security_result.priority. De lo contrario, asigna security_result.detection_fields. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal toprioridad bajaorprioridad altathen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
Delta de la asignación de tipos de eventos
Varios eventos que antes se clasificaban como eventos genéricos ahora se clasifican correctamente con tipos de eventos más significativos.
En la siguiente tabla, se muestra el delta para el manejo de los tipos de eventos de Symantec Endpoint Protection antes del 9 de septiembre de 2025 y después de esa fecha (se indican en las columnas Old event_type y Current event_type, respectivamente).
| Formato | eventType del registro | event_type anterior | event_type actual |
|---|---|---|---|
SYSLOG+KV |
Si el registro tiene los campos fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts o mailer,proto,mod |
EMAIL_TRANSACTION |
|
Si el registro solo contiene detalles de mail_id |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
Registros CEF |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
Si el registro tiene emails, sender, headerReplyTo o orig_recipient |
USER_UNCATEGORIED |
||
si el registro tiene src, host |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.