Collecter les journaux d'alertes Proofpoint TAP
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux d'alertes Proofpoint Targeted Attack Protection (TAP) en configurant un flux Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion PROOFPOINT_MAIL.
Configurer les alertes Proofpoint TAP
- Connectez-vous au portail d'informations sur les menaces Proofpoint à l'aide de vos identifiants.
- Dans l'onglet Paramètres, sélectionnez Applications associées. La section Identifiants de service s'affiche.
- Dans la section Nom, cliquez sur Créer un identifiant.
- Saisissez le nom de votre organisation, par exemple
altostrat.com. - Cliquez sur Générer. Dans la boîte de dialogue Identifiants de service générés, les valeurs Principal de service et Secret s'affichent.
- Copiez les valeurs Principal du service et Secret. Les valeurs ne sont affichées qu'au moment de la création et sont requises lorsque vous configurez le flux Google Security Operations.
- Cliquez sur OK.
Configurer des flux
Pour configurer un flux, procédez comme suit :
- Accédez à Paramètres SIEM > Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux des alertes Proofpoint TAP).
- Sélectionnez API tierce comme type de source.
- Sélectionnez Alertes Proofpoint TAP comme Type de journal.
- Cliquez sur Suivant.
- Configurez les paramètres d'entrée obligatoires suivants :
- Nom d'utilisateur : spécifiez le compte principal de service que vous avez obtenu précédemment.
- Secret : spécifiez le secret que vous avez obtenu précédemment.
- Cliquez sur Suivant, puis sur Envoyer.
Référence du mappage de champs
Cet analyseur gère les journaux Proofpoint Mail au format JSON ou clé-valeur, en extrayant les détails des e-mails et de l'activité réseau. Il mappe les champs de journaux à l'UDM, en catégorisant les événements tels que les transactions par e-mail et les requêtes HTTP réseau, et en les enrichissant avec des détails de sécurité tels que les actions, les catégories et les informations sur les menaces.
Table de mappage UDM
| Champ de journal | Mappage UDM | Remarque |
|---|---|---|
action |
security_result.action_details |
La valeur de action du journal brut est directement mappée. |
adultscore |
additional.fields[].key : "adultscore"additional.fields[].value.string_value : valeur d'adultscore |
La valeur de adultscore du journal brut est placée dans additional_fields. |
attachments |
additional.fields[].key : "attachments"additional_fields[].value.string_value : valeur des pièces jointes |
La valeur de attachments du journal brut est placée dans additional_fields. |
campaignID |
security_result.rule_id |
La valeur de campaignID du journal brut est directement mappée. |
ccAddresses |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
cid |
additional.fields[].key : cidadditional_fields[].value.string_value : valeur de cid |
La valeur de cid du journal brut est placée dans additional_fields. |
cipher/tls |
network.tls.cipher |
Si cipher est présent et n'est pas défini sur "NONE", sa valeur est utilisée. Sinon, si tls est présent et n'est pas défini sur "NONE", sa valeur est utilisée. |
classification |
security_result.category_details |
La valeur de classification du journal brut est directement mappée. |
clickIP |
principal.asset.ipprincipal.ip |
La valeur de clickIP du journal brut est directement mappée. |
clicks.impostorScore |
security_result.detection_fields |
Mappé sur une paire clé-valeur dans security_result.detection_fields |
clicks.malwareScore |
security_result.detection_fields |
Mappé sur une paire clé-valeur dans security_result.detection_fields |
clicks.phishScore |
security_result.detection_fields |
Mappé sur une paire clé-valeur dans security_result.detection_fields |
clicks.quarantineFolder |
security_result.priority ou security_result.detection_fields |
Si click.quarantineFolder est égal à "low priority" (priorité basse) ou "high priority" (priorité haute), mappez-le sur le champ UDM security_result.priority, sinon mappez-le sur security_result.detection_fields. |
clicks.quarantineRule |
security_result.rule_name |
Mappé sur une paire clé-valeur dans security_result.rule_name |
clicks.sender |
Non mappé | |
clicks.senderIP |
principal.ip |
Mappé sur une paire clé-valeur dans principal.ip |
clicks.spamScore |
security_result.detection_fields |
Mappé sur une paire clé-valeur dans security_result.detection_fields |
clicksBlocked[].campaignId |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
La valeur de clickIP dans le tableau clicksBlocked est mappée. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
L'analyseur convertit la chaîne clickTime en un code temporel et la mappe. |
clicksBlocked[].classification |
security_result.category_details |
La valeur de classification dans le tableau clicksBlocked est mappée. |
clicksBlocked[].GUID |
metadata.product_log_id |
La valeur de GUID dans le tableau clicksBlocked est mappée. |
clicksBlocked[].id |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
clicksBlocked[].messageID |
network.email.mail_id |
La valeur de messageID dans le tableau clicksBlocked est mappée. |
clicksBlocked[].recipient |
target.user.email_addresses |
La valeur de recipient dans le tableau clicksBlocked est mappée. |
clicksBlocked[].sender |
principal.user.email_addresses |
La valeur de sender dans le tableau clicksBlocked est mappée. |
clicksBlocked[].senderIP |
about.ip |
La valeur de senderIP dans le tableau clicksBlocked est mappée. L'entrée générale senderIP correspond à principal.asset.ip ou principal.ip. |
clicksBlocked[].threatID |
security_result.threat_id |
La valeur de threatID dans le tableau clicksBlocked est mappée. |
clicksBlocked[].threatTime |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
La valeur de threatURL dans le tableau clicksBlocked est mappée. |
clicksBlocked[].threatStatus |
security_result.threat_status |
La valeur de threatStatus dans le tableau clicksBlocked est mappée. |
clicksBlocked[].url |
target.url |
La valeur de url dans le tableau clicksBlocked est mappée. |
clicksBlocked[].userAgent |
network.http.user_agent |
La valeur de userAgent dans le tableau clicksBlocked est mappée. |
clicksPermitted[].campaignId |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
La valeur de clickIP dans le tableau clicksPermitted est mappée. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
L'analyseur convertit la chaîne clickTime en un code temporel et la mappe. |
clicksPermitted[].classification |
security_result.category_details |
La valeur de classification dans le tableau clicksPermitted est mappée. |
clicksPermitted[].guid |
metadata.product_log_id |
La valeur de guid dans le tableau clicksPermitted est mappée. |
clicksPermitted[].id |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
clicksPermitted[].messageID |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
clicksPermitted[].recipient |
target.user.email_addresses |
La valeur de recipient dans le tableau clicksPermitted est mappée. |
clicksPermitted[].sender |
principal.user.email_addresses |
La valeur de sender dans le tableau clicksPermitted est mappée. |
clicksPermitted[].senderIP |
about.ip |
La valeur de senderIP dans le tableau clicksPermitted est mappée. |
clicksPermitted[].threatID |
security_result.threat_id |
La valeur de threatID dans le tableau clicksPermitted est mappée. |
clicksPermitted[].threatTime |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
La valeur de threatURL dans le tableau clicksPermitted est mappée. |
clicksPermitted[].url |
target.url |
La valeur de url dans le tableau clicksPermitted est mappée. |
clicksPermitted[].userAgent |
network.http.user_agent |
La valeur de userAgent dans le tableau clicksPermitted est mappée. |
clickTime |
metadata.event_timestamp.seconds |
L'analyseur convertit la chaîne clickTime en un code temporel et la mappe. |
cmd |
principal.process.command_line ou network.http.method |
Si sts (code d'état HTTP) est présent, cmd est mappé sur network.http.method. Sinon, il est mappé sur principal.process.command_line. |
collection_time.seconds |
metadata.event_timestamp.seconds |
La valeur de collection_time.seconds du journal brut est directement mappée. |
completelyRewritten |
security_result.detection_fields[].key : "completelyRewritten"security_result.detection_fields[].value : valeur de completelyRewritten |
La valeur de completelyRewritten du journal brut est placée dans security_result.detection_fields. |
contentType |
about.file.mime_type |
La valeur de contentType du journal brut est directement mappée. |
country |
principal.location.country_or_region |
La valeur de country du journal brut est directement mappée. |
create_time.seconds |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
data |
(Plusieurs champs) | La charge utile JSON du champ data est analysée et mappée à différents champs UDM. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
L'analyseur rebase la date sur un code temporel à l'aide des champs date_log_rebase ou date et timeStamp. |
dict |
security_result.category_details |
La valeur de dict du journal brut est directement mappée. |
disposition |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
dnsid |
network.dns.id |
La valeur de dnsid du journal brut est directement mappée et convertie en entier non signé. |
domain/hfrom_domain |
principal.administrative_domain |
Si domain est présent, sa valeur est utilisée. Sinon, si hfrom_domain est présent, sa valeur est utilisée. |
duration |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: valeur de l'eid |
La valeur de eid du journal brut est placée dans additional_fields. |
engine |
metadata.product_version |
La valeur de engine du journal brut est directement mappée. |
err / msg / result_detail / tls-alert |
security_result.description |
La première valeur disponible parmi msg, err, result_detail ou tls-alert (après suppression des guillemets) est mappée. |
file/name |
principal.process.file.full_path |
Si file est présent, sa valeur est utilisée. Sinon, si name est présent, sa valeur est utilisée. |
filename |
about.file.full_path |
La valeur de filename du journal brut est directement mappée. |
folder |
additional.fields[].key : "folder"additional_fields[].value.string_value : valeur du dossier |
La valeur de folder du journal brut est placée dans additional_fields. |
from / hfrom / value |
network.email.from |
Une logique complexe s'applique (voir le code de l'analyseur). Gère les caractères < et >, et vérifie le format valide des adresses e-mail. |
fromAddress |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
GUID |
metadata.product_log_id |
La valeur de GUID du journal brut est directement mappée. |
headerCC |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
La valeur de headerFrom du journal brut est placée dans additional_fields. |
headerReplyTo |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
headerTo |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
helo |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
hops-ip/lip |
intermediary.ip |
Si hops-ip est présent, sa valeur est utilisée. Sinon, si lip est présent, sa valeur est utilisée. |
host |
principal.hostname |
La valeur de host du journal brut est directement mappée. |
id |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
La valeur de ip du journal brut est directement mappée. |
log_level |
security_result.severity_details |
La valeur de log_level est mappée et utilisée pour dériver security_result.severity. |
m |
network.email.mail_id |
La valeur de m (après suppression des caractères < et >) est mappée. |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
La valeur de md5 du journal brut est directement mappée. |
messageID |
network.email.mail_id |
La valeur de messageID (après suppression des caractères < et >) est mappée. |
messagesBlocked (tableau) |
(Plusieurs champs) | Le tableau d'objets messagesBlocked est itéré et les champs de chaque objet sont mappés aux champs UDM. |
messagesBlocked[].ccAddresses |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].cluster |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key : "completelyRewritten"security_result.detection_fields[].value : valeur de completelyRewritten |
La valeur de completelyRewritten du journal brut est placée dans security_result.detection_fields. |
messagesBlocked[].fromAddress |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].GUID |
metadata.product_log_id |
La valeur de GUID du journal brut est directement mappée. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
La valeur de headerFrom du journal brut est placée dans additional_fields. |
messagesBlocked[].headerReplyTo |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].id |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].impostorScore |
additional.fields[].key : "impostorScore"additional_fields[].value.number_value : valeur de impostorScore |
La valeur de impostorScore du journal brut est placée dans additional_fields. |
messagesBlocked[].malwareScore |
additional.fields[].key : "malwareScore"additional_fields[].value.number_value : valeur de malwareScore |
La valeur de malwareScore du journal brut est placée dans additional_fields. |
messagesBlocked[].messageID |
network.email.mail_id |
La valeur de messageID (après suppression des caractères < et >) est mappée. |
messagesBlocked[].messageParts |
about.file (répétée) |
Chaque objet du tableau messageParts est mappé à un objet about.file distinct. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
La valeur de contentType du journal brut est directement mappée. |
messagesBlocked[].messageParts[].disposition |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
La valeur de filename du journal brut est directement mappée. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
La valeur de md5 du journal brut est directement mappée. |
messagesBlocked[].messageParts[].sandboxStatus |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
La valeur de sha256 du journal brut est directement mappée. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: valeur de messageSize |
La valeur de messageSize du journal brut est placée dans additional_fields. |
messagesBlocked[].messageTime |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].modulesRun |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].phishScore |
additional.fields[].key : "phishScore"additional_fields[].value.number_value : valeur de phishScore |
La valeur de phishScore du journal brut est placée dans additional_fields. |
messagesBlocked[].policyRoutes |
additional.fields[].key : "PolicyRoutes"additional_fields[].value.list_value.values[].string_value : valeur de policyRoutes |
Les valeurs de policyRoutes du journal brut sont placées sous forme de liste dans additional_fields. |
messagesBlocked[].QID |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: valeur de quarantineFolder |
La valeur de quarantineFolder du journal brut est placée dans additional_fields. |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: valeur de quarantineRule |
La valeur de quarantineRule du journal brut est placée dans additional_fields. |
messagesBlocked[].recipient |
target.user.email_addresses |
La valeur de recipient du journal brut est directement mappée. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
La valeur de replyToAddress du journal brut est directement mappée. |
messagesBlocked[].sender |
principal.user.email_addresses |
La valeur de sender du journal brut est directement mappée. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
La valeur de senderIP du journal brut est directement mappée. |
messagesBlocked[].spamScore |
additional.fields[].key : "spamScore"additional_fields[].value.number_value : valeur de spamScore |
La valeur de spamScore du journal brut est placée dans additional_fields. |
messagesBlocked[].subject |
network.email.subject |
La valeur de subject du journal brut est directement mappée. |
messagesBlocked[].threatsInfoMap |
security_result (répétée) |
Chaque objet du tableau threatsInfoMap est mappé à un objet security_result distinct. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
La valeur de classification du journal brut est directement mappée. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
La valeur de threat du journal brut est directement mappée. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
La valeur de threatID du journal brut est directement mappée. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
La valeur de threatStatus du journal brut est directement mappée. |
messagesBlocked[].threatsInfoMap[].threatTime |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
La valeur de threatType du journal brut est directement mappée. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
La valeur de threatUrl du journal brut est directement mappée. |
messagesBlocked[].toAddresses |
network.email.to |
La valeur de toAddresses du journal brut est directement mappée. |
messagesBlocked[].xmailer |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
messagesDelivered (tableau) |
(Plusieurs champs) | Le tableau d'objets messagesDelivered est itéré et les champs de chaque objet sont mappés aux champs UDM. Logique semblable à celle de messagesBlocked. |
message |
(Plusieurs champs) | Si le champ message est un code JSON valide, il est analysé et mappé à différents champs UDM. |
metadata.event_type |
metadata.event_type |
Définissez la valeur sur "EMAIL_TRANSACTION" si message n'est pas au format JSON. Sinon, elle est dérivée des données JSON. Défini sur "GENERIC_EVENT" si le message syslog ne peut pas être analysé. |
metadata.log_type |
metadata.log_type |
Codé en dur sur "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Définissez la valeur sur "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" en fonction des données JSON. |
metadata.product_name |
metadata.product_name |
Codé en dur sur "TAP". |
metadata.vendor_name |
metadata.vendor_name |
Codé en dur sur "PROOFPOINT". |
mime |
principal.process.file.mime_type |
La valeur de mime du journal brut est directement mappée. |
mod |
additional.fields[].key : "module"additional_fields[].value.string_value : valeur de mod |
La valeur de mod du journal brut est placée dans additional_fields. |
msg.imposterScore |
security_result.detection_fields |
Mappé sur une paire clé-valeur dans security_result.detection_fields |
msg.malwareScore |
security_result.detection_fields |
Mappé sur une paire clé-valeur dans security_result.detection_fields |
msg.phishScore |
security_result.detection_fields |
Mappé sur une paire clé-valeur dans security_result.detection_fields |
msg.quarantineFolder |
security_result.priority ou security_result.detection_fields |
Si msg.quarantineFolder est égal à "low priority" (priorité basse) ou "high priority" (priorité haute), mappez-le sur le champ UDM security_result.priority, sinon mappez-le sur security_result.detection_fields. |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
Non mappé | |
oContentType |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path/uri |
principal.url |
Si path est présent, sa valeur est utilisée. Sinon, si uri est présent, sa valeur est utilisée. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
La valeur de pid du journal brut est directement mappée. |
policy |
network.direction |
Si policy est défini sur "inbound", le champ UDM est défini sur "INBOUND". Si policy est défini sur "outbound", le champ UDM est défini sur "OUTBOUND". |
policyRoutes |
additional.fields[].key : "PolicyRoutes"additional_fields[].value.list_value.values[].string_value : valeur de policyRoutes |
Les valeurs de policyRoutes du journal brut sont placées sous forme de liste dans additional_fields. |
profile |
additional.fields[].key : "profile"additional_fields[].value.string_value : valeur du profil |
La valeur de profile du journal brut est placée dans additional_fields. |
prot |
proto |
La valeur de prot est extraite dans protocol, convertie en majuscules, puis mappée sur proto. |
proto |
network.application_protocol |
La valeur de proto (ou la valeur dérivée de prot) est mappée. Si la valeur est "ESMTP", elle est remplacée par "SMTP" avant le mappage. |
querydepth |
additional.fields[].key : "querydepth"additional_fields[].value.string_value : valeur de querydepth |
La valeur de querydepth du journal brut est placée dans additional_fields. |
queryEndTime |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: valeur de qid |
La valeur de qid du journal brut est placée dans additional_fields. |
quarantineFolder |
security_result.priority ou security_result.detection_fields |
Si quarantineFolder est égal à "low priority" (priorité basse) ou "high priority" (priorité haute), mappez-le sur le champ UDM security_result.priority, sinon mappez-le sur security_result.detection_fields. |
rcpt/rcpts |
network.email.to |
Si rcpt est présent et qu'il s'agit d'une adresse e-mail valide, il est fusionné dans le champ to. Même logique pour rcpts. |
recipient |
target.user.email_addresses |
La valeur de recipient du journal brut est directement mappée. |
relay |
intermediary.hostnameintermediary.ip |
Le champ relay est analysé pour extraire le nom d'hôte et l'adresse IP, qui sont ensuite mappés respectivement à intermediary.hostname et intermediary.ip. |
replyToAddress |
network.email.reply_to |
La valeur de replyToAddress du journal brut est directement mappée. |
result |
security_result.action |
Si result est défini sur "pass", le champ UDM est défini sur "ALLOW". Si result est défini sur "fail", le champ UDM est défini sur "BLOCK". |
routes |
additional.fields[].key : "routes"additional_fields[].value.string_value : valeur des itinéraires |
La valeur de routes du journal brut est placée dans additional_fields. |
s |
network.session_id |
La valeur de s du journal brut est directement mappée. |
sandboxStatus |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
selector |
additional.fields[].key : "selector"additional_fields[].value.string_value : valeur du sélecteur |
La valeur de selector du journal brut est placée dans additional_fields. |
sender |
principal.user.email_addresses |
La valeur de sender du journal brut est directement mappée. |
senderIP |
principal.asset.ipprincipal.ip ou about.ip |
S'il se trouve dans un événement de clic, il est mappé sur about.ip. Sinon, il est mappé sur principal.asset.ip et principal.ip. |
sha256 |
security_result.about.file.sha256 ou about.file.sha256 |
Si elle se trouve dans une threatInfoMap, elle est mappée sur security_result.about.file.sha256. Sinon, il est mappé sur about.file.sha256. |
size |
principal.process.file.size ou additional.fields[].key : "messageSize"additional_fields[].value.number_value : valeur de messageSize |
S'il se trouve dans un événement de message, il est mappé sur additional.fields[].messageSize et converti en entier non signé. Sinon, il est mappé sur principal.process.file.size et converti en entier non signé. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key : "status"additional_fields[].value.string_value : valeur de la statistique |
La valeur de stat du journal brut est placée dans additional_fields. |
status |
additional.fields[].key : "status"additional_fields[].value.string_value : valeur de l'état |
La valeur de status (après suppression des guillemets) du journal brut est placée dans additional_fields. |
sts |
network.http.response_code |
La valeur de sts du journal brut est directement mappée et convertie en entier. |
subject |
network.email.subject |
La valeur de subject du journal brut est directement mappée après suppression des guillemets. |
threatID |
security_result.threat_id |
La valeur de threatID du journal brut est directement mappée. |
threatStatus |
security_result.threat_status |
La valeur de threatStatus du journal brut est directement mappée. |
threatTime |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
threatType |
security_result.threat_name |
La valeur de threatType du journal brut est directement mappée. |
threatUrl/threatURL |
security_result.url_back_to_product |
La valeur de threatUrl ou threatURL du journal brut est directement mappée. |
threatsInfoMap |
security_result (répétée) |
Chaque objet du tableau threatsInfoMap est mappé à un objet security_result distinct. |
tls |
network.tls.cipher |
Si cipher est absent ou défini sur "NONE", la valeur de tls est utilisée si elle n'est pas définie sur "NONE". |
tls_verify/verify |
security_result.action |
Si verify est présent, sa valeur est utilisée pour déterminer l'action. Sinon, tls_verify est utilisé. "FAIL" correspond à "BLOCK" (BLOQUER), et "OK" correspond à "ALLOW" (AUTORISER). |
tls_version/version |
network.tls.version |
Si tls_version est présent et n'est pas défini sur "NONE", sa valeur est utilisée. Sinon, si version correspond à "TLS", sa valeur est utilisée. |
to |
network.email.to |
La valeur de to (après suppression des caractères < et >) est mappée. Si l'adresse e-mail n'est pas valide, elle est ajoutée à additional_fields. |
toAddresses |
network.email.to |
La valeur de toAddresses du journal brut est directement mappée. |
timestamp.seconds |
metadata.event_timestamp.seconds |
La valeur de timestamp.seconds du journal brut est directement mappée. |
type |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
url |
target.url ou principal.url |
S'il se trouve dans un événement de clic, il est mappé sur target.url. Sinon, il est mappé sur principal.url. |
userAgent |
network.http.user_agent |
La valeur de userAgent du journal brut est directement mappée. |
uri |
principal.url |
Si path n'est pas présent, la valeur de uri est utilisée. |
value |
network.email.from |
Si from et hfrom ne sont pas des adresses e-mail valides, et que value est une adresse e-mail valide (après suppression des caractères < et >), elle est mappée. |
vendor |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
verify |
security_result.action |
Si verify est présent, il est utilisé pour déterminer l'action. "NOT" correspond à "BLOCK", et les autres valeurs correspondent à "ALLOW". |
version |
network.tls.version |
Si tls_version est absent ou défini sur "NONE", et que version contient "TLS", il est mappé. |
virusthreat |
security_result.threat_name |
La valeur de virusthreat du journal brut est directement mappée si elle n'est pas "unknown" (inconnue). |
virusthreatid |
security_result.threat_id |
La valeur de virusthreatid (après suppression des guillemets) du journal brut est directement mappée si elle n'est pas "unknown" (inconnue). |
xmailer |
Non mappé | Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni. |
Référence du delta de mappage UDM
Le 9 septembre 2025, Google SecOps a publié une nouvelle version du parseur Symantec Endpoint Protection, qui inclut des modifications importantes concernant le mappage des champs de journaux Symantec Endpoint Protection vers les champs UDM, ainsi que des mises à jour des classifications (mappages) des types d'événements.
Delta de mappage entre les champs de journaux
Le tableau suivant montre comment les champs de journaux Symantec Endpoint Protection sont mappés aux champs UDM. La colonne Ancien mappage liste les champs exposés avant le 9 septembre 2025, et la colonne Mappage actuel liste les nouveaux champs.
| Champ du journal | Ancienne mise en correspondance | Mappage actuel |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
Si quarantineFolder est égal à low priority ou high priority,mappez-le sur security_result.priority. Sinon, mappez sur security_result.detection_fields. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
Si quarantineFolder est égal à low priority ou high priority,mappez-le sur security_result.priority. Sinon, mappez sur security_result.detection_fields. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal tolow priorityorhigh prioritythen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
Delta de mappage des types d'événements
Plusieurs événements qui étaient auparavant classés comme événements génériques sont désormais correctement classés avec des types d'événements plus pertinents.
Le tableau suivant liste le delta pour la gestion des types d'événements Symantec Endpoint Protection avant le 9 septembre 2025 et après (listés respectivement dans les colonnes Ancien event_type et event_type actuel).
| Format | eventType from log | Ancien event_type | Current event_type |
|---|---|---|---|
SYSLOG+KV |
Si le journal comporte les champs fromAddress, toAddresses, hfrom, from, value, to, rcpt, rcpts ou mailer, les champs proto et mod sont présents. |
EMAIL_TRANSACTION |
|
Si le journal ne contient que des détails mail_id |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
Journaux CEF |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
si le journal comporte emails, sender, headerReplyTo, orig_recipient |
USER_UNCATEGORIED |
||
si le journal comporte src, host |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.