Collecter les journaux d'alertes Proofpoint TAP

Compatible avec :

Ce document explique comment collecter les journaux d'alertes Proofpoint Targeted Attack Protection (TAP) en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion PROOFPOINT_MAIL.

Configurer les alertes Proofpoint TAP

  1. Connectez-vous au portail d'informations sur les menaces Proofpoint à l'aide de vos identifiants.
  2. Dans l'onglet Paramètres, sélectionnez Applications associées. La section Identifiants de service s'affiche.
  3. Dans la section Nom, cliquez sur Créer un identifiant.
  4. Saisissez le nom de votre organisation, par exemple altostrat.com.
  5. Cliquez sur Générer. Dans la boîte de dialogue Identifiant de service généré, les valeurs Principal de service et Secret s'affichent.
  6. Copiez les valeurs Principal du service et Secret. Les valeurs ne sont affichées qu'au moment de la création et sont requises lorsque vous configurez le flux Google Security Operations.
  7. Cliquez sur OK.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux des alertes Proofpoint TAP).
  5. Sélectionnez API tierce comme type de source.
  6. Sélectionnez Alertes Proofpoint TAP comme Type de journal.
  7. Cliquez sur Suivant.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Nom d'utilisateur : spécifiez le compte principal de service que vous avez obtenu précédemment.
    • Secret : spécifiez le secret que vous avez obtenu précédemment.
  9. Cliquez sur Suivant, puis sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • Nom d'utilisateur : spécifiez le compte principal de service que vous avez obtenu précédemment.
  • Secret : spécifiez le secret que vous avez obtenu précédemment.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur gère les journaux Proofpoint Mail au format JSON ou clé-valeur, en extrayant les détails des e-mails et de l'activité réseau. Il mappe les champs de journaux à l'UDM, en catégorisant les événements tels que les transactions par e-mail et les requêtes HTTP réseau, et en les enrichissant avec des détails de sécurité tels que les actions, les catégories et les informations sur les menaces.

Table de mappage UDM

Champ de journal Mappage UDM Logique
action security_result.action_details La valeur de action du journal brut est directement mappée.
adultscore additional.fields[].key : "adultscore"
additional.fields[].value.string_value : valeur d'adultscore		 La valeur de adultscore du journal brut est placée dans additional_fields.
attachments additional.fields[].key : "attachments"
additional_fields[].value.string_value : valeur des pièces jointes		 La valeur de attachments du journal brut est placée dans additional_fields.
campaignID security_result.rule_id La valeur de campaignID du journal brut est directement mappée.
ccAddresses Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: valeur de cid		 La valeur de cid du journal brut est placée dans additional_fields.
cipher/tls network.tls.cipher Si cipher est présent et n'est pas défini sur "NONE", sa valeur est utilisée. Sinon, si tls est présent et n'est pas défini sur "NONE", sa valeur est utilisée.
classification security_result.category_details La valeur de classification du journal brut est directement mappée.
clickIP principal.asset.ip
principal.ip		 La valeur de clickIP du journal brut est directement mappée.
clickTime metadata.event_timestamp.seconds L'analyseur convertit la chaîne clickTime en un code temporel et la mappe.
clicksBlocked[].campaignId Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 La valeur de clickIP dans le tableau clicksBlocked est mappée.
clicksBlocked[].clickTime metadata.event_timestamp.seconds L'analyseur convertit la chaîne clickTime en un code temporel et la mappe.
clicksBlocked[].classification security_result.category_details La valeur de classification dans le tableau clicksBlocked est mappée.
clicksBlocked[].GUID metadata.product_log_id La valeur de GUID dans le tableau clicksBlocked est mappée.
clicksBlocked[].id Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
clicksBlocked[].messageID network.email.mail_id La valeur de messageID dans le tableau clicksBlocked est mappée.
clicksBlocked[].recipient target.user.email_addresses La valeur de recipient dans le tableau clicksBlocked est mappée.
clicksBlocked[].sender principal.user.email_addresses La valeur de sender dans le tableau clicksBlocked est mappée.
clicksBlocked[].senderIP about.ip La valeur de senderIP dans le tableau clicksBlocked est mappée.
clicksBlocked[].threatID security_result.threat_id La valeur de threatID dans le tableau clicksBlocked est mappée.
clicksBlocked[].threatTime Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
clicksBlocked[].threatURL security_result.url_back_to_product La valeur de threatURL dans le tableau clicksBlocked est mappée.
clicksBlocked[].threatStatus security_result.threat_status La valeur de threatStatus dans le tableau clicksBlocked est mappée.
clicksBlocked[].url target.url La valeur de url dans le tableau clicksBlocked est mappée.
clicksBlocked[].userAgent network.http.user_agent La valeur de userAgent dans le tableau clicksBlocked est mappée.
clicksPermitted[].campaignId Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 La valeur de clickIP dans le tableau clicksPermitted est mappée.
clicksPermitted[].clickTime metadata.event_timestamp.seconds L'analyseur convertit la chaîne clickTime en un code temporel et la mappe.
clicksPermitted[].classification security_result.category_details La valeur de classification dans le tableau clicksPermitted est mappée.
clicksPermitted[].guid metadata.product_log_id La valeur de guid dans le tableau clicksPermitted est mappée.
clicksPermitted[].id Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
clicksPermitted[].messageID Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
clicksPermitted[].recipient target.user.email_addresses La valeur de recipient dans le tableau clicksPermitted est mappée.
clicksPermitted[].sender principal.user.email_addresses La valeur de sender dans le tableau clicksPermitted est mappée.
clicksPermitted[].senderIP about.ip La valeur de senderIP dans le tableau clicksPermitted est mappée.
clicksPermitted[].threatID security_result.threat_id La valeur de threatID dans le tableau clicksPermitted est mappée.
clicksPermitted[].threatTime Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
clicksPermitted[].threatURL security_result.url_back_to_product La valeur de threatURL dans le tableau clicksPermitted est mappée.
clicksPermitted[].url target.url La valeur de url dans le tableau clicksPermitted est mappée.
clicksPermitted[].userAgent network.http.user_agent La valeur de userAgent dans le tableau clicksPermitted est mappée.
cmd principal.process.command_line ou network.http.method Si sts (code d'état HTTP) est présent, cmd est mappé sur network.http.method. Sinon, il est mappé sur principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds La valeur de collection_time.seconds du journal brut est directement mappée.
completelyRewritten security_result.detection_fields[].key : "completelyRewritten"
security_result.detection_fields[].value : valeur de completelyRewritten		 La valeur de completelyRewritten du journal brut est placée dans security_result.detection_fields.
contentType about.file.mime_type La valeur de contentType du journal brut est directement mappée.
country principal.location.country_or_region La valeur de country du journal brut est directement mappée.
create_time.seconds Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
data (Plusieurs champs) La charge utile JSON du champ data est analysée et mappée à différents champs UDM.
date/date_log_rebase metadata.event_timestamp.seconds L'analyseur rebase la date sur un code temporel à l'aide des champs date_log_rebase ou date et timeStamp.
dict security_result.category_details La valeur de dict du journal brut est directement mappée.
disposition Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
dnsid network.dns.id La valeur de dnsid du journal brut est directement mappée et convertie en entier non signé.
domain/hfrom_domain principal.administrative_domain Si domain est présent, sa valeur est utilisée. Sinon, si hfrom_domain est présent, sa valeur est utilisée.
duration Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: valeur de l'eid		 La valeur de eid du journal brut est placée dans additional_fields.
engine metadata.product_version La valeur de engine du journal brut est directement mappée.
err / msg / result_detail / tls-alert security_result.description La première valeur disponible parmi msg, err, result_detail ou tls-alert (après suppression des guillemets) est mappée.
file/name principal.process.file.full_path Si file est présent, sa valeur est utilisée. Sinon, si name est présent, sa valeur est utilisée.
filename about.file.full_path La valeur de filename du journal brut est directement mappée.
folder additional.fields[].key : "folder"
additional_fields[].value.string_value : valeur du dossier		 La valeur de folder du journal brut est placée dans additional_fields.
from / hfrom / value network.email.from Une logique complexe s'applique (voir le code de l'analyseur). Gère les caractères < et >, et vérifie le format d'adresse e-mail valide.
fromAddress Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
GUID metadata.product_log_id La valeur de GUID du journal brut est directement mappée.
headerCC Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valeur de headerFrom		 La valeur de headerFrom du journal brut est placée dans additional_fields.
headerReplyTo Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
headerTo Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
helo Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
hops-ip/lip intermediary.ip Si hops-ip est présent, sa valeur est utilisée. Sinon, si lip est présent, sa valeur est utilisée.
host principal.hostname La valeur de host du journal brut est directement mappée.
id Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
impostorScore additional.fields[].key : "impostorScore"
additional_fields[].value.number_value : valeur de impostorScore		 La valeur de impostorScore du journal brut est placée dans additional_fields.
ip principal.asset.ip
principal.ip		 La valeur de ip du journal brut est directement mappée.
log_level security_result.severity_details La valeur de log_level est mappée et utilisée pour dériver security_result.severity.
m network.email.mail_id La valeur de m (après suppression des caractères < et >) est mappée.
malwareScore additional.fields[].key : "malwareScore"
additional_fields[].value.number_value : valeur de malwareScore		 La valeur de malwareScore du journal brut est placée dans additional_fields.
md5 about.file.md5 La valeur de md5 du journal brut est directement mappée.
messageID network.email.mail_id La valeur de messageID (après suppression des caractères < et >) est mappée.
messagesBlocked (tableau) (Plusieurs champs) Le tableau d'objets messagesBlocked est itéré et les champs de chaque objet sont mappés aux champs UDM.
messagesBlocked[].ccAddresses Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].cluster Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key : "completelyRewritten"
security_result.detection_fields[].value : valeur de completelyRewritten		 La valeur de completelyRewritten du journal brut est placée dans security_result.detection_fields.
messagesBlocked[].fromAddress Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].GUID metadata.product_log_id La valeur de GUID du journal brut est directement mappée.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valeur de headerFrom		 La valeur de headerFrom du journal brut est placée dans additional_fields.
messagesBlocked[].headerReplyTo Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].id Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].impostorScore additional.fields[].key : "impostorScore"
additional_fields[].value.number_value : valeur de impostorScore		 La valeur de impostorScore du journal brut est placée dans additional_fields.
messagesBlocked[].malwareScore additional.fields[].key : "malwareScore"
additional_fields[].value.number_value : valeur de malwareScore		 La valeur de malwareScore du journal brut est placée dans additional_fields.
messagesBlocked[].messageID network.email.mail_id La valeur de messageID (après suppression des caractères < et >) est mappée.
messagesBlocked[].messageParts about.file (répétée) Chaque objet du tableau messageParts est mappé à un objet about.file distinct.
messagesBlocked[].messageParts[].contentType about.file.mime_type La valeur de contentType du journal brut est directement mappée.
messagesBlocked[].messageParts[].disposition Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].messageParts[].filename about.file.full_path La valeur de filename du journal brut est directement mappée.
messagesBlocked[].messageParts[].md5 about.file.md5 La valeur de md5 du journal brut est directement mappée.
messagesBlocked[].messageParts[].sandboxStatus Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].messageParts[].sha256 about.file.sha256 La valeur de sha256 du journal brut est directement mappée.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valeur de messageSize		 La valeur de messageSize du journal brut est placée dans additional_fields.
messagesBlocked[].messageTime Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].modulesRun Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].phishScore additional.fields[].key : "phishScore"
additional_fields[].value.number_value : valeur de phishScore		 La valeur de phishScore du journal brut est placée dans additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key : "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value : valeur de policyRoutes		 Les valeurs de policyRoutes du journal brut sont placées sous forme de liste dans additional_fields.
messagesBlocked[].QID Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: valeur de quarantineFolder		 La valeur de quarantineFolder du journal brut est placée dans additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: valeur de quarantineRule		 La valeur de quarantineRule du journal brut est placée dans additional_fields.
messagesBlocked[].recipient target.user.email_addresses La valeur de recipient du journal brut est directement mappée.
messagesBlocked[].replyToAddress network.email.reply_to La valeur de replyToAddress du journal brut est directement mappée.
messagesBlocked[].sender principal.user.email_addresses La valeur de sender du journal brut est directement mappée.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 La valeur de senderIP du journal brut est directement mappée.
messagesBlocked[].spamScore additional.fields[].key : "spamScore"
additional_fields[].value.number_value : valeur de spamScore		 La valeur de spamScore du journal brut est placée dans additional_fields.
messagesBlocked[].subject network.email.subject La valeur de subject du journal brut est directement mappée.
messagesBlocked[].threatsInfoMap security_result (répétée) Chaque objet du tableau threatsInfoMap est mappé à un objet security_result distinct.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details La valeur de classification du journal brut est directement mappée.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url La valeur de threat du journal brut est directement mappée.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id La valeur de threatID du journal brut est directement mappée.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status La valeur de threatStatus du journal brut est directement mappée.
messagesBlocked[].threatsInfoMap[].threatTime Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name La valeur de threatType du journal brut est directement mappée.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product La valeur de threatUrl du journal brut est directement mappée.
messagesBlocked[].toAddresses network.email.to La valeur de toAddresses du journal brut est directement mappée.
messagesBlocked[].xmailer Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
messagesDelivered (tableau) (Plusieurs champs) Le tableau d'objets messagesDelivered est itéré et les champs de chaque objet sont mappés aux champs UDM. Logique semblable à celle de messagesBlocked.
message (Plusieurs champs) Si le champ message est un code JSON valide, il est analysé et mappé à différents champs UDM.
metadata.event_type metadata.event_type Définissez la valeur sur "EMAIL_TRANSACTION" si message n'est pas au format JSON. Sinon, elle est dérivée des données JSON. Défini sur "GENERIC_EVENT" si le message syslog ne peut pas être analysé.
metadata.log_type metadata.log_type Codé en dur sur "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Définissez la valeur sur "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" en fonction des données JSON.
metadata.product_name metadata.product_name Codé en dur sur "TAP".
metadata.vendor_name metadata.vendor_name Codé en dur sur "PROOFPOINT".
mime principal.process.file.mime_type La valeur de mime du journal brut est directement mappée.
mod additional.fields[].key : "module"
additional_fields[].value.string_value : valeur de mod		 La valeur de mod du journal brut est placée dans additional_fields.
oContentType Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
path/uri principal.url Si path est présent, sa valeur est utilisée. Sinon, si uri est présent, sa valeur est utilisée.
phishScore additional.fields[].key : "phishScore"
additional_fields[].value.number_value : valeur de phishScore		 La valeur de phishScore du journal brut est placée dans additional_fields.
pid principal.process.pid La valeur de pid du journal brut est directement mappée.
policy network.direction Si policy est défini sur "inbound", le champ UDM est défini sur "INBOUND". Si policy est défini sur "outbound", le champ UDM est défini sur "OUTBOUND".
policyRoutes additional.fields[].key : "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value : valeur de policyRoutes		 Les valeurs de policyRoutes du journal brut sont placées sous forme de liste dans additional_fields.
profile additional.fields[].key : "profile"
additional_fields[].value.string_value : valeur du profil		 La valeur de profile du journal brut est placée dans additional_fields.
prot proto La valeur de prot est extraite dans protocol, convertie en majuscules, puis mappée sur proto.
proto network.application_protocol La valeur de proto (ou la valeur dérivée de prot) est mappée. Si la valeur est "ESMTP", elle est remplacée par "SMTP" avant le mappage.
querydepth additional.fields[].key : "querydepth"
additional_fields[].value.string_value : valeur de querydepth		 La valeur de querydepth du journal brut est placée dans additional_fields.
queryEndTime Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: valeur de qid		 La valeur de qid du journal brut est placée dans additional_fields.
rcpt/rcpts network.email.to Si rcpt est présent et qu'il s'agit d'une adresse e-mail valide, il est fusionné dans le champ to. Même logique pour rcpts.
recipient target.user.email_addresses La valeur de recipient du journal brut est directement mappée.
relay intermediary.hostname
intermediary.ip		 Le champ relay est analysé pour extraire le nom d'hôte et l'adresse IP, qui sont ensuite mappés respectivement sur intermediary.hostname et intermediary.ip.
replyToAddress network.email.reply_to La valeur de replyToAddress du journal brut est directement mappée.
result security_result.action Si result est défini sur "pass", le champ UDM est défini sur "ALLOW". Si result est défini sur "fail", le champ UDM est défini sur "BLOCK".
routes additional.fields[].key : "routes"
additional_fields[].value.string_value : valeur des routes		 La valeur de routes du journal brut est placée dans additional_fields.
s network.session_id La valeur de s du journal brut est directement mappée.
sandboxStatus Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
selector additional.fields[].key : "selector"
additional_fields[].value.string_value : valeur du sélecteur		 La valeur de selector du journal brut est placée dans additional_fields.
sender principal.user.email_addresses La valeur de sender du journal brut est directement mappée.
senderIP principal.asset.ip
principal.ip ou about.ip		 S'il se trouve dans un événement de clic, il est mappé sur about.ip. Sinon, il est mappé sur principal.asset.ip et principal.ip.
sha256 security_result.about.file.sha256 ou about.file.sha256 Si elle se trouve dans une threatInfoMap, elle est mappée sur security_result.about.file.sha256. Sinon, il est mappé sur about.file.sha256.
size principal.process.file.size ou additional.fields[].key : "messageSize"
additional_fields[].value.number_value : valeur de messageSize		 S'il se trouve dans un événement de message, il est mappé sur additional.fields[].messageSize et converti en entier non signé. Sinon, il est mappé sur principal.process.file.size et converti en entier non signé.
spamScore additional.fields[].key : "spamScore"
additional_fields[].value.number_value : valeur de spamScore		 La valeur de spamScore du journal brut est placée dans additional_fields.
stat additional.fields[].key : "status"
additional_fields[].value.string_value : valeur de la statistique		 La valeur de stat du journal brut est placée dans additional_fields.
status additional.fields[].key : "status"
additional_fields[].value.string_value : valeur de l'état		 La valeur de status (après suppression des guillemets) du journal brut est placée dans additional_fields.
sts network.http.response_code La valeur de sts du journal brut est directement mappée et convertie en entier.
subject network.email.subject La valeur de subject du journal brut est directement mappée après suppression des guillemets.
threatID security_result.threat_id La valeur de threatID du journal brut est directement mappée.
threatStatus security_result.threat_status La valeur de threatStatus du journal brut est directement mappée.
threatTime Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
threatType security_result.threat_name La valeur de threatType du journal brut est directement mappée.
threatUrl/threatURL security_result.url_back_to_product La valeur de threatUrl ou threatURL du journal brut est directement mappée.
threatsInfoMap security_result (répétée) Chaque objet du tableau threatsInfoMap est mappé à un objet security_result distinct.
tls network.tls.cipher Si cipher est absent ou défini sur "NONE", la valeur de tls est utilisée si elle n'est pas définie sur "NONE".
tls_verify/verify security_result.action Si verify est présent, sa valeur est utilisée pour déterminer l'action. Sinon, tls_verify est utilisé. "FAIL" correspond à "BLOCK" (BLOQUER), et "OK" correspond à "ALLOW" (AUTORISER).
tls_version/version network.tls.version Si tls_version est présent et n'est pas défini sur "NONE", sa valeur est utilisée. Sinon, si version correspond à "TLS", sa valeur est utilisée.
to network.email.to La valeur de to (après suppression des caractères < et >) est mappée. Si l'adresse e-mail n'est pas valide, elle est ajoutée à additional_fields.
toAddresses network.email.to La valeur de toAddresses du journal brut est directement mappée.
timestamp.seconds metadata.event_timestamp.seconds La valeur de timestamp.seconds du journal brut est directement mappée.
type Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
url target.url ou principal.url S'il se trouve dans un événement de clic, il est mappé sur target.url. Sinon, il est mappé sur principal.url.
userAgent network.http.user_agent La valeur de userAgent du journal brut est directement mappée.
uri principal.url Si path n'est pas présent, la valeur de uri est utilisée.
value network.email.from Si from et hfrom ne sont pas des adresses e-mail valides, et que value est une adresse e-mail valide (après suppression des caractères < et >), elle est mappée.
vendor Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.
verify security_result.action Si verify est présent, il est utilisé pour déterminer l'action. "NOT" correspond à "BLOCK", tandis que les autres valeurs correspondent à "ALLOW".
version network.tls.version Si tls_version est absent ou défini sur "NONE", et que version contient "TLS", il est mappé.
virusthreat security_result.threat_name La valeur de virusthreat du journal brut est directement mappée si elle n'est pas "unknown" (inconnue).
virusthreatid security_result.threat_id La valeur de virusthreatid (après suppression des guillemets) du journal brut est directement mappée si elle n'est pas "unknown" (inconnue).
xmailer Non mappé Bien que présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans l'UDM fourni.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.