Mengumpulkan log pemberitahuan Proofpoint TAP
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log pemberitahuan Proofpoint Targeted Attack Protection (TAP) dengan menyiapkan feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label penyerapan PROOFPOINT_MAIL.
Mengonfigurasi pemberitahuan Proofpoint TAP
- Login ke portal insight ancaman Proofpoint menggunakan kredensial Anda.
- Di tab Setelan, pilih Aplikasi terhubung. Bagian Service credentials akan muncul.
- Di bagian Name, klik Create new credential.
- Ketik nama organisasi Anda, seperti
altostrat.com. - Klik Generate. Dalam dialog Generated service credential, nilai Service principal dan Secret akan muncul.
- Salin nilai Service principal dan Secret. Nilai hanya ditampilkan pada saat pembuatan dan diperlukan saat Anda mengonfigurasi feed Google Security Operations.
- Klik Selesai.
Menyiapkan feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed; misalnya, Proofpoint TAP alerts logs.
- Pilih Third party API sebagai Source type.
- Pilih Pemberitahuan Proofpoint TAP sebagai Jenis log.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- Username: tentukan principal layanan yang Anda peroleh sebelumnya.
- Secret: tentukan secret yang Anda peroleh sebelumnya.
- Klik Berikutnya, lalu klik Kirim.
Referensi pemetaan kolom
Parser ini menangani log Proofpoint Mail dalam format JSON atau key-value, dengan mengekstrak detail email dan aktivitas jaringan. Fitur ini memetakan kolom log ke UDM, mengategorikan peristiwa seperti transaksi email dan permintaan HTTP jaringan, serta memperkayanya dengan detail keamanan seperti tindakan, kategori, dan informasi ancaman.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
action |
security_result.action_details |
Nilai action dari log mentah dipetakan secara langsung. |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value: Nilai adultscore |
Nilai adultscore dari log mentah ditempatkan di additional_fields. |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: Nilai lampiran |
Nilai attachments dari log mentah ditempatkan di additional_fields. |
campaignID |
security_result.rule_id |
Nilai campaignID dari log mentah dipetakan secara langsung. |
ccAddresses |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
cid |
additional.fields[].key: "cid"additional_fields[].value.string_value: Nilai cid |
Nilai cid dari log mentah ditempatkan di additional_fields. |
cipher/tls |
network.tls.cipher |
Jika cipher ada dan bukan "NONE", nilainya akan digunakan. Jika tidak, jika tls ada dan bukan "NONE", nilainya akan digunakan. |
classification |
security_result.category_details |
Nilai classification dari log mentah dipetakan secara langsung. |
clickIP |
principal.asset.ipprincipal.ip |
Nilai clickIP dari log mentah dipetakan secara langsung. |
clickTime |
metadata.event_timestamp.seconds |
Parser mengonversi string clickTime menjadi stempel waktu dan memetakannya. |
clicksBlocked[].campaignId |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
Nilai clickIP dalam array clicksBlocked dipetakan. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
Parser mengonversi string clickTime menjadi stempel waktu dan memetakannya. |
clicksBlocked[].classification |
security_result.category_details |
Nilai classification dalam array clicksBlocked dipetakan. |
clicksBlocked[].GUID |
metadata.product_log_id |
Nilai GUID dalam array clicksBlocked dipetakan. |
clicksBlocked[].id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
clicksBlocked[].messageID |
network.email.mail_id |
Nilai messageID dalam array clicksBlocked dipetakan. |
clicksBlocked[].recipient |
target.user.email_addresses |
Nilai recipient dalam array clicksBlocked dipetakan. |
clicksBlocked[].sender |
principal.user.email_addresses |
Nilai sender dalam array clicksBlocked dipetakan. |
clicksBlocked[].senderIP |
about.ip |
Nilai senderIP dalam array clicksBlocked dipetakan. |
clicksBlocked[].threatID |
security_result.threat_id |
Nilai threatID dalam array clicksBlocked dipetakan. |
clicksBlocked[].threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
Nilai threatURL dalam array clicksBlocked dipetakan. |
clicksBlocked[].threatStatus |
security_result.threat_status |
Nilai threatStatus dalam array clicksBlocked dipetakan. |
clicksBlocked[].url |
target.url |
Nilai url dalam array clicksBlocked dipetakan. |
clicksBlocked[].userAgent |
network.http.user_agent |
Nilai userAgent dalam array clicksBlocked dipetakan. |
clicksPermitted[].campaignId |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
Nilai clickIP dalam array clicksPermitted dipetakan. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
Parser mengonversi string clickTime menjadi stempel waktu dan memetakannya. |
clicksPermitted[].classification |
security_result.category_details |
Nilai classification dalam array clicksPermitted dipetakan. |
clicksPermitted[].guid |
metadata.product_log_id |
Nilai guid dalam array clicksPermitted dipetakan. |
clicksPermitted[].id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
clicksPermitted[].messageID |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
clicksPermitted[].recipient |
target.user.email_addresses |
Nilai recipient dalam array clicksPermitted dipetakan. |
clicksPermitted[].sender |
principal.user.email_addresses |
Nilai sender dalam array clicksPermitted dipetakan. |
clicksPermitted[].senderIP |
about.ip |
Nilai senderIP dalam array clicksPermitted dipetakan. |
clicksPermitted[].threatID |
security_result.threat_id |
Nilai threatID dalam array clicksPermitted dipetakan. |
clicksPermitted[].threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
Nilai threatURL dalam array clicksPermitted dipetakan. |
clicksPermitted[].url |
target.url |
Nilai url dalam array clicksPermitted dipetakan. |
clicksPermitted[].userAgent |
network.http.user_agent |
Nilai userAgent dalam array clicksPermitted dipetakan. |
cmd |
principal.process.command_line atau network.http.method |
Jika sts (kode status HTTP) ada, cmd dipetakan ke network.http.method. Jika tidak, nilai ini dipetakan ke principal.process.command_line. |
collection_time.seconds |
metadata.event_timestamp.seconds |
Nilai collection_time.seconds dari log mentah dipetakan secara langsung. |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Nilai completelyRewritten |
Nilai completelyRewritten dari log mentah ditempatkan di security_result.detection_fields. |
contentType |
about.file.mime_type |
Nilai contentType dari log mentah dipetakan secara langsung. |
country |
principal.location.country_or_region |
Nilai country dari log mentah dipetakan secara langsung. |
create_time.seconds |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
data |
(Beberapa kolom) | Payload JSON di kolom data diuraikan dan dipetakan ke berbagai kolom UDM. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
Parser mengubah basis tanggal menjadi stempel waktu menggunakan kolom date_log_rebase atau date dan timeStamp. |
dict |
security_result.category_details |
Nilai dict dari log mentah dipetakan secara langsung. |
disposition |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
dnsid |
network.dns.id |
Nilai dnsid dari log mentah dipetakan dan dikonversi langsung menjadi bilangan bulat tidak bertanda. |
domain/hfrom_domain |
principal.administrative_domain |
Jika domain ada, nilainya akan digunakan. Jika tidak, jika hfrom_domain ada, nilainya akan digunakan. |
duration |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: Nilai eid |
Nilai eid dari log mentah ditempatkan di additional_fields. |
engine |
metadata.product_version |
Nilai engine dari log mentah dipetakan secara langsung. |
err / msg / result_detail / tls-alert |
security_result.description |
Nilai pertama yang tersedia di antara msg, err, result_detail, atau tls-alert (setelah menghapus tanda petik) dipetakan. |
file/name |
principal.process.file.full_path |
Jika file ada, nilainya akan digunakan. Jika tidak, jika name ada, nilainya akan digunakan. |
filename |
about.file.full_path |
Nilai filename dari log mentah dipetakan secara langsung. |
folder |
additional.fields[].key: "folder"additional_fields[].value.string_value: Nilai folder |
Nilai folder dari log mentah ditempatkan di additional_fields. |
from / hfrom / value |
network.email.from |
Logika kompleks berlaku (lihat kode parser). Menangani karakter < dan > serta memeriksa format email yang valid. |
fromAddress |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
GUID |
metadata.product_log_id |
Nilai GUID dari log mentah dipetakan secara langsung. |
headerCC |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Nilai headerFrom |
Nilai headerFrom dari log mentah ditempatkan di additional_fields. |
headerReplyTo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
headerTo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
helo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
hops-ip/lip |
intermediary.ip |
Jika hops-ip ada, nilainya akan digunakan. Jika tidak, jika lip ada, nilainya akan digunakan. |
host |
principal.hostname |
Nilai host dari log mentah dipetakan secara langsung. |
id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: Nilai impostorScore |
Nilai impostorScore dari log mentah ditempatkan di additional_fields. |
ip |
principal.asset.ipprincipal.ip |
Nilai ip dari log mentah dipetakan secara langsung. |
log_level |
security_result.severity_details |
Nilai log_level dipetakan dan juga digunakan untuk mendapatkan security_result.severity. |
m |
network.email.mail_id |
Nilai m (setelah menghapus karakter < dan >) dipetakan. |
malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: Nilai malwareScore |
Nilai malwareScore dari log mentah ditempatkan di additional_fields. |
md5 |
about.file.md5 |
Nilai md5 dari log mentah dipetakan secara langsung. |
messageID |
network.email.mail_id |
Nilai messageID (setelah menghapus karakter < dan >) dipetakan. |
messagesBlocked (array) |
(Beberapa kolom) | Array objek messagesBlocked diiterasi, dan kolom setiap objek dipetakan ke kolom UDM. |
messagesBlocked[].ccAddresses |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].cluster |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Nilai completelyRewritten |
Nilai completelyRewritten dari log mentah ditempatkan di security_result.detection_fields. |
messagesBlocked[].fromAddress |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].GUID |
metadata.product_log_id |
Nilai GUID dari log mentah dipetakan secara langsung. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Nilai headerFrom |
Nilai headerFrom dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].headerReplyTo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: Nilai impostorScore |
Nilai impostorScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: Nilai malwareScore |
Nilai malwareScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].messageID |
network.email.mail_id |
Nilai messageID (setelah menghapus karakter < dan >) dipetakan. |
messagesBlocked[].messageParts |
about.file (berulang) |
Setiap objek dalam array messageParts dipetakan ke objek about.file terpisah. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
Nilai contentType dari log mentah dipetakan secara langsung. |
messagesBlocked[].messageParts[].disposition |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
Nilai filename dari log mentah dipetakan secara langsung. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
Nilai md5 dari log mentah dipetakan secara langsung. |
messagesBlocked[].messageParts[].sandboxStatus |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
Nilai sha256 dari log mentah dipetakan secara langsung. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: Nilai messageSize |
Nilai messageSize dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].messageTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].modulesRun |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: Nilai phishScore |
Nilai phishScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Nilai policyRoutes |
Nilai policyRoutes dari log mentah ditempatkan sebagai daftar di additional_fields. |
messagesBlocked[].QID |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: Nilai quarantineFolder |
Nilai quarantineFolder dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: Nilai quarantineRule |
Nilai quarantineRule dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].recipient |
target.user.email_addresses |
Nilai recipient dari log mentah dipetakan secara langsung. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
Nilai replyToAddress dari log mentah dipetakan secara langsung. |
messagesBlocked[].sender |
principal.user.email_addresses |
Nilai sender dari log mentah dipetakan secara langsung. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
Nilai senderIP dari log mentah dipetakan secara langsung. |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: Nilai spamScore |
Nilai spamScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].subject |
network.email.subject |
Nilai subject dari log mentah dipetakan secara langsung. |
messagesBlocked[].threatsInfoMap |
security_result (berulang) |
Setiap objek dalam array threatsInfoMap dipetakan ke objek security_result terpisah. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
Nilai classification dari log mentah dipetakan secara langsung. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
Nilai threat dari log mentah dipetakan secara langsung. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
Nilai threatID dari log mentah dipetakan secara langsung. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
Nilai threatStatus dari log mentah dipetakan secara langsung. |
messagesBlocked[].threatsInfoMap[].threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
Nilai threatType dari log mentah dipetakan secara langsung. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
Nilai threatUrl dari log mentah dipetakan secara langsung. |
messagesBlocked[].toAddresses |
network.email.to |
Nilai toAddresses dari log mentah dipetakan secara langsung. |
messagesBlocked[].xmailer |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
messagesDelivered (array) |
(Beberapa kolom) | Array objek messagesDelivered diiterasi, dan kolom setiap objek dipetakan ke kolom UDM. Logika yang sama seperti messagesBlocked. |
message |
(Beberapa kolom) | Jika kolom message adalah JSON yang valid, kolom tersebut akan diuraikan dan dipetakan ke berbagai kolom UDM. |
metadata.event_type |
metadata.event_type |
Disetel ke "EMAIL_TRANSACTION" jika message bukan JSON, atau berasal dari data JSON. Ditetapkan ke "GENERIC_EVENT" jika pesan syslog gagal diuraikan. |
metadata.log_type |
metadata.log_type |
Dikodekan secara permanen ke "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Setel ke "messagesBlocked", "messagesDelivered", "clicksPermitted", atau "clicksBlocked" berdasarkan data JSON. |
metadata.product_name |
metadata.product_name |
Dikodekan secara permanen menjadi "KETUK". |
metadata.vendor_name |
metadata.vendor_name |
Dikodekan secara permanen ke "PROOFPOINT". |
mime |
principal.process.file.mime_type |
Nilai mime dari log mentah dipetakan secara langsung. |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: Nilai mod |
Nilai mod dari log mentah ditempatkan di additional_fields. |
oContentType |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
path/uri |
principal.url |
Jika path ada, nilainya akan digunakan. Jika tidak, jika uri ada, nilainya akan digunakan. |
phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: Nilai phishScore |
Nilai phishScore dari log mentah ditempatkan di additional_fields. |
pid |
principal.process.pid |
Nilai pid dari log mentah dipetakan secara langsung. |
policy |
network.direction |
Jika policy adalah "inbound", kolom UDM ditetapkan ke "INBOUND". Jika policy adalah "outbound", kolom UDM ditetapkan ke "OUTBOUND". |
policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Nilai policyRoutes |
Nilai policyRoutes dari log mentah ditempatkan sebagai daftar di additional_fields. |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: Nilai profil |
Nilai profile dari log mentah ditempatkan di additional_fields. |
prot |
proto |
Nilai prot diekstrak ke protocol, dikonversi menjadi huruf besar, lalu dipetakan ke proto. |
proto |
network.application_protocol |
Nilai proto (atau nilai turunan dari prot) dipetakan. Jika nilainya adalah "ESMTP", nilai tersebut akan diubah menjadi "SMTP" sebelum pemetaan. |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: Nilai querydepth |
Nilai querydepth dari log mentah ditempatkan di additional_fields. |
queryEndTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: Nilai qid |
Nilai qid dari log mentah ditempatkan di additional_fields. |
rcpt/rcpts |
network.email.to |
Jika rcpt ada dan merupakan alamat email yang valid, alamat email tersebut akan digabungkan ke kolom to. Logika yang sama untuk rcpts. |
recipient |
target.user.email_addresses |
Nilai recipient dari log mentah dipetakan secara langsung. |
relay |
intermediary.hostnameintermediary.ip |
Kolom relay diuraikan untuk mengekstrak nama host dan alamat IP, yang kemudian dipetakan ke intermediary.hostname dan intermediary.ip. |
replyToAddress |
network.email.reply_to |
Nilai replyToAddress dari log mentah dipetakan secara langsung. |
result |
security_result.action |
Jika result adalah "pass", kolom UDM ditetapkan ke "ALLOW". Jika result adalah "fail", kolom UDM akan disetel ke "BLOCK". |
routes |
additional.fields[].key: "routes"additional_fields[].value.string_value: Nilai rute |
Nilai routes dari log mentah ditempatkan di additional_fields. |
s |
network.session_id |
Nilai s dari log mentah dipetakan secara langsung. |
sandboxStatus |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
selector |
additional.fields[].key: "selector"additional_fields[].value.string_value: Nilai pemilih |
Nilai selector dari log mentah ditempatkan di additional_fields. |
sender |
principal.user.email_addresses |
Nilai sender dari log mentah dipetakan secara langsung. |
senderIP |
principal.asset.ipprincipal.ip atau about.ip |
Jika berada dalam peristiwa klik, peristiwa tersebut dipetakan ke about.ip. Jika tidak, nilai ini dipetakan ke principal.asset.ip dan principal.ip. |
sha256 |
security_result.about.file.sha256 atau about.file.sha256 |
Jika berada dalam threatInfoMap, maka akan dipetakan ke security_result.about.file.sha256. Jika tidak, nilai ini dipetakan ke about.file.sha256. |
size |
principal.process.file.size atau additional.fields[].key: "messageSize"additional_fields[].value.number_value: Nilai messageSize |
Jika berada dalam peristiwa pesan, nilai tersebut dipetakan ke additional.fields[].messageSize dan dikonversi menjadi bilangan bulat tidak bertanda. Jika tidak, nilai akan dipetakan ke principal.process.file.size dan dikonversi menjadi bilangan bulat yang tidak bertanda tangan. |
spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: Nilai spamScore |
Nilai spamScore dari log mentah ditempatkan di additional_fields. |
stat |
additional.fields[].key: "status"additional_fields[].value.string_value: Nilai stat |
Nilai stat dari log mentah ditempatkan di additional_fields. |
status |
additional.fields[].key: "status"additional_fields[].value.string_value: Nilai status |
Nilai status (setelah menghapus tanda petik) dari log mentah ditempatkan di additional_fields. |
sts |
network.http.response_code |
Nilai sts dari log mentah dipetakan dan dikonversi langsung menjadi bilangan bulat. |
subject |
network.email.subject |
Nilai subject dari log mentah dipetakan secara langsung setelah menghapus tanda petik. |
threatID |
security_result.threat_id |
Nilai threatID dari log mentah dipetakan secara langsung. |
threatStatus |
security_result.threat_status |
Nilai threatStatus dari log mentah dipetakan secara langsung. |
threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
threatType |
security_result.threat_name |
Nilai threatType dari log mentah dipetakan secara langsung. |
threatUrl/threatURL |
security_result.url_back_to_product |
Nilai threatUrl atau threatURL dari log mentah dipetakan secara langsung. |
threatsInfoMap |
security_result (berulang) |
Setiap objek dalam array threatsInfoMap dipetakan ke objek security_result terpisah. |
tls |
network.tls.cipher |
Jika cipher tidak ada atau "NONE", nilai tls akan digunakan jika bukan "NONE". |
tls_verify/verify |
security_result.action |
Jika verify ada, nilainya akan digunakan untuk menentukan tindakan. Jika tidak, tls_verify akan digunakan. "GAGAL" dipetakan ke "BLOKIR", "OK" dipetakan ke "IZINKAN". |
tls_version/version |
network.tls.version |
Jika tls_version ada dan bukan "NONE", nilainya akan digunakan. Jika tidak, jika version cocok dengan "TLS", nilainya akan digunakan. |
to |
network.email.to |
Nilai to (setelah menghapus karakter < dan >) dipetakan. Jika bukan alamat email yang valid, alamat email tersebut akan ditambahkan ke additional_fields. |
toAddresses |
network.email.to |
Nilai toAddresses dari log mentah dipetakan secara langsung. |
timestamp.seconds |
metadata.event_timestamp.seconds |
Nilai timestamp.seconds dari log mentah dipetakan secara langsung. |
type |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
url |
target.url atau principal.url |
Jika berada dalam peristiwa klik, peristiwa tersebut dipetakan ke target.url. Jika tidak, nilai ini dipetakan ke principal.url. |
userAgent |
network.http.user_agent |
Nilai userAgent dari log mentah dipetakan secara langsung. |
uri |
principal.url |
Jika path tidak ada, nilai uri akan digunakan. |
value |
network.email.from |
Jika from dan hfrom bukan alamat email yang valid, dan value adalah alamat email yang valid (setelah menghapus karakter < dan >), alamat email tersebut akan dipetakan. |
vendor |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
verify |
security_result.action |
Jika verify ada, verify akan digunakan untuk menentukan tindakan. "NOT" dipetakan ke "BLOCK", nilai lainnya dipetakan ke "ALLOW". |
version |
network.tls.version |
Jika tls_version tidak ada atau "NONE", dan version berisi "TLS", maka akan dipetakan. |
virusthreat |
security_result.threat_name |
Nilai virusthreat dari log mentah dipetakan secara langsung jika bukan "unknown". |
virusthreatid |
security_result.threat_id |
Nilai virusthreatid (setelah menghapus tanda petik) dari log mentah dipetakan secara langsung jika bukan "unknown". |
xmailer |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM dalam UDM yang diberikan. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.