Raccogliere i log degli avvisi Proofpoint TAP

Supportato in:

Questo documento descrive come raccogliere i log degli avvisi di Proofpoint Targeted Attack Protection (TAP) configurando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione PROOFPOINT_MAIL.

Configurare gli avvisi TAP di Proofpoint

  1. Accedi al portale di approfondimento sulle minacce di Proofpoint utilizzando le tue credenziali.
  2. Nella scheda Impostazioni, seleziona Applicazioni connesse. Viene visualizzata la sezione Credenziali di servizio.
  3. Nella sezione Nome, fai clic su Crea nuova credenziale.
  4. Digita il nome della tua organizzazione, ad esempio altostrat.com.
  5. Fai clic su Genera. Nella finestra di dialogo Credenziale di servizio generata vengono visualizzati i valori Entità di servizio e Secret.
  6. Copia i valori di Entità servizio e Secret. I valori vengono visualizzati solo al momento della creazione e sono necessari quando configuri il feed Google Security Operations.
  7. Fai clic su Fine.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log degli avvisi Proofpoint TAP.
  5. Seleziona API di terze parti come Tipo di origine.
  6. Seleziona Avvisi TAP Proofpoint come Tipo di log.
  7. Fai clic su Avanti.
  8. Configura i seguenti parametri di input obbligatori:
    • Nome utente: specifica il service principal che hai ottenuto in precedenza.
    • Secret: specifica il secret che hai ottenuto in precedenza.
  9. Fai clic su Avanti e poi su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Nome utente: specifica il service principal che hai ottenuto in precedenza.
  • Secret: specifica il secret che hai ottenuto in precedenza.

Opzioni avanzate

  • Nome feed:un valore precompilato che identifica il feed.
  • Tipo di origine:metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset:lo spazio dei nomi associato al feed.
  • Etichette di importazione:etichette applicate a tutti gli eventi di questo feed.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione sui feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser gestisce i log di Proofpoint Mail in formato JSON o chiave-valore, estraendo i dettagli dell'attività di rete ed email. Mappa i campi dei log nel modello UDM, categorizzando eventi come transazioni email e richieste HTTP di rete e arricchendoli con dettagli di sicurezza come azioni, categorie e informazioni sulle minacce.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
action security_result.action_details Il valore di action del log non elaborato viene mappato direttamente.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: Valore di adultscore		 Il valore di adultscore del log non elaborato viene inserito in additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: Valore degli allegati		 Il valore di attachments del log non elaborato viene inserito in additional_fields.
campaignID security_result.rule_id Il valore di campaignID del log non elaborato viene mappato direttamente.
ccAddresses Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: Valore di cid		 Il valore di cid del log non elaborato viene inserito in additional_fields.
cipher/tls network.tls.cipher Se cipher è presente e non è "NONE", viene utilizzato il suo valore. In caso contrario, se tls è presente e non è "NONE", viene utilizzato il suo valore.
classification security_result.category_details Il valore di classification del log non elaborato viene mappato direttamente.
clickIP principal.asset.ip
principal.ip		 Il valore di clickIP del log non elaborato viene mappato direttamente.
clickTime metadata.event_timestamp.seconds Il parser converte la stringa clickTime in un timestamp e la mappa.
clicksBlocked[].campaignId Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 Il valore di clickIP all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].clickTime metadata.event_timestamp.seconds Il parser converte la stringa clickTime in un timestamp e la mappa.
clicksBlocked[].classification security_result.category_details Il valore di classification all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].GUID metadata.product_log_id Il valore di GUID all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].id Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksBlocked[].messageID network.email.mail_id Il valore di messageID all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].recipient target.user.email_addresses Il valore di recipient all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].sender principal.user.email_addresses Il valore di sender all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].senderIP about.ip Il valore di senderIP all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].threatID security_result.threat_id Il valore di threatID all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].threatTime Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksBlocked[].threatURL security_result.url_back_to_product Il valore di threatURL all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].threatStatus security_result.threat_status Il valore di threatStatus all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].url target.url Il valore di url all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].userAgent network.http.user_agent Il valore di userAgent all'interno dell'array clicksBlocked è mappato.
clicksPermitted[].campaignId Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 Il valore di clickIP all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].clickTime metadata.event_timestamp.seconds Il parser converte la stringa clickTime in un timestamp e la mappa.
clicksPermitted[].classification security_result.category_details Il valore di classification all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].guid metadata.product_log_id Il valore di guid all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].id Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].messageID Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].recipient target.user.email_addresses Il valore di recipient all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].sender principal.user.email_addresses Il valore di sender all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].senderIP about.ip Il valore di senderIP all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].threatID security_result.threat_id Il valore di threatID all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].threatTime Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].threatURL security_result.url_back_to_product Il valore di threatURL all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].url target.url Il valore di url all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].userAgent network.http.user_agent Il valore di userAgent all'interno dell'array clicksPermitted è mappato.
cmd principal.process.command_line o network.http.method Se è presente sts (codice di stato HTTP), cmd viene mappato a network.http.method. In caso contrario, viene mappato a principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds Il valore di collection_time.seconds del log non elaborato viene mappato direttamente.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Valore di completelyRewritten		 Il valore di completelyRewritten del log non elaborato viene inserito in security_result.detection_fields.
contentType about.file.mime_type Il valore di contentType del log non elaborato viene mappato direttamente.
country principal.location.country_or_region Il valore di country del log non elaborato viene mappato direttamente.
create_time.seconds Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
data (Più campi) Il payload JSON nel campo data viene analizzato e mappato a vari campi UDM.
date/date_log_rebase metadata.event_timestamp.seconds Il parser esegue il rebase della data su un timestamp utilizzando i campi date_log_rebase o date e timeStamp.
dict security_result.category_details Il valore di dict del log non elaborato viene mappato direttamente.
disposition Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
dnsid network.dns.id Il valore di dnsid del log non elaborato viene mappato e convertito direttamente in un numero intero senza segno.
domain/hfrom_domain principal.administrative_domain Se domain è presente, viene utilizzato il suo valore. In caso contrario, se è presente hfrom_domain, viene utilizzato il relativo valore.
duration Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: Valore di eid		 Il valore di eid del log non elaborato viene inserito in additional_fields.
engine metadata.product_version Il valore di engine del log non elaborato viene mappato direttamente.
err / msg / result_detail / tls-alert security_result.description Viene mappato il primo valore disponibile tra msg, err, result_detail o tls-alert (dopo la rimozione delle virgolette).
file/name principal.process.file.full_path Se file è presente, viene utilizzato il suo valore. In caso contrario, se è presente name, viene utilizzato il relativo valore.
filename about.file.full_path Il valore di filename del log non elaborato viene mappato direttamente.
folder additional.fields[].key: "folder"
additional_fields[].value.string_value: Valore della cartella		 Il valore di folder del log non elaborato viene inserito in additional_fields.
from / hfrom / value network.email.from Viene applicata una logica complessa (vedi il codice del parser). Gestisce i caratteri < e > e verifica che il formato email sia valido.
fromAddress Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
GUID metadata.product_log_id Il valore di GUID del log non elaborato viene mappato direttamente.
headerCC Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Valore di headerFrom		 Il valore di headerFrom del log non elaborato viene inserito in additional_fields.
headerReplyTo Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
headerTo Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
helo Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
hops-ip/lip intermediary.ip Se hops-ip è presente, viene utilizzato il suo valore. In caso contrario, se è presente lip, viene utilizzato il relativo valore.
host principal.hostname Il valore di host del log non elaborato viene mappato direttamente.
id Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Valore di impostorScore		 Il valore di impostorScore del log non elaborato viene inserito in additional_fields.
ip principal.asset.ip
principal.ip		 Il valore di ip del log non elaborato viene mappato direttamente.
log_level security_result.severity_details Il valore di log_level viene mappato e utilizzato anche per derivare security_result.severity.
m network.email.mail_id Il valore di m (dopo la rimozione dei caratteri < e >) viene mappato.
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: Valore di malwareScore		 Il valore di malwareScore del log non elaborato viene inserito in additional_fields.
md5 about.file.md5 Il valore di md5 del log non elaborato viene mappato direttamente.
messageID network.email.mail_id Il valore di messageID (dopo la rimozione dei caratteri < e >) viene mappato.
messagesBlocked (array) (Più campi) Viene eseguito l'iterazione dell'array di oggetti messagesBlocked e i campi di ogni oggetto vengono mappati ai campi UDM.
messagesBlocked[].ccAddresses Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].cluster Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Valore di completelyRewritten		 Il valore di completelyRewritten del log non elaborato viene inserito in security_result.detection_fields.
messagesBlocked[].fromAddress Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].GUID metadata.product_log_id Il valore di GUID del log non elaborato viene mappato direttamente.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Valore di headerFrom		 Il valore di headerFrom del log non elaborato viene inserito in additional_fields.
messagesBlocked[].headerReplyTo Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].id Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Valore di impostorScore		 Il valore di impostorScore del log non elaborato viene inserito in additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: Valore di malwareScore		 Il valore di malwareScore del log non elaborato viene inserito in additional_fields.
messagesBlocked[].messageID network.email.mail_id Il valore di messageID (dopo la rimozione dei caratteri < e >) viene mappato.
messagesBlocked[].messageParts about.file (ripetuto) Ogni oggetto nell'array messageParts viene mappato a un oggetto about.file separato.
messagesBlocked[].messageParts[].contentType about.file.mime_type Il valore di contentType del log non elaborato viene mappato direttamente.
messagesBlocked[].messageParts[].disposition Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].messageParts[].filename about.file.full_path Il valore di filename del log non elaborato viene mappato direttamente.
messagesBlocked[].messageParts[].md5 about.file.md5 Il valore di md5 del log non elaborato viene mappato direttamente.
messagesBlocked[].messageParts[].sandboxStatus Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].messageParts[].sha256 about.file.sha256 Il valore di sha256 del log non elaborato viene mappato direttamente.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Valore di messageSize		 Il valore di messageSize del log non elaborato viene inserito in additional_fields.
messagesBlocked[].messageTime Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].modulesRun Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: Valore di phishScore		 Il valore di phishScore del log non elaborato viene inserito in additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Value of policyRoutes		 I valori di policyRoutes del log non elaborato vengono inseriti come elenco in additional_fields.
messagesBlocked[].QID Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: Valore di quarantineFolder		 Il valore di quarantineFolder del log non elaborato viene inserito in additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: Valore di quarantineRule		 Il valore di quarantineRule del log non elaborato viene inserito in additional_fields.
messagesBlocked[].recipient target.user.email_addresses Il valore di recipient del log non elaborato viene mappato direttamente.
messagesBlocked[].replyToAddress network.email.reply_to Il valore di replyToAddress del log non elaborato viene mappato direttamente.
messagesBlocked[].sender principal.user.email_addresses Il valore di sender del log non elaborato viene mappato direttamente.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 Il valore di senderIP del log non elaborato viene mappato direttamente.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Valore di spamScore		 Il valore di spamScore del log non elaborato viene inserito in additional_fields.
messagesBlocked[].subject network.email.subject Il valore di subject del log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap security_result (ripetuto) Ogni oggetto nell'array threatsInfoMap viene mappato a un oggetto security_result separato.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details Il valore di classification del log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url Il valore di threat del log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id Il valore di threatID del log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status Il valore di threatStatus del log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatTime Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name Il valore di threatType del log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product Il valore di threatUrl del log non elaborato viene mappato direttamente.
messagesBlocked[].toAddresses network.email.to Il valore di toAddresses del log non elaborato viene mappato direttamente.
messagesBlocked[].xmailer Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesDelivered (array) (Più campi) Viene eseguito l'iterazione dell'array di oggetti messagesDelivered e i campi di ogni oggetto vengono mappati ai campi UDM. Logica simile a messagesBlocked.
message (Più campi) Se il campo message è un JSON valido, viene analizzato e mappato a vari campi UDM.
metadata.event_type metadata.event_type Imposta su "EMAIL_TRANSACTION" se message non è JSON, altrimenti derivato dai dati JSON. Imposta il valore su "GENERIC_EVENT" se l'analisi del messaggio syslog non va a buon fine.
metadata.log_type metadata.log_type Codificato come "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Imposta "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" in base ai dati JSON.
metadata.product_name metadata.product_name Codificato su "TAP".
metadata.vendor_name metadata.vendor_name Codificato come "PROOFPOINT".
mime principal.process.file.mime_type Il valore di mime del log non elaborato viene mappato direttamente.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: Value of mod		 Il valore di mod del log non elaborato viene inserito in additional_fields.
oContentType Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
path/uri principal.url Se path è presente, viene utilizzato il suo valore. In caso contrario, se è presente uri, viene utilizzato il relativo valore.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: Valore di phishScore		 Il valore di phishScore del log non elaborato viene inserito in additional_fields.
pid principal.process.pid Il valore di pid del log non elaborato viene mappato direttamente.
policy network.direction Se policy è "inbound", il campo UDM è impostato su "INBOUND". Se policy è "outbound", il campo UDM è impostato su "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Value of policyRoutes		 I valori di policyRoutes del log non elaborato vengono inseriti come elenco in additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: Valore del profilo		 Il valore di profile del log non elaborato viene inserito in additional_fields.
prot proto Il valore di prot viene estratto in protocol, convertito in maiuscolo e poi mappato a proto.
proto network.application_protocol Il valore di proto (o il valore derivato da prot) viene mappato. Se il valore è "ESMTP", viene modificato in "SMTP" prima del mapping.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: Value of querydepth		 Il valore di querydepth del log non elaborato viene inserito in additional_fields.
queryEndTime Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: Valore di qid		 Il valore di qid del log non elaborato viene inserito in additional_fields.
rcpt/rcpts network.email.to Se rcpt è presente ed è un indirizzo email valido, viene unito al campo to. Stessa logica per rcpts.
recipient target.user.email_addresses Il valore di recipient del log non elaborato viene mappato direttamente.
relay intermediary.hostname
intermediary.ip		 Il campo relay viene analizzato per estrarre il nome host e l'indirizzo IP, che vengono poi mappati rispettivamente a intermediary.hostname e intermediary.ip.
replyToAddress network.email.reply_to Il valore di replyToAddress del log non elaborato viene mappato direttamente.
result security_result.action Se result è "pass", il campo UDM è impostato su "ALLOW". Se result è "fail", il campo UDM è impostato su "BLOCK".
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: Valore di routes		 Il valore di routes del log non elaborato viene inserito in additional_fields.
s network.session_id Il valore di s del log non elaborato viene mappato direttamente.
sandboxStatus Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
selector additional.fields[].key: "selector"
additional_fields[].value.string_value: Value of selector		 Il valore di selector del log non elaborato viene inserito in additional_fields.
sender principal.user.email_addresses Il valore di sender del log non elaborato viene mappato direttamente.
senderIP principal.asset.ip
principal.ip o about.ip		 Se si trova all'interno di un evento di clic, viene mappato su about.ip. In caso contrario, viene mappato su principal.asset.ip e principal.ip.
sha256 security_result.about.file.sha256 o about.file.sha256 Se si trova in una threatInfoMap, è mappato su security_result.about.file.sha256. In caso contrario, viene mappato a about.file.sha256.
size principal.process.file.size o additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Valore di messageSize		 Se si trova all'interno di un evento di messaggio, viene mappato su additional.fields[].messageSize e convertito in un numero intero senza segno. In caso contrario, viene mappato su principal.process.file.size e convertito in un numero intero senza segno.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Valore di spamScore		 Il valore di spamScore del log non elaborato viene inserito in additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: Valore della statistica		 Il valore di stat del log non elaborato viene inserito in additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: valore dello stato		 Il valore di status (dopo la rimozione delle virgolette) dal log non elaborato viene inserito in additional_fields.
sts network.http.response_code Il valore di sts del log non elaborato viene mappato e convertito direttamente in un numero intero.
subject network.email.subject Il valore di subject del log grezzo viene mappato direttamente dopo la rimozione delle virgolette.
threatID security_result.threat_id Il valore di threatID del log non elaborato viene mappato direttamente.
threatStatus security_result.threat_status Il valore di threatStatus del log non elaborato viene mappato direttamente.
threatTime Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
threatType security_result.threat_name Il valore di threatType del log non elaborato viene mappato direttamente.
threatUrl/threatURL security_result.url_back_to_product Il valore di threatUrl o threatURL del log non elaborato viene mappato direttamente.
threatsInfoMap security_result (ripetuto) Ogni oggetto nell'array threatsInfoMap viene mappato a un oggetto security_result separato.
tls network.tls.cipher Se cipher non è presente o è "NONE", viene utilizzato il valore di tls se non è "NONE".
tls_verify/verify security_result.action Se è presente verify, il suo valore viene utilizzato per determinare l'azione. In caso contrario, viene utilizzato tls_verify. "FAIL" corrisponde a "BLOCK", "OK" corrisponde a "ALLOW".
tls_version/version network.tls.version Se tls_version è presente e non è "NONE", viene utilizzato il suo valore. In caso contrario, se version corrisponde a "TLS", viene utilizzato il relativo valore.
to network.email.to Il valore di to (dopo la rimozione dei caratteri < e >) viene mappato. Se non è un indirizzo email valido, viene aggiunto a additional_fields.
toAddresses network.email.to Il valore di toAddresses del log non elaborato viene mappato direttamente.
timestamp.seconds metadata.event_timestamp.seconds Il valore di timestamp.seconds del log non elaborato viene mappato direttamente.
type Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
url target.url o principal.url Se si trova all'interno di un evento di clic, viene mappato su target.url. In caso contrario, viene mappato a principal.url.
userAgent network.http.user_agent Il valore di userAgent del log non elaborato viene mappato direttamente.
uri principal.url Se path non è presente, viene utilizzato il valore di uri.
value network.email.from Se from e hfrom non sono indirizzi email validi e value è un indirizzo email valido (dopo aver rimosso i caratteri < e >), viene mappato.
vendor Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
verify security_result.action Se verify è presente, viene utilizzato per determinare l'azione. "NOT" viene mappato a "BLOCK", gli altri valori vengono mappati a "ALLOW".
version network.tls.version Se tls_version non è presente o è "NONE" e version contiene "TLS", viene mappato.
virusthreat security_result.threat_name Il valore di virusthreat del log grezzo viene mappato direttamente se non è "sconosciuto".
virusthreatid security_result.threat_id Il valore di virusthreatid (dopo la rimozione delle virgolette) dal log non elaborato viene mappato direttamente se non è "sconosciuto".
xmailer Non mappato Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.