Raccogliere i log degli avvisi Proofpoint TAP
Supportato in:
Google SecOps
SIEM
Questo documento descrive come raccogliere i log degli avvisi di Proofpoint Targeted Attack Protection (TAP) configurando un feed di Google Security Operations.
Per saperne di più, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati
nel formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser
con l'etichetta di importazione PROOFPOINT_MAIL.
Configurare gli avvisi TAP di Proofpoint
- Accedi al portale di approfondimento sulle minacce di Proofpoint utilizzando le tue credenziali.
- Nella scheda Impostazioni, seleziona Applicazioni connesse. Viene visualizzata la sezione Credenziali di servizio.
- Nella sezione Nome, fai clic su Crea nuova credenziale.
- Digita il nome della tua organizzazione, ad esempio
altostrat.com. - Fai clic su Genera. Nella finestra di dialogo Credenziale di servizio generata vengono visualizzati i valori Entità di servizio e Secret.
- Copia i valori di Entità servizio e Secret. I valori vengono visualizzati solo al momento della creazione e sono necessari quando configuri il feed Google Security Operations.
- Fai clic su Fine.
Configurare i feed
Per configurare un feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log degli avvisi Proofpoint TAP.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Avvisi TAP Proofpoint come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- Nome utente: specifica l'entità servizio che hai ottenuto in precedenza.
- Secret: specifica il secret che hai ottenuto in precedenza.
- Fai clic su Avanti e poi su Invia.
Riferimento alla mappatura dei campi
Questo parser gestisce i log di Proofpoint Mail in formato JSON o chiave-valore, estraendo i dettagli dell'attività di rete ed email. Mappa i campi dei log nel modello UDM, classificando eventi come transazioni email e richieste HTTP di rete e arricchendoli con dettagli di sicurezza come azioni, categorie e informazioni sulle minacce.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Remark |
|---|---|---|
action |
security_result.action_details |
Il valore di action del log non elaborato viene mappato direttamente. |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value: Valore di adultscore |
Il valore di adultscore del log non elaborato viene inserito in additional_fields. |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: Valore degli allegati |
Il valore di attachments del log non elaborato viene inserito in additional_fields. |
campaignID |
security_result.rule_id |
Il valore di campaignID del log non elaborato viene mappato direttamente. |
ccAddresses |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
cid |
additional.fields[].key: cidadditional_fields[].value.string_value: valore di cid |
Il valore di cid del log non elaborato viene inserito in additional_fields. |
cipher/tls |
network.tls.cipher |
Se cipher è presente e non è "NONE", viene utilizzato il suo valore. In caso contrario, se tls è presente e non è "NONE", viene utilizzato il suo valore. |
classification |
security_result.category_details |
Il valore di classification del log non elaborato viene mappato direttamente. |
clickIP |
principal.asset.ipprincipal.ip |
Il valore di clickIP del log non elaborato viene mappato direttamente. |
clicks.impostorScore |
security_result.detection_fields |
Mappato a una coppia chiave-valore in security_result.detection_fields |
clicks.malwareScore |
security_result.detection_fields |
Mappato a una coppia chiave-valore in security_result.detection_fields |
clicks.phishScore |
security_result.detection_fields |
Mappato a una coppia chiave-valore in security_result.detection_fields |
clicks.quarantineFolder |
security_result.priority o security_result.detection_fields |
se click.quarantineFolder è uguale a "priorità bassa" o "priorità alta", esegui il mapping al campo UDM security_result.priority, altrimenti esegui il mapping a security_result.detection_fields |
clicks.quarantineRule |
security_result.rule_name |
Mappato a una coppia chiave-valore in security_result.rule_name |
clicks.sender |
Non mappato | |
clicks.senderIP |
principal.ip |
Mappato a una coppia chiave-valore in principal.ip |
clicks.spamScore |
security_result.detection_fields |
Mappato a una coppia chiave-valore in security_result.detection_fields |
clicksBlocked[].campaignId |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
Il valore di clickIP all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
Il parser converte la stringa clickTime in un timestamp e la mappa. |
clicksBlocked[].classification |
security_result.category_details |
Il valore di classification all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].GUID |
metadata.product_log_id |
Il valore di GUID all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].id |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksBlocked[].messageID |
network.email.mail_id |
Il valore di messageID all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].recipient |
target.user.email_addresses |
Il valore di recipient all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].sender |
principal.user.email_addresses |
Il valore di sender all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].senderIP |
about.ip |
Il valore di senderIP all'interno dell'array clicksBlocked è mappato. La voce generale senderIP viene mappata a principal.asset.ip o principal.ip |
clicksBlocked[].threatID |
security_result.threat_id |
Il valore di threatID all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].threatTime |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
Il valore di threatURL all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].threatStatus |
security_result.threat_status |
Il valore di threatStatus all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].url |
target.url |
Il valore di url all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].userAgent |
network.http.user_agent |
Il valore di userAgent all'interno dell'array clicksBlocked è mappato. |
clicksPermitted[].campaignId |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
Il valore di clickIP all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
Il parser converte la stringa clickTime in un timestamp e la mappa. |
clicksPermitted[].classification |
security_result.category_details |
Il valore di classification all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].guid |
metadata.product_log_id |
Il valore di guid all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].id |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].messageID |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].recipient |
target.user.email_addresses |
Il valore di recipient all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].sender |
principal.user.email_addresses |
Il valore di sender all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].senderIP |
about.ip |
Il valore di senderIP all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].threatID |
security_result.threat_id |
Il valore di threatID all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].threatTime |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
Il valore di threatURL all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].url |
target.url |
Il valore di url all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].userAgent |
network.http.user_agent |
Il valore di userAgent all'interno dell'array clicksPermitted è mappato. |
clickTime |
metadata.event_timestamp.seconds |
Il parser converte la stringa clickTime in un timestamp e la mappa. |
cmd |
principal.process.command_line o network.http.method |
Se è presente sts (codice di stato HTTP), cmd viene mappato a network.http.method. In caso contrario, viene mappato a principal.process.command_line. |
collection_time.seconds |
metadata.event_timestamp.seconds |
Il valore di collection_time.seconds del log non elaborato viene mappato direttamente. |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Valore di completelyRewritten |
Il valore di completelyRewritten del log non elaborato viene inserito in security_result.detection_fields. |
contentType |
about.file.mime_type |
Il valore di contentType del log non elaborato viene mappato direttamente. |
country |
principal.location.country_or_region |
Il valore di country del log non elaborato viene mappato direttamente. |
create_time.seconds |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
data |
(Più campi) | Il payload JSON nel campo data viene analizzato e mappato a vari campi UDM. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
Il parser riassegna la data a un timestamp utilizzando i campi date_log_rebase o date e timeStamp. |
dict |
security_result.category_details |
Il valore di dict del log non elaborato viene mappato direttamente. |
disposition |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
dnsid |
network.dns.id |
Il valore di dnsid del log non elaborato viene mappato e convertito direttamente in un numero intero senza segno. |
domain/hfrom_domain |
principal.administrative_domain |
Se è presente domain, viene utilizzato il relativo valore. In caso contrario, se hfrom_domain è presente, viene utilizzato il relativo valore. |
duration |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: Valore di eid |
Il valore di eid del log non elaborato viene inserito in additional_fields. |
engine |
metadata.product_version |
Il valore di engine del log non elaborato viene mappato direttamente. |
err / msg / result_detail / tls-alert |
security_result.description |
Viene mappato il primo valore disponibile tra msg, err, result_detail o tls-alert (dopo la rimozione delle virgolette). |
file/name |
principal.process.file.full_path |
Se è presente file, viene utilizzato il relativo valore. In caso contrario, se name è presente, viene utilizzato il relativo valore. |
filename |
about.file.full_path |
Il valore di filename del log non elaborato viene mappato direttamente. |
folder |
additional.fields[].key: "folder"additional_fields[].value.string_value: Valore della cartella |
Il valore di folder del log non elaborato viene inserito in additional_fields. |
from / hfrom / value |
network.email.from |
Viene applicata una logica complessa (vedi il codice del parser). Gestisce i caratteri < e > e verifica che il formato email sia valido. |
fromAddress |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
GUID |
metadata.product_log_id |
Il valore di GUID del log non elaborato viene mappato direttamente. |
headerCC |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
Il valore di headerFrom del log non elaborato viene inserito in additional_fields. |
headerReplyTo |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
headerTo |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
helo |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
hops-ip/lip |
intermediary.ip |
Se è presente hops-ip, viene utilizzato il relativo valore. In caso contrario, se lip è presente, viene utilizzato il relativo valore. |
host |
principal.hostname |
Il valore di host del log non elaborato viene mappato direttamente. |
id |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
Il valore di ip del log non elaborato viene mappato direttamente. |
log_level |
security_result.severity_details |
Il valore di log_level viene mappato e utilizzato anche per derivare security_result.severity. |
m |
network.email.mail_id |
Il valore di m (dopo la rimozione dei caratteri < e >) viene mappato. |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
Il valore di md5 del log non elaborato viene mappato direttamente. |
messageID |
network.email.mail_id |
Il valore di messageID (dopo la rimozione dei caratteri < e >) viene mappato. |
messagesBlocked (array) |
(Più campi) | Viene eseguito l'iterazione dell'array di oggetti messagesBlocked e i campi di ogni oggetto vengono mappati ai campi UDM. |
messagesBlocked[].ccAddresses |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].cluster |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Valore di completelyRewritten |
Il valore di completelyRewritten del log non elaborato viene inserito in security_result.detection_fields. |
messagesBlocked[].fromAddress |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].GUID |
metadata.product_log_id |
Il valore di GUID del log non elaborato viene mappato direttamente. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
Il valore di headerFrom del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].headerReplyTo |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].id |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: Valore di impostorScore |
Il valore di impostorScore del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: Valore di malwareScore |
Il valore di malwareScore del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].messageID |
network.email.mail_id |
Il valore di messageID (dopo la rimozione dei caratteri < e >) viene mappato. |
messagesBlocked[].messageParts |
about.file (ripetuto) |
Ogni oggetto nell'array messageParts viene mappato a un oggetto about.file separato. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
Il valore di contentType del log non elaborato viene mappato direttamente. |
messagesBlocked[].messageParts[].disposition |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
Il valore di filename del log non elaborato viene mappato direttamente. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
Il valore di md5 del log non elaborato viene mappato direttamente. |
messagesBlocked[].messageParts[].sandboxStatus |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
Il valore di sha256 del log non elaborato viene mappato direttamente. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: Valore di messageSize |
Il valore di messageSize del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].messageTime |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].modulesRun |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: Valore di phishScore |
Il valore di phishScore del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Value of policyRoutes |
I valori di policyRoutes del log non elaborato vengono inseriti come elenco in additional_fields. |
messagesBlocked[].QID |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: Valore di quarantineFolder |
Il valore di quarantineFolder del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: Valore di quarantineRule |
Il valore di quarantineRule del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].recipient |
target.user.email_addresses |
Il valore di recipient del log non elaborato viene mappato direttamente. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
Il valore di replyToAddress del log non elaborato viene mappato direttamente. |
messagesBlocked[].sender |
principal.user.email_addresses |
Il valore di sender del log non elaborato viene mappato direttamente. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
Il valore di senderIP del log non elaborato viene mappato direttamente. |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: Valore di spamScore |
Il valore di spamScore del log non elaborato viene inserito in additional_fields. |
messagesBlocked[].subject |
network.email.subject |
Il valore di subject del log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap |
security_result (ripetuto) |
Ogni oggetto nell'array threatsInfoMap viene mappato a un oggetto security_result separato. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
Il valore di classification del log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
Il valore di threat del log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
Il valore di threatID del log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
Il valore di threatStatus del log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatTime |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
Il valore di threatType del log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
Il valore di threatUrl del log non elaborato viene mappato direttamente. |
messagesBlocked[].toAddresses |
network.email.to |
Il valore di toAddresses del log non elaborato viene mappato direttamente. |
messagesBlocked[].xmailer |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesDelivered (array) |
(Più campi) | Viene eseguito l'iterazione dell'array di oggetti messagesDelivered e i campi di ogni oggetto vengono mappati ai campi UDM. Logica simile a messagesBlocked. |
message |
(Più campi) | Se il campo message è un JSON valido, viene analizzato e mappato a vari campi UDM. |
metadata.event_type |
metadata.event_type |
Imposta su "EMAIL_TRANSACTION" se message non è JSON, altrimenti derivato dai dati JSON. Imposta "GENERIC_EVENT" se l'analisi del messaggio syslog non va a buon fine. |
metadata.log_type |
metadata.log_type |
Codificato come "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Imposta "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" in base ai dati JSON. |
metadata.product_name |
metadata.product_name |
Codificato su "TAP". |
metadata.vendor_name |
metadata.vendor_name |
Codificato come "PROOFPOINT". |
mime |
principal.process.file.mime_type |
Il valore di mime del log non elaborato viene mappato direttamente. |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: Value of mod |
Il valore di mod del log non elaborato viene inserito in additional_fields. |
msg.imposterScore |
security_result.detection_fields |
Mappato a una coppia chiave-valore in security_result.detection_fields |
msg.malwareScore |
security_result.detection_fields |
Mappato a una coppia chiave-valore in security_result.detection_fields |
msg.phishScore |
security_result.detection_fields |
Mappato a una coppia chiave-valore in security_result.detection_fields |
msg.quarantineFolder |
security_result.priority o security_result.detection_fields |
se msg.quarantineFolder è uguale a "priorità bassa" o "priorità alta", esegui il mapping al campo UDM security_result.priority, altrimenti esegui il mapping a security_result.detection_fields |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
Non mappato | |
oContentType |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path/uri |
principal.url |
Se è presente path, viene utilizzato il relativo valore. In caso contrario, se uri è presente, viene utilizzato il relativo valore. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
Il valore di pid del log non elaborato viene mappato direttamente. |
policy |
network.direction |
Se policy è "inbound", il campo UDM è impostato su "INBOUND". Se policy è "outbound", il campo UDM è impostato su "OUTBOUND". |
policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Value of policyRoutes |
I valori di policyRoutes del log non elaborato vengono inseriti come elenco in additional_fields. |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: Valore del profilo |
Il valore di profile del log non elaborato viene inserito in additional_fields. |
prot |
proto |
Il valore di prot viene estratto in protocol, convertito in maiuscolo e poi mappato a proto. |
proto |
network.application_protocol |
Il valore di proto (o il valore derivato da prot) è mappato. Se il valore è "ESMTP", viene modificato in "SMTP" prima del mapping. |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: Value of querydepth |
Il valore di querydepth del log non elaborato viene inserito in additional_fields. |
queryEndTime |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: Valore di qid |
Il valore di qid del log non elaborato viene inserito in additional_fields. |
quarantineFolder |
security_result.priority o security_result.detection_fields |
se quarantineFolder è uguale a "priorità bassa" o "priorità alta", esegui il mapping al campo UDM security_result.priority, altrimenti esegui il mapping a security_result.detection_fields |
rcpt/rcpts |
network.email.to |
Se rcpt è presente ed è un indirizzo email valido, viene unito al campo to. Stessa logica per rcpts. |
recipient |
target.user.email_addresses |
Il valore di recipient del log non elaborato viene mappato direttamente. |
relay |
intermediary.hostnameintermediary.ip |
Il campo relay viene analizzato per estrarre il nome host e l'indirizzo IP, che vengono poi mappati rispettivamente a intermediary.hostname e intermediary.ip. |
replyToAddress |
network.email.reply_to |
Il valore di replyToAddress del log non elaborato viene mappato direttamente. |
result |
security_result.action |
Se result è "pass", il campo UDM è impostato su "ALLOW". Se result è "fail", il campo UDM è impostato su "BLOCK". |
routes |
additional.fields[].key: "routes"additional_fields[].value.string_value: Valore delle route |
Il valore di routes del log non elaborato viene inserito in additional_fields. |
s |
network.session_id |
Il valore di s del log non elaborato viene mappato direttamente. |
sandboxStatus |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
selector |
additional.fields[].key: "selector"additional_fields[].value.string_value: Valore del selettore |
Il valore di selector del log non elaborato viene inserito in additional_fields. |
sender |
principal.user.email_addresses |
Il valore di sender del log non elaborato viene mappato direttamente. |
senderIP |
principal.asset.ipprincipal.ip o about.ip |
Se si trova all'interno di un evento di clic, viene mappato su about.ip. In caso contrario, viene mappato su principal.asset.ip e principal.ip. |
sha256 |
security_result.about.file.sha256 o about.file.sha256 |
Se si trova in una threatInfoMap, è mappato su security_result.about.file.sha256. In caso contrario, viene mappato a about.file.sha256. |
size |
principal.process.file.size o additional.fields[].key: "messageSize"additional_fields[].value.number_value: Valore di messageSize |
Se si trova all'interno di un evento di messaggio, viene mappato su additional.fields[].messageSize e convertito in un numero intero senza segno. In caso contrario, viene mappato su principal.process.file.size e convertito in un numero intero senza segno. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key: "status"additional_fields[].value.string_value: Valore della statistica |
Il valore di stat del log non elaborato viene inserito in additional_fields. |
status |
additional.fields[].key: "status"additional_fields[].value.string_value: valore dello stato |
Il valore di status (dopo la rimozione delle virgolette) dal log non elaborato viene inserito in additional_fields. |
sts |
network.http.response_code |
Il valore di sts del log non elaborato viene mappato e convertito direttamente in un numero intero. |
subject |
network.email.subject |
Il valore di subject del log grezzo viene mappato direttamente dopo la rimozione delle virgolette. |
threatID |
security_result.threat_id |
Il valore di threatID del log non elaborato viene mappato direttamente. |
threatStatus |
security_result.threat_status |
Il valore di threatStatus del log non elaborato viene mappato direttamente. |
threatTime |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
threatType |
security_result.threat_name |
Il valore di threatType del log non elaborato viene mappato direttamente. |
threatUrl/threatURL |
security_result.url_back_to_product |
Il valore di threatUrl o threatURL del log non elaborato viene mappato direttamente. |
threatsInfoMap |
security_result (ripetuto) |
Ogni oggetto nell'array threatsInfoMap viene mappato a un oggetto security_result separato. |
tls |
network.tls.cipher |
Se cipher non è presente o è "NONE", viene utilizzato il valore di tls se non è "NONE". |
tls_verify/verify |
security_result.action |
Se è presente verify, il suo valore viene utilizzato per determinare l'azione. In caso contrario, viene utilizzato tls_verify. "FAIL" corrisponde a "BLOCK", "OK" corrisponde a "ALLOW". |
tls_version/version |
network.tls.version |
Se tls_version è presente e non è "NONE", viene utilizzato il suo valore. In caso contrario, se version corrisponde a "TLS", viene utilizzato il relativo valore. |
to |
network.email.to |
Il valore di to (dopo la rimozione dei caratteri < e >) viene mappato. Se non è un indirizzo email valido, viene aggiunto a additional_fields. |
toAddresses |
network.email.to |
Il valore di toAddresses del log non elaborato viene mappato direttamente. |
timestamp.seconds |
metadata.event_timestamp.seconds |
Il valore di timestamp.seconds del log non elaborato viene mappato direttamente. |
type |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
url |
target.url o principal.url |
Se si trova all'interno di un evento di clic, viene mappato su target.url. In caso contrario, viene mappato a principal.url. |
userAgent |
network.http.user_agent |
Il valore di userAgent del log non elaborato viene mappato direttamente. |
uri |
principal.url |
Se path non è presente, viene utilizzato il valore di uri. |
value |
network.email.from |
Se from e hfrom non sono indirizzi email validi e value è un indirizzo email valido (dopo aver rimosso i caratteri < e >), viene mappato. |
vendor |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
verify |
security_result.action |
Se verify è presente, viene utilizzato per determinare l'azione. "NOT" viene mappato a "BLOCK", gli altri valori vengono mappati a "ALLOW". |
version |
network.tls.version |
Se tls_version non è presente o è "NONE" e version contiene "TLS", viene mappato. |
virusthreat |
security_result.threat_name |
Il valore di virusthreat del log grezzo viene mappato direttamente se non è "sconosciuto". |
virusthreatid |
security_result.threat_id |
Il valore di virusthreatid (dopo la rimozione delle virgolette) dal log non elaborato viene mappato direttamente se non è "sconosciuto". |
xmailer |
Non mappato | Sebbene presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
Riferimento del delta di mappatura UDM
Il 9 settembre 2025, Google SecOps ha rilasciato una nuova versione del parser Symantec Endpoint Protection, che include modifiche significative al mapping dei campi di log di Symantec Endpoint Protection ai campi UDM e aggiornamenti alle classificazioni (mapping) dei tipi di eventi.
Delta della mappatura dei campi di log
La tabella seguente mostra le modifiche alla mappatura dei campi dei log di Symantec Endpoint Protection ai campi UDM. La colonna Mappatura precedente elenca i campi esposti prima del 9 settembre 2025, mentre la colonna Mappatura attuale elenca i nuovi campi.
| Campo log | Mappatura precedente | Mappatura attuale |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
Se quarantineFolder è uguale a low priority o high priority,esegui il mapping a security_result.priority. In caso contrario, mappalo su security_result.detection_fields. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
Se quarantineFolder è uguale a low priority o high priority,esegui il mapping a security_result.priority. In caso contrario, mappalo su security_result.detection_fields. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal topriorità bassaorpriorità altathen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
Delta della mappatura dei tipi di eventi
Più eventi precedentemente classificati come eventi generici ora sono classificati correttamente con tipi di eventi più significativi.
La tabella seguente elenca la differenza nella gestione dei tipi di eventi Symantec Endpoint Protection prima del 9 settembre 2025 e successivamente (elencati rispettivamente nelle colonne Old event_type e Current event_type).
| Formato | eventType from log | Old event_type | Current event_type |
|---|---|---|---|
SYSLOG+KV |
Se il log contiene i campi fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts o mailer,proto,mod |
EMAIL_TRANSACTION |
|
Se il log contiene solo i dettagli di mail_id |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
CEF log |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
se il log contiene emails, sender, headerReplyTo, orig_recipient |
USER_UNCATEGORIED |
||
se il log contiene src, host |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.