Raccogli i log degli avvisi di Proofpoint TAP
Questo documento descrive come raccogliere i log degli avvisi di Proofpoint Targeted Attack Protection (TAP) impostando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione PROOFPOINT_MAIL
.
Configurare gli avvisi di Proofpoint TAP
- Accedi al portale di informazioni sulle minacce di Proofpoint utilizzando le tue credenziali.
- Nella scheda Impostazioni, seleziona Applicazioni collegate. Viene visualizzata la sezione Credenziali servizio.
- Nella sezione Nome, fai clic su Crea nuova credenziale.
- Digita il nome della tua organizzazione, ad esempio
altostrat.com
. - Fai clic su Genera. Nella finestra di dialogo Credenziale del servizio generata vengono visualizzati i valori Principale del servizio e Secret.
- Copia i valori Principale servizio e Secret. I valori vengono visualizzati solo al momento della creazione e sono obbligatori quando configuri il feed di Google Security Operations.
- Fai clic su Fine.
Configura un feed in Google Security Operations per importare i log degli avvisi di Proofpoint TAP
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Add New (Aggiungi nuovo).
- Inserisci un nome univoco per il nome del campo.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Avvisi Proofpoint TAP come Tipo di log.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- Nome utente: specifica l'entità servizio ottenuta in precedenza.
- Secret: specifica il segreto ottenuto in precedenza.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser gestisce i log di Proofpoint Mail in formato JSON o chiave-valore, estraendo i dettagli delle attività di email e rete. Mappa i campi dei log all'UDM, classificando eventi come transazioni email e richieste HTTP di rete e arricchendoli con dettagli sulla sicurezza come azioni, categorie e informazioni sulle minacce.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
action |
security_result.action_details |
Il valore di action dal log non elaborato viene mappato direttamente. |
adultscore |
additional.fields[].key : "adultscore"additional.fields[].value.string_value : valore di adultscore |
Il valore di adultscore dal log non elaborato viene inserito in additional_fields . |
attachments |
additional.fields[].key : "attachments"additional_fields[].value.string_value : valore degli allegati |
Il valore di attachments dal log non elaborato viene inserito in additional_fields . |
campaignID |
security_result.rule_id |
Il valore di campaignID dal log non elaborato viene mappato direttamente. |
ccAddresses |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
cid |
additional.fields[].key : "cid"additional_fields[].value.string_value : valore di cid |
Il valore di cid dal log non elaborato viene inserito in additional_fields . |
cipher /tls |
network.tls.cipher |
Se cipher è presente e non è "NESSUNO", viene utilizzato il relativo valore. In caso contrario, se tls è presente e non "NESSUNO", viene utilizzato il relativo valore. |
classification |
security_result.category_details |
Il valore di classification dal log non elaborato viene mappato direttamente. |
clickIP |
principal.asset.ip principal.ip |
Il valore di clickIP dal log non elaborato viene mappato direttamente. |
clickTime |
metadata.event_timestamp.seconds |
Il parser converte la stringa clickTime in un timestamp e la mappa. |
clicksBlocked[].campaignId |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksBlocked[].clickIP |
principal.asset.ip principal.ip |
Il valore di clickIP all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
Il parser converte la stringa clickTime in un timestamp e la mappa. |
clicksBlocked[].classification |
security_result.category_details |
Il valore di classification all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].GUID |
metadata.product_log_id |
Il valore di GUID all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].id |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksBlocked[].messageID |
network.email.mail_id |
Il valore di messageID all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].recipient |
target.user.email_addresses |
Il valore di recipient all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].sender |
principal.user.email_addresses |
Il valore di sender all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].senderIP |
about.ip |
Il valore di senderIP all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].threatID |
security_result.threat_id |
Il valore di threatID all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].threatTime |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
Il valore di threatURL all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].threatStatus |
security_result.threat_status |
Il valore di threatStatus all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].url |
target.url |
Il valore di url all'interno dell'array clicksBlocked è mappato. |
clicksBlocked[].userAgent |
network.http.user_agent |
Il valore di userAgent all'interno dell'array clicksBlocked è mappato. |
clicksPermitted[].campaignId |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].clickIP |
principal.asset.ip principal.ip |
Il valore di clickIP all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
Il parser converte la stringa clickTime in un timestamp e la mappa. |
clicksPermitted[].classification |
security_result.category_details |
Il valore di classification all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].guid |
metadata.product_log_id |
Il valore di guid all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].id |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].messageID |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].recipient |
target.user.email_addresses |
Il valore di recipient all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].sender |
principal.user.email_addresses |
Il valore di sender all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].senderIP |
about.ip |
Il valore di senderIP all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].threatID |
security_result.threat_id |
Il valore di threatID all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].threatTime |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
Il valore di threatURL all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].url |
target.url |
Il valore di url all'interno dell'array clicksPermitted è mappato. |
clicksPermitted[].userAgent |
network.http.user_agent |
Il valore di userAgent all'interno dell'array clicksPermitted è mappato. |
cmd |
principal.process.command_line o network.http.method |
Se è presente sts (codice di stato HTTP), cmd viene mappato a network.http.method . In caso contrario, viene mappato a principal.process.command_line . |
collection_time.seconds |
metadata.event_timestamp.seconds |
Il valore di collection_time.seconds dal log non elaborato viene mappato direttamente. |
completelyRewritten |
security_result.detection_fields[].key : "completelyRewritten"security_result.detection_fields[].value : valore di completelyRewritten |
Il valore di completelyRewritten dal log non elaborato viene inserito in security_result.detection_fields . |
contentType |
about.file.mime_type |
Il valore di contentType dal log non elaborato viene mappato direttamente. |
country |
principal.location.country_or_region |
Il valore di country dal log non elaborato viene mappato direttamente. |
create_time.seconds |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
data |
(più campi) | Il payload JSON nel campo data viene analizzato e mappato a vari campi UDM. |
date /date_log_rebase |
metadata.event_timestamp.seconds |
Il parser esegue il ricalcolo della data in base a un timestamp utilizzando i campi date_log_rebase o date e timeStamp . |
dict |
security_result.category_details |
Il valore di dict dal log non elaborato viene mappato direttamente. |
disposition |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
dnsid |
network.dns.id |
Il valore di dnsid dal log non elaborato viene mappato direttamente e convertito in un numero intero non firmato. |
domain /hfrom_domain |
principal.administrative_domain |
Se domain è presente, viene utilizzato il relativo valore. In caso contrario, se è presente hfrom_domain , viene utilizzato il relativo valore. |
duration |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
eid |
additional.fields[].key : "eid"additional_fields[].value.string_value : valore di eid |
Il valore di eid dal log non elaborato viene inserito in additional_fields . |
engine |
metadata.product_version |
Il valore di engine dal log non elaborato viene mappato direttamente. |
err / msg / result_detail / tls-alert |
security_result.description |
Viene mappato il primo valore disponibile tra msg , err , result_detail o tls-alert (dopo aver rimosso le virgolette). |
file /name |
principal.process.file.full_path |
Se file è presente, viene utilizzato il relativo valore. In caso contrario, se è presente name , viene utilizzato il relativo valore. |
filename |
about.file.full_path |
Il valore di filename dal log non elaborato viene mappato direttamente. |
folder |
additional.fields[].key : "cartella"additional_fields[].value.string_value : valore della cartella |
Il valore di folder dal log non elaborato viene inserito in additional_fields . |
from / hfrom / value |
network.email.from |
Viene applicata una logica complessa (vedi il codice del parser). Gestisce i caratteri < e > e controlla il formato email valido. |
fromAddress |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
GUID |
metadata.product_log_id |
Il valore di GUID dal log non elaborato viene mappato direttamente. |
headerCC |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
headerFrom |
additional.fields[].key : "headerFrom"additional_fields[].value.string_value : valore di headerFrom |
Il valore di headerFrom dal log non elaborato viene inserito in additional_fields . |
headerReplyTo |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
headerTo |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
helo |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
hops-ip /lip |
intermediary.ip |
Se hops-ip è presente, viene utilizzato il relativo valore. In caso contrario, se è presente lip , viene utilizzato il relativo valore. |
host |
principal.hostname |
Il valore di host dal log non elaborato viene mappato direttamente. |
id |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
impostorScore |
additional.fields[].key : "impostorScore"additional_fields[].value.number_value : valore di impostorScore |
Il valore di impostorScore dal log non elaborato viene inserito in additional_fields . |
ip |
principal.asset.ip principal.ip |
Il valore di ip dal log non elaborato viene mappato direttamente. |
log_level |
security_result.severity_details |
Il valore di log_level viene mappato e utilizzato anche per dedurre security_result.severity . |
m |
network.email.mail_id |
Il valore di m (dopo la rimozione dei caratteri < e > ) viene mappato. |
malwareScore |
additional.fields[].key : "malwareScore"additional_fields[].value.number_value : valore di malwareScore |
Il valore di malwareScore dal log non elaborato viene inserito in additional_fields . |
md5 |
about.file.md5 |
Il valore di md5 dal log non elaborato viene mappato direttamente. |
messageID |
network.email.mail_id |
Il valore di messageID (dopo la rimozione dei caratteri < e > ) viene mappato. |
messagesBlocked (array) |
(più campi) | L'array di oggetti messagesBlocked viene sottoposto a iterazione e i campi di ciascun oggetto vengono mappati ai campi UDM. |
messagesBlocked[].ccAddresses |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].cluster |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key : "completelyRewritten"security_result.detection_fields[].value : valore di completelyRewritten |
Il valore di completelyRewritten dal log non elaborato viene inserito in security_result.detection_fields . |
messagesBlocked[].fromAddress |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].GUID |
metadata.product_log_id |
Il valore di GUID dal log non elaborato viene mappato direttamente. |
messagesBlocked[].headerFrom |
additional.fields[].key : "headerFrom"additional_fields[].value.string_value : valore di headerFrom |
Il valore di headerFrom dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].headerReplyTo |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].id |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].impostorScore |
additional.fields[].key : "impostorScore"additional_fields[].value.number_value : valore di impostorScore |
Il valore di impostorScore dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].malwareScore |
additional.fields[].key : "malwareScore"additional_fields[].value.number_value : valore di malwareScore |
Il valore di malwareScore dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].messageID |
network.email.mail_id |
Il valore di messageID (dopo la rimozione dei caratteri < e > ) viene mappato. |
messagesBlocked[].messageParts |
about.file (ripetuto) |
Ogni oggetto nell'array messageParts è mappato a un oggetto about.file separato. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
Il valore di contentType dal log non elaborato viene mappato direttamente. |
messagesBlocked[].messageParts[].disposition |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
Il valore di filename dal log non elaborato viene mappato direttamente. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
Il valore di md5 dal log non elaborato viene mappato direttamente. |
messagesBlocked[].messageParts[].sandboxStatus |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
Il valore di sha256 dal log non elaborato viene mappato direttamente. |
messagesBlocked[].messageSize |
additional.fields[].key : "messageSize"additional_fields[].value.number_value : valore di messageSize |
Il valore di messageSize dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].messageTime |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].modulesRun |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].phishScore |
additional.fields[].key : "phishScore"additional_fields[].value.number_value : valore di phishScore |
Il valore di phishScore dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].policyRoutes |
additional.fields[].key : "PolicyRoutes"additional_fields[].value.list_value.values[].string_value : valore di policyRoutes |
I valori di policyRoutes dal log non elaborato vengono inseriti come elenco in additional_fields . |
messagesBlocked[].QID |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].quarantineFolder |
additional.fields[].key : "quarantineFolder"additional_fields[].value.string_value : valore di quarantineFolder |
Il valore di quarantineFolder dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].quarantineRule |
additional.fields[].key : "quarantineRule"additional_fields[].value.string_value : valore di quarantineRule |
Il valore di quarantineRule dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].recipient |
target.user.email_addresses |
Il valore di recipient dal log non elaborato viene mappato direttamente. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
Il valore di replyToAddress dal log non elaborato viene mappato direttamente. |
messagesBlocked[].sender |
principal.user.email_addresses |
Il valore di sender dal log non elaborato viene mappato direttamente. |
messagesBlocked[].senderIP |
principal.asset.ip principal.ip |
Il valore di senderIP dal log non elaborato viene mappato direttamente. |
messagesBlocked[].spamScore |
additional.fields[].key : "spamScore"additional_fields[].value.number_value : valore di spamScore |
Il valore di spamScore dal log non elaborato viene inserito in additional_fields . |
messagesBlocked[].subject |
network.email.subject |
Il valore di subject dal log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap |
security_result (ripetuto) |
Ogni oggetto nell'array threatsInfoMap è mappato a un oggetto security_result separato. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
Il valore di classification dal log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
Il valore di threat dal log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
Il valore di threatID dal log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
Il valore di threatStatus dal log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatTime |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
Il valore di threatType dal log non elaborato viene mappato direttamente. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
Il valore di threatUrl dal log non elaborato viene mappato direttamente. |
messagesBlocked[].toAddresses |
network.email.to |
Il valore di toAddresses dal log non elaborato viene mappato direttamente. |
messagesBlocked[].xmailer |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
messagesDelivered (array) |
(più campi) | L'array di oggetti messagesDelivered viene sottoposto a iterazione e i campi di ciascun oggetto vengono mappati ai campi UDM. Logica simile a messagesBlocked . |
message |
(più campi) | Se il campo message è JSON valido, viene analizzato e mappato a vari campi UDM. |
metadata.event_type |
metadata.event_type |
Impostato su "EMAIL_TRANSACTION" se message non è JSON, altrimenti derivato dai dati JSON. Impostato su "GENERIC_EVENT" se l'analisi del messaggio syslog non riesce. |
metadata.log_type |
metadata.log_type |
Hardcoded to "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Imposta su "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" in base ai dati JSON. |
metadata.product_name |
metadata.product_name |
Hardcoded su "TAP". |
metadata.vendor_name |
metadata.vendor_name |
Hardcoded to "PROOFPOINT". |
mime |
principal.process.file.mime_type |
Il valore di mime dal log non elaborato viene mappato direttamente. |
mod |
additional.fields[].key : "module"additional_fields[].value.string_value : valore di mod |
Il valore di mod dal log non elaborato viene inserito in additional_fields . |
oContentType |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
path /uri |
principal.url |
Se path è presente, viene utilizzato il relativo valore. In caso contrario, se è presente uri , viene utilizzato il relativo valore. |
phishScore |
additional.fields[].key : "phishScore"additional_fields[].value.number_value : valore di phishScore |
Il valore di phishScore dal log non elaborato viene inserito in additional_fields . |
pid |
principal.process.pid |
Il valore di pid dal log non elaborato viene mappato direttamente. |
policy |
network.direction |
Se policy è "inbound", il campo UDM è impostato su "INBOUND". Se policy è "outbound", il campo UDM è impostato su "OUTBOUND". |
policyRoutes |
additional.fields[].key : "PolicyRoutes"additional_fields[].value.list_value.values[].string_value : valore di policyRoutes |
I valori di policyRoutes dal log non elaborato vengono inseriti come elenco in additional_fields . |
profile |
additional.fields[].key : "profile"additional_fields[].value.string_value : valore del profilo |
Il valore di profile dal log non elaborato viene inserito in additional_fields . |
prot |
proto |
Il valore di prot viene estratto in protocol , convertito in maiuscolo e poi mappato a proto . |
proto |
network.application_protocol |
Il valore di proto (o il valore derivato da prot ) è mappato. Se il valore è "ESMTP", viene modificato in "SMTP" prima della mappatura. |
querydepth |
additional.fields[].key : "querydepth"additional_fields[].value.string_value : valore di querydepth |
Il valore di querydepth dal log non elaborato viene inserito in additional_fields . |
queryEndTime |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
qid |
additional.fields[].key : "qid"additional_fields[].value.string_value : valore di qid |
Il valore di qid dal log non elaborato viene inserito in additional_fields . |
rcpt /rcpts |
network.email.to |
Se rcpt è presente e si tratta di un indirizzo email valido, viene unito al campo to . Stessa logica per rcpts . |
recipient |
target.user.email_addresses |
Il valore di recipient dal log non elaborato viene mappato direttamente. |
relay |
intermediary.hostname intermediary.ip |
Il campo relay viene analizzato per estrarre il nome host e l'indirizzo IP, che vengono poi mappati rispettivamente a intermediary.hostname e intermediary.ip . |
replyToAddress |
network.email.reply_to |
Il valore di replyToAddress dal log non elaborato viene mappato direttamente. |
result |
security_result.action |
Se result è "pass", il campo UDM è impostato su "ALLOW". Se result è "fail", il campo UDM è impostato su "BLOCK". |
routes |
additional.fields[].key : "routes"additional_fields[].value.string_value : valore dei percorsi |
Il valore di routes dal log non elaborato viene inserito in additional_fields . |
s |
network.session_id |
Il valore di s dal log non elaborato viene mappato direttamente. |
sandboxStatus |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
selector |
additional.fields[].key : "selettore"additional_fields[].value.string_value : valore del selettore |
Il valore di selector dal log non elaborato viene inserito in additional_fields . |
sender |
principal.user.email_addresses |
Il valore di sender dal log non elaborato viene mappato direttamente. |
senderIP |
principal.asset.ip principal.ip o about.ip |
Se si trova all'interno di un evento di clic, viene mappato a about.ip . In caso contrario, viene mappato a principal.asset.ip e principal.ip . |
sha256 |
security_result.about.file.sha256 o about.file.sha256 |
Se si trova in una threatInfoMap, viene mappato a security_result.about.file.sha256 . In caso contrario, viene mappato a about.file.sha256 . |
size |
principal.process.file.size o additional.fields[].key : "messageSize"additional_fields[].value.number_value : valore di messageSize |
Se si trova all'interno di un evento di messaggio, viene mappato a additional.fields[].messageSize e convertito in un numero intero non firmato. In caso contrario, viene mappato a principal.process.file.size e convertito in un numero intero senza segno. |
spamScore |
additional.fields[].key : "spamScore"additional_fields[].value.number_value : valore di spamScore |
Il valore di spamScore dal log non elaborato viene inserito in additional_fields . |
stat |
additional.fields[].key : "status"additional_fields[].value.string_value : valore della statistica |
Il valore di stat dal log non elaborato viene inserito in additional_fields . |
status |
additional.fields[].key : "status"additional_fields[].value.string_value : valore dello stato |
Il valore di status (dopo aver rimosso le virgolette) dal log non elaborato viene inserito in additional_fields . |
sts |
network.http.response_code |
Il valore sts del log non elaborato viene mappato direttamente e convertito in un numero intero. |
subject |
network.email.subject |
Il valore di subject dal log non elaborato viene mappato direttamente dopo la rimozione delle virgolette. |
threatID |
security_result.threat_id |
Il valore di threatID dal log non elaborato viene mappato direttamente. |
threatStatus |
security_result.threat_status |
Il valore di threatStatus dal log non elaborato viene mappato direttamente. |
threatTime |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
threatType |
security_result.threat_name |
Il valore di threatType dal log non elaborato viene mappato direttamente. |
threatUrl /threatURL |
security_result.url_back_to_product |
Il valore di threatUrl o threatURL dal log non elaborato viene mappato direttamente. |
threatsInfoMap |
security_result (ripetuto) |
Ogni oggetto nell'array threatsInfoMap è mappato a un oggetto security_result separato. |
tls |
network.tls.cipher |
Se cipher non è presente o è "NESSUNO", viene utilizzato il valore di tls se non è "NESSUNO". |
tls_verify /verify |
security_result.action |
Se verify è presente, il relativo valore viene utilizzato per determinare l'azione. In caso contrario, viene utilizzato tls_verify . "FAIL" corrisponde a "BLOCK", "OK" corrisponde a "ALLOW". |
tls_version /version |
network.tls.version |
Se tls_version è presente e non è "NESSUNO", viene utilizzato il relativo valore. In caso contrario, se version corrisponde a "TLS", viene utilizzato il relativo valore. |
to |
network.email.to |
Il valore di to (dopo la rimozione dei caratteri < e > ) viene mappato. Se non è un indirizzo email valido, viene aggiunto a additional_fields . |
toAddresses |
network.email.to |
Il valore di toAddresses dal log non elaborato viene mappato direttamente. |
timestamp.seconds |
metadata.event_timestamp.seconds |
Il valore di timestamp.seconds dal log non elaborato viene mappato direttamente. |
type |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
url |
target.url o principal.url |
Se si trova all'interno di un evento di clic, viene mappato a target.url . In caso contrario, viene mappato a principal.url . |
userAgent |
network.http.user_agent |
Il valore di userAgent dal log non elaborato viene mappato direttamente. |
uri |
principal.url |
Se path non è presente, viene utilizzato il valore di uri . |
value |
network.email.from |
Se from e hfrom non sono indirizzi email validi e value è un indirizzo email valido (dopo aver rimosso i caratteri < e > ), viene mappato. |
vendor |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
verify |
security_result.action |
Se verify è presente, viene utilizzato per determinare l'azione. "NON" viene mappato a "BLOCCA", mentre gli altri valori vengono mappati a "PERMETTI". |
version |
network.tls.version |
Se tls_version non è presente o è "NESSUNO" e version contiene "TLS", è mappato. |
virusthreat |
security_result.threat_name |
Il valore di virusthreat dal log non elaborato viene mappato direttamente se non è "sconosciuto". |
virusthreatid |
security_result.threat_id |
Il valore di virusthreatid (dopo la rimozione delle virgolette) dal log non elaborato viene mappato direttamente se non è "sconosciuto". |
xmailer |
Non mappato | Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito. |
Modifiche
2024-05-27
- "msg.policyRoutes" è stato mappato a "additional.fields".
2024-04-03
- È stato estratto "sender_domain" da "msg.fromAddress" e "clicks.sender" e mappato a "principal.domain.name".
- "clicks.sender" è stato mappato a "principal.user.email_addresses".
- "clicks.recipient" è stato mappato a "target.user.email_addresses".
2023-06-26
- Miglioramento:
- "clicks.threatStatus" è stato mappato a "security_result.threat_status".
2022-11-03
- Miglioramento: è stato aggiunto il controllo delle condizioni per il campo della data .
- "Assegna la priorità più alta alla data con il timestamp massimo".
- if "click_time" > "threat_time" date mapped to click_time else threat_time.
2022-07-13
- Miglioramento: è stata modificata la mappatura di "intermediary.user.email_addresses" da "(messagesBlocked|messagesDelivered).toAddresses" a "(messagesBlocked|messagesDelivered).ccAddresses" .
2022-06-29
- Miglioramento: è stato aggiunto gsub per rimuovere "<>' dai campi "clicks.messageID" e "m" mappati a "network.email.mail_id".
2022-05-25
- "messageSize" è stato mappato al campo "additional".
- "campaignID" è stato mappato al campo "security_result.rule_id".
- "ccAddresses" è stato mappato al campo "intermediary.user.email_addresses".
- "toAddresses" è stato mappato al campo "target.user.email_addresses".