Proofpoint TAP アラートログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フィードを設定して Proofpoint Targeted Attack Protection(TAP)アラートログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル PROOFPOINT_MAIL が付加されたパーサーに適用されます。
Proofpoint TAP アラートを構成する
- 認証情報を使用して Proofpoint の脅威インサイト ポータルにログインします。
- [設定] タブで、[接続済みのアプリケーション] を選択します。[サービス認証情報] セクションが表示されます。
- [名前] セクションで、[新しい認証情報を作成] をクリックします。
- 組織の名前(
altostrat.comなど)を入力します。 - [生成] をクリックします。[Generated service credential] ダイアログに、[Service principal] と [Secret] の値が表示されます。
- [サービス プリンシパル] と [シークレット] の値をコピーします。これらの値は作成時にのみ表示され、Google Security Operations フィードを構成するときに必要になります。
- [完了] をクリックします。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Proofpoint TAP アラートログ)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Proofpoint TAP アラート] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- ユーザー名: 前の手順で取得したサービス プリンシパルを指定します。
- シークレット: 前の手順で取得したシークレットを指定します。
- [次へ] をクリックしてから、[送信] をクリックします。
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
- ユーザー名: 前の手順で取得したサービス プリンシパルを指定します。
- シークレット: 前の手順で取得したシークレットを指定します。
詳細オプション
- フィード名: フィードを識別する値が事前入力されています。
- ソースタイプ: ログを Google SecOps に収集するために使用される方法。
- アセット Namespace: フィードに関連付けられた Namespace。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、JSON 形式または Key-Value 形式の Proofpoint Mail ログを処理し、メールとネットワーク アクティビティの詳細を抽出します。ログフィールドを UDM にマッピングし、メール トランザクションやネットワーク HTTP リクエストなどのイベントを分類し、アクション、カテゴリ、脅威情報などのセキュリティの詳細情報を追加します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
action |
security_result.action_details |
未加工ログの action の値が直接マッピングされます。 |
adultscore |
additional.fields[].key: 「adultscore」additional.fields[].value.string_value: adultscore の値 |
未加工ログの adultscore の値が additional_fields に配置されます。 |
attachments |
additional.fields[].key:「attachments」additional_fields[].value.string_value: 添付ファイルの値 |
未加工ログの attachments の値が additional_fields に配置されます。 |
campaignID |
security_result.rule_id |
未加工ログの campaignID の値が直接マッピングされます。 |
ccAddresses |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
cid |
additional.fields[].key: 「cid」additional_fields[].value.string_value: cid の値 |
未加工ログの cid の値が additional_fields に配置されます。 |
cipher / tls |
network.tls.cipher |
cipher が存在し、「NONE」でない場合は、その値が使用されます。それ以外の場合、tls が存在し、「NONE」でない場合は、その値が使用されます。 |
classification |
security_result.category_details |
未加工ログの classification の値が直接マッピングされます。 |
clickIP |
principal.asset.ipprincipal.ip |
未加工ログの clickIP の値が直接マッピングされます。 |
clickTime |
metadata.event_timestamp.seconds |
パーサーは clickTime 文字列をタイムスタンプに変換してマッピングします。 |
clicksBlocked[].campaignId |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
clicksBlocked 配列内の clickIP の値がマッピングされます。 |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
パーサーは clickTime 文字列をタイムスタンプに変換してマッピングします。 |
clicksBlocked[].classification |
security_result.category_details |
clicksBlocked 配列内の classification の値がマッピングされます。 |
clicksBlocked[].GUID |
metadata.product_log_id |
clicksBlocked 配列内の GUID の値がマッピングされます。 |
clicksBlocked[].id |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
clicksBlocked[].messageID |
network.email.mail_id |
clicksBlocked 配列内の messageID の値がマッピングされます。 |
clicksBlocked[].recipient |
target.user.email_addresses |
clicksBlocked 配列内の recipient の値がマッピングされます。 |
clicksBlocked[].sender |
principal.user.email_addresses |
clicksBlocked 配列内の sender の値がマッピングされます。 |
clicksBlocked[].senderIP |
about.ip |
clicksBlocked 配列内の senderIP の値がマッピングされます。 |
clicksBlocked[].threatID |
security_result.threat_id |
clicksBlocked 配列内の threatID の値がマッピングされます。 |
clicksBlocked[].threatTime |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
clicksBlocked 配列内の threatURL の値がマッピングされます。 |
clicksBlocked[].threatStatus |
security_result.threat_status |
clicksBlocked 配列内の threatStatus の値がマッピングされます。 |
clicksBlocked[].url |
target.url |
clicksBlocked 配列内の url の値がマッピングされます。 |
clicksBlocked[].userAgent |
network.http.user_agent |
clicksBlocked 配列内の userAgent の値がマッピングされます。 |
clicksPermitted[].campaignId |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
clicksPermitted 配列内の clickIP の値がマッピングされます。 |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
パーサーは clickTime 文字列をタイムスタンプに変換してマッピングします。 |
clicksPermitted[].classification |
security_result.category_details |
clicksPermitted 配列内の classification の値がマッピングされます。 |
clicksPermitted[].guid |
metadata.product_log_id |
clicksPermitted 配列内の guid の値がマッピングされます。 |
clicksPermitted[].id |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
clicksPermitted[].messageID |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
clicksPermitted[].recipient |
target.user.email_addresses |
clicksPermitted 配列内の recipient の値がマッピングされます。 |
clicksPermitted[].sender |
principal.user.email_addresses |
clicksPermitted 配列内の sender の値がマッピングされます。 |
clicksPermitted[].senderIP |
about.ip |
clicksPermitted 配列内の senderIP の値がマッピングされます。 |
clicksPermitted[].threatID |
security_result.threat_id |
clicksPermitted 配列内の threatID の値がマッピングされます。 |
clicksPermitted[].threatTime |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
clicksPermitted 配列内の threatURL の値がマッピングされます。 |
clicksPermitted[].url |
target.url |
clicksPermitted 配列内の url の値がマッピングされます。 |
clicksPermitted[].userAgent |
network.http.user_agent |
clicksPermitted 配列内の userAgent の値がマッピングされます。 |
cmd |
principal.process.command_line または network.http.method |
sts(HTTP ステータス コード)が存在する場合、cmd は network.http.method にマッピングされます。それ以外の場合は principal.process.command_line にマッピングされます。 |
collection_time.seconds |
metadata.event_timestamp.seconds |
未加工ログの collection_time.seconds の値が直接マッピングされます。 |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: completelyRewritten の値 |
未加工ログの completelyRewritten の値が security_result.detection_fields に配置されます。 |
contentType |
about.file.mime_type |
未加工ログの contentType の値が直接マッピングされます。 |
country |
principal.location.country_or_region |
未加工ログの country の値が直接マッピングされます。 |
create_time.seconds |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
data |
(複数のフィールド) | data フィールドの JSON ペイロードが解析され、さまざまな UDM フィールドにマッピングされます。 |
date / date_log_rebase |
metadata.event_timestamp.seconds |
パーサーは、date_log_rebase フィールドまたは date フィールドと timeStamp フィールドを使用して、日付をタイムスタンプに再ベースします。 |
dict |
security_result.category_details |
未加工ログの dict の値が直接マッピングされます。 |
disposition |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
dnsid |
network.dns.id |
未加工ログの dnsid の値は直接マッピングされ、符号なし整数に変換されます。 |
domain / hfrom_domain |
principal.administrative_domain |
domain が存在する場合は、その値が使用されます。それ以外の場合、hfrom_domain が存在する場合はその値が使用されます。 |
duration |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
eid |
additional.fields[].key: 「eid」additional_fields[].value.string_value: eid の値 |
未加工ログの eid の値が additional_fields に配置されます。 |
engine |
metadata.product_version |
未加工ログの engine の値が直接マッピングされます。 |
err / msg / result_detail / tls-alert |
security_result.description |
msg、err、result_detail、tls-alert のうち、最初に使用可能な値(引用符を削除した後)がマッピングされます。 |
file / name |
principal.process.file.full_path |
file が存在する場合は、その値が使用されます。それ以外の場合、name が存在する場合はその値が使用されます。 |
filename |
about.file.full_path |
未加工ログの filename の値が直接マッピングされます。 |
folder |
additional.fields[].key: 「folder」additional_fields[].value.string_value: フォルダの値 |
未加工ログの folder の値が additional_fields に配置されます。 |
from / hfrom / value |
network.email.from |
複雑なロジックが適用されます(パーサーコードを参照)。< と > の文字を処理し、有効なメール形式かどうかを確認します。 |
fromAddress |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
GUID |
metadata.product_log_id |
未加工ログの GUID の値が直接マッピングされます。 |
headerCC |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
headerFrom |
additional.fields[].key: 「headerFrom」additional_fields[].value.string_value: headerFrom の値 |
未加工ログの headerFrom の値が additional_fields に配置されます。 |
headerReplyTo |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
headerTo |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
helo |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
hops-ip / lip |
intermediary.ip |
hops-ip が存在する場合は、その値が使用されます。それ以外の場合、lip が存在する場合はその値が使用されます。 |
host |
principal.hostname |
未加工ログの host の値が直接マッピングされます。 |
id |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: impostorScore の値 |
未加工ログの impostorScore の値が additional_fields に配置されます。 |
ip |
principal.asset.ipprincipal.ip |
未加工ログの ip の値が直接マッピングされます。 |
log_level |
security_result.severity_details |
log_level の値はマッピングされ、security_result.severity の導出にも使用されます。 |
m |
network.email.mail_id |
m の値(< と > の文字を削除した後)がマッピングされます。 |
malwareScore |
additional.fields[].key: 「malwareScore」additional_fields[].value.number_value: malwareScore の値 |
未加工ログの malwareScore の値が additional_fields に配置されます。 |
md5 |
about.file.md5 |
未加工ログの md5 の値が直接マッピングされます。 |
messageID |
network.email.mail_id |
messageID の値(< と > の文字を削除した後)がマッピングされます。 |
messagesBlocked(配列) |
(複数のフィールド) | messagesBlocked オブジェクトの配列が反復処理され、各オブジェクトのフィールドが UDM フィールドにマッピングされます。 |
messagesBlocked[].ccAddresses |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].cluster |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: completelyRewritten の値 |
未加工ログの completelyRewritten の値が security_result.detection_fields に配置されます。 |
messagesBlocked[].fromAddress |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].GUID |
metadata.product_log_id |
未加工ログの GUID の値が直接マッピングされます。 |
messagesBlocked[].headerFrom |
additional.fields[].key: 「headerFrom」additional_fields[].value.string_value: headerFrom の値 |
未加工ログの headerFrom の値が additional_fields に配置されます。 |
messagesBlocked[].headerReplyTo |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].id |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: impostorScore の値 |
未加工ログの impostorScore の値が additional_fields に配置されます。 |
messagesBlocked[].malwareScore |
additional.fields[].key: 「malwareScore」additional_fields[].value.number_value: malwareScore の値 |
未加工ログの malwareScore の値が additional_fields に配置されます。 |
messagesBlocked[].messageID |
network.email.mail_id |
messageID の値(< と > の文字を削除した後)がマッピングされます。 |
messagesBlocked[].messageParts |
about.file(繰り返し) |
messageParts 配列内の各オブジェクトは、個別の about.file オブジェクトにマッピングされます。 |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
未加工ログの contentType の値が直接マッピングされます。 |
messagesBlocked[].messageParts[].disposition |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
未加工ログの filename の値が直接マッピングされます。 |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
未加工ログの md5 の値が直接マッピングされます。 |
messagesBlocked[].messageParts[].sandboxStatus |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
未加工ログの sha256 の値が直接マッピングされます。 |
messagesBlocked[].messageSize |
additional.fields[].key: 「messageSize」additional_fields[].value.number_value: messageSize の値 |
未加工ログの messageSize の値が additional_fields に配置されます。 |
messagesBlocked[].messageTime |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].modulesRun |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: phishScore の値 |
未加工ログの phishScore の値が additional_fields に配置されます。 |
messagesBlocked[].policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: policyRoutes の値 |
未加工ログの policyRoutes の値は、リストとして additional_fields に配置されます。 |
messagesBlocked[].QID |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].quarantineFolder |
additional.fields[].key: 「quarantineFolder」additional_fields[].value.string_value: quarantineFolder の値 |
未加工ログの quarantineFolder の値が additional_fields に配置されます。 |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: quarantineRule の値 |
未加工ログの quarantineRule の値が additional_fields に配置されます。 |
messagesBlocked[].recipient |
target.user.email_addresses |
未加工ログの recipient の値が直接マッピングされます。 |
messagesBlocked[].replyToAddress |
network.email.reply_to |
未加工ログの replyToAddress の値が直接マッピングされます。 |
messagesBlocked[].sender |
principal.user.email_addresses |
未加工ログの sender の値が直接マッピングされます。 |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
未加工ログの senderIP の値が直接マッピングされます。 |
messagesBlocked[].spamScore |
additional.fields[].key:「spamScore」additional_fields[].value.number_value: spamScore の値 |
未加工ログの spamScore の値が additional_fields に配置されます。 |
messagesBlocked[].subject |
network.email.subject |
未加工ログの subject の値が直接マッピングされます。 |
messagesBlocked[].threatsInfoMap |
security_result(繰り返し) |
threatsInfoMap 配列内の各オブジェクトは、個別の security_result オブジェクトにマッピングされます。 |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
未加工ログの classification の値が直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
未加工ログの threat の値が直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
未加工ログの threatID の値が直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
未加工ログの threatStatus の値が直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatTime |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
未加工ログの threatType の値が直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
未加工ログの threatUrl の値が直接マッピングされます。 |
messagesBlocked[].toAddresses |
network.email.to |
未加工ログの toAddresses の値が直接マッピングされます。 |
messagesBlocked[].xmailer |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
messagesDelivered(配列) |
(複数のフィールド) | messagesDelivered オブジェクトの配列が反復処理され、各オブジェクトのフィールドが UDM フィールドにマッピングされます。messagesBlocked と同様のロジック。 |
message |
(複数のフィールド) | message フィールドが有効な JSON の場合、解析されてさまざまな UDM フィールドにマッピングされます。 |
metadata.event_type |
metadata.event_type |
message が JSON でない場合は「EMAIL_TRANSACTION」に設定します。それ以外の場合は、JSON データから派生します。syslog メッセージの解析に失敗した場合は、「GENERIC_EVENT」に設定します。 |
metadata.log_type |
metadata.log_type |
「PROOFPOINT_MAIL」にハードコードされています。 |
metadata.product_event_type |
metadata.product_event_type |
JSON データに基づいて、「messagesBlocked」、「messagesDelivered」、「clicksPermitted」、「clicksBlocked」のいずれかに設定します。 |
metadata.product_name |
metadata.product_name |
「TAP」にハードコードされています。 |
metadata.vendor_name |
metadata.vendor_name |
「PROOFPOINT」にハードコードされています。 |
mime |
principal.process.file.mime_type |
未加工ログの mime の値が直接マッピングされます。 |
mod |
additional.fields[].key:「module」additional_fields[].value.string_value: mod の値 |
未加工ログの mod の値が additional_fields に配置されます。 |
oContentType |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
path / uri |
principal.url |
path が存在する場合は、その値が使用されます。それ以外の場合、uri が存在する場合はその値が使用されます。 |
phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: phishScore の値 |
未加工ログの phishScore の値が additional_fields に配置されます。 |
pid |
principal.process.pid |
未加工ログの pid の値が直接マッピングされます。 |
policy |
network.direction |
policy が「inbound」の場合、UDM フィールドは「INBOUND」に設定されます。policy が「outbound」の場合、UDM フィールドは「OUTBOUND」に設定されます。 |
policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: policyRoutes の値 |
未加工ログの policyRoutes の値は、リストとして additional_fields に配置されます。 |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: プロフィールの値 |
未加工ログの profile の値が additional_fields に配置されます。 |
prot |
proto |
prot の値は protocol に抽出され、大文字に変換されてから proto にマッピングされます。 |
proto |
network.application_protocol |
proto の値(または prot から派生した値)がマッピングされます。値が「ESMTP」の場合は、マッピング前に「SMTP」に変更されます。 |
querydepth |
additional.fields[].key: 「querydepth」additional_fields[].value.string_value: querydepth の値 |
未加工ログの querydepth の値が additional_fields に配置されます。 |
queryEndTime |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: qid の値 |
未加工ログの qid の値が additional_fields に配置されます。 |
rcpt / rcpts |
network.email.to |
rcpt が存在し、有効なメールアドレスである場合は、to フィールドに統合されます。rcpts にも同じロジックが適用されます。 |
recipient |
target.user.email_addresses |
未加工ログの recipient の値が直接マッピングされます。 |
relay |
intermediary.hostnameintermediary.ip |
relay フィールドが解析され、ホスト名と IP アドレスが抽出され、それぞれ intermediary.hostname と intermediary.ip にマッピングされます。 |
replyToAddress |
network.email.reply_to |
未加工ログの replyToAddress の値が直接マッピングされます。 |
result |
security_result.action |
result が「pass」の場合、UDM フィールドは「ALLOW」に設定されます。result が「fail」の場合、UDM フィールドは「BLOCK」に設定されます。 |
routes |
additional.fields[].key: 「routes」additional_fields[].value.string_value: ルートの値 |
未加工ログの routes の値が additional_fields に配置されます。 |
s |
network.session_id |
未加工ログの s の値が直接マッピングされます。 |
sandboxStatus |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
selector |
additional.fields[].key: 「selector」additional_fields[].value.string_value: セレクタの値 |
未加工ログの selector の値が additional_fields に配置されます。 |
sender |
principal.user.email_addresses |
未加工ログの sender の値が直接マッピングされます。 |
senderIP |
principal.asset.ipprincipal.ip または about.ip |
クリック イベント内にある場合は、about.ip にマッピングされます。それ以外の場合は、principal.asset.ip と principal.ip にマッピングされます。 |
sha256 |
security_result.about.file.sha256 または about.file.sha256 |
threatInfoMap 内にある場合は、security_result.about.file.sha256 にマッピングされます。それ以外の場合は about.file.sha256 にマッピングされます。 |
size |
principal.process.file.size または additional.fields[].key: 「messageSize」additional_fields[].value.number_value: messageSize の値 |
メッセージ イベント内にある場合は、additional.fields[].messageSize にマッピングされ、符号なし整数に変換されます。それ以外の場合は、principal.process.file.size にマッピングされ、符号なし整数に変換されます。 |
spamScore |
additional.fields[].key:「spamScore」additional_fields[].value.number_value: spamScore の値 |
未加工ログの spamScore の値が additional_fields に配置されます。 |
stat |
additional.fields[].key: "status"additional_fields[].value.string_value: stat の値 |
未加工ログの stat の値が additional_fields に配置されます。 |
status |
additional.fields[].key: "status"additional_fields[].value.string_value: ステータスの値 |
未加工ログの status の値(引用符を削除した後)が additional_fields に配置されます。 |
sts |
network.http.response_code |
未加工ログの sts の値は直接マッピングされ、整数に変換されます。 |
subject |
network.email.subject |
未加工ログの subject の値は、引用符を削除した後に直接マッピングされます。 |
threatID |
security_result.threat_id |
未加工ログの threatID の値が直接マッピングされます。 |
threatStatus |
security_result.threat_status |
未加工ログの threatStatus の値が直接マッピングされます。 |
threatTime |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
threatType |
security_result.threat_name |
未加工ログの threatType の値が直接マッピングされます。 |
threatUrl / threatURL |
security_result.url_back_to_product |
未加工ログの threatUrl または threatURL の値が直接マッピングされます。 |
threatsInfoMap |
security_result(繰り返し) |
threatsInfoMap 配列内の各オブジェクトは、個別の security_result オブジェクトにマッピングされます。 |
tls |
network.tls.cipher |
cipher が存在しないか「NONE」の場合、tls が「NONE」でなければ、tls の値が使用されます。 |
tls_verify / verify |
security_result.action |
verify が存在する場合、その値を使用してアクションが決定されます。それ以外の場合は、tls_verify が使用されます。「FAIL」は「BLOCK」にマッピングされ、「OK」は「ALLOW」にマッピングされます。 |
tls_version / version |
network.tls.version |
tls_version が存在し、「NONE」でない場合は、その値が使用されます。それ以外の場合、version が「TLS」と一致する場合は、その値が使用されます。 |
to |
network.email.to |
to の値(< と > の文字を削除した後)がマッピングされます。有効なメールアドレスでない場合は、additional_fields に追加されます。 |
toAddresses |
network.email.to |
未加工ログの toAddresses の値が直接マッピングされます。 |
timestamp.seconds |
metadata.event_timestamp.seconds |
未加工ログの timestamp.seconds の値が直接マッピングされます。 |
type |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
url |
target.url または principal.url |
クリック イベント内にある場合は、target.url にマッピングされます。それ以外の場合は principal.url にマッピングされます。 |
userAgent |
network.http.user_agent |
未加工ログの userAgent の値が直接マッピングされます。 |
uri |
principal.url |
path が存在しない場合は、uri の値が使用されます。 |
value |
network.email.from |
from と hfrom が有効なメールアドレスではなく、value が有効なメールアドレス(< と > の文字を削除した後)である場合は、マッピングされます。 |
vendor |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
verify |
security_result.action |
verify が存在する場合は、アクションの決定に使用されます。「NOT」は「BLOCK」にマッピングされ、その他の値は「ALLOW」にマッピングされます。 |
version |
network.tls.version |
tls_version が存在しないか「NONE」で、version に「TLS」が含まれている場合は、マッピングされます。 |
virusthreat |
security_result.threat_name |
未加工ログの virusthreat の値が「unknown」でない場合、直接マッピングされます。 |
virusthreatid |
security_result.threat_id |
未加工ログの virusthreatid の値(引用符を削除した後)が「unknown」でない場合、直接マッピングされます。 |
xmailer |
マッピングされません | このフィールドはロギングデータに存在しますが、提供された UDM の IDM オブジェクトにはマッピングされません。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。