Coletar registros de alertas do Proofpoint TAP

Compatível com:

Neste documento, descrevemos como coletar registros de alertas do Proofpoint Targeted Attack Protection (TAP) configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão PROOFPOINT_MAIL.

Configurar alertas do Proofpoint TAP

  1. Faça login no portal de insights de ameaças do Proofpoint usando suas credenciais.
  2. Na guia Configurações, selecione Aplicativos conectados. A seção Credenciais de serviço aparece.
  3. Na seção Nome, clique em Criar nova credencial.
  4. Digite o nome da sua organização, como altostrat.com.
  5. Clique em Gerar. Na caixa de diálogo Credencial de serviço gerada, aparecem os valores Entidade de serviço e Secret.
  6. Copie os valores de Entidade de serviço e Secret. Os valores são mostrados apenas no momento da criação e são necessários ao configurar o feed do Google Security Operations.
  7. Clique em Concluído.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de alertas do Proofpoint TAP.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Alertas do Proofpoint TAP como o Tipo de registro.
  7. Clique em Próxima.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Nome de usuário: especifique a principal de serviço que você recebeu anteriormente.
    • Chave secreta: especifique a chave secreta que você recebeu anteriormente.
  9. Clique em Próxima e em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Nome de usuário: especifique a principal de serviço que você recebeu anteriormente.
  • Chave secreta: especifique a chave secreta que você recebeu anteriormente.

Opções avançadas

  • Nome do feed:um valor pré-preenchido que identifica o feed.
  • Tipo de origem:método usado para coletar registros no Google SecOps.
  • Namespace do recurso:namespace associado ao feed.
  • Rótulos de ingestão:rótulos aplicados a todos os eventos deste feed.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.

Referência de mapeamento de campos

Esse analisador processa registros do Proofpoint Mail em formato JSON ou de chave-valor, extraindo detalhes de e-mail e atividade de rede. Ele mapeia campos de registro para a UDM, categorizando eventos como transações de e-mail e solicitações HTTP de rede, além de enriquecê-los com detalhes de segurança, como ações, categorias e informações de ameaças.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
action security_result.action_details O valor de action do registro bruto é mapeado diretamente.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: valor de adultscore		 O valor de adultscore do registro bruto é colocado em additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: valor dos anexos		 O valor de attachments do registro bruto é colocado em additional_fields.
campaignID security_result.rule_id O valor de campaignID do registro bruto é mapeado diretamente.
ccAddresses Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: valor de cid		 O valor de cid do registro bruto é colocado em additional_fields.
cipher / tls network.tls.cipher Se cipher estiver presente e não for "NONE", o valor dele será usado. Caso contrário, se tls estiver presente e não for "NONE", o valor dele será usado.
classification security_result.category_details O valor de classification do registro bruto é mapeado diretamente.
clickIP principal.asset.ip
principal.ip		 O valor de clickIP do registro bruto é mapeado diretamente.
clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime em um carimbo de data/hora e a mapeia.
clicksBlocked[].campaignId Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 O valor de clickIP na matriz clicksBlocked é mapeado.
clicksBlocked[].clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime em um carimbo de data/hora e a mapeia.
clicksBlocked[].classification security_result.category_details O valor de classification na matriz clicksBlocked é mapeado.
clicksBlocked[].GUID metadata.product_log_id O valor de GUID na matriz clicksBlocked é mapeado.
clicksBlocked[].id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
clicksBlocked[].messageID network.email.mail_id O valor de messageID na matriz clicksBlocked é mapeado.
clicksBlocked[].recipient target.user.email_addresses O valor de recipient na matriz clicksBlocked é mapeado.
clicksBlocked[].sender principal.user.email_addresses O valor de sender na matriz clicksBlocked é mapeado.
clicksBlocked[].senderIP about.ip O valor de senderIP na matriz clicksBlocked é mapeado.
clicksBlocked[].threatID security_result.threat_id O valor de threatID na matriz clicksBlocked é mapeado.
clicksBlocked[].threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
clicksBlocked[].threatURL security_result.url_back_to_product O valor de threatURL na matriz clicksBlocked é mapeado.
clicksBlocked[].threatStatus security_result.threat_status O valor de threatStatus na matriz clicksBlocked é mapeado.
clicksBlocked[].url target.url O valor de url na matriz clicksBlocked é mapeado.
clicksBlocked[].userAgent network.http.user_agent O valor de userAgent na matriz clicksBlocked é mapeado.
clicksPermitted[].campaignId Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 O valor de clickIP na matriz clicksPermitted é mapeado.
clicksPermitted[].clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime em um carimbo de data/hora e a mapeia.
clicksPermitted[].classification security_result.category_details O valor de classification na matriz clicksPermitted é mapeado.
clicksPermitted[].guid metadata.product_log_id O valor de guid na matriz clicksPermitted é mapeado.
clicksPermitted[].id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
clicksPermitted[].messageID Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
clicksPermitted[].recipient target.user.email_addresses O valor de recipient na matriz clicksPermitted é mapeado.
clicksPermitted[].sender principal.user.email_addresses O valor de sender na matriz clicksPermitted é mapeado.
clicksPermitted[].senderIP about.ip O valor de senderIP na matriz clicksPermitted é mapeado.
clicksPermitted[].threatID security_result.threat_id O valor de threatID na matriz clicksPermitted é mapeado.
clicksPermitted[].threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
clicksPermitted[].threatURL security_result.url_back_to_product O valor de threatURL na matriz clicksPermitted é mapeado.
clicksPermitted[].url target.url O valor de url na matriz clicksPermitted é mapeado.
clicksPermitted[].userAgent network.http.user_agent O valor de userAgent na matriz clicksPermitted é mapeado.
cmd principal.process.command_line ou network.http.method Se sts (código de status HTTP) estiver presente, cmd será mapeado para network.http.method. Caso contrário, ele será mapeado para principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds O valor de collection_time.seconds do registro bruto é mapeado diretamente.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valor de completelyRewritten		 O valor de completelyRewritten do registro bruto é colocado em security_result.detection_fields.
contentType about.file.mime_type O valor de contentType do registro bruto é mapeado diretamente.
country principal.location.country_or_region O valor de country do registro bruto é mapeado diretamente.
create_time.seconds Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
data (Vários campos) O payload JSON no campo data é analisado e mapeado para vários campos da UDM.
date / date_log_rebase metadata.event_timestamp.seconds O analisador converte a data em um carimbo de data/hora usando os campos date_log_rebase ou date e timeStamp.
dict security_result.category_details O valor de dict do registro bruto é mapeado diretamente.
disposition Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
dnsid network.dns.id O valor de dnsid do registro bruto é mapeado e convertido diretamente em um número inteiro sem sinal.
domain / hfrom_domain principal.administrative_domain Se domain estiver presente, o valor dele será usado. Caso contrário, se hfrom_domain estiver presente, o valor dele será usado.
duration Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: valor do eid		 O valor de eid do registro bruto é colocado em additional_fields.
engine metadata.product_version O valor de engine do registro bruto é mapeado diretamente.
err / msg / result_detail / tls-alert security_result.description O primeiro valor disponível entre msg, err, result_detail ou tls-alert (depois de remover as aspas) é mapeado.
file / name principal.process.file.full_path Se file estiver presente, o valor dele será usado. Caso contrário, se name estiver presente, o valor dele será usado.
filename about.file.full_path O valor de filename do registro bruto é mapeado diretamente.
folder additional.fields[].key: "folder"
additional_fields[].value.string_value: valor da pasta		 O valor de folder do registro bruto é colocado em additional_fields.
from / hfrom / value network.email.from Lógica complexa aplicada (consulte o código do analisador). Processa caracteres < e > e verifica se o formato do e-mail é válido.
fromAddress Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
GUID metadata.product_log_id O valor de GUID do registro bruto é mapeado diretamente.
headerCC Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Value of headerFrom		 O valor de headerFrom do registro bruto é colocado em additional_fields.
headerReplyTo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
headerTo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
helo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
hops-ip / lip intermediary.ip Se hops-ip estiver presente, o valor dele será usado. Caso contrário, se lip estiver presente, o valor dele será usado.
host principal.hostname O valor de host do registro bruto é mapeado diretamente.
id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valor de "impostorScore"		 O valor de impostorScore do registro bruto é colocado em additional_fields.
ip principal.asset.ip
principal.ip		 O valor de ip do registro bruto é mapeado diretamente.
log_level security_result.severity_details O valor de log_level é mapeado e usado para derivar security_result.severity.
m network.email.mail_id O valor de m (após a remoção dos caracteres < e >) é mapeado.
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valor de malwareScore		 O valor de malwareScore do registro bruto é colocado em additional_fields.
md5 about.file.md5 O valor de md5 do registro bruto é mapeado diretamente.
messageID network.email.mail_id O valor de messageID (após a remoção dos caracteres < e >) é mapeado.
messagesBlocked (matriz) (Vários campos) A matriz de objetos messagesBlocked é iterada, e os campos de cada objeto são mapeados para campos da UDM.
messagesBlocked[].ccAddresses Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].cluster Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valor de completelyRewritten		 O valor de completelyRewritten do registro bruto é colocado em security_result.detection_fields.
messagesBlocked[].fromAddress Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].GUID metadata.product_log_id O valor de GUID do registro bruto é mapeado diretamente.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Value of headerFrom		 O valor de headerFrom do registro bruto é colocado em additional_fields.
messagesBlocked[].headerReplyTo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valor de "impostorScore"		 O valor de impostorScore do registro bruto é colocado em additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valor de malwareScore		 O valor de malwareScore do registro bruto é colocado em additional_fields.
messagesBlocked[].messageID network.email.mail_id O valor de messageID (após a remoção dos caracteres < e >) é mapeado.
messagesBlocked[].messageParts about.file (repetido) Cada objeto na matriz messageParts é mapeado para um objeto about.file separado.
messagesBlocked[].messageParts[].contentType about.file.mime_type O valor de contentType do registro bruto é mapeado diretamente.
messagesBlocked[].messageParts[].disposition Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].messageParts[].filename about.file.full_path O valor de filename do registro bruto é mapeado diretamente.
messagesBlocked[].messageParts[].md5 about.file.md5 O valor de md5 do registro bruto é mapeado diretamente.
messagesBlocked[].messageParts[].sandboxStatus Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].messageParts[].sha256 about.file.sha256 O valor de sha256 do registro bruto é mapeado diretamente.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Value of messageSize		 O valor de messageSize do registro bruto é colocado em additional_fields.
messagesBlocked[].messageTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].modulesRun Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valor de phishScore		 O valor de phishScore do registro bruto é colocado em additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valor de policyRoutes		 Os valores de policyRoutes do registro bruto são colocados como uma lista em additional_fields.
messagesBlocked[].QID Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: Value of quarantineFolder		 O valor de quarantineFolder do registro bruto é colocado em additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: Value of quarantineRule		 O valor de quarantineRule do registro bruto é colocado em additional_fields.
messagesBlocked[].recipient target.user.email_addresses O valor de recipient do registro bruto é mapeado diretamente.
messagesBlocked[].replyToAddress network.email.reply_to O valor de replyToAddress do registro bruto é mapeado diretamente.
messagesBlocked[].sender principal.user.email_addresses O valor de sender do registro bruto é mapeado diretamente.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 O valor de senderIP do registro bruto é mapeado diretamente.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valor de spamScore		 O valor de spamScore do registro bruto é colocado em additional_fields.
messagesBlocked[].subject network.email.subject O valor de subject do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap security_result (repetido) Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details O valor de classification do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url O valor de threat do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id O valor de threatID do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status O valor de threatStatus do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name O valor de threatType do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product O valor de threatUrl do registro bruto é mapeado diretamente.
messagesBlocked[].toAddresses network.email.to O valor de toAddresses do registro bruto é mapeado diretamente.
messagesBlocked[].xmailer Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
messagesDelivered (matriz) (Vários campos) A matriz de objetos messagesDelivered é iterada, e os campos de cada objeto são mapeados para campos da UDM. Lógica semelhante a messagesBlocked.
message (Vários campos) Se o campo message for um JSON válido, ele será analisado e mapeado para vários campos do UDM.
metadata.event_type metadata.event_type Definido como "EMAIL_TRANSACTION" se message não for JSON. Caso contrário, será derivado dos dados JSON. Definido como "GENERIC_EVENT" se a mensagem do syslog não for analisada.
metadata.log_type metadata.log_type Codificado como "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Defina como "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" com base nos dados JSON.
metadata.product_name metadata.product_name Codificado como "TAP".
metadata.vendor_name metadata.vendor_name Codificado como "PROOFPOINT".
mime principal.process.file.mime_type O valor de mime do registro bruto é mapeado diretamente.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: valor de mod		 O valor de mod do registro bruto é colocado em additional_fields.
oContentType Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
path / uri principal.url Se path estiver presente, o valor dele será usado. Caso contrário, se uri estiver presente, o valor dele será usado.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valor de phishScore		 O valor de phishScore do registro bruto é colocado em additional_fields.
pid principal.process.pid O valor de pid do registro bruto é mapeado diretamente.
policy network.direction Se policy for "inbound", o campo UDM será definido como "INBOUND". Se policy for "outbound", o campo UDM será definido como "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valor de policyRoutes		 Os valores de policyRoutes do registro bruto são colocados como uma lista em additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: Value of profile		 O valor de profile do registro bruto é colocado em additional_fields.
prot proto O valor de prot é extraído para protocol, convertido em maiúsculas e mapeado para proto.
proto network.application_protocol O valor de proto (ou o valor derivado de prot) é mapeado. Se o valor for "ESMTP", ele será mudado para "SMTP" antes do mapeamento.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: Value of querydepth		 O valor de querydepth do registro bruto é colocado em additional_fields.
queryEndTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: valor do qid		 O valor de qid do registro bruto é colocado em additional_fields.
rcpt / rcpts network.email.to Se rcpt estiver presente e for um endereço de e-mail válido, ele será mesclado ao campo to. A mesma lógica se aplica a rcpts.
recipient target.user.email_addresses O valor de recipient do registro bruto é mapeado diretamente.
relay intermediary.hostname
intermediary.ip		 O campo relay é analisado para extrair o nome do host e o endereço IP, que são mapeados para intermediary.hostname e intermediary.ip, respectivamente.
replyToAddress network.email.reply_to O valor de replyToAddress do registro bruto é mapeado diretamente.
result security_result.action Se result for "pass", o campo UDM será definido como "ALLOW". Se result for "fail", o campo UDM será definido como "BLOCK".
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: valor de rotas		 O valor de routes do registro bruto é colocado em additional_fields.
s network.session_id O valor de s do registro bruto é mapeado diretamente.
sandboxStatus Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
selector additional.fields[].key: "selector"
additional_fields[].value.string_value: Value of selector		 O valor de selector do registro bruto é colocado em additional_fields.
sender principal.user.email_addresses O valor de sender do registro bruto é mapeado diretamente.
senderIP principal.asset.ip
principal.ip ou about.ip		 Se estiver em um evento de clique, ele será mapeado para about.ip. Caso contrário, ele será mapeado para principal.asset.ip e principal.ip.
sha256 security_result.about.file.sha256 ou about.file.sha256 Se estiver em um threatInfoMap, ele será mapeado para security_result.about.file.sha256. Caso contrário, ele será mapeado para about.file.sha256.
size principal.process.file.size ou additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valor de messageSize		 Se estiver em um evento de mensagem, ele será mapeado para additional.fields[].messageSize e convertido em um número inteiro sem sinal. Caso contrário, ele será mapeado para principal.process.file.size e convertido em um número inteiro sem sinal.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valor de spamScore		 O valor de spamScore do registro bruto é colocado em additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: valor da estatística		 O valor de stat do registro bruto é colocado em additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: valor do status		 O valor de status (depois de remover as aspas) do registro bruto é colocado em additional_fields.
sts network.http.response_code O valor de sts do registro bruto é mapeado e convertido diretamente em um número inteiro.
subject network.email.subject O valor de subject do registro bruto é mapeado diretamente após a remoção das aspas.
threatID security_result.threat_id O valor de threatID do registro bruto é mapeado diretamente.
threatStatus security_result.threat_status O valor de threatStatus do registro bruto é mapeado diretamente.
threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
threatType security_result.threat_name O valor de threatType do registro bruto é mapeado diretamente.
threatUrl / threatURL security_result.url_back_to_product O valor de threatUrl ou threatURL do registro bruto é mapeado diretamente.
threatsInfoMap security_result (repetido) Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado.
tls network.tls.cipher Se cipher não estiver presente ou for "NONE", o valor de tls será usado se não for "NONE".
tls_verify / verify security_result.action Se verify estiver presente, o valor dele será usado para determinar a ação. Caso contrário, tls_verify será usado. "FAIL" é mapeado para "BLOCK", e "OK" é mapeado para "ALLOW".
tls_version / version network.tls.version Se tls_version estiver presente e não for "NONE", o valor dele será usado. Caso contrário, se version corresponder a "TLS", o valor dele será usado.
to network.email.to O valor de to (após a remoção dos caracteres < e >) é mapeado. Se não for um endereço de e-mail válido, ele será adicionado a additional_fields.
toAddresses network.email.to O valor de toAddresses do registro bruto é mapeado diretamente.
timestamp.seconds metadata.event_timestamp.seconds O valor de timestamp.seconds do registro bruto é mapeado diretamente.
type Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
url target.url ou principal.url Se estiver em um evento de clique, ele será mapeado para target.url. Caso contrário, ele será mapeado para principal.url.
userAgent network.http.user_agent O valor de userAgent do registro bruto é mapeado diretamente.
uri principal.url Se path não estiver presente, o valor de uri será usado.
value network.email.from Se from e hfrom não forem endereços de e-mail válidos, e value for um endereço de e-mail válido (depois de remover os caracteres < e >), ele será mapeado.
vendor Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.
verify security_result.action Se verify estiver presente, ele será usado para determinar a ação. "NOT" é mapeado para "BLOCK", e outros valores são mapeados para "ALLOW".
version network.tls.version Se tls_version não estiver presente ou for "NONE", e version contiver "TLS", ele será mapeado.
virusthreat security_result.threat_name O valor de virusthreat do registro bruto é mapeado diretamente se não for "unknown".
virusthreatid security_result.threat_id O valor de virusthreatid (depois de remover as aspas) do registro bruto é mapeado diretamente se não for "unknown".
xmailer Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.