收集 Proofpoint TAP 提醒日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Proofpoint Targeted Attack Protection (TAP) 提醒日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PROOFPOINT_MAIL 注入标签的解析器。
配置 Proofpoint TAP 提醒
- 使用您的凭据登录 Proofpoint 威胁情报门户。
- 在设置标签页中,选择关联的应用。系统会显示服务凭据部分。
- 在名称部分,点击创建新凭据。
- 输入您组织的名称,例如
altostrat.com。 - 点击生成。在生成的服务凭据对话框中,系统会显示服务正文和密文值。
- 复制服务正文和密钥值。这些值仅在创建时显示,并且在配置 Google Security Operations Feed 时是必需的。
- 点击完成。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed
- 内容中心 > 内容包
通过“SIEM 设置”>“Feed”设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed name(Feed 名称)字段中,输入 Feed 的名称,例如 Proofpoint TAP alerts logs。
- 选择第三方 API 作为来源类型。
- 选择 Proofpoint TAP 提醒作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获取的服务正文。
- 密钥:指定您之前获得的密钥。
- 点击下一步,然后点击提交。
设置来自内容中心的 Feed
为以下字段指定值:
- 用户名:指定您之前获取的服务正文。
- 密钥:指定您之前获得的密钥。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 来源类型:用于将日志收集到 Google SecOps 中的方法。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置。 如果您在创建 Feed 时遇到问题,请与 Google Security Operations 支持团队联系。
字段映射参考
此解析器可处理 JSON 或键值格式的 Proofpoint Mail 日志,并提取电子邮件和网络活动详情。它将日志字段映射到 UDM,对电子邮件交易和网络 HTTP 请求等事件进行分类,并使用操作、类别和威胁信息等安全详细信息来丰富这些事件。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
action |
security_result.action_details |
直接映射原始日志中的 action 值。 |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value:adultscore 的值 |
原始日志中的 adultscore 值会放在 additional_fields 中。 |
attachments |
additional.fields[].key:“attachments”additional_fields[].value.string_value:附件的值 |
原始日志中的 attachments 值会放在 additional_fields 中。 |
campaignID |
security_result.rule_id |
直接映射原始日志中的 campaignID 值。 |
ccAddresses |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
cid |
additional.fields[].key:“cid”additional_fields[].value.string_value:cid 的值 |
原始日志中的 cid 值会放在 additional_fields 中。 |
cipher/tls |
network.tls.cipher |
如果存在 cipher 且不为“NONE”,则使用其值。否则,如果存在 tls 且不为“NONE”,则使用其值。 |
classification |
security_result.category_details |
直接映射原始日志中的 classification 值。 |
clickIP |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 clickIP 值。 |
clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksBlocked[].campaignId |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
系统会映射 clicksBlocked 数组中的 clickIP 值。 |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksBlocked[].classification |
security_result.category_details |
系统会映射 clicksBlocked 数组中的 classification 值。 |
clicksBlocked[].GUID |
metadata.product_log_id |
系统会映射 clicksBlocked 数组中的 GUID 值。 |
clicksBlocked[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].messageID |
network.email.mail_id |
系统会映射 clicksBlocked 数组中的 messageID 值。 |
clicksBlocked[].recipient |
target.user.email_addresses |
系统会映射 clicksBlocked 数组中的 recipient 值。 |
clicksBlocked[].sender |
principal.user.email_addresses |
系统会映射 clicksBlocked 数组中的 sender 值。 |
clicksBlocked[].senderIP |
about.ip |
系统会映射 clicksBlocked 数组中的 senderIP 值。 |
clicksBlocked[].threatID |
security_result.threat_id |
系统会映射 clicksBlocked 数组中的 threatID 值。 |
clicksBlocked[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
系统会映射 clicksBlocked 数组中的 threatURL 值。 |
clicksBlocked[].threatStatus |
security_result.threat_status |
系统会映射 clicksBlocked 数组中的 threatStatus 值。 |
clicksBlocked[].url |
target.url |
系统会映射 clicksBlocked 数组中的 url 值。 |
clicksBlocked[].userAgent |
network.http.user_agent |
系统会映射 clicksBlocked 数组中的 userAgent 值。 |
clicksPermitted[].campaignId |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
系统会映射 clicksPermitted 数组中的 clickIP 值。 |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksPermitted[].classification |
security_result.category_details |
系统会映射 clicksPermitted 数组中的 classification 值。 |
clicksPermitted[].guid |
metadata.product_log_id |
系统会映射 clicksPermitted 数组中的 guid 值。 |
clicksPermitted[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].messageID |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].recipient |
target.user.email_addresses |
系统会映射 clicksPermitted 数组中的 recipient 值。 |
clicksPermitted[].sender |
principal.user.email_addresses |
系统会映射 clicksPermitted 数组中的 sender 值。 |
clicksPermitted[].senderIP |
about.ip |
系统会映射 clicksPermitted 数组中的 senderIP 值。 |
clicksPermitted[].threatID |
security_result.threat_id |
系统会映射 clicksPermitted 数组中的 threatID 值。 |
clicksPermitted[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
系统会映射 clicksPermitted 数组中的 threatURL 值。 |
clicksPermitted[].url |
target.url |
系统会映射 clicksPermitted 数组中的 url 值。 |
clicksPermitted[].userAgent |
network.http.user_agent |
系统会映射 clicksPermitted 数组中的 userAgent 值。 |
cmd |
principal.process.command_line 或 network.http.method |
如果存在 sts(HTTP 状态代码),则将 cmd 映射到 network.http.method。否则,它会映射到 principal.process.command_line。 |
collection_time.seconds |
metadata.event_timestamp.seconds |
直接映射原始日志中的 collection_time.seconds 值。 |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放在 security_result.detection_fields 中。 |
contentType |
about.file.mime_type |
直接映射原始日志中的 contentType 值。 |
country |
principal.location.country_or_region |
直接映射原始日志中的 country 值。 |
create_time.seconds |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
data |
(多个字段) | data 字段中的 JSON 载荷会被解析并映射到各种 UDM 字段。 |
date/date_log_rebase |
metadata.event_timestamp.seconds |
解析器使用 date_log_rebase 或 date 和 timeStamp 字段将日期重新定位为时间戳。 |
dict |
security_result.category_details |
直接映射原始日志中的 dict 值。 |
disposition |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
dnsid |
network.dns.id |
原始日志中的 dnsid 值会直接映射并转换为无符号整数。 |
domain/hfrom_domain |
principal.administrative_domain |
如果存在 domain,则使用其值。否则,如果存在 hfrom_domain,则使用其值。 |
duration |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: eid 的值 |
原始日志中的 eid 值会放在 additional_fields 中。 |
engine |
metadata.product_version |
直接映射原始日志中的 engine 值。 |
err / msg / result_detail / tls-alert |
security_result.description |
系统会映射 msg、err、result_detail 或 tls-alert 中第一个可用的值(移除引号后)。 |
file/name |
principal.process.file.full_path |
如果存在 file,则使用其值。否则,如果存在 name,则使用其值。 |
filename |
about.file.full_path |
直接映射原始日志中的 filename 值。 |
folder |
additional.fields[].key:“文件夹”additional_fields[].value.string_value:文件夹的值 |
原始日志中的 folder 值会放在 additional_fields 中。 |
from / hfrom / value |
network.email.from |
应用了复杂的逻辑(请参阅解析器代码)。处理 < 和 > 字符,并检查电子邮件格式是否有效。 |
fromAddress |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
GUID |
metadata.product_log_id |
直接映射原始日志中的 GUID 值。 |
headerCC |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始日志中的 headerFrom 值会放在 additional_fields 中。 |
headerReplyTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
headerTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
helo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
hops-ip/lip |
intermediary.ip |
如果存在 hops-ip,则使用其值。否则,如果存在 lip,则使用其值。 |
host |
principal.hostname |
直接映射原始日志中的 host 值。 |
id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
impostorScore |
additional.fields[].key:“impostorScore”additional_fields[].value.number_value:impostorScore 的值 |
原始日志中的 impostorScore 值会放在 additional_fields 中。 |
ip |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 ip 值。 |
log_level |
security_result.severity_details |
log_level 的值已映射,并且还用于派生 security_result.severity。 |
m |
network.email.mail_id |
映射 m 的值(移除 < 和 > 字符后)。 |
malwareScore |
additional.fields[].key:“malwareScore”additional_fields[].value.number_value:malwareScore 的值 |
原始日志中的 malwareScore 值会放在 additional_fields 中。 |
md5 |
about.file.md5 |
直接映射原始日志中的 md5 值。 |
messageID |
network.email.mail_id |
映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked(数组) |
(多个字段) | 系统会迭代 messagesBlocked 对象数组,并将每个对象的字段映射到 UDM 字段。 |
messagesBlocked[].ccAddresses |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].cluster |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放在 security_result.detection_fields 中。 |
messagesBlocked[].fromAddress |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].GUID |
metadata.product_log_id |
直接映射原始日志中的 GUID 值。 |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始日志中的 headerFrom 值会放在 additional_fields 中。 |
messagesBlocked[].headerReplyTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].impostorScore |
additional.fields[].key:“impostorScore”additional_fields[].value.number_value:impostorScore 的值 |
原始日志中的 impostorScore 值会放在 additional_fields 中。 |
messagesBlocked[].malwareScore |
additional.fields[].key:“malwareScore”additional_fields[].value.number_value:malwareScore 的值 |
原始日志中的 malwareScore 值会放在 additional_fields 中。 |
messagesBlocked[].messageID |
network.email.mail_id |
映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked[].messageParts |
about.file(重复) |
messageParts 数组中的每个对象都会映射到单独的 about.file 对象。 |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
直接映射原始日志中的 contentType 值。 |
messagesBlocked[].messageParts[].disposition |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
直接映射原始日志中的 filename 值。 |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
直接映射原始日志中的 md5 值。 |
messagesBlocked[].messageParts[].sandboxStatus |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
直接映射原始日志中的 sha256 值。 |
messagesBlocked[].messageSize |
additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
原始日志中的 messageSize 值会放在 additional_fields 中。 |
messagesBlocked[].messageTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].modulesRun |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].phishScore |
additional.fields[].key:“phishScore”additional_fields[].value.number_value:phishScore 的值 |
原始日志中的 phishScore 值会放在 additional_fields 中。 |
messagesBlocked[].policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值以列表形式放置在 additional_fields 中。 |
messagesBlocked[].QID |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: quarantineFolder 的值 |
原始日志中的 quarantineFolder 值会放在 additional_fields 中。 |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: quarantineRule 的值 |
原始日志中的 quarantineRule 值会放在 additional_fields 中。 |
messagesBlocked[].recipient |
target.user.email_addresses |
直接映射原始日志中的 recipient 值。 |
messagesBlocked[].replyToAddress |
network.email.reply_to |
直接映射原始日志中的 replyToAddress 值。 |
messagesBlocked[].sender |
principal.user.email_addresses |
直接映射原始日志中的 sender 值。 |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 senderIP 值。 |
messagesBlocked[].spamScore |
additional.fields[].key:“spamScore”additional_fields[].value.number_value:spamScore 的值 |
原始日志中的 spamScore 值会放在 additional_fields 中。 |
messagesBlocked[].subject |
network.email.subject |
直接映射原始日志中的 subject 值。 |
messagesBlocked[].threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到单独的 security_result 对象。 |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
直接映射原始日志中的 classification 值。 |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
直接映射原始日志中的 threat 值。 |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
直接映射原始日志中的 threatID 值。 |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
直接映射原始日志中的 threatStatus 值。 |
messagesBlocked[].threatsInfoMap[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
直接映射原始日志中的 threatType 值。 |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
直接映射原始日志中的 threatUrl 值。 |
messagesBlocked[].toAddresses |
network.email.to |
直接映射原始日志中的 toAddresses 值。 |
messagesBlocked[].xmailer |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesDelivered(数组) |
(多个字段) | 系统会迭代 messagesDelivered 对象数组,并将每个对象的字段映射到 UDM 字段。与 messagesBlocked 类似的逻辑。 |
message |
(多个字段) | 如果 message 字段是有效的 JSON,系统会对其进行解析并将其映射到各种 UDM 字段。 |
metadata.event_type |
metadata.event_type |
如果 message 不是 JSON,则设置为“EMAIL_TRANSACTION”,否则从 JSON 数据中派生。如果 syslog 消息解析失败,则设置为“GENERIC_EVENT”。 |
metadata.log_type |
metadata.log_type |
硬编码为“PROOFPOINT_MAIL”。 |
metadata.product_event_type |
metadata.product_event_type |
根据 JSON 数据,设置为“messagesBlocked”“messagesDelivered”“clicksPermitted”或“clicksBlocked”。 |
metadata.product_name |
metadata.product_name |
硬编码为“点按”。 |
metadata.vendor_name |
metadata.vendor_name |
硬编码为“PROOFPOINT”。 |
mime |
principal.process.file.mime_type |
直接映射原始日志中的 mime 值。 |
mod |
additional.fields[].key:“模块”additional_fields[].value.string_value:mod 的值 |
原始日志中的 mod 值会放在 additional_fields 中。 |
oContentType |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
path/uri |
principal.url |
如果存在 path,则使用其值。否则,如果存在 uri,则使用其值。 |
phishScore |
additional.fields[].key:“phishScore”additional_fields[].value.number_value:phishScore 的值 |
原始日志中的 phishScore 值会放在 additional_fields 中。 |
pid |
principal.process.pid |
直接映射原始日志中的 pid 值。 |
policy |
network.direction |
如果 policy 为“inbound”,则 UDM 字段设置为“INBOUND”。如果 policy 为“outbound”,则 UDM 字段设置为“OUTBOUND”。 |
policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值以列表形式放置在 additional_fields 中。 |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value:个人资料的值 |
原始日志中的 profile 值会放在 additional_fields 中。 |
prot |
proto |
prot 的值会被提取到 protocol,转换为大写,然后映射到 proto。 |
proto |
network.application_protocol |
系统会映射 proto 的值(或从 prot 派生的值)。如果值为“ESMTP”,则在映射之前会将其更改为“SMTP”。 |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: querydepth 的值 |
原始日志中的 querydepth 值会放在 additional_fields 中。 |
queryEndTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
qid |
additional.fields[].key:“qid”additional_fields[].value.string_value:qid 的值 |
原始日志中的 qid 值会放在 additional_fields 中。 |
rcpt/rcpts |
network.email.to |
如果存在 rcpt 且为有效的电子邮件地址,则会合并到 to 字段中。rcpts 的逻辑相同。 |
recipient |
target.user.email_addresses |
直接映射原始日志中的 recipient 值。 |
relay |
intermediary.hostnameintermediary.ip |
系统会解析 relay 字段以提取主机名和 IP 地址,然后分别将其映射到 intermediary.hostname 和 intermediary.ip。 |
replyToAddress |
network.email.reply_to |
直接映射原始日志中的 replyToAddress 值。 |
result |
security_result.action |
如果 result 为“pass”,则 UDM 字段设置为“ALLOW”。如果 result 为“fail”,则 UDM 字段设置为“BLOCK”。 |
routes |
additional.fields[].key:“routes”additional_fields[].value.string_value:路线的值 |
原始日志中的 routes 值会放在 additional_fields 中。 |
s |
network.session_id |
直接映射原始日志中的 s 值。 |
sandboxStatus |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
selector |
additional.fields[].key:“选择器”additional_fields[].value.string_value:选择器的值 |
原始日志中的 selector 值会放在 additional_fields 中。 |
sender |
principal.user.email_addresses |
直接映射原始日志中的 sender 值。 |
senderIP |
principal.asset.ipprincipal.ip 或 about.ip |
如果它位于点击事件中,则会映射到 about.ip。否则,它会映射到 principal.asset.ip 和 principal.ip。 |
sha256 |
security_result.about.file.sha256 或 about.file.sha256 |
如果它位于 threatInfoMap 中,则会映射到 security_result.about.file.sha256。否则,它会映射到 about.file.sha256。 |
size |
principal.process.file.size 或 additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
如果它位于消息事件中,则会映射到 additional.fields[].messageSize 并转换为无符号整数。否则,它会映射到 principal.process.file.size 并转换为无符号整数。 |
spamScore |
additional.fields[].key:“spamScore”additional_fields[].value.number_value:spamScore 的值 |
原始日志中的 spamScore 值会放在 additional_fields 中。 |
stat |
additional.fields[].key:“状态”additional_fields[].value.string_value:统计数据的值 |
原始日志中的 stat 值会放在 additional_fields 中。 |
status |
additional.fields[].key:“状态”additional_fields[].value.string_value:状态的值 |
原始日志中的 status 值(去除引号后)会放置在 additional_fields 中。 |
sts |
network.http.response_code |
原始日志中的 sts 值会直接映射并转换为整数。 |
subject |
network.email.subject |
移除引号后,原始日志中的 subject 值会直接映射。 |
threatID |
security_result.threat_id |
直接映射原始日志中的 threatID 值。 |
threatStatus |
security_result.threat_status |
直接映射原始日志中的 threatStatus 值。 |
threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
threatType |
security_result.threat_name |
直接映射原始日志中的 threatType 值。 |
threatUrl/threatURL |
security_result.url_back_to_product |
原始日志中的 threatUrl 或 threatURL 值会直接映射。 |
threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到单独的 security_result 对象。 |
tls |
network.tls.cipher |
如果 cipher 不存在或为“NONE”,则使用 tls 的值(如果该值不为“NONE”)。 |
tls_verify/verify |
security_result.action |
如果存在 verify,则使用其值来确定操作。否则,将使用 tls_verify。“FAIL”映射到“BLOCK”,“OK”映射到“ALLOW”。 |
tls_version/version |
network.tls.version |
如果存在 tls_version 且不为“NONE”,则使用其值。否则,如果 version 与“TLS”匹配,则使用其值。 |
to |
network.email.to |
映射 to 的值(移除 < 和 > 字符后)。如果不是有效的电子邮件地址,则会添加到 additional_fields。 |
toAddresses |
network.email.to |
直接映射原始日志中的 toAddresses 值。 |
timestamp.seconds |
metadata.event_timestamp.seconds |
直接映射原始日志中的 timestamp.seconds 值。 |
type |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
url |
target.url 或 principal.url |
如果它位于点击事件中,则会映射到 target.url。否则,它会映射到 principal.url。 |
userAgent |
network.http.user_agent |
直接映射原始日志中的 userAgent 值。 |
uri |
principal.url |
如果不存在 path,则使用 uri 的值。 |
value |
network.email.from |
如果 from 和 hfrom 不是有效的电子邮件地址,但 value 是有效的电子邮件地址(在移除 < 和 > 字符后),则会进行映射。 |
vendor |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
verify |
security_result.action |
如果存在 verify,则使用它来确定操作。“NOT”映射到“BLOCK”,其他值映射到“ALLOW”。 |
version |
network.tls.version |
如果 tls_version 不存在或为“NONE”,且 version 包含“TLS”,则会进行映射。 |
virusthreat |
security_result.threat_name |
如果原始日志中的 virusthreat 值不是“unknown”,则直接映射。 |
virusthreatid |
security_result.threat_id |
如果原始日志中的 virusthreatid 值(移除引号后)不是“unknown”,则直接映射。 |
xmailer |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。