收集 Proofpoint TAP 提醒日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Proofpoint Targeted Attack Protection (TAP) 提醒日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PROOFPOINT_MAIL 注入标签的解析器。
配置 Proofpoint TAP 提醒
- 使用您的凭据登录 Proofpoint 威胁洞察门户。
- 在设置标签页中,选择关联的应用。系统会显示服务凭据部分。
- 在名称部分,点击创建新凭据。
- 输入您组织的名称,例如
altostrat.com。 - 点击生成。在生成的服务凭据对话框中,系统会显示服务正文和密文值。
- 复制服务正文和密钥值。这些值仅在创建时显示,并且在配置 Google Security Operations Feed 时是必需的。
- 点击完成。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed name(Feed 名称)字段中,输入 Feed 的名称,例如 Proofpoint TAP alerts logs。
- 选择第三方 API 作为来源类型。
- 选择 Proofpoint TAP 提醒作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获取的服务正文。
- 密钥:指定您之前获得的密钥。
- 点击下一步,然后点击提交。
字段映射参考
此解析器可处理 JSON 或键值格式的 Proofpoint Mail 日志,提取电子邮件和网络活动详情。它将日志字段映射到 UDM,对电子邮件交易和网络 HTTP 请求等事件进行分类,并使用操作、类别和威胁信息等安全详细信息来丰富这些事件。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
action |
security_result.action_details |
直接映射原始日志中的 action 值。 |
adultscore |
additional.fields[].key:“adultscore”additional.fields[].value.string_value:adultscore 的值 |
原始日志中的 adultscore 值会放置在 additional_fields 中。 |
attachments |
additional.fields[].key:“attachments”additional_fields[].value.string_value:附件的值 |
原始日志中的 attachments 值会放置在 additional_fields 中。 |
campaignID |
security_result.rule_id |
直接映射原始日志中的 campaignID 值。 |
ccAddresses |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
cid |
additional.fields[].key:“cid”additional_fields[].value.string_value:cid 的值 |
原始日志中的 cid 值会放置在 additional_fields 中。 |
cipher/tls |
network.tls.cipher |
如果存在 cipher 且不为“NONE”,则使用其值。否则,如果存在 tls 且不为“NONE”,则使用其值。 |
classification |
security_result.category_details |
直接映射原始日志中的 classification 值。 |
clickIP |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 clickIP 值。 |
clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksBlocked[].campaignId |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
系统会映射 clicksBlocked 数组中 clickIP 的值。 |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksBlocked[].classification |
security_result.category_details |
系统会映射 clicksBlocked 数组中 classification 的值。 |
clicksBlocked[].GUID |
metadata.product_log_id |
系统会映射 clicksBlocked 数组中 GUID 的值。 |
clicksBlocked[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].messageID |
network.email.mail_id |
系统会映射 clicksBlocked 数组中 messageID 的值。 |
clicksBlocked[].recipient |
target.user.email_addresses |
系统会映射 clicksBlocked 数组中 recipient 的值。 |
clicksBlocked[].sender |
principal.user.email_addresses |
系统会映射 clicksBlocked 数组中 sender 的值。 |
clicksBlocked[].senderIP |
about.ip |
系统会映射 clicksBlocked 数组中 senderIP 的值。 |
clicksBlocked[].threatID |
security_result.threat_id |
系统会映射 clicksBlocked 数组中 threatID 的值。 |
clicksBlocked[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
系统会映射 clicksBlocked 数组中 threatURL 的值。 |
clicksBlocked[].threatStatus |
security_result.threat_status |
系统会映射 clicksBlocked 数组中 threatStatus 的值。 |
clicksBlocked[].url |
target.url |
系统会映射 clicksBlocked 数组中 url 的值。 |
clicksBlocked[].userAgent |
network.http.user_agent |
系统会映射 clicksBlocked 数组中 userAgent 的值。 |
clicksPermitted[].campaignId |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
系统会映射 clicksPermitted 数组中 clickIP 的值。 |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksPermitted[].classification |
security_result.category_details |
系统会映射 clicksPermitted 数组中 classification 的值。 |
clicksPermitted[].guid |
metadata.product_log_id |
系统会映射 clicksPermitted 数组中 guid 的值。 |
clicksPermitted[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].messageID |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].recipient |
target.user.email_addresses |
系统会映射 clicksPermitted 数组中 recipient 的值。 |
clicksPermitted[].sender |
principal.user.email_addresses |
系统会映射 clicksPermitted 数组中 sender 的值。 |
clicksPermitted[].senderIP |
about.ip |
系统会映射 clicksPermitted 数组中 senderIP 的值。 |
clicksPermitted[].threatID |
security_result.threat_id |
系统会映射 clicksPermitted 数组中 threatID 的值。 |
clicksPermitted[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
系统会映射 clicksPermitted 数组中 threatURL 的值。 |
clicksPermitted[].url |
target.url |
系统会映射 clicksPermitted 数组中 url 的值。 |
clicksPermitted[].userAgent |
network.http.user_agent |
系统会映射 clicksPermitted 数组中 userAgent 的值。 |
cmd |
principal.process.command_line 或 network.http.method |
如果存在 sts(HTTP 状态代码),则将 cmd 映射到 network.http.method。否则,它会映射到 principal.process.command_line。 |
collection_time.seconds |
metadata.event_timestamp.seconds |
直接映射原始日志中的 collection_time.seconds 值。 |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放置在 security_result.detection_fields 中。 |
contentType |
about.file.mime_type |
直接映射原始日志中的 contentType 值。 |
country |
principal.location.country_or_region |
直接映射原始日志中的 country 值。 |
create_time.seconds |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
data |
(多个字段) | data 字段中的 JSON 载荷会被解析并映射到各种 UDM 字段。 |
date/date_log_rebase |
metadata.event_timestamp.seconds |
解析器使用 date_log_rebase 或 date 和 timeStamp 字段将日期重新定位为时间戳。 |
dict |
security_result.category_details |
直接映射原始日志中的 dict 值。 |
disposition |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
dnsid |
network.dns.id |
原始日志中的 dnsid 值会直接映射并转换为无符号整数。 |
domain/hfrom_domain |
principal.administrative_domain |
如果存在 domain,则使用其值。否则,如果存在 hfrom_domain,则使用其值。 |
duration |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: eid 的值 |
原始日志中的 eid 值会放置在 additional_fields 中。 |
engine |
metadata.product_version |
直接映射原始日志中的 engine 值。 |
err / msg / result_detail / tls-alert |
security_result.description |
系统会映射 msg、err、result_detail 或 tls-alert 中第一个可用的值(移除引号后)。 |
file/name |
principal.process.file.full_path |
如果存在 file,则使用其值。否则,如果存在 name,则使用其值。 |
filename |
about.file.full_path |
直接映射原始日志中的 filename 值。 |
folder |
additional.fields[].key:“文件夹”additional_fields[].value.string_value:文件夹的值 |
原始日志中的 folder 值会放置在 additional_fields 中。 |
from / hfrom / value |
network.email.from |
应用了复杂的逻辑(请参阅解析器代码)。处理 < 和 > 字符,并检查电子邮件格式是否有效。 |
fromAddress |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
GUID |
metadata.product_log_id |
直接映射原始日志中的 GUID 值。 |
headerCC |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始日志中的 headerFrom 值会放置在 additional_fields 中。 |
headerReplyTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
headerTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
helo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
hops-ip/lip |
intermediary.ip |
如果存在 hops-ip,则使用其值。否则,如果存在 lip,则使用其值。 |
host |
principal.hostname |
直接映射原始日志中的 host 值。 |
id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
impostorScore |
additional.fields[].key:“impostorScore”additional_fields[].value.number_value:impostorScore 的值 |
原始日志中的 impostorScore 值会放置在 additional_fields 中。 |
ip |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 ip 值。 |
log_level |
security_result.severity_details |
log_level 的值经过映射,还用于派生 security_result.severity。 |
m |
network.email.mail_id |
映射 m 的值(移除 < 和 > 字符后)。 |
malwareScore |
additional.fields[].key:“malwareScore”additional_fields[].value.number_value:malwareScore 的值 |
原始日志中的 malwareScore 值会放置在 additional_fields 中。 |
md5 |
about.file.md5 |
直接映射原始日志中的 md5 值。 |
messageID |
network.email.mail_id |
映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked(数组) |
(多个字段) | 系统会迭代 messagesBlocked 对象数组,并将每个对象的字段映射到 UDM 字段。 |
messagesBlocked[].ccAddresses |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].cluster |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放置在 security_result.detection_fields 中。 |
messagesBlocked[].fromAddress |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].GUID |
metadata.product_log_id |
直接映射原始日志中的 GUID 值。 |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始日志中的 headerFrom 值会放置在 additional_fields 中。 |
messagesBlocked[].headerReplyTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].impostorScore |
additional.fields[].key:“impostorScore”additional_fields[].value.number_value:impostorScore 的值 |
原始日志中的 impostorScore 值会放置在 additional_fields 中。 |
messagesBlocked[].malwareScore |
additional.fields[].key:“malwareScore”additional_fields[].value.number_value:malwareScore 的值 |
原始日志中的 malwareScore 值会放置在 additional_fields 中。 |
messagesBlocked[].messageID |
network.email.mail_id |
映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked[].messageParts |
about.file(重复) |
messageParts 数组中的每个对象都会映射到单独的 about.file 对象。 |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
直接映射原始日志中的 contentType 值。 |
messagesBlocked[].messageParts[].disposition |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
直接映射原始日志中的 filename 值。 |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
直接映射原始日志中的 md5 值。 |
messagesBlocked[].messageParts[].sandboxStatus |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
直接映射原始日志中的 sha256 值。 |
messagesBlocked[].messageSize |
additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
原始日志中的 messageSize 值会放置在 additional_fields 中。 |
messagesBlocked[].messageTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].modulesRun |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].phishScore |
additional.fields[].key:“phishScore”additional_fields[].value.number_value:phishScore 的值 |
原始日志中的 phishScore 值会放置在 additional_fields 中。 |
messagesBlocked[].policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值以列表形式放置在 additional_fields 中。 |
messagesBlocked[].QID |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: quarantineFolder 的值 |
原始日志中的 quarantineFolder 值会放置在 additional_fields 中。 |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: quarantineRule 的值 |
原始日志中的 quarantineRule 值会放置在 additional_fields 中。 |
messagesBlocked[].recipient |
target.user.email_addresses |
直接映射原始日志中的 recipient 值。 |
messagesBlocked[].replyToAddress |
network.email.reply_to |
直接映射原始日志中的 replyToAddress 值。 |
messagesBlocked[].sender |
principal.user.email_addresses |
直接映射原始日志中的 sender 值。 |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 senderIP 值。 |
messagesBlocked[].spamScore |
additional.fields[].key:“spamScore”additional_fields[].value.number_value:spamScore 的值 |
原始日志中的 spamScore 值会放置在 additional_fields 中。 |
messagesBlocked[].subject |
network.email.subject |
直接映射原始日志中的 subject 值。 |
messagesBlocked[].threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到单独的 security_result 对象。 |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
直接映射原始日志中的 classification 值。 |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
直接映射原始日志中的 threat 值。 |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
直接映射原始日志中的 threatID 值。 |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
直接映射原始日志中的 threatStatus 值。 |
messagesBlocked[].threatsInfoMap[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
直接映射原始日志中的 threatType 值。 |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
直接映射原始日志中的 threatUrl 值。 |
messagesBlocked[].toAddresses |
network.email.to |
直接映射原始日志中的 toAddresses 值。 |
messagesBlocked[].xmailer |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesDelivered(数组) |
(多个字段) | 系统会迭代 messagesDelivered 对象数组,并将每个对象的字段映射到 UDM 字段。与 messagesBlocked 类似的逻辑。 |
message |
(多个字段) | 如果 message 字段是有效的 JSON,系统会对其进行解析并将其映射到各种 UDM 字段。 |
metadata.event_type |
metadata.event_type |
如果 message 不是 JSON,则设置为“EMAIL_TRANSACTION”,否则从 JSON 数据中派生。如果 syslog 消息解析失败,则设置为“GENERIC_EVENT”。 |
metadata.log_type |
metadata.log_type |
硬编码为“PROOFPOINT_MAIL”。 |
metadata.product_event_type |
metadata.product_event_type |
根据 JSON 数据,设置为“messagesBlocked”“messagesDelivered”“clicksPermitted”或“clicksBlocked”。 |
metadata.product_name |
metadata.product_name |
硬编码为“点按”。 |
metadata.vendor_name |
metadata.vendor_name |
硬编码为“PROOFPOINT”。 |
mime |
principal.process.file.mime_type |
直接映射原始日志中的 mime 值。 |
mod |
additional.fields[].key:“模块”additional_fields[].value.string_value:mod 的值 |
原始日志中的 mod 值会放置在 additional_fields 中。 |
oContentType |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
path/uri |
principal.url |
如果存在 path,则使用其值。否则,如果存在 uri,则使用其值。 |
phishScore |
additional.fields[].key:“phishScore”additional_fields[].value.number_value:phishScore 的值 |
原始日志中的 phishScore 值会放置在 additional_fields 中。 |
pid |
principal.process.pid |
直接映射原始日志中的 pid 值。 |
policy |
network.direction |
如果 policy 为“inbound”,则 UDM 字段设置为“INBOUND”。如果 policy 为“outbound”,则 UDM 字段设置为“OUTBOUND”。 |
policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值以列表形式放置在 additional_fields 中。 |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value:个人资料的值 |
原始日志中的 profile 值会放置在 additional_fields 中。 |
prot |
proto |
prot 的值会被提取到 protocol,转换为大写,然后映射到 proto。 |
proto |
network.application_protocol |
系统会映射 proto 的值(或从 prot 派生的值)。如果值为“ESMTP”,则在映射之前会将其更改为“SMTP”。 |
querydepth |
additional.fields[].key:“querydepth”additional_fields[].value.string_value:querydepth 的值 |
原始日志中的 querydepth 值会放置在 additional_fields 中。 |
queryEndTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
qid |
additional.fields[].key:“qid”additional_fields[].value.string_value:qid 的值 |
原始日志中的 qid 值会放置在 additional_fields 中。 |
rcpt/rcpts |
network.email.to |
如果存在 rcpt 且为有效的电子邮件地址,则会合并到 to 字段中。rcpts 的逻辑相同。 |
recipient |
target.user.email_addresses |
直接映射原始日志中的 recipient 值。 |
relay |
intermediary.hostnameintermediary.ip |
系统会解析 relay 字段以提取主机名和 IP 地址,然后分别将其映射到 intermediary.hostname 和 intermediary.ip。 |
replyToAddress |
network.email.reply_to |
直接映射原始日志中的 replyToAddress 值。 |
result |
security_result.action |
如果 result 为“pass”,则 UDM 字段设置为“ALLOW”。如果 result 为“fail”,则 UDM 字段设置为“BLOCK”。 |
routes |
additional.fields[].key:“routes”additional_fields[].value.string_value:路线的值 |
原始日志中的 routes 值会放置在 additional_fields 中。 |
s |
network.session_id |
直接映射原始日志中的 s 值。 |
sandboxStatus |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
selector |
additional.fields[].key:“选择器”additional_fields[].value.string_value:选择器的值 |
原始日志中的 selector 值会放置在 additional_fields 中。 |
sender |
principal.user.email_addresses |
直接映射原始日志中的 sender 值。 |
senderIP |
principal.asset.ipprincipal.ip 或 about.ip |
如果它位于点击事件中,则会映射到 about.ip。否则,它会映射到 principal.asset.ip 和 principal.ip。 |
sha256 |
security_result.about.file.sha256 或 about.file.sha256 |
如果它位于 threatInfoMap 中,则会映射到 security_result.about.file.sha256。否则,它会映射到 about.file.sha256。 |
size |
principal.process.file.size 或 additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
如果它位于消息事件中,则会映射到 additional.fields[].messageSize 并转换为无符号整数。否则,它会映射到 principal.process.file.size 并转换为无符号整数。 |
spamScore |
additional.fields[].key:“spamScore”additional_fields[].value.number_value:spamScore 的值 |
原始日志中的 spamScore 值会放置在 additional_fields 中。 |
stat |
additional.fields[].key:“状态”additional_fields[].value.string_value:统计数据的值 |
原始日志中的 stat 值会放置在 additional_fields 中。 |
status |
additional.fields[].key:“状态”additional_fields[].value.string_value:状态的值 |
原始日志中的 status 值(去除引号后)会放置在 additional_fields 中。 |
sts |
network.http.response_code |
原始日志中的 sts 值会直接映射并转换为整数。 |
subject |
network.email.subject |
移除引号后,原始日志中的 subject 值会直接映射。 |
threatID |
security_result.threat_id |
直接映射原始日志中的 threatID 值。 |
threatStatus |
security_result.threat_status |
直接映射原始日志中的 threatStatus 值。 |
threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
threatType |
security_result.threat_name |
直接映射原始日志中的 threatType 值。 |
threatUrl/threatURL |
security_result.url_back_to_product |
原始日志中的 threatUrl 或 threatURL 值会直接映射。 |
threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到单独的 security_result 对象。 |
tls |
network.tls.cipher |
如果未提供 cipher 或 cipher 为“NONE”,则使用 tls 的值(如果该值不为“NONE”)。 |
tls_verify/verify |
security_result.action |
如果存在 verify,则使用其值来确定操作。否则,将使用 tls_verify。“FAIL”映射到“BLOCK”,“OK”映射到“ALLOW”。 |
tls_version/version |
network.tls.version |
如果存在 tls_version 且不为“NONE”,则使用其值。否则,如果 version 与“TLS”匹配,则使用其值。 |
to |
network.email.to |
映射 to 的值(移除 < 和 > 字符后)。如果不是有效的电子邮件地址,则会添加到 additional_fields。 |
toAddresses |
network.email.to |
直接映射原始日志中的 toAddresses 值。 |
timestamp.seconds |
metadata.event_timestamp.seconds |
直接映射原始日志中的 timestamp.seconds 值。 |
type |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
url |
target.url 或 principal.url |
如果它位于点击事件中,则会映射到 target.url。否则,它会映射到 principal.url。 |
userAgent |
network.http.user_agent |
直接映射原始日志中的 userAgent 值。 |
uri |
principal.url |
如果不存在 path,则使用 uri 的值。 |
value |
network.email.from |
如果 from 和 hfrom 不是有效的电子邮件地址,但 value 是有效的电子邮件地址(在移除 < 和 > 字符后),则会进行映射。 |
vendor |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
verify |
security_result.action |
如果存在 verify,则使用它来确定操作。“NOT”映射到“BLOCK”,其他值映射到“ALLOW”。 |
version |
network.tls.version |
如果 tls_version 不存在或为“NONE”,且 version 包含“TLS”,则会进行映射。 |
virusthreat |
security_result.threat_name |
如果原始日志中的 virusthreat 值不是“unknown”,则直接映射。 |
virusthreatid |
security_result.threat_id |
如果原始日志中的 virusthreatid 值(移除引号后)不是“unknown”,则直接映射。 |
xmailer |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。