收集 Proofpoint TAP 快訊記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 Google Security Operations 動態饋給,收集 Proofpoint Targeted Attack Protection (TAP) 警報記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 PROOFPOINT_MAIL 攝入標籤的剖析器。
設定 Proofpoint TAP 快訊
- 使用憑證登入 Proofpoint 威脅洞察入口網站。
- 在「設定」分頁標籤中,選取「已連結的應用程式」。系統會顯示「服務憑證」部分。
- 在「名稱」部分中,按一下「建立新憑證」。
- 輸入貴機構的名稱,例如
altostrat.com。 - 點選「產生」,「產生的服務憑證」對話方塊會顯示「服務主體」和「密鑰」值。
- 複製「服務主體」和「密碼」值。這些值只會在建立時顯示,設定 Google Security Operations 資訊串流時必須提供這些值。
- 按一下 [完成]。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Proofpoint TAP alerts logs」(Proofpoint TAP 快訊記錄)。
- 選取「第三方 API」做為「來源類型」。
- 選取「Proofpoint TAP 警示」做為「記錄類型」。
- 點選「下一步」。
- 設定下列必要輸入參數:
- 使用者名稱:指定先前取得的服務主體。
- Secret:指定您先前取得的密碼。
- 依序點按「繼續」和「提交」。
從內容中心設定動態饋給
為下列欄位指定值:
- 使用者名稱:指定先前取得的服務主體。
- Secret:指定您先前取得的密碼。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。如要瞭解各動態饋給類型的規定,請參閱「依類型設定動態饋給」。如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會處理 JSON 或鍵/值格式的 Proofpoint Mail 記錄,並擷取電子郵件和網路活動詳細資料。這項服務會將記錄欄位對應至 UDM,將電子郵件交易和網路 HTTP 要求等事件分類,並加入動作、類別和威脅資訊等安全性詳細資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
action |
security_result.action_details |
原始記錄中的 action 值會直接對應。 |
adultscore |
additional.fields[].key:「adultscore」additional.fields[].value.string_value:adultscore 的值 |
原始記錄中的 adultscore 值會放在 additional_fields 中。 |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: 附件的值 |
原始記錄中的 attachments 值會放在 additional_fields 中。 |
campaignID |
security_result.rule_id |
原始記錄中的 campaignID 值會直接對應。 |
ccAddresses |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
cid |
additional.fields[].key:「cid」additional_fields[].value.string_value:cid 的值 |
原始記錄中的 cid 值會放在 additional_fields 中。 |
cipher/tls |
network.tls.cipher |
如果 cipher 存在且不是「NONE」,系統會使用其值。否則,如果 tls 存在且不是「NONE」,則會使用其值。 |
classification |
security_result.category_details |
原始記錄中的 classification 值會直接對應。 |
clickIP |
principal.asset.ipprincipal.ip |
原始記錄中的 clickIP 值會直接對應。 |
clickTime |
metadata.event_timestamp.seconds |
剖析器會將 clickTime 字串轉換為時間戳記並對應。 |
clicksBlocked[].campaignId |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
系統會對 clicksBlocked 陣列中的 clickIP 值進行對應。 |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
剖析器會將 clickTime 字串轉換為時間戳記並對應。 |
clicksBlocked[].classification |
security_result.category_details |
系統會對 clicksBlocked 陣列中的 classification 值進行對應。 |
clicksBlocked[].GUID |
metadata.product_log_id |
系統會對 clicksBlocked 陣列中的 GUID 值進行對應。 |
clicksBlocked[].id |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
clicksBlocked[].messageID |
network.email.mail_id |
系統會對 clicksBlocked 陣列中的 messageID 值進行對應。 |
clicksBlocked[].recipient |
target.user.email_addresses |
系統會對 clicksBlocked 陣列中的 recipient 值進行對應。 |
clicksBlocked[].sender |
principal.user.email_addresses |
系統會對 clicksBlocked 陣列中的 sender 值進行對應。 |
clicksBlocked[].senderIP |
about.ip |
系統會對 clicksBlocked 陣列中的 senderIP 值進行對應。 |
clicksBlocked[].threatID |
security_result.threat_id |
系統會對 clicksBlocked 陣列中的 threatID 值進行對應。 |
clicksBlocked[].threatTime |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
系統會對 clicksBlocked 陣列中的 threatURL 值進行對應。 |
clicksBlocked[].threatStatus |
security_result.threat_status |
系統會對 clicksBlocked 陣列中的 threatStatus 值進行對應。 |
clicksBlocked[].url |
target.url |
系統會對 clicksBlocked 陣列中的 url 值進行對應。 |
clicksBlocked[].userAgent |
network.http.user_agent |
系統會對 clicksBlocked 陣列中的 userAgent 值進行對應。 |
clicksPermitted[].campaignId |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
系統會對 clicksPermitted 陣列中的 clickIP 值進行對應。 |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
剖析器會將 clickTime 字串轉換為時間戳記並對應。 |
clicksPermitted[].classification |
security_result.category_details |
系統會對 clicksPermitted 陣列中的 classification 值進行對應。 |
clicksPermitted[].guid |
metadata.product_log_id |
系統會對 clicksPermitted 陣列中的 guid 值進行對應。 |
clicksPermitted[].id |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
clicksPermitted[].messageID |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
clicksPermitted[].recipient |
target.user.email_addresses |
系統會對 clicksPermitted 陣列中的 recipient 值進行對應。 |
clicksPermitted[].sender |
principal.user.email_addresses |
系統會對 clicksPermitted 陣列中的 sender 值進行對應。 |
clicksPermitted[].senderIP |
about.ip |
系統會對 clicksPermitted 陣列中的 senderIP 值進行對應。 |
clicksPermitted[].threatID |
security_result.threat_id |
系統會對 clicksPermitted 陣列中的 threatID 值進行對應。 |
clicksPermitted[].threatTime |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
系統會對 clicksPermitted 陣列中的 threatURL 值進行對應。 |
clicksPermitted[].url |
target.url |
系統會對 clicksPermitted 陣列中的 url 值進行對應。 |
clicksPermitted[].userAgent |
network.http.user_agent |
系統會對 clicksPermitted 陣列中的 userAgent 值進行對應。 |
cmd |
principal.process.command_line或network.http.method |
如果存在 sts (HTTP 狀態碼),則 cmd 會對應至 network.http.method。否則會對應至 principal.process.command_line。 |
collection_time.seconds |
metadata.event_timestamp.seconds |
原始記錄中的 collection_time.seconds 值會直接對應。 |
completelyRewritten |
security_result.detection_fields[].key:「completelyRewritten」security_result.detection_fields[].value:completelyRewritten 的值 |
原始記錄中的 completelyRewritten 值會放在 security_result.detection_fields 中。 |
contentType |
about.file.mime_type |
原始記錄中的 contentType 值會直接對應。 |
country |
principal.location.country_or_region |
原始記錄中的 country 值會直接對應。 |
create_time.seconds |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
data |
(多個欄位) | 系統會剖析 data 欄位中的 JSON 酬載,並對應至各種 UDM 欄位。 |
date/date_log_rebase |
metadata.event_timestamp.seconds |
剖析器會使用 date_log_rebase 或 date 和 timeStamp 欄位,將日期重新設為時間戳記。 |
dict |
security_result.category_details |
原始記錄中的 dict 值會直接對應。 |
disposition |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
dnsid |
network.dns.id |
原始記錄中的 dnsid 值會直接對應並轉換為不帶正負號的整數。 |
domain/hfrom_domain |
principal.administrative_domain |
如果存在 domain,則會使用其值。否則,如果 hfrom_domain 存在,則會使用其值。 |
duration |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: eid 的值 |
原始記錄中的 eid 值會放在 additional_fields 中。 |
engine |
metadata.product_version |
原始記錄中的 engine 值會直接對應。 |
err / msg / result_detail / tls-alert |
security_result.description |
系統會對應 msg、err、result_detail 或 tls-alert 中第一個可用的值 (移除引號後)。 |
file/name |
principal.process.file.full_path |
如果存在 file,則會使用其值。否則,如果 name 存在,則會使用其值。 |
filename |
about.file.full_path |
原始記錄中的 filename 值會直接對應。 |
folder |
additional.fields[].key:「folder」additional_fields[].value.string_value:資料夾的值 |
原始記錄中的 folder 值會放在 additional_fields 中。 |
from / hfrom / value |
network.email.from |
適用複雜邏輯 (請參閱剖析器程式碼)。處理 < 和 > 字元,並檢查電子郵件格式是否有效。 |
fromAddress |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
GUID |
metadata.product_log_id |
原始記錄中的 GUID 值會直接對應。 |
headerCC |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始記錄中的 headerFrom 值會放在 additional_fields 中。 |
headerReplyTo |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
headerTo |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
helo |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
hops-ip/lip |
intermediary.ip |
如果存在 hops-ip,則會使用其值。否則,如果 lip 存在,則會使用其值。 |
host |
principal.hostname |
原始記錄中的 host 值會直接對應。 |
id |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
impostorScore |
additional.fields[].key:「impostorScore」additional_fields[].value.number_value:「impostorScore」的值 |
原始記錄中的 impostorScore 值會放在 additional_fields 中。 |
ip |
principal.asset.ipprincipal.ip |
原始記錄中的 ip 值會直接對應。 |
log_level |
security_result.severity_details |
log_level 的值會對應,並用於衍生 security_result.severity。 |
m |
network.email.mail_id |
系統會對應 m 的值 (移除 < 和 > 字元後)。 |
malwareScore |
additional.fields[].key:「malwareScore」additional_fields[].value.number_value:malwareScore 的值 |
原始記錄中的 malwareScore 值會放在 additional_fields 中。 |
md5 |
about.file.md5 |
原始記錄中的 md5 值會直接對應。 |
messageID |
network.email.mail_id |
系統會對應 messageID 的值 (移除 < 和 > 字元後)。 |
messagesBlocked (陣列) |
(多個欄位) | 系統會疊代 messagesBlocked 物件的陣列,並將每個物件的欄位對應至 UDM 欄位。 |
messagesBlocked[].ccAddresses |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].cluster |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key:「completelyRewritten」security_result.detection_fields[].value:completelyRewritten 的值 |
原始記錄中的 completelyRewritten 值會放在 security_result.detection_fields 中。 |
messagesBlocked[].fromAddress |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].GUID |
metadata.product_log_id |
原始記錄中的 GUID 值會直接對應。 |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始記錄中的 headerFrom 值會放在 additional_fields 中。 |
messagesBlocked[].headerReplyTo |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].id |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].impostorScore |
additional.fields[].key:「impostorScore」additional_fields[].value.number_value:「impostorScore」的值 |
原始記錄中的 impostorScore 值會放在 additional_fields 中。 |
messagesBlocked[].malwareScore |
additional.fields[].key:「malwareScore」additional_fields[].value.number_value:malwareScore 的值 |
原始記錄中的 malwareScore 值會放在 additional_fields 中。 |
messagesBlocked[].messageID |
network.email.mail_id |
系統會對應 messageID 的值 (移除 < 和 > 字元後)。 |
messagesBlocked[].messageParts |
about.file (重複) |
messageParts 陣列中的每個物件都會對應到個別的 about.file 物件。 |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
原始記錄中的 contentType 值會直接對應。 |
messagesBlocked[].messageParts[].disposition |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
原始記錄中的 filename 值會直接對應。 |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
原始記錄中的 md5 值會直接對應。 |
messagesBlocked[].messageParts[].sandboxStatus |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
原始記錄中的 sha256 值會直接對應。 |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: messageSize 的值 |
原始記錄中的 messageSize 值會放在 additional_fields 中。 |
messagesBlocked[].messageTime |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].modulesRun |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: phishScore 的值 |
原始記錄中的 phishScore 值會放在 additional_fields 中。 |
messagesBlocked[].policyRoutes |
additional.fields[].key:「PolicyRoutes」additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始記錄中的 policyRoutes 值會以清單形式放在 additional_fields 中。 |
messagesBlocked[].QID |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: quarantineFolder 的值 |
原始記錄中的 quarantineFolder 值會放在 additional_fields 中。 |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: quarantineRule 的值 |
原始記錄中的 quarantineRule 值會放在 additional_fields 中。 |
messagesBlocked[].recipient |
target.user.email_addresses |
原始記錄中的 recipient 值會直接對應。 |
messagesBlocked[].replyToAddress |
network.email.reply_to |
原始記錄中的 replyToAddress 值會直接對應。 |
messagesBlocked[].sender |
principal.user.email_addresses |
原始記錄中的 sender 值會直接對應。 |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
原始記錄中的 senderIP 值會直接對應。 |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: spamScore 的值 |
原始記錄中的 spamScore 值會放在 additional_fields 中。 |
messagesBlocked[].subject |
network.email.subject |
原始記錄中的 subject 值會直接對應。 |
messagesBlocked[].threatsInfoMap |
security_result (重複) |
threatsInfoMap 陣列中的每個物件都會對應到個別的 security_result 物件。 |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
原始記錄中的 classification 值會直接對應。 |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
原始記錄中的 threat 值會直接對應。 |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
原始記錄中的 threatID 值會直接對應。 |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
原始記錄中的 threatStatus 值會直接對應。 |
messagesBlocked[].threatsInfoMap[].threatTime |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
原始記錄中的 threatType 值會直接對應。 |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
原始記錄中的 threatUrl 值會直接對應。 |
messagesBlocked[].toAddresses |
network.email.to |
原始記錄中的 toAddresses 值會直接對應。 |
messagesBlocked[].xmailer |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
messagesDelivered (陣列) |
(多個欄位) | 系統會疊代 messagesDelivered 物件的陣列,並將每個物件的欄位對應至 UDM 欄位。與 messagesBlocked 類似的邏輯。 |
message |
(多個欄位) | 如果 message 欄位是有效的 JSON,系統會剖析該欄位並對應至各種 UDM 欄位。 |
metadata.event_type |
metadata.event_type |
如果 message 不是 JSON,請設為「EMAIL_TRANSACTION」,否則會從 JSON 資料衍生。如果無法剖析系統記錄訊息,請設為「GENERIC_EVENT」。 |
metadata.log_type |
metadata.log_type |
硬式編碼為「PROOFPOINT_MAIL」。 |
metadata.product_event_type |
metadata.product_event_type |
根據 JSON 資料,將值設為「messagesBlocked」、「messagesDelivered」、「clicksPermitted」或「clicksBlocked」。 |
metadata.product_name |
metadata.product_name |
硬式編碼為「TAP」。 |
metadata.vendor_name |
metadata.vendor_name |
硬式編碼為「PROOFPOINT」。 |
mime |
principal.process.file.mime_type |
原始記錄中的 mime 值會直接對應。 |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: mod 的值 |
原始記錄中的 mod 值會放在 additional_fields 中。 |
oContentType |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
path/uri |
principal.url |
如果存在 path,則會使用其值。否則,如果 uri 存在,則會使用其值。 |
phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: phishScore 的值 |
原始記錄中的 phishScore 值會放在 additional_fields 中。 |
pid |
principal.process.pid |
原始記錄中的 pid 值會直接對應。 |
policy |
network.direction |
如果 policy 為「inbound」,UDM 欄位會設為「INBOUND」。如果 policy 為「outbound」,UDM 欄位會設為「OUTBOUND」。 |
policyRoutes |
additional.fields[].key:「PolicyRoutes」additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始記錄中的 policyRoutes 值會以清單形式放在 additional_fields 中。 |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: 個人資料值 |
原始記錄中的 profile 值會放在 additional_fields 中。 |
prot |
proto |
prot 的值會擷取至 protocol,轉換為大寫,然後對應至 proto。 |
proto |
network.application_protocol |
系統會對應 proto 的值 (或從 prot 衍生出的值)。如果值為「ESMTP」,系統會在對應前將其變更為「SMTP」。 |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: querydepth 的值 |
原始記錄中的 querydepth 值會放在 additional_fields 中。 |
queryEndTime |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: qid 的值 |
原始記錄中的 qid 值會放在 additional_fields 中。 |
rcpt/rcpts |
network.email.to |
如果 rcpt 存在且為有效電子郵件地址,則會合併至 to 欄位。rcpts 的邏輯相同。 |
recipient |
target.user.email_addresses |
原始記錄中的 recipient 值會直接對應。 |
relay |
intermediary.hostnameintermediary.ip |
系統會剖析 relay 欄位,擷取主機名稱和 IP 位址,然後分別對應至 intermediary.hostname 和 intermediary.ip。 |
replyToAddress |
network.email.reply_to |
原始記錄中的 replyToAddress 值會直接對應。 |
result |
security_result.action |
如果 result 為「pass」,UDM 欄位會設為「ALLOW」。如果 result 為「fail」,UDM 欄位會設為「BLOCK」。 |
routes |
additional.fields[].key: "routes"additional_fields[].value.string_value: 路線的值 |
原始記錄中的 routes 值會放在 additional_fields 中。 |
s |
network.session_id |
原始記錄中的 s 值會直接對應。 |
sandboxStatus |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
selector |
additional.fields[].key:「selector」additional_fields[].value.string_value:選取器值 |
原始記錄中的 selector 值會放在 additional_fields 中。 |
sender |
principal.user.email_addresses |
原始記錄中的 sender 值會直接對應。 |
senderIP |
principal.asset.ipprincipal.ip 或 about.ip |
如果是點擊事件,則會對應至 about.ip。否則會對應至 principal.asset.ip 和 principal.ip。 |
sha256 |
security_result.about.file.sha256或about.file.sha256 |
如果位於 threatInfoMap 中,則會對應至 security_result.about.file.sha256。否則會對應至 about.file.sha256。 |
size |
principal.process.file.size 或 additional.fields[].key:「messageSize」additional_fields[].value.number_value:messageSize 的值 |
如果是訊息事件中的時間戳記,則會對應至 additional.fields[].messageSize,並轉換為不帶正負號的整數。否則會對應至 principal.process.file.size,並轉換為不帶正負號的整數。 |
spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: spamScore 的值 |
原始記錄中的 spamScore 值會放在 additional_fields 中。 |
stat |
additional.fields[].key:「status」additional_fields[].value.string_value:狀態值 |
原始記錄中的 stat 值會放在 additional_fields 中。 |
status |
additional.fields[].key:「status」additional_fields[].value.string_value:狀態值 |
原始記錄中的 status 值 (移除引號後) 會放在 additional_fields 中。 |
sts |
network.http.response_code |
原始記錄中的 sts 值會直接對應並轉換為整數。 |
subject |
network.email.subject |
移除引號後,原始記錄中的 subject 值會直接對應。 |
threatID |
security_result.threat_id |
原始記錄中的 threatID 值會直接對應。 |
threatStatus |
security_result.threat_status |
原始記錄中的 threatStatus 值會直接對應。 |
threatTime |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
threatType |
security_result.threat_name |
原始記錄中的 threatType 值會直接對應。 |
threatUrl/threatURL |
security_result.url_back_to_product |
原始記錄中的 threatUrl 或 threatURL 值會直接對應。 |
threatsInfoMap |
security_result (重複) |
threatsInfoMap 陣列中的每個物件都會對應到個別的 security_result 物件。 |
tls |
network.tls.cipher |
如果沒有 cipher 或 cipher 為「NONE」,則會使用 tls 的值 (如果不是「NONE」)。 |
tls_verify/verify |
security_result.action |
如果存在 verify,系統會使用其值判斷動作。否則會使用 tls_verify。「FAIL」會對應至「BLOCK」,「OK」則會對應至「ALLOW」。 |
tls_version/version |
network.tls.version |
如果 tls_version 存在且不是「NONE」,系統會使用其值。否則,如果 version 符合「TLS」,則會使用其值。 |
to |
network.email.to |
系統會對應 to 的值 (移除 < 和 > 字元後)。如果不是有效的電子郵件地址,系統會將其新增至 additional_fields。 |
toAddresses |
network.email.to |
原始記錄中的 toAddresses 值會直接對應。 |
timestamp.seconds |
metadata.event_timestamp.seconds |
原始記錄中的 timestamp.seconds 值會直接對應。 |
type |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
url |
target.url或principal.url |
如果是點擊事件,則會對應至 target.url。否則會對應至 principal.url。 |
userAgent |
network.http.user_agent |
原始記錄中的 userAgent 值會直接對應。 |
uri |
principal.url |
如果沒有 path,則會使用 uri 的值。 |
value |
network.email.from |
如果 from 和 hfrom 不是有效的電子郵件地址,而 value 是有效的電子郵件地址 (移除 < 和 > 字元後),系統就會進行對應。 |
vendor |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
verify |
security_result.action |
如果存在 verify,系統會使用該值判斷動作。「NOT」會對應至「BLOCK」,其他值則會對應至「ALLOW」。 |
version |
network.tls.version |
如果 tls_version 不存在或為「NONE」,且 version 包含「TLS」,則會進行對應。 |
virusthreat |
security_result.threat_name |
如果原始記錄中的 virusthreat 值不是「unknown」,系統會直接對應。 |
virusthreatid |
security_result.threat_id |
如果原始記錄中的 virusthreatid 值 (移除引號後) 不是「unknown」,系統會直接對應。 |
xmailer |
未對應 | 雖然原始記錄中存在這個欄位,但提供的 UDM 不會將這個欄位對應至 IDM 物件。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。