Raccogli i log degli avvisi di Proofpoint TAP

Supportato in:

Questo documento descrive come raccogliere i log degli avvisi di Proofpoint Targeted Attack Protection (TAP) impostando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione PROOFPOINT_MAIL.

Configurare gli avvisi di Proofpoint TAP

  1. Accedi al portale di informazioni sulle minacce di Proofpoint utilizzando le tue credenziali.
  2. Nella scheda Impostazioni, seleziona App collegate. Viene visualizzata la sezione Credenziali servizio.
  3. Nella sezione Nome, fai clic su Crea nuova credenziale.
  4. Digita il nome della tua organizzazione, ad esempio altostrat.com.
  5. Fai clic su Genera. Nella finestra di dialogo Credenziale del servizio generata vengono visualizzati i valori Principale del servizio e Secret.
  6. Copia i valori Principale servizio e Secret. I valori vengono visualizzati solo al momento della creazione e sono obbligatori quando configuri il feed di Google Security Operations.
  7. Fai clic su Fine.

Configura un feed in Google Security Operations per importare i log degli avvisi di Proofpoint TAP

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Inserisci un nome univoco per il nome del campo.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Avvisi Proofpoint TAP come Tipo di log.
  6. Fai clic su Avanti.
  7. Configura i seguenti parametri di input obbligatori:
    • Nome utente: specifica l'entità servizio ottenuta in precedenza.
    • Secret: specifica il segreto che hai ottenuto in precedenza.
  8. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser gestisce i log di Proofpoint Mail in formato JSON o chiave-valore, estraendo i dettagli delle attività di email e rete. Mappa i campi dei log all'UDM, classificando eventi come transazioni email e richieste HTTP di rete e arricchendoli con dettagli sulla sicurezza come azioni, categorie e informazioni sulle minacce.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
action security_result.action_details Il valore di action dal log non elaborato viene mappato direttamente.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: valore di adultscore		 Il valore di adultscore dal log non elaborato viene inserito in additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: valore degli allegati		 Il valore di attachments dal log non elaborato viene inserito in additional_fields.
campaignID security_result.rule_id Il valore di campaignID dal log non elaborato viene mappato direttamente.
ccAddresses Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: valore di cid		 Il valore di cid dal log non elaborato viene inserito in additional_fields.
cipher/tls network.tls.cipher Se cipher è presente e non è "NESSUNO", viene utilizzato il relativo valore. In caso contrario, se tls è presente e non "NESSUNO", viene utilizzato il relativo valore.
classification security_result.category_details Il valore di classification dal log non elaborato viene mappato direttamente.
clickIP principal.asset.ip
principal.ip		 Il valore di clickIP dal log non elaborato viene mappato direttamente.
clickTime metadata.event_timestamp.seconds Il parser converte la stringa clickTime in un timestamp e la mappa.
clicksBlocked[].campaignId Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 Il valore di clickIP all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].clickTime metadata.event_timestamp.seconds Il parser converte la stringa clickTime in un timestamp e la mappa.
clicksBlocked[].classification security_result.category_details Il valore di classification all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].GUID metadata.product_log_id Il valore di GUID all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].id Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksBlocked[].messageID network.email.mail_id Il valore di messageID all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].recipient target.user.email_addresses Il valore di recipient all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].sender principal.user.email_addresses Il valore di sender all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].senderIP about.ip Il valore di senderIP all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].threatID security_result.threat_id Il valore di threatID all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].threatTime Non mappato Sebbene sia presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksBlocked[].threatURL security_result.url_back_to_product Il valore di threatURL all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].threatStatus security_result.threat_status Il valore di threatStatus all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].url target.url Il valore di url all'interno dell'array clicksBlocked è mappato.
clicksBlocked[].userAgent network.http.user_agent Il valore di userAgent all'interno dell'array clicksBlocked è mappato.
clicksPermitted[].campaignId Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 Il valore di clickIP all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].clickTime metadata.event_timestamp.seconds Il parser converte la stringa clickTime in un timestamp e la mappa.
clicksPermitted[].classification security_result.category_details Il valore di classification all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].guid metadata.product_log_id Il valore di guid all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].id Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].messageID Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].recipient target.user.email_addresses Il valore di recipient all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].sender principal.user.email_addresses Il valore di sender all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].senderIP about.ip Il valore di senderIP all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].threatID security_result.threat_id Il valore di threatID all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].threatTime Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
clicksPermitted[].threatURL security_result.url_back_to_product Il valore di threatURL all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].url target.url Il valore di url all'interno dell'array clicksPermitted è mappato.
clicksPermitted[].userAgent network.http.user_agent Il valore di userAgent all'interno dell'array clicksPermitted è mappato.
cmd principal.process.command_line o network.http.method Se è presente sts (codice di stato HTTP), cmd viene mappato a network.http.method. In caso contrario, viene mappato a principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds Il valore di collection_time.seconds dal log non elaborato viene mappato direttamente.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valore di completelyRewritten		 Il valore di completelyRewritten dal log non elaborato viene inserito in security_result.detection_fields.
contentType about.file.mime_type Il valore di contentType dal log non elaborato viene mappato direttamente.
country principal.location.country_or_region Il valore di country dal log non elaborato viene mappato direttamente.
create_time.seconds Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
data (più campi) Il payload JSON nel campo data viene analizzato e mappato a vari campi UDM.
date/date_log_rebase metadata.event_timestamp.seconds Il parser esegue il ricalcolo della data in base a un timestamp utilizzando i campi date_log_rebase o date e timeStamp.
dict security_result.category_details Il valore di dict dal log non elaborato viene mappato direttamente.
disposition Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
dnsid network.dns.id Il valore di dnsid dal log non elaborato viene mappato direttamente e convertito in un numero intero non firmato.
domain/hfrom_domain principal.administrative_domain Se domain è presente, viene utilizzato il relativo valore. In caso contrario, se è presente hfrom_domain, viene utilizzato il relativo valore.
duration Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: valore di eid		 Il valore di eid dal log non elaborato viene inserito in additional_fields.
engine metadata.product_version Il valore di engine dal log non elaborato viene mappato direttamente.
err / msg / result_detail / tls-alert security_result.description Viene mappato il primo valore disponibile tra msg, err, result_detail o tls-alert (dopo aver rimosso le virgolette).
file/name principal.process.file.full_path Se file è presente, viene utilizzato il relativo valore. In caso contrario, se è presente name, viene utilizzato il relativo valore.
filename about.file.full_path Il valore di filename dal log non elaborato viene mappato direttamente.
folder additional.fields[].key: "cartella"
additional_fields[].value.string_value: valore della cartella		 Il valore di folder dal log non elaborato viene inserito in additional_fields.
from / hfrom / value network.email.from Viene applicata una logica complessa (vedi il codice del parser). Gestisce i caratteri < e > e controlla il formato email valido.
fromAddress Non mappato Sebbene sia presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
GUID metadata.product_log_id Il valore di GUID dal log non elaborato viene mappato direttamente.
headerCC Non mappato Sebbene sia presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valore di headerFrom		 Il valore di headerFrom dal log non elaborato viene inserito in additional_fields.
headerReplyTo Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
headerTo Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
helo Non mappato Sebbene sia presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
hops-ip/lip intermediary.ip Se hops-ip è presente, viene utilizzato il relativo valore. In caso contrario, se è presente lip, viene utilizzato il relativo valore.
host principal.hostname Il valore di host dal log non elaborato viene mappato direttamente.
id Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valore di impostorScore		 Il valore di impostorScore dal log non elaborato viene inserito in additional_fields.
ip principal.asset.ip
principal.ip		 Il valore di ip dal log non elaborato viene mappato direttamente.
log_level security_result.severity_details Il valore di log_level viene mappato e utilizzato anche per dedurre security_result.severity.
m network.email.mail_id Il valore di m (dopo la rimozione dei caratteri < e >) viene mappato.
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valore di malwareScore		 Il valore di malwareScore dal log non elaborato viene inserito in additional_fields.
md5 about.file.md5 Il valore di md5 dal log non elaborato viene mappato direttamente.
messageID network.email.mail_id Il valore di messageID (dopo la rimozione dei caratteri < e >) viene mappato.
messagesBlocked (array) (più campi) L'array di oggetti messagesBlocked viene sottoposto a iterazione e i campi di ciascun oggetto vengono mappati ai campi UDM.
messagesBlocked[].ccAddresses Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].cluster Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valore di completelyRewritten		 Il valore di completelyRewritten dal log non elaborato viene inserito in security_result.detection_fields.
messagesBlocked[].fromAddress Non mappato Sebbene sia presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].GUID metadata.product_log_id Il valore di GUID dal log non elaborato viene mappato direttamente.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valore di headerFrom		 Il valore di headerFrom dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].headerReplyTo Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].id Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valore di impostorScore		 Il valore di impostorScore dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valore di malwareScore		 Il valore di malwareScore dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].messageID network.email.mail_id Il valore di messageID (dopo la rimozione dei caratteri < e >) viene mappato.
messagesBlocked[].messageParts about.file (ripetuto) Ogni oggetto nell'array messageParts è mappato a un oggetto about.file separato.
messagesBlocked[].messageParts[].contentType about.file.mime_type Il valore di contentType dal log non elaborato viene mappato direttamente.
messagesBlocked[].messageParts[].disposition Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].messageParts[].filename about.file.full_path Il valore di filename dal log non elaborato viene mappato direttamente.
messagesBlocked[].messageParts[].md5 about.file.md5 Il valore di md5 dal log non elaborato viene mappato direttamente.
messagesBlocked[].messageParts[].sandboxStatus Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].messageParts[].sha256 about.file.sha256 Il valore di sha256 dal log non elaborato viene mappato direttamente.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valore di messageSize		 Il valore di messageSize dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].messageTime Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].modulesRun Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valore di phishScore		 Il valore di phishScore dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valore di policyRoutes		 I valori di policyRoutes dal log non elaborato vengono inseriti come elenco in additional_fields.
messagesBlocked[].QID Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: valore di quarantineFolder		 Il valore di quarantineFolder dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: valore di quarantineRule		 Il valore di quarantineRule dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].recipient target.user.email_addresses Il valore di recipient dal log non elaborato viene mappato direttamente.
messagesBlocked[].replyToAddress network.email.reply_to Il valore di replyToAddress dal log non elaborato viene mappato direttamente.
messagesBlocked[].sender principal.user.email_addresses Il valore di sender dal log non elaborato viene mappato direttamente.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 Il valore di senderIP dal log non elaborato viene mappato direttamente.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valore di spamScore		 Il valore di spamScore dal log non elaborato viene inserito in additional_fields.
messagesBlocked[].subject network.email.subject Il valore di subject dal log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap security_result (ripetuto) Ogni oggetto nell'array threatsInfoMap è mappato a un oggetto security_result separato.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details Il valore di classification dal log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url Il valore di threat dal log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id Il valore di threatID dal log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status Il valore di threatStatus dal log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatTime Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name Il valore di threatType dal log non elaborato viene mappato direttamente.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product Il valore di threatUrl dal log non elaborato viene mappato direttamente.
messagesBlocked[].toAddresses network.email.to Il valore di toAddresses dal log non elaborato viene mappato direttamente.
messagesBlocked[].xmailer Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
messagesDelivered (array) (più campi) L'array di oggetti messagesDelivered viene sottoposto a iterazione e i campi di ciascun oggetto vengono mappati ai campi UDM. Logica simile a messagesBlocked.
message (più campi) Se il campo message è JSON valido, viene analizzato e mappato a vari campi UDM.
metadata.event_type metadata.event_type Impostato su "EMAIL_TRANSACTION" se message non è JSON, altrimenti derivato dai dati JSON. Impostato su "GENERIC_EVENT" se l'analisi del messaggio syslog non riesce.
metadata.log_type metadata.log_type Hardcoded to "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Imposta su "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" in base ai dati JSON.
metadata.product_name metadata.product_name Hardcoded su "TAP".
metadata.vendor_name metadata.vendor_name Hardcoded to "PROOFPOINT".
mime principal.process.file.mime_type Il valore di mime dal log non elaborato viene mappato direttamente.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: valore di mod		 Il valore di mod dal log non elaborato viene inserito in additional_fields.
oContentType Non mappato Sebbene sia presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
path/uri principal.url Se path è presente, viene utilizzato il relativo valore. In caso contrario, se è presente uri, viene utilizzato il relativo valore.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valore di phishScore		 Il valore di phishScore dal log non elaborato viene inserito in additional_fields.
pid principal.process.pid Il valore di pid dal log non elaborato viene mappato direttamente.
policy network.direction Se policy è "inbound", il campo UDM è impostato su "INBOUND". Se policy è "outbound", il campo UDM è impostato su "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valore di policyRoutes		 I valori di policyRoutes dal log non elaborato vengono inseriti come elenco in additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: valore del profilo		 Il valore di profile dal log non elaborato viene inserito in additional_fields.
prot proto Il valore di prot viene estratto in protocol, convertito in maiuscolo e poi mappato a proto.
proto network.application_protocol Il valore di proto (o il valore derivato da prot) è mappato. Se il valore è "ESMTP", viene modificato in "SMTP" prima della mappatura.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: valore di querydepth		 Il valore di querydepth dal log non elaborato viene inserito in additional_fields.
queryEndTime Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: valore di qid		 Il valore di qid dal log non elaborato viene inserito in additional_fields.
rcpt/rcpts network.email.to Se rcpt è presente e si tratta di un indirizzo email valido, viene unito al campo to. Stessa logica per rcpts.
recipient target.user.email_addresses Il valore di recipient dal log non elaborato viene mappato direttamente.
relay intermediary.hostname
intermediary.ip		 Il campo relay viene analizzato per estrarre il nome host e l'indirizzo IP, che vengono poi mappati rispettivamente a intermediary.hostname e intermediary.ip.
replyToAddress network.email.reply_to Il valore di replyToAddress dal log non elaborato viene mappato direttamente.
result security_result.action Se result è "pass", il campo UDM è impostato su "ALLOW". Se result è "fail", il campo UDM è impostato su "BLOCK".
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: valore dei percorsi		 Il valore di routes dal log non elaborato viene inserito in additional_fields.
s network.session_id Il valore di s dal log non elaborato viene mappato direttamente.
sandboxStatus Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
selector additional.fields[].key: "selettore"
additional_fields[].value.string_value: valore del selettore		 Il valore di selector dal log non elaborato viene inserito in additional_fields.
sender principal.user.email_addresses Il valore di sender dal log non elaborato viene mappato direttamente.
senderIP principal.asset.ip
principal.ip o about.ip		 Se si trova all'interno di un evento di clic, viene mappato a about.ip. In caso contrario, viene mappato a principal.asset.ip e principal.ip.
sha256 security_result.about.file.sha256 o about.file.sha256 Se si trova in una threatInfoMap, viene mappato a security_result.about.file.sha256. In caso contrario, viene mappato a about.file.sha256.
size principal.process.file.size o additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valore di messageSize		 Se si trova all'interno di un evento di messaggio, viene mappato a additional.fields[].messageSize e convertito in un numero intero non firmato. In caso contrario, viene mappato a principal.process.file.size e convertito in un numero intero senza segno.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valore di spamScore		 Il valore di spamScore dal log non elaborato viene inserito in additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: valore della statistica		 Il valore di stat dal log non elaborato viene inserito in additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: valore dello stato		 Il valore di status (dopo aver rimosso le virgolette) dal log non elaborato viene inserito in additional_fields.
sts network.http.response_code Il valore sts del log non elaborato viene mappato direttamente e convertito in un numero intero.
subject network.email.subject Il valore di subject dal log non elaborato viene mappato direttamente dopo la rimozione delle virgolette.
threatID security_result.threat_id Il valore di threatID dal log non elaborato viene mappato direttamente.
threatStatus security_result.threat_status Il valore di threatStatus dal log non elaborato viene mappato direttamente.
threatTime Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
threatType security_result.threat_name Il valore di threatType dal log non elaborato viene mappato direttamente.
threatUrl/threatURL security_result.url_back_to_product Il valore di threatUrl o threatURL dal log non elaborato viene mappato direttamente.
threatsInfoMap security_result (ripetuto) Ogni oggetto nell'array threatsInfoMap è mappato a un oggetto security_result separato.
tls network.tls.cipher Se cipher non è presente o è "NESSUNO", viene utilizzato il valore di tls se non è "NESSUNO".
tls_verify/verify security_result.action Se verify è presente, il relativo valore viene utilizzato per determinare l'azione. In caso contrario, viene utilizzato tls_verify. "FAIL" corrisponde a "BLOCK", "OK" corrisponde a "ALLOW".
tls_version/version network.tls.version Se tls_version è presente e non è "NESSUNO", viene utilizzato il relativo valore. In caso contrario, se version corrisponde a "TLS", viene utilizzato il relativo valore.
to network.email.to Il valore di to (dopo la rimozione dei caratteri < e >) viene mappato. Se non è un indirizzo email valido, viene aggiunto a additional_fields.
toAddresses network.email.to Il valore di toAddresses dal log non elaborato viene mappato direttamente.
timestamp.seconds metadata.event_timestamp.seconds Il valore di timestamp.seconds dal log non elaborato viene mappato direttamente.
type Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
url target.url o principal.url Se si trova all'interno di un evento di clic, viene mappato a target.url. In caso contrario, viene mappato a principal.url.
userAgent network.http.user_agent Il valore di userAgent dal log non elaborato viene mappato direttamente.
uri principal.url Se path non è presente, viene utilizzato il valore di uri.
value network.email.from Se from e hfrom non sono indirizzi email validi e value è un indirizzo email valido (dopo aver rimosso i caratteri < e >), viene mappato.
vendor Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.
verify security_result.action Se verify è presente, viene utilizzato per determinare l'azione. "NON" viene mappato a "BLOCCA", mentre gli altri valori vengono mappati a "PERMETTI".
version network.tls.version Se tls_version non è presente o è "NESSUNO" e version contiene "TLS", è mappato.
virusthreat security_result.threat_name Il valore di virusthreat dal log non elaborato viene mappato direttamente se non è "sconosciuto".
virusthreatid security_result.threat_id Il valore di virusthreatid (dopo la rimozione delle virgolette) dal log non elaborato viene mappato direttamente se non è "sconosciuto".
xmailer Non mappato Anche se presente nei log non elaborati, questo campo non è mappato all'oggetto IDM nell'UDM fornito.

Modifiche

2024-05-27

  • "msg.policyRoutes" è stato mappato a "additional.fields".

2024-04-03

  • È stato estratto "sender_domain" da "msg.fromAddress" e "clicks.sender" e mappato a "principal.domain.name".
  • "clicks.sender" è stato mappato a "principal.user.email_addresses".
  • "clicks.recipient" è stato mappato a "target.user.email_addresses".

2023-06-26

  • Miglioramento:
  • "clicks.threatStatus" è stato mappato a "security_result.threat_status".

2022-11-03

  • Miglioramento: è stato aggiunto il controllo delle condizioni per il campo della data .
  • "Assegna la priorità più alta alla data con il timestamp massimo".
  • if "click_time" > "threat_time" date mapped to click_time else threat_time.

2022-07-13

  • Miglioramento: è stata modificata la mappatura di "intermediary.user.email_addresses" da "(messagesBlocked|messagesDelivered).toAddresses" a "(messagesBlocked|messagesDelivered).ccAddresses" .

2022-06-29

  • Miglioramento: è stato aggiunto gsub per rimuovere "<>' dai campi "clicks.messageID" e "m" mappati a "network.email.mail_id".

2022-05-25

  • "messageSize" è stato mappato al campo "additional".
  • "campaignID" è stato mappato al campo "security_result.rule_id".
  • "ccAddresses" è stato mappato al campo "intermediary.user.email_addresses".
  • "toAddresses" è stato mappato al campo "target.user.email_addresses".