Proofpoint TAP-Benachrichtigungslogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Protokolle für Proofpoint Targeted Attack Protection (TAP)-Benachrichtigungen erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahmelabel PROOFPOINT_MAIL.

Proofpoint TAP-Benachrichtigungen konfigurieren

  1. Melden Sie sich mit Ihren Anmeldedaten im Proofpoint Threat Insight-Portal an.
  2. Wählen Sie auf dem Tab Einstellungen die Option Verbundene Anwendungen aus. Der Abschnitt Dienstanmeldedaten wird angezeigt.
  3. Klicken Sie im Bereich Name auf Create new credential (Neue Anmeldedaten erstellen).
  4. Geben Sie den Namen Ihrer Organisation ein, z. B. altostrat.com.
  5. Klicken Sie auf Erstellen. Im Dialogfeld Generated service credential (Generierte Dienstanmeldedaten) werden die Werte Service principal (Dienstprinzipal) und Secret (Secret) angezeigt.
  6. Kopieren Sie die Werte für Dienstprinzipal und Secret. Die Werte werden nur bei der Erstellung angezeigt und sind erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
  7. Klicken Sie auf Fertig.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Proofpoint TAP alerts logs (Proofpoint TAP-Benachrichtigungsprotokolle).
  5. Wählen Sie Drittanbieter-API als Quelltyp aus.
  6. Wählen Sie Proofpoint TAP alerts als Log type (Protokolltyp) aus.
  7. Klicken Sie auf Weiter.
  8. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Nutzername: Geben Sie den Dienstprinzipal an, den Sie zuvor erhalten haben.
    • Secret: Geben Sie das Secret an, das Sie zuvor abgerufen haben.
  9. Klicken Sie auf Weiter und dann auf Senden.

Referenz zur Feldzuordnung

Dieser Parser verarbeitet Proofpoint Mail-Protokolle im JSON- oder Schlüssel/Wert-Format und extrahiert Details zu E-Mail- und Netzwerkaktivitäten. Es ordnet Protokollfelder dem UDM zu, kategorisiert Ereignisse wie E-Mail-Transaktionen und HTTP-Netzwerkanfragen und reichert sie mit Sicherheitsdetails wie Aktionen, Kategorien und Informationen zu Bedrohungen an.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Bemerkung
action security_result.action_details Der Wert von action aus dem Rohlog wird direkt zugeordnet.
adultscore additional.fields[].key: „adultscore“
additional.fields[].value.string_value: Wert von „adultscore“
Der Wert von adultscore aus dem Rohlog wird in additional_fields eingefügt.
attachments additional.fields[].key: „attachments“
additional_fields[].value.string_value: Wert von „attachments“
Der Wert von attachments aus dem Rohlog wird in additional_fields eingefügt.
campaignID security_result.rule_id Der Wert von campaignID aus dem Rohlog wird direkt zugeordnet.
ccAddresses Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
cid additional.fields[].key: cid
additional_fields[].value.string_value: Wert von cid
Der Wert von cid aus dem Rohlog wird in additional_fields eingefügt.
cipher/tls network.tls.cipher Wenn cipher vorhanden und nicht „NONE“ ist, wird der Wert verwendet. Andernfalls wird der Wert von tls verwendet, sofern er vorhanden und nicht „NONE“ ist.
classification security_result.category_details Der Wert von classification aus dem Rohlog wird direkt zugeordnet.
clickIP principal.asset.ip
principal.ip
Der Wert von clickIP aus dem Rohlog wird direkt zugeordnet.
clicks.impostorScore security_result.detection_fields Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet.
clicks.malwareScore security_result.detection_fields Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet.
clicks.phishScore security_result.detection_fields Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet.
clicks.quarantineFolder security_result.priority oder security_result.detection_fields Wenn click.quarantineFolder gleich „niedrige Priorität“ oder „hohe Priorität“ ist, wird das UDM-Feld security_result.priority zugeordnet, andernfalls security_result.detection_fields.
clicks.quarantineRule security_result.rule_name Wird einem Schlüssel/Wert-Paar in security_result.rule_name zugeordnet.
clicks.sender Nicht zugeordnet
clicks.senderIP principal.ip Wird einem Schlüssel/Wert-Paar in principal.ip zugeordnet.
clicks.spamScore security_result.detection_fields Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet.
clicksBlocked[].campaignId Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
clicksBlocked[].clickIP principal.asset.ip
principal.ip
Der Wert von clickIP im Array clicksBlocked wird zugeordnet.
clicksBlocked[].clickTime metadata.event_timestamp.seconds Der Parser wandelt den clickTime-String in einen Zeitstempel um und ordnet ihn zu.
clicksBlocked[].classification security_result.category_details Der Wert von classification im Array clicksBlocked wird zugeordnet.
clicksBlocked[].GUID metadata.product_log_id Der Wert von GUID im Array clicksBlocked wird zugeordnet.
clicksBlocked[].id Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
clicksBlocked[].messageID network.email.mail_id Der Wert von messageID im Array clicksBlocked wird zugeordnet.
clicksBlocked[].recipient target.user.email_addresses Der Wert von recipient im Array clicksBlocked wird zugeordnet.
clicksBlocked[].sender principal.user.email_addresses Der Wert von sender im Array clicksBlocked wird zugeordnet.
clicksBlocked[].senderIP about.ip Der Wert von senderIP im Array clicksBlocked wird zugeordnet. Der allgemeine Eintrag senderIP wird principal.asset.ip oder principal.ip zugeordnet.
clicksBlocked[].threatID security_result.threat_id Der Wert von threatID im Array clicksBlocked wird zugeordnet.
clicksBlocked[].threatTime Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
clicksBlocked[].threatURL security_result.url_back_to_product Der Wert von threatURL im Array clicksBlocked wird zugeordnet.
clicksBlocked[].threatStatus security_result.threat_status Der Wert von threatStatus im Array clicksBlocked wird zugeordnet.
clicksBlocked[].url target.url Der Wert von url im Array clicksBlocked wird zugeordnet.
clicksBlocked[].userAgent network.http.user_agent Der Wert von userAgent im Array clicksBlocked wird zugeordnet.
clicksPermitted[].campaignId Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
clicksPermitted[].clickIP principal.asset.ip
principal.ip
Der Wert von clickIP im Array clicksPermitted wird zugeordnet.
clicksPermitted[].clickTime metadata.event_timestamp.seconds Der Parser wandelt den clickTime-String in einen Zeitstempel um und ordnet ihn zu.
clicksPermitted[].classification security_result.category_details Der Wert von classification im Array clicksPermitted wird zugeordnet.
clicksPermitted[].guid metadata.product_log_id Der Wert von guid im Array clicksPermitted wird zugeordnet.
clicksPermitted[].id Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
clicksPermitted[].messageID Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
clicksPermitted[].recipient target.user.email_addresses Der Wert von recipient im Array clicksPermitted wird zugeordnet.
clicksPermitted[].sender principal.user.email_addresses Der Wert von sender im Array clicksPermitted wird zugeordnet.
clicksPermitted[].senderIP about.ip Der Wert von senderIP im Array clicksPermitted wird zugeordnet.
clicksPermitted[].threatID security_result.threat_id Der Wert von threatID im Array clicksPermitted wird zugeordnet.
clicksPermitted[].threatTime Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
clicksPermitted[].threatURL security_result.url_back_to_product Der Wert von threatURL im Array clicksPermitted wird zugeordnet.
clicksPermitted[].url target.url Der Wert von url im Array clicksPermitted wird zugeordnet.
clicksPermitted[].userAgent network.http.user_agent Der Wert von userAgent im Array clicksPermitted wird zugeordnet.
clickTime metadata.event_timestamp.seconds Der Parser wandelt den clickTime-String in einen Zeitstempel um und ordnet ihn zu.
cmd principal.process.command_line oder network.http.method Wenn sts (HTTP-Statuscode) vorhanden ist, wird cmd network.http.method zugeordnet. Andernfalls wird sie principal.process.command_line zugeordnet.
collection_time.seconds metadata.event_timestamp.seconds Der Wert von collection_time.seconds aus dem Rohlog wird direkt zugeordnet.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Wert von „completelyRewritten“
Der Wert von completelyRewritten aus dem Rohlog wird in security_result.detection_fields eingefügt.
contentType about.file.mime_type Der Wert von contentType aus dem Rohlog wird direkt zugeordnet.
country principal.location.country_or_region Der Wert von country aus dem Rohlog wird direkt zugeordnet.
create_time.seconds Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
data (Mehrere Felder) Die JSON-Nutzlast im Feld data wird geparst und verschiedenen UDM-Feldern zugeordnet.
date/date_log_rebase metadata.event_timestamp.seconds Der Parser setzt das Datum mithilfe der Felder date_log_rebase oder date und timeStamp auf einen Zeitstempel zurück.
dict security_result.category_details Der Wert von dict aus dem Rohlog wird direkt zugeordnet.
disposition Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
dnsid network.dns.id Der Wert von dnsid aus dem Rohlog wird direkt zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
domain/hfrom_domain principal.administrative_domain Wenn domain vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von hfrom_domain verwendet, sofern vorhanden.
duration Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
eid additional.fields[].key: „eid“
additional_fields[].value.string_value: Wert von „eid“
Der Wert von eid aus dem Rohlog wird in additional_fields eingefügt.
engine metadata.product_version Der Wert von engine aus dem Rohlog wird direkt zugeordnet.
err / msg / result_detail / tls-alert security_result.description Der erste verfügbare Wert aus msg, err, result_detail oder tls-alert (nach dem Entfernen von Anführungszeichen) wird zugeordnet.
file/name principal.process.file.full_path Wenn file vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von name verwendet, sofern vorhanden.
filename about.file.full_path Der Wert von filename aus dem Rohlog wird direkt zugeordnet.
folder additional.fields[].key: „folder“
additional_fields[].value.string_value: Wert des Ordners
Der Wert von folder aus dem Rohlog wird in additional_fields eingefügt.
from / hfrom / value network.email.from Es gilt eine komplexe Logik (siehe Parsercode). Verarbeitet die Zeichen < und > und prüft, ob das E‑Mail-Format gültig ist.
fromAddress Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
GUID metadata.product_log_id Der Wert von GUID aus dem Rohlog wird direkt zugeordnet.
headerCC Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Wert von headerFrom
Der Wert von headerFrom aus dem Rohlog wird in additional_fields eingefügt.
headerReplyTo Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
headerTo Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
helo Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
hops-ip/lip intermediary.ip Wenn hops-ip vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von lip verwendet, sofern vorhanden.
host principal.hostname Der Wert von host aus dem Rohlog wird direkt zugeordnet.
id Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
impostorScore security_result.detection_fields
ip principal.asset.ip
principal.ip
Der Wert von ip aus dem Rohlog wird direkt zugeordnet.
log_level security_result.severity_details Der Wert von log_level wird zugeordnet und auch zum Ableiten von security_result.severity verwendet.
m network.email.mail_id Der Wert von m wird zugeordnet, nachdem die Zeichen < und > entfernt wurden.
malwareScore security_result.detection_fields
md5 about.file.md5 Der Wert von md5 aus dem Rohlog wird direkt zugeordnet.
messageID network.email.mail_id Der Wert von messageID wird zugeordnet, nachdem die Zeichen < und > entfernt wurden.
messagesBlocked (Array) (Mehrere Felder) Das Array von messagesBlocked-Objekten wird durchlaufen und die Felder jedes Objekts werden UDM-Feldern zugeordnet.
messagesBlocked[].ccAddresses Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].cluster Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Wert von „completelyRewritten“
Der Wert von completelyRewritten aus dem Rohlog wird in security_result.detection_fields eingefügt.
messagesBlocked[].fromAddress Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].GUID metadata.product_log_id Der Wert von GUID aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Wert von headerFrom
Der Wert von headerFrom aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].headerReplyTo Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].id Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].impostorScore additional.fields[].key: „impostorScore“
additional_fields[].value.number_value: Wert von „impostorScore“
Der Wert von impostorScore aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].malwareScore additional.fields[].key: „malwareScore“
additional_fields[].value.number_value: Wert von „malwareScore“
Der Wert von malwareScore aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].messageID network.email.mail_id Der Wert von messageID wird zugeordnet, nachdem die Zeichen < und > entfernt wurden.
messagesBlocked[].messageParts about.file (wiederholt) Jedes Objekt im messageParts-Array wird einem separaten about.file-Objekt zugeordnet.
messagesBlocked[].messageParts[].contentType about.file.mime_type Der Wert von contentType aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].messageParts[].disposition Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].messageParts[].filename about.file.full_path Der Wert von filename aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].messageParts[].md5 about.file.md5 Der Wert von md5 aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].messageParts[].sandboxStatus Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].messageParts[].sha256 about.file.sha256 Der Wert von sha256 aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Value of messageSize
Der Wert von messageSize aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].messageTime Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].modulesRun Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].phishScore additional.fields[].key: „phishScore“
additional_fields[].value.number_value: Wert von „phishScore“
Der Wert von phishScore aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].policyRoutes additional.fields[].key: „PolicyRoutes“
additional_fields[].value.list_value.values[].string_value: Wert von „policyRoutes“
Die Werte von policyRoutes aus dem Rohlog werden als Liste in additional_fields eingefügt.
messagesBlocked[].QID Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].quarantineFolder additional.fields[].key: „quarantineFolder“
additional_fields[].value.string_value: Wert von „quarantineFolder“
Der Wert von quarantineFolder aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].quarantineRule additional.fields[].key: „quarantineRule“
additional_fields[].value.string_value: Wert von „quarantineRule“
Der Wert von quarantineRule aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].recipient target.user.email_addresses Der Wert von recipient aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].replyToAddress network.email.reply_to Der Wert von replyToAddress aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].sender principal.user.email_addresses Der Wert von sender aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].senderIP principal.asset.ip
principal.ip
Der Wert von senderIP aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].spamScore additional.fields[].key: „spamScore“
additional_fields[].value.number_value: Wert von „spamScore“
Der Wert von spamScore aus dem Rohlog wird in additional_fields eingefügt.
messagesBlocked[].subject network.email.subject Der Wert von subject aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].threatsInfoMap security_result (wiederholt) Jedes Objekt im threatsInfoMap-Array wird einem separaten security_result-Objekt zugeordnet.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details Der Wert von classification aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url Der Wert von threat aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id Der Wert von threatID aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status Der Wert von threatStatus aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].threatsInfoMap[].threatTime Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name Der Wert von threatType aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product Der Wert von threatUrl aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].toAddresses network.email.to Der Wert von toAddresses aus dem Rohlog wird direkt zugeordnet.
messagesBlocked[].xmailer Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
messagesDelivered (Array) (Mehrere Felder) Das Array von messagesDelivered-Objekten wird durchlaufen und die Felder jedes Objekts werden UDM-Feldern zugeordnet. Ähnliche Logik wie messagesBlocked.
message (Mehrere Felder) Wenn das Feld message gültiges JSON enthält, wird es geparst und verschiedenen UDM-Feldern zugeordnet.
metadata.event_type metadata.event_type Auf „EMAIL_TRANSACTION“ festgelegt, wenn message nicht JSON ist. Andernfalls wird der Wert aus den JSON-Daten abgeleitet. Wird auf „GENERIC_EVENT“ gesetzt, wenn die Syslog-Nachricht nicht geparst werden kann.
metadata.log_type metadata.log_type Fest codiert auf „PROOFPOINT_MAIL“.
metadata.product_event_type metadata.product_event_type Wird basierend auf den JSON-Daten auf „messagesBlocked“, „messagesDelivered“, „clicksPermitted“ oder „clicksBlocked“ gesetzt.
metadata.product_name metadata.product_name Fest codiert auf „TAP“.
metadata.vendor_name metadata.vendor_name Fest codiert auf „PROOFPOINT“.
mime principal.process.file.mime_type Der Wert von mime aus dem Rohlog wird direkt zugeordnet.
mod additional.fields[].key: „module“
additional_fields[].value.string_value: Wert von mod
Der Wert von mod aus dem Rohlog wird in additional_fields eingefügt.
msg.imposterScore security_result.detection_fields Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet.
msg.malwareScore security_result.detection_fields Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet.
msg.phishScore security_result.detection_fields Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet.
msg.quarantineFolder security_result.priority oder security_result.detection_fields Wenn msg.quarantineFolder gleich „niedrige Priorität“ oder „hohe Priorität“ ist, wird das UDM-Feld security_result.priority zugeordnet, andernfalls security_result.detection_fields.
msg.quarantineRule security_result.rule_name
msg.spamScore security_result.detection_fields
msgPart.contentType Nicht zugeordnet
oContentType Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
partData.contentType about.file.mime_type
partData.disposition additional.fields
partData.filename about.file.full_path
partData.md5 about.file.md5
partData.sha256 about.file.sha256
partData.contentType security_result.detection_fields
path/uri principal.url Wenn path vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von uri verwendet, sofern vorhanden.
phishScore security_result.detection_fields
pid principal.process.pid Der Wert von pid aus dem Rohlog wird direkt zugeordnet.
policy network.direction Wenn policy „inbound“ ist, wird das UDM-Feld auf „INBOUND“ gesetzt. Wenn policy „outbound“ ist, wird das UDM-Feld auf „OUTBOUND“ gesetzt.
policyRoutes additional.fields[].key: „PolicyRoutes“
additional_fields[].value.list_value.values[].string_value: Wert von „policyRoutes“
Die Werte von policyRoutes aus dem Rohlog werden als Liste in additional_fields eingefügt.
profile additional.fields[].key: „profile“
additional_fields[].value.string_value: Wert des Profils
Der Wert von profile aus dem Rohlog wird in additional_fields eingefügt.
prot proto Der Wert von prot wird in protocol extrahiert, in Großbuchstaben umgewandelt und dann proto zugeordnet.
proto network.application_protocol Der Wert von proto (oder der abgeleitete Wert von prot) wird zugeordnet. Wenn der Wert „ESMTP“ ist, wird er vor der Zuordnung in „SMTP“ geändert.
querydepth additional.fields[].key: „querydepth“
additional_fields[].value.string_value: Wert von „querydepth“
Der Wert von querydepth aus dem Rohlog wird in additional_fields eingefügt.
queryEndTime Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
qid additional.fields[].key: „qid“
additional_fields[].value.string_value: Wert von qid
Der Wert von qid aus dem Rohlog wird in additional_fields eingefügt.
quarantineFolder security_result.priority oder security_result.detection_fields Wenn quarantineFolder gleich „niedrige Priorität“ oder „hohe Priorität“ ist, wird das UDM-Feld security_result.priority zugeordnet, andernfalls security_result.detection_fields.
rcpt/rcpts network.email.to Wenn rcpt vorhanden und eine gültige E‑Mail-Adresse ist, wird sie in das Feld to eingefügt. Dieselbe Logik gilt für rcpts.
recipient target.user.email_addresses Der Wert von recipient aus dem Rohlog wird direkt zugeordnet.
relay intermediary.hostname
intermediary.ip
Das Feld relay wird geparst, um Hostname und IP-Adresse zu extrahieren, die dann intermediary.hostname bzw. intermediary.ip zugeordnet werden.
replyToAddress network.email.reply_to Der Wert von replyToAddress aus dem Rohlog wird direkt zugeordnet.
result security_result.action Wenn result „pass“ ist, wird das UDM-Feld auf „ALLOW“ gesetzt. Wenn result „fail“ ist, wird das UDM-Feld auf „BLOCK“ gesetzt.
routes additional.fields[].key: „routes“
additional_fields[].value.string_value: Wert von „routes“
Der Wert von routes aus dem Rohlog wird in additional_fields eingefügt.
s network.session_id Der Wert von s aus dem Rohlog wird direkt zugeordnet.
sandboxStatus Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
selector additional.fields[].key: „selector“
additional_fields[].value.string_value: Wert des Selektors
Der Wert von selector aus dem Rohlog wird in additional_fields eingefügt.
sender principal.user.email_addresses Der Wert von sender aus dem Rohlog wird direkt zugeordnet.
senderIP principal.asset.ip
principal.ip oder about.ip
Wenn es sich um ein Klickereignis handelt, wird es about.ip zugeordnet. Andernfalls wird sie principal.asset.ip und principal.ip zugeordnet.
sha256 security_result.about.file.sha256 oder about.file.sha256 Wenn sie sich in einer threatInfoMap befindet, wird sie security_result.about.file.sha256 zugeordnet. Andernfalls wird sie about.file.sha256 zugeordnet.
size principal.process.file.size oder additional.fields[].key: „messageSize“
additional_fields[].value.number_value: Wert von „messageSize“
Wenn es sich in einem Nachrichtenereignis befindet, wird es additional.fields[].messageSize zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert. Andernfalls wird sie principal.process.file.size zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
spamScore security_result.detection_fields
stat additional.fields[].key: „status“
additional_fields[].value.string_value: Wert des Status
Der Wert von stat aus dem Rohlog wird in additional_fields eingefügt.
status additional.fields[].key: „status“
additional_fields[].value.string_value: Wert des Status
Der Wert von status (nach dem Entfernen von Anführungszeichen) aus dem Rohlog wird in additional_fields eingefügt.
sts network.http.response_code Der Wert von sts aus dem Rohlog wird direkt zugeordnet und in eine Ganzzahl konvertiert.
subject network.email.subject Der Wert von subject aus dem Rohlog wird direkt zugeordnet, nachdem Anführungszeichen entfernt wurden.
threatID security_result.threat_id Der Wert von threatID aus dem Rohlog wird direkt zugeordnet.
threatStatus security_result.threat_status Der Wert von threatStatus aus dem Rohlog wird direkt zugeordnet.
threatTime Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
threatType security_result.threat_name Der Wert von threatType aus dem Rohlog wird direkt zugeordnet.
threatUrl/threatURL security_result.url_back_to_product Der Wert von threatUrl oder threatURL aus dem Rohlog wird direkt zugeordnet.
threatsInfoMap security_result (wiederholt) Jedes Objekt im threatsInfoMap-Array wird einem separaten security_result-Objekt zugeordnet.
tls network.tls.cipher Wenn cipher nicht vorhanden oder „NONE“ ist, wird der Wert von tls verwendet, sofern er nicht „NONE“ ist.
tls_verify/verify security_result.action Wenn verify vorhanden ist, wird der Wert verwendet, um die Aktion zu bestimmen. Andernfalls wird tls_verify verwendet. „FAIL“ wird „BLOCK“ zugeordnet, „OK“ wird „ALLOW“ zugeordnet.
tls_version/version network.tls.version Wenn tls_version vorhanden und nicht „NONE“ ist, wird der Wert verwendet. Andernfalls wird der Wert verwendet, wenn version mit „TLS“ übereinstimmt.
to network.email.to Der Wert von to wird zugeordnet, nachdem die Zeichen < und > entfernt wurden. Wenn es sich nicht um eine gültige E-Mail-Adresse handelt, wird sie additional_fields hinzugefügt.
toAddresses network.email.to Der Wert von toAddresses aus dem Rohlog wird direkt zugeordnet.
timestamp.seconds metadata.event_timestamp.seconds Der Wert von timestamp.seconds aus dem Rohlog wird direkt zugeordnet.
type Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
url target.url oder principal.url Wenn es sich um ein Klickereignis handelt, wird es target.url zugeordnet. Andernfalls wird sie principal.url zugeordnet.
userAgent network.http.user_agent Der Wert von userAgent aus dem Rohlog wird direkt zugeordnet.
uri principal.url Wenn path nicht vorhanden ist, wird der Wert von uri verwendet.
value network.email.from Wenn from und hfrom keine gültigen E-Mail-Adressen sind und value eine gültige E-Mail-Adresse ist (nach dem Entfernen der Zeichen < und >), wird sie zugeordnet.
vendor Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.
verify security_result.action Wenn verify vorhanden ist, wird es verwendet, um die Aktion zu bestimmen. „NOT“ wird „BLOCK“ zugeordnet, andere Werte werden „ALLOW“ zugeordnet.
version network.tls.version Wenn tls_version nicht vorhanden oder „NONE“ ist und version „TLS“ enthält, wird es zugeordnet.
virusthreat security_result.threat_name Der Wert von virusthreat aus dem Rohlog wird direkt zugeordnet, sofern er nicht „unknown“ ist.
virusthreatid security_result.threat_id Der Wert von virusthreatid (nach dem Entfernen von Anführungszeichen) aus dem Rohlog wird direkt zugeordnet, sofern er nicht „unknown“ ist.
xmailer Nicht zugeordnet Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet.

UDM-Abgleichsdelta-Referenz

Am 9. September 2025 hat Google SecOps eine neue Version des Symantec Endpoint Protection-Parsers veröffentlicht, die erhebliche Änderungen bei der Zuordnung von Symantec Endpoint Protection-Logfeldern zu UDM-Feldern und Aktualisierungen der Klassifizierungen von Ereignistypen (Zuordnungen) enthält.

Delta der Zuordnung von Logfeldern

In der folgenden Tabelle sehen Sie die Änderungen bei der Zuordnung von Symantec Endpoint Protection-Logfeldern zu UDM-Feldern. In der Spalte Alte Zuordnung sind die Felder aufgeführt, die vor dem 9. September 2025 verfügbar waren, und in der Spalte Aktuelle Zuordnung die neuen Felder.

Logfeld Alte Zuordnung Aktuelle Zuordnung
clicks.impostorScore additional.fields security_result.detection_fields
clicks.malwareScore additional.fields security_result.detection_fields
clicks.phishScore additional.fields security_result.detection_fields
clicks.quarantineFolder additional.fields Wenn quarantineFolder gleich low priority oder high priority ist,wird security_result.priority zugeordnet. Andernfalls wird security_result.detection_fields zugeordnet.
clicks.quarantineRule additional.fields security_result.rule_name
clicks.sender about.email Not Mapped
clicks.senderIP about.ip principal.ip
clicks.spamScore additional.fields security_result.detection_fields
impostorScore additional.fields security_result.detection_fields
malwareScore additional.fields security_result.detection_fields
msg.impostorScore additional.fields security_result.detection_fields
msg.malwareScore additional.fields security_result.detection_fields
msg.phishScore additional.fields security_result.detection_fields
msg.quarantineFolder additional.fields Wenn quarantineFolder gleich low priority oder high priority ist,wird security_result.priority zugeordnet. Andernfalls wird security_result.detection_fields zugeordnet.
msg.quarantineRule additional.fields security_result.rule_name
msg.spamScore additional.fields security_result.detection_fields
msgPart.contentType additional.fields Not Mapped
partData.contentType principal.process.file.mime_type about.file.mime_type
partData.disposition security_result.detection_fields additional.fields
partData.filename principal.process.file.full_path about.file.full_path
partData.md5 principal.process.file.md5 about.file.md5
partData.sha256 about.file.sha1 about.file.sha256
phishScore additional.fields security_result.detection_fields
quarantineFolder additional.fields ifquarantineFolderis equal tolow priorityorhigh prioritythen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields
spamScore additional.fields security_result.detection_fields

Delta der Ereignistypzuordnung

Mehrere Ereignisse, die zuvor als allgemeine Ereignisse klassifiziert wurden, werden jetzt mit aussagekräftigeren Ereignistypen richtig klassifiziert.

In der folgenden Tabelle ist das Delta für die Verarbeitung von Symantec Endpoint Protection-Ereignistypen vor dem 9. September 2025 und danach aufgeführt (in den Spalten Old event_type und Current event_type).

Format eventType aus dem Log Alter event_type Aktueller event_type
SYSLOG+KV Wenn die Felder fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts,mailer,proto oder mod im Log vorhanden sind EMAIL_TRANSACTION
Wenn das Log nur mail_id-Details enthält EMAIL_TRANSACTION EMAIL_UNCATEGORIZED
CEF-Logs eventname= messagesDelivered, messagesBlocked EMAIL_TRANSACTION
wenn das Log emails, sender, headerReplyTo, orig_recipient enthält USER_UNCATEGORIED
wenn das Log src, host enthält STATUS_UPDATE
SYSLOG+JSON eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked EMAIL_TRANSACTION
JSON record.address USER_UNCATEGORIZED
lookalikeDomain.name STATUS_UPDATE

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten