Proofpoint TAP-Benachrichtigungslogs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Protokolle für Proofpoint Targeted Attack Protection (TAP)-Benachrichtigungen erfassen, indem Sie einen Google Security Operations-Feed einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahmelabel PROOFPOINT_MAIL.
Proofpoint TAP-Benachrichtigungen konfigurieren
- Melden Sie sich mit Ihren Anmeldedaten im Proofpoint Threat Insight-Portal an.
- Wählen Sie auf dem Tab Einstellungen die Option Verbundene Anwendungen aus. Der Abschnitt Dienstanmeldedaten wird angezeigt.
- Klicken Sie im Bereich Name auf Create new credential (Neue Anmeldedaten erstellen).
- Geben Sie den Namen Ihrer Organisation ein, z. B.
altostrat.com. - Klicken Sie auf Erstellen. Im Dialogfeld Generated service credential (Generierte Dienstanmeldedaten) werden die Werte Service principal (Dienstprinzipal) und Secret (Secret) angezeigt.
- Kopieren Sie die Werte für Dienstprinzipal und Secret. Die Werte werden nur bei der Erstellung angezeigt und sind erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
- Klicken Sie auf Fertig.
Feeds einrichten
So konfigurieren Sie einen Feed:
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Proofpoint TAP alerts logs (Proofpoint TAP-Benachrichtigungsprotokolle).
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie Proofpoint TAP alerts als Log type (Protokolltyp) aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Nutzername: Geben Sie den Dienstprinzipal an, den Sie zuvor erhalten haben.
- Secret: Geben Sie das Secret an, das Sie zuvor abgerufen haben.
- Klicken Sie auf Weiter und dann auf Senden.
Referenz zur Feldzuordnung
Dieser Parser verarbeitet Proofpoint Mail-Protokolle im JSON- oder Schlüssel/Wert-Format und extrahiert Details zu E-Mail- und Netzwerkaktivitäten. Es ordnet Protokollfelder dem UDM zu, kategorisiert Ereignisse wie E-Mail-Transaktionen und HTTP-Netzwerkanfragen und reichert sie mit Sicherheitsdetails wie Aktionen, Kategorien und Informationen zu Bedrohungen an.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Bemerkung |
|---|---|---|
action |
security_result.action_details |
Der Wert von action aus dem Rohlog wird direkt zugeordnet. |
adultscore |
additional.fields[].key: „adultscore“additional.fields[].value.string_value: Wert von „adultscore“ |
Der Wert von adultscore aus dem Rohlog wird in additional_fields eingefügt. |
attachments |
additional.fields[].key: „attachments“additional_fields[].value.string_value: Wert von „attachments“ |
Der Wert von attachments aus dem Rohlog wird in additional_fields eingefügt. |
campaignID |
security_result.rule_id |
Der Wert von campaignID aus dem Rohlog wird direkt zugeordnet. |
ccAddresses |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
cid |
additional.fields[].key: cidadditional_fields[].value.string_value: Wert von cid |
Der Wert von cid aus dem Rohlog wird in additional_fields eingefügt. |
cipher/tls |
network.tls.cipher |
Wenn cipher vorhanden und nicht „NONE“ ist, wird der Wert verwendet. Andernfalls wird der Wert von tls verwendet, sofern er vorhanden und nicht „NONE“ ist. |
classification |
security_result.category_details |
Der Wert von classification aus dem Rohlog wird direkt zugeordnet. |
clickIP |
principal.asset.ipprincipal.ip |
Der Wert von clickIP aus dem Rohlog wird direkt zugeordnet. |
clicks.impostorScore |
security_result.detection_fields |
Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet. |
clicks.malwareScore |
security_result.detection_fields |
Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet. |
clicks.phishScore |
security_result.detection_fields |
Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet. |
clicks.quarantineFolder |
security_result.priority oder security_result.detection_fields |
Wenn click.quarantineFolder gleich „niedrige Priorität“ oder „hohe Priorität“ ist, wird das UDM-Feld security_result.priority zugeordnet, andernfalls security_result.detection_fields. |
clicks.quarantineRule |
security_result.rule_name |
Wird einem Schlüssel/Wert-Paar in security_result.rule_name zugeordnet. |
clicks.sender |
Nicht zugeordnet | |
clicks.senderIP |
principal.ip |
Wird einem Schlüssel/Wert-Paar in principal.ip zugeordnet. |
clicks.spamScore |
security_result.detection_fields |
Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet. |
clicksBlocked[].campaignId |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
Der Wert von clickIP im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
Der Parser wandelt den clickTime-String in einen Zeitstempel um und ordnet ihn zu. |
clicksBlocked[].classification |
security_result.category_details |
Der Wert von classification im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].GUID |
metadata.product_log_id |
Der Wert von GUID im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].id |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
clicksBlocked[].messageID |
network.email.mail_id |
Der Wert von messageID im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].recipient |
target.user.email_addresses |
Der Wert von recipient im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].sender |
principal.user.email_addresses |
Der Wert von sender im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].senderIP |
about.ip |
Der Wert von senderIP im Array clicksBlocked wird zugeordnet. Der allgemeine Eintrag senderIP wird principal.asset.ip oder principal.ip zugeordnet. |
clicksBlocked[].threatID |
security_result.threat_id |
Der Wert von threatID im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].threatTime |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
Der Wert von threatURL im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].threatStatus |
security_result.threat_status |
Der Wert von threatStatus im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].url |
target.url |
Der Wert von url im Array clicksBlocked wird zugeordnet. |
clicksBlocked[].userAgent |
network.http.user_agent |
Der Wert von userAgent im Array clicksBlocked wird zugeordnet. |
clicksPermitted[].campaignId |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
Der Wert von clickIP im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
Der Parser wandelt den clickTime-String in einen Zeitstempel um und ordnet ihn zu. |
clicksPermitted[].classification |
security_result.category_details |
Der Wert von classification im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].guid |
metadata.product_log_id |
Der Wert von guid im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].id |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
clicksPermitted[].messageID |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
clicksPermitted[].recipient |
target.user.email_addresses |
Der Wert von recipient im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].sender |
principal.user.email_addresses |
Der Wert von sender im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].senderIP |
about.ip |
Der Wert von senderIP im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].threatID |
security_result.threat_id |
Der Wert von threatID im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].threatTime |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
Der Wert von threatURL im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].url |
target.url |
Der Wert von url im Array clicksPermitted wird zugeordnet. |
clicksPermitted[].userAgent |
network.http.user_agent |
Der Wert von userAgent im Array clicksPermitted wird zugeordnet. |
clickTime |
metadata.event_timestamp.seconds |
Der Parser wandelt den clickTime-String in einen Zeitstempel um und ordnet ihn zu. |
cmd |
principal.process.command_line oder network.http.method |
Wenn sts (HTTP-Statuscode) vorhanden ist, wird cmd network.http.method zugeordnet. Andernfalls wird sie principal.process.command_line zugeordnet. |
collection_time.seconds |
metadata.event_timestamp.seconds |
Der Wert von collection_time.seconds aus dem Rohlog wird direkt zugeordnet. |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Wert von „completelyRewritten“ |
Der Wert von completelyRewritten aus dem Rohlog wird in security_result.detection_fields eingefügt. |
contentType |
about.file.mime_type |
Der Wert von contentType aus dem Rohlog wird direkt zugeordnet. |
country |
principal.location.country_or_region |
Der Wert von country aus dem Rohlog wird direkt zugeordnet. |
create_time.seconds |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
data |
(Mehrere Felder) | Die JSON-Nutzlast im Feld data wird geparst und verschiedenen UDM-Feldern zugeordnet. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
Der Parser setzt das Datum mithilfe der Felder date_log_rebase oder date und timeStamp auf einen Zeitstempel zurück. |
dict |
security_result.category_details |
Der Wert von dict aus dem Rohlog wird direkt zugeordnet. |
disposition |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
dnsid |
network.dns.id |
Der Wert von dnsid aus dem Rohlog wird direkt zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert. |
domain/hfrom_domain |
principal.administrative_domain |
Wenn domain vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von hfrom_domain verwendet, sofern vorhanden. |
duration |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
eid |
additional.fields[].key: „eid“additional_fields[].value.string_value: Wert von „eid“ |
Der Wert von eid aus dem Rohlog wird in additional_fields eingefügt. |
engine |
metadata.product_version |
Der Wert von engine aus dem Rohlog wird direkt zugeordnet. |
err / msg / result_detail / tls-alert |
security_result.description |
Der erste verfügbare Wert aus msg, err, result_detail oder tls-alert (nach dem Entfernen von Anführungszeichen) wird zugeordnet. |
file/name |
principal.process.file.full_path |
Wenn file vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von name verwendet, sofern vorhanden. |
filename |
about.file.full_path |
Der Wert von filename aus dem Rohlog wird direkt zugeordnet. |
folder |
additional.fields[].key: „folder“additional_fields[].value.string_value: Wert des Ordners |
Der Wert von folder aus dem Rohlog wird in additional_fields eingefügt. |
from / hfrom / value |
network.email.from |
Es gilt eine komplexe Logik (siehe Parsercode). Verarbeitet die Zeichen < und > und prüft, ob das E‑Mail-Format gültig ist. |
fromAddress |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
GUID |
metadata.product_log_id |
Der Wert von GUID aus dem Rohlog wird direkt zugeordnet. |
headerCC |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Wert von headerFrom |
Der Wert von headerFrom aus dem Rohlog wird in additional_fields eingefügt. |
headerReplyTo |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
headerTo |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
helo |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
hops-ip/lip |
intermediary.ip |
Wenn hops-ip vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von lip verwendet, sofern vorhanden. |
host |
principal.hostname |
Der Wert von host aus dem Rohlog wird direkt zugeordnet. |
id |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
Der Wert von ip aus dem Rohlog wird direkt zugeordnet. |
log_level |
security_result.severity_details |
Der Wert von log_level wird zugeordnet und auch zum Ableiten von security_result.severity verwendet. |
m |
network.email.mail_id |
Der Wert von m wird zugeordnet, nachdem die Zeichen < und > entfernt wurden. |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
Der Wert von md5 aus dem Rohlog wird direkt zugeordnet. |
messageID |
network.email.mail_id |
Der Wert von messageID wird zugeordnet, nachdem die Zeichen < und > entfernt wurden. |
messagesBlocked (Array) |
(Mehrere Felder) | Das Array von messagesBlocked-Objekten wird durchlaufen und die Felder jedes Objekts werden UDM-Feldern zugeordnet. |
messagesBlocked[].ccAddresses |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].cluster |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Wert von „completelyRewritten“ |
Der Wert von completelyRewritten aus dem Rohlog wird in security_result.detection_fields eingefügt. |
messagesBlocked[].fromAddress |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].GUID |
metadata.product_log_id |
Der Wert von GUID aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Wert von headerFrom |
Der Wert von headerFrom aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].headerReplyTo |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].id |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].impostorScore |
additional.fields[].key: „impostorScore“additional_fields[].value.number_value: Wert von „impostorScore“ |
Der Wert von impostorScore aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].malwareScore |
additional.fields[].key: „malwareScore“additional_fields[].value.number_value: Wert von „malwareScore“ |
Der Wert von malwareScore aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].messageID |
network.email.mail_id |
Der Wert von messageID wird zugeordnet, nachdem die Zeichen < und > entfernt wurden. |
messagesBlocked[].messageParts |
about.file (wiederholt) |
Jedes Objekt im messageParts-Array wird einem separaten about.file-Objekt zugeordnet. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
Der Wert von contentType aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].messageParts[].disposition |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
Der Wert von filename aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
Der Wert von md5 aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].messageParts[].sandboxStatus |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
Der Wert von sha256 aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: Value of messageSize |
Der Wert von messageSize aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].messageTime |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].modulesRun |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].phishScore |
additional.fields[].key: „phishScore“additional_fields[].value.number_value: Wert von „phishScore“ |
Der Wert von phishScore aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].policyRoutes |
additional.fields[].key: „PolicyRoutes“additional_fields[].value.list_value.values[].string_value: Wert von „policyRoutes“ |
Die Werte von policyRoutes aus dem Rohlog werden als Liste in additional_fields eingefügt. |
messagesBlocked[].QID |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: „quarantineFolder“additional_fields[].value.string_value: Wert von „quarantineFolder“ |
Der Wert von quarantineFolder aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].quarantineRule |
additional.fields[].key: „quarantineRule“additional_fields[].value.string_value: Wert von „quarantineRule“ |
Der Wert von quarantineRule aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].recipient |
target.user.email_addresses |
Der Wert von recipient aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
Der Wert von replyToAddress aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].sender |
principal.user.email_addresses |
Der Wert von sender aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
Der Wert von senderIP aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].spamScore |
additional.fields[].key: „spamScore“additional_fields[].value.number_value: Wert von „spamScore“ |
Der Wert von spamScore aus dem Rohlog wird in additional_fields eingefügt. |
messagesBlocked[].subject |
network.email.subject |
Der Wert von subject aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].threatsInfoMap |
security_result (wiederholt) |
Jedes Objekt im threatsInfoMap-Array wird einem separaten security_result-Objekt zugeordnet. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
Der Wert von classification aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
Der Wert von threat aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
Der Wert von threatID aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
Der Wert von threatStatus aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].threatsInfoMap[].threatTime |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
Der Wert von threatType aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
Der Wert von threatUrl aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].toAddresses |
network.email.to |
Der Wert von toAddresses aus dem Rohlog wird direkt zugeordnet. |
messagesBlocked[].xmailer |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
messagesDelivered (Array) |
(Mehrere Felder) | Das Array von messagesDelivered-Objekten wird durchlaufen und die Felder jedes Objekts werden UDM-Feldern zugeordnet. Ähnliche Logik wie messagesBlocked. |
message |
(Mehrere Felder) | Wenn das Feld message gültiges JSON enthält, wird es geparst und verschiedenen UDM-Feldern zugeordnet. |
metadata.event_type |
metadata.event_type |
Auf „EMAIL_TRANSACTION“ festgelegt, wenn message nicht JSON ist. Andernfalls wird der Wert aus den JSON-Daten abgeleitet. Wird auf „GENERIC_EVENT“ gesetzt, wenn die Syslog-Nachricht nicht geparst werden kann. |
metadata.log_type |
metadata.log_type |
Fest codiert auf „PROOFPOINT_MAIL“. |
metadata.product_event_type |
metadata.product_event_type |
Wird basierend auf den JSON-Daten auf „messagesBlocked“, „messagesDelivered“, „clicksPermitted“ oder „clicksBlocked“ gesetzt. |
metadata.product_name |
metadata.product_name |
Fest codiert auf „TAP“. |
metadata.vendor_name |
metadata.vendor_name |
Fest codiert auf „PROOFPOINT“. |
mime |
principal.process.file.mime_type |
Der Wert von mime aus dem Rohlog wird direkt zugeordnet. |
mod |
additional.fields[].key: „module“additional_fields[].value.string_value: Wert von mod |
Der Wert von mod aus dem Rohlog wird in additional_fields eingefügt. |
msg.imposterScore |
security_result.detection_fields |
Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet. |
msg.malwareScore |
security_result.detection_fields |
Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet. |
msg.phishScore |
security_result.detection_fields |
Wird einem Schlüssel/Wert-Paar in security_result.detection_fields zugeordnet. |
msg.quarantineFolder |
security_result.priority oder security_result.detection_fields |
Wenn msg.quarantineFolder gleich „niedrige Priorität“ oder „hohe Priorität“ ist, wird das UDM-Feld security_result.priority zugeordnet, andernfalls security_result.detection_fields. |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
Nicht zugeordnet | |
oContentType |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path/uri |
principal.url |
Wenn path vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von uri verwendet, sofern vorhanden. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
Der Wert von pid aus dem Rohlog wird direkt zugeordnet. |
policy |
network.direction |
Wenn policy „inbound“ ist, wird das UDM-Feld auf „INBOUND“ gesetzt. Wenn policy „outbound“ ist, wird das UDM-Feld auf „OUTBOUND“ gesetzt. |
policyRoutes |
additional.fields[].key: „PolicyRoutes“additional_fields[].value.list_value.values[].string_value: Wert von „policyRoutes“ |
Die Werte von policyRoutes aus dem Rohlog werden als Liste in additional_fields eingefügt. |
profile |
additional.fields[].key: „profile“additional_fields[].value.string_value: Wert des Profils |
Der Wert von profile aus dem Rohlog wird in additional_fields eingefügt. |
prot |
proto |
Der Wert von prot wird in protocol extrahiert, in Großbuchstaben umgewandelt und dann proto zugeordnet. |
proto |
network.application_protocol |
Der Wert von proto (oder der abgeleitete Wert von prot) wird zugeordnet. Wenn der Wert „ESMTP“ ist, wird er vor der Zuordnung in „SMTP“ geändert. |
querydepth |
additional.fields[].key: „querydepth“additional_fields[].value.string_value: Wert von „querydepth“ |
Der Wert von querydepth aus dem Rohlog wird in additional_fields eingefügt. |
queryEndTime |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
qid |
additional.fields[].key: „qid“additional_fields[].value.string_value: Wert von qid |
Der Wert von qid aus dem Rohlog wird in additional_fields eingefügt. |
quarantineFolder |
security_result.priority oder security_result.detection_fields |
Wenn quarantineFolder gleich „niedrige Priorität“ oder „hohe Priorität“ ist, wird das UDM-Feld security_result.priority zugeordnet, andernfalls security_result.detection_fields. |
rcpt/rcpts |
network.email.to |
Wenn rcpt vorhanden und eine gültige E‑Mail-Adresse ist, wird sie in das Feld to eingefügt. Dieselbe Logik gilt für rcpts. |
recipient |
target.user.email_addresses |
Der Wert von recipient aus dem Rohlog wird direkt zugeordnet. |
relay |
intermediary.hostnameintermediary.ip |
Das Feld relay wird geparst, um Hostname und IP-Adresse zu extrahieren, die dann intermediary.hostname bzw. intermediary.ip zugeordnet werden. |
replyToAddress |
network.email.reply_to |
Der Wert von replyToAddress aus dem Rohlog wird direkt zugeordnet. |
result |
security_result.action |
Wenn result „pass“ ist, wird das UDM-Feld auf „ALLOW“ gesetzt. Wenn result „fail“ ist, wird das UDM-Feld auf „BLOCK“ gesetzt. |
routes |
additional.fields[].key: „routes“additional_fields[].value.string_value: Wert von „routes“ |
Der Wert von routes aus dem Rohlog wird in additional_fields eingefügt. |
s |
network.session_id |
Der Wert von s aus dem Rohlog wird direkt zugeordnet. |
sandboxStatus |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
selector |
additional.fields[].key: „selector“additional_fields[].value.string_value: Wert des Selektors |
Der Wert von selector aus dem Rohlog wird in additional_fields eingefügt. |
sender |
principal.user.email_addresses |
Der Wert von sender aus dem Rohlog wird direkt zugeordnet. |
senderIP |
principal.asset.ipprincipal.ip oder about.ip |
Wenn es sich um ein Klickereignis handelt, wird es about.ip zugeordnet. Andernfalls wird sie principal.asset.ip und principal.ip zugeordnet. |
sha256 |
security_result.about.file.sha256 oder about.file.sha256 |
Wenn sie sich in einer threatInfoMap befindet, wird sie security_result.about.file.sha256 zugeordnet. Andernfalls wird sie about.file.sha256 zugeordnet. |
size |
principal.process.file.size oder additional.fields[].key: „messageSize“additional_fields[].value.number_value: Wert von „messageSize“ |
Wenn es sich in einem Nachrichtenereignis befindet, wird es additional.fields[].messageSize zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert. Andernfalls wird sie principal.process.file.size zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key: „status“additional_fields[].value.string_value: Wert des Status |
Der Wert von stat aus dem Rohlog wird in additional_fields eingefügt. |
status |
additional.fields[].key: „status“additional_fields[].value.string_value: Wert des Status |
Der Wert von status (nach dem Entfernen von Anführungszeichen) aus dem Rohlog wird in additional_fields eingefügt. |
sts |
network.http.response_code |
Der Wert von sts aus dem Rohlog wird direkt zugeordnet und in eine Ganzzahl konvertiert. |
subject |
network.email.subject |
Der Wert von subject aus dem Rohlog wird direkt zugeordnet, nachdem Anführungszeichen entfernt wurden. |
threatID |
security_result.threat_id |
Der Wert von threatID aus dem Rohlog wird direkt zugeordnet. |
threatStatus |
security_result.threat_status |
Der Wert von threatStatus aus dem Rohlog wird direkt zugeordnet. |
threatTime |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
threatType |
security_result.threat_name |
Der Wert von threatType aus dem Rohlog wird direkt zugeordnet. |
threatUrl/threatURL |
security_result.url_back_to_product |
Der Wert von threatUrl oder threatURL aus dem Rohlog wird direkt zugeordnet. |
threatsInfoMap |
security_result (wiederholt) |
Jedes Objekt im threatsInfoMap-Array wird einem separaten security_result-Objekt zugeordnet. |
tls |
network.tls.cipher |
Wenn cipher nicht vorhanden oder „NONE“ ist, wird der Wert von tls verwendet, sofern er nicht „NONE“ ist. |
tls_verify/verify |
security_result.action |
Wenn verify vorhanden ist, wird der Wert verwendet, um die Aktion zu bestimmen. Andernfalls wird tls_verify verwendet. „FAIL“ wird „BLOCK“ zugeordnet, „OK“ wird „ALLOW“ zugeordnet. |
tls_version/version |
network.tls.version |
Wenn tls_version vorhanden und nicht „NONE“ ist, wird der Wert verwendet. Andernfalls wird der Wert verwendet, wenn version mit „TLS“ übereinstimmt. |
to |
network.email.to |
Der Wert von to wird zugeordnet, nachdem die Zeichen < und > entfernt wurden. Wenn es sich nicht um eine gültige E-Mail-Adresse handelt, wird sie additional_fields hinzugefügt. |
toAddresses |
network.email.to |
Der Wert von toAddresses aus dem Rohlog wird direkt zugeordnet. |
timestamp.seconds |
metadata.event_timestamp.seconds |
Der Wert von timestamp.seconds aus dem Rohlog wird direkt zugeordnet. |
type |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
url |
target.url oder principal.url |
Wenn es sich um ein Klickereignis handelt, wird es target.url zugeordnet. Andernfalls wird sie principal.url zugeordnet. |
userAgent |
network.http.user_agent |
Der Wert von userAgent aus dem Rohlog wird direkt zugeordnet. |
uri |
principal.url |
Wenn path nicht vorhanden ist, wird der Wert von uri verwendet. |
value |
network.email.from |
Wenn from und hfrom keine gültigen E-Mail-Adressen sind und value eine gültige E-Mail-Adresse ist (nach dem Entfernen der Zeichen < und >), wird sie zugeordnet. |
vendor |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
verify |
security_result.action |
Wenn verify vorhanden ist, wird es verwendet, um die Aktion zu bestimmen. „NOT“ wird „BLOCK“ zugeordnet, andere Werte werden „ALLOW“ zugeordnet. |
version |
network.tls.version |
Wenn tls_version nicht vorhanden oder „NONE“ ist und version „TLS“ enthält, wird es zugeordnet. |
virusthreat |
security_result.threat_name |
Der Wert von virusthreat aus dem Rohlog wird direkt zugeordnet, sofern er nicht „unknown“ ist. |
virusthreatid |
security_result.threat_id |
Der Wert von virusthreatid (nach dem Entfernen von Anführungszeichen) aus dem Rohlog wird direkt zugeordnet, sofern er nicht „unknown“ ist. |
xmailer |
Nicht zugeordnet | Dieses Feld ist zwar in Rohlogs vorhanden, wird aber im bereitgestellten UDM nicht dem IDM-Objekt zugeordnet. |
UDM-Abgleichsdelta-Referenz
Am 9. September 2025 hat Google SecOps eine neue Version des Symantec Endpoint Protection-Parsers veröffentlicht, die erhebliche Änderungen bei der Zuordnung von Symantec Endpoint Protection-Logfeldern zu UDM-Feldern und Aktualisierungen der Klassifizierungen von Ereignistypen (Zuordnungen) enthält.
Delta der Zuordnung von Logfeldern
In der folgenden Tabelle sehen Sie die Änderungen bei der Zuordnung von Symantec Endpoint Protection-Logfeldern zu UDM-Feldern. In der Spalte Alte Zuordnung sind die Felder aufgeführt, die vor dem 9. September 2025 verfügbar waren, und in der Spalte Aktuelle Zuordnung die neuen Felder.
| Logfeld | Alte Zuordnung | Aktuelle Zuordnung |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
Wenn quarantineFolder gleich low priority oder high priority ist,wird security_result.priority zugeordnet. Andernfalls wird security_result.detection_fields zugeordnet. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
Wenn quarantineFolder gleich low priority oder high priority ist,wird security_result.priority zugeordnet. Andernfalls wird security_result.detection_fields zugeordnet. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal tolow priorityorhigh prioritythen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
Delta der Ereignistypzuordnung
Mehrere Ereignisse, die zuvor als allgemeine Ereignisse klassifiziert wurden, werden jetzt mit aussagekräftigeren Ereignistypen richtig klassifiziert.
In der folgenden Tabelle ist das Delta für die Verarbeitung von Symantec Endpoint Protection-Ereignistypen vor dem 9. September 2025 und danach aufgeführt (in den Spalten Old event_type und Current event_type).
| Format | eventType aus dem Log | Alter event_type | Aktueller event_type |
|---|---|---|---|
SYSLOG+KV |
Wenn die Felder fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts,mailer,proto oder mod im Log vorhanden sind |
EMAIL_TRANSACTION |
|
Wenn das Log nur mail_id-Details enthält |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
CEF-Logs |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
wenn das Log emails, sender, headerReplyTo, orig_recipient enthält |
USER_UNCATEGORIED |
||
wenn das Log src, host enthält |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten