Diese Seite wurde von der Cloud Translation API übersetzt.

Proofpoint TAP-Benachrichtigungsprotokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie TAP-Benachrichtigungsprotokolle (Proofpoint Targeted Attack Protection) erfassen, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel PROOFPOINT_MAIL.

Proofpoint TAP-Benachrichtigungen konfigurieren

Melden Sie sich mit Ihren Anmeldedaten im Proofpoint Threat Insight Portal an.
Wählen Sie auf dem Tab Einstellungen die Option Verbundene Apps aus. Der Bereich Dienstanmeldedaten wird angezeigt.
Klicken Sie im Bereich Name auf Neue Anmeldedaten erstellen.
Geben Sie den Namen Ihrer Organisation ein, z. B. altostrat.com.
Klicken Sie auf Erstellen. Im Dialogfeld Generierte Anmeldedaten für Dienste werden die Werte Dienstprinzipal und Secret angezeigt.
Kopieren Sie die Werte für Service Principal und Secret. Die Werte werden nur beim Erstellen angezeigt und sind erforderlich, wenn Sie den Google Security Operations-Feed konfigurieren.
Klicken Sie auf Fertig.

Feed in Google Security Operations für die Aufnahme von Proofpoint TAP-Benachrichtigungsprotokollen konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Add new (Neuen Eintrag hinzufügen).
Geben Sie einen eindeutigen Namen für das Feld ein.
Wählen Sie API eines Drittanbieters als Quelltyp aus.
Wählen Sie als Protokolltyp Proofpoint TAP-Benachrichtigungen aus.
Klicken Sie auf Weiter.
Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Username (Nutzername): Geben Sie den Dienstprinzipal an, den Sie zuvor abgerufen haben.
- Secret: Geben Sie das zuvor abgerufene Secret an.
Klicken Sie auf Weiter und dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ. Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser verarbeitet Proofpoint-E-Mail-Protokolle im JSON- oder Schlüssel/Wert-Format und extrahiert Details zu E-Mail- und Netzwerkaktivitäten. Es ordnet Protokollfelder dem UDM zu, kategorisiert Ereignisse wie E-Mail-Transaktionen und Netzwerk-HTTP-Anfragen und ergänzt sie um Sicherheitsdetails wie Aktionen, Kategorien und Bedrohungsinformationen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.action_details`	Der Wert von `action` aus dem Rohprotokoll wird direkt zugeordnet.
`adultscore`	`additional.fields[].key`: „adultscore“ `additional.fields[].value.string_value`: Wert von „adultscore“	Der Wert von `adultscore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`attachments`	`additional.fields[].key`: „attachments“ `additional_fields[].value.string_value`: Wert der Anhänge	Der Wert von `attachments` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`campaignID`	`security_result.rule_id`	Der Wert von `campaignID` aus dem Rohprotokoll wird direkt zugeordnet.
`ccAddresses`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`cid`	`additional.fields[].key`: „cid“ `additional_fields[].value.string_value`: Wert von „cid“	Der Wert von `cid` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`cipher`/`tls`	`network.tls.cipher`	Wenn `cipher` vorhanden ist und nicht „NONE“ lautet, wird sein Wert verwendet. Andernfalls wird der Wert von `tls` verwendet, sofern dieser vorhanden und nicht „NONE“ ist.
`classification`	`security_result.category_details`	Der Wert von `classification` aus dem Rohprotokoll wird direkt zugeordnet.
`clickIP`	`principal.asset.ip` `principal.ip`	Der Wert von `clickIP` aus dem Rohprotokoll wird direkt zugeordnet.
`clickTime`	`metadata.event_timestamp.seconds`	Der Parser wandelt den `clickTime`-String in einen Zeitstempel um und ordnet ihn zu.
`clicksBlocked[].campaignId`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`clicksBlocked[].clickIP`	`principal.asset.ip` `principal.ip`	Der Wert von `clickIP` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].clickTime`	`metadata.event_timestamp.seconds`	Der Parser wandelt den `clickTime`-String in einen Zeitstempel um und ordnet ihn zu.
`clicksBlocked[].classification`	`security_result.category_details`	Der Wert von `classification` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].GUID`	`metadata.product_log_id`	Der Wert von `GUID` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].id`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`clicksBlocked[].messageID`	`network.email.mail_id`	Der Wert von `messageID` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].recipient`	`target.user.email_addresses`	Der Wert von `recipient` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].sender`	`principal.user.email_addresses`	Der Wert von `sender` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].senderIP`	`about.ip`	Der Wert von `senderIP` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].threatID`	`security_result.threat_id`	Der Wert von `threatID` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`clicksBlocked[].threatURL`	`security_result.url_back_to_product`	Der Wert von `threatURL` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].threatStatus`	`security_result.threat_status`	Der Wert von `threatStatus` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].url`	`target.url`	Der Wert von `url` im Array `clicksBlocked` wird zugeordnet.
`clicksBlocked[].userAgent`	`network.http.user_agent`	Der Wert von `userAgent` im Array `clicksBlocked` wird zugeordnet.
`clicksPermitted[].campaignId`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`clicksPermitted[].clickIP`	`principal.asset.ip` `principal.ip`	Der Wert von `clickIP` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].clickTime`	`metadata.event_timestamp.seconds`	Der Parser wandelt den `clickTime`-String in einen Zeitstempel um und ordnet ihn zu.
`clicksPermitted[].classification`	`security_result.category_details`	Der Wert von `classification` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].guid`	`metadata.product_log_id`	Der Wert von `guid` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].id`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`clicksPermitted[].messageID`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`clicksPermitted[].recipient`	`target.user.email_addresses`	Der Wert von `recipient` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].sender`	`principal.user.email_addresses`	Der Wert von `sender` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].senderIP`	`about.ip`	Der Wert von `senderIP` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].threatID`	`security_result.threat_id`	Der Wert von `threatID` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`clicksPermitted[].threatURL`	`security_result.url_back_to_product`	Der Wert von `threatURL` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].url`	`target.url`	Der Wert von `url` im Array `clicksPermitted` wird zugeordnet.
`clicksPermitted[].userAgent`	`network.http.user_agent`	Der Wert von `userAgent` im Array `clicksPermitted` wird zugeordnet.
`cmd`	`principal.process.command_line` oder `network.http.method`	Wenn `sts` (HTTP-Statuscode) vorhanden ist, wird `cmd` auf `network.http.method` zugeordnet. Andernfalls wird es `principal.process.command_line` zugeordnet.
`collection_time.seconds`	`metadata.event_timestamp.seconds`	Der Wert von `collection_time.seconds` aus dem Rohprotokoll wird direkt zugeordnet.
`completelyRewritten`	`security_result.detection_fields[].key`: „completelyRewritten“ `security_result.detection_fields[].value`: Wert von „completelyRewritten“	Der Wert von `completelyRewritten` aus dem Rohprotokoll wird in `security_result.detection_fields` eingefügt.
`contentType`	`about.file.mime_type`	Der Wert von `contentType` aus dem Rohprotokoll wird direkt zugeordnet.
`country`	`principal.location.country_or_region`	Der Wert von `country` aus dem Rohprotokoll wird direkt zugeordnet.
`create_time.seconds`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`data`	(Mehrere Felder)	Die JSON-Nutzlast im Feld `data` wird analysiert und verschiedenen UDM-Feldern zugeordnet.
`date`/`date_log_rebase`	`metadata.event_timestamp.seconds`	Der Parser ordnet das Datum entweder mithilfe des Felds `date_log_rebase` oder der Felder `date` und `timeStamp` einem Zeitstempel zu.
`dict`	`security_result.category_details`	Der Wert von `dict` aus dem Rohprotokoll wird direkt zugeordnet.
`disposition`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`dnsid`	`network.dns.id`	Der Wert von `dnsid` aus dem Rohprotokoll wird direkt zugeordnet und in eine positive Ganzzahl konvertiert.
`domain`/`hfrom_domain`	`principal.administrative_domain`	Wenn `domain` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `hfrom_domain` verwendet, falls vorhanden.
`duration`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`eid`	`additional.fields[].key`: „eid“ `additional_fields[].value.string_value`: Wert von „eid“	Der Wert von `eid` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`engine`	`metadata.product_version`	Der Wert von `engine` aus dem Rohprotokoll wird direkt zugeordnet.
`err` / `msg` / `result_detail` / `tls-alert`	`security_result.description`	Der erste verfügbare Wert unter `msg`, `err`, `result_detail` oder `tls-alert` (nach Entfernen der Anführungszeichen) wird zugeordnet.
`file`/`name`	`principal.process.file.full_path`	Wenn `file` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `name` verwendet, falls vorhanden.
`filename`	`about.file.full_path`	Der Wert von `filename` aus dem Rohprotokoll wird direkt zugeordnet.
`folder`	`additional.fields[].key`: „folder“ `additional_fields[].value.string_value`: Wert des Ordners	Der Wert von `folder` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`from` / `hfrom` / `value`	`network.email.from`	Es wird eine komplexe Logik angewendet (siehe Parsercode). Verarbeitet die Zeichen `<` und `>` und prüft, ob das E-Mail-Format gültig ist.
`fromAddress`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`GUID`	`metadata.product_log_id`	Der Wert von `GUID` aus dem Rohprotokoll wird direkt zugeordnet.
`headerCC`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`headerFrom`	`additional.fields[].key`: „headerFrom“ `additional_fields[].value.string_value`: Wert von „headerFrom“	Der Wert von `headerFrom` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`headerReplyTo`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`headerTo`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`helo`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`hops-ip`/`lip`	`intermediary.ip`	Wenn `hops-ip` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `lip` verwendet, falls vorhanden.
`host`	`principal.hostname`	Der Wert von `host` aus dem Rohprotokoll wird direkt zugeordnet.
`id`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`impostorScore`	`additional.fields[].key`: „impostorScore“ `additional_fields[].value.number_value`: Wert von „impostorScore“	Der Wert von `impostorScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`ip`	`principal.asset.ip` `principal.ip`	Der Wert von `ip` aus dem Rohprotokoll wird direkt zugeordnet.
`log_level`	`security_result.severity_details`	Der Wert von `log_level` wird zugeordnet und auch verwendet, um `security_result.severity` abzuleiten.
`m`	`network.email.mail_id`	Der Wert von `m` (nach dem Entfernen der Zeichen `<` und `>`) wird zugeordnet.
`malwareScore`	`additional.fields[].key`: „malwareScore“ `additional_fields[].value.number_value`: Wert von „malwareScore“	Der Wert von `malwareScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`md5`	`about.file.md5`	Der Wert von `md5` aus dem Rohprotokoll wird direkt zugeordnet.
`messageID`	`network.email.mail_id`	Der Wert von `messageID` (nach dem Entfernen der Zeichen `<` und `>`) wird zugeordnet.
`messagesBlocked` (Array)	(Mehrere Felder)	Das Array der `messagesBlocked`-Objekte wird durchlaufen und die Felder der einzelnen Objekte werden UDM-Feldern zugeordnet.
`messagesBlocked[].ccAddresses`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].cluster`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].completelyRewritten`	`security_result.detection_fields[].key`: „completelyRewritten“ `security_result.detection_fields[].value`: Wert von „completelyRewritten“	Der Wert von `completelyRewritten` aus dem Rohprotokoll wird in `security_result.detection_fields` eingefügt.
`messagesBlocked[].fromAddress`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].GUID`	`metadata.product_log_id`	Der Wert von `GUID` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].headerFrom`	`additional.fields[].key`: „headerFrom“ `additional_fields[].value.string_value`: Wert von „headerFrom“	Der Wert von `headerFrom` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].headerReplyTo`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].id`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].impostorScore`	`additional.fields[].key`: „impostorScore“ `additional_fields[].value.number_value`: Wert von „impostorScore“	Der Wert von `impostorScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].malwareScore`	`additional.fields[].key`: „malwareScore“ `additional_fields[].value.number_value`: Wert von „malwareScore“	Der Wert von `malwareScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].messageID`	`network.email.mail_id`	Der Wert von `messageID` (nach dem Entfernen der Zeichen `<` und `>`) wird zugeordnet.
`messagesBlocked[].messageParts`	`about.file` (wiederholt)	Jedem Objekt im `messageParts`-Array wird ein separates `about.file`-Objekt zugeordnet.
`messagesBlocked[].messageParts[].contentType`	`about.file.mime_type`	Der Wert von `contentType` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].messageParts[].disposition`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].messageParts[].filename`	`about.file.full_path`	Der Wert von `filename` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].messageParts[].md5`	`about.file.md5`	Der Wert von `md5` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].messageParts[].sandboxStatus`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].messageParts[].sha256`	`about.file.sha256`	Der Wert von `sha256` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].messageSize`	`additional.fields[].key`: „messageSize“ `additional_fields[].value.number_value`: Wert von „messageSize“	Der Wert von `messageSize` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].messageTime`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].modulesRun`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].phishScore`	`additional.fields[].key`: „phishScore“ `additional_fields[].value.number_value`: Wert von „phishScore“	Der Wert von `phishScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].policyRoutes`	`additional.fields[].key`: „PolicyRoutes“ `additional_fields[].value.list_value.values[].string_value`: Wert von „PolicyRoutes“	Die Werte von `policyRoutes` aus dem Rohprotokoll werden als Liste in `additional_fields` eingefügt.
`messagesBlocked[].QID`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].quarantineFolder`	`additional.fields[].key`: „quarantineFolder“ `additional_fields[].value.string_value`: Wert von „quarantineFolder“	Der Wert von `quarantineFolder` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].quarantineRule`	`additional.fields[].key`: „quarantineRule“ `additional_fields[].value.string_value`: Wert von „quarantineRule“	Der Wert von `quarantineRule` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].recipient`	`target.user.email_addresses`	Der Wert von `recipient` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].replyToAddress`	`network.email.reply_to`	Der Wert von `replyToAddress` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].sender`	`principal.user.email_addresses`	Der Wert von `sender` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].senderIP`	`principal.asset.ip` `principal.ip`	Der Wert von `senderIP` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].spamScore`	`additional.fields[].key`: „spamScore“ `additional_fields[].value.number_value`: Wert von „spamScore“	Der Wert von `spamScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`messagesBlocked[].subject`	`network.email.subject`	Der Wert von `subject` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap`	`security_result` (wiederholt)	Jedem Objekt im `threatsInfoMap`-Array wird ein separates `security_result`-Objekt zugeordnet.
`messagesBlocked[].threatsInfoMap[].classification`	`security_result.category_details`	Der Wert von `classification` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threat`	`security_result.about.url`	Der Wert von `threat` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatID`	`security_result.threat_id`	Der Wert von `threatID` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatStatus`	`security_result.threat_status`	Der Wert von `threatStatus` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatType`	`security_result.threat_name`	Der Wert von `threatType` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].threatsInfoMap[].threatUrl`	`security_result.url_back_to_product`	Der Wert von `threatUrl` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].toAddresses`	`network.email.to`	Der Wert von `toAddresses` aus dem Rohprotokoll wird direkt zugeordnet.
`messagesBlocked[].xmailer`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`messagesDelivered` (Array)	(Mehrere Felder)	Das Array der `messagesDelivered`-Objekte wird durchlaufen und die Felder der einzelnen Objekte werden UDM-Feldern zugeordnet. Ähnliche Logik wie bei `messagesBlocked`.
`message`	(Mehrere Felder)	Wenn das Feld `message` gültiges JSON ist, wird es analysiert und verschiedenen UDM-Feldern zugeordnet.
`metadata.event_type`	`metadata.event_type`	Legen Sie „EMAIL_TRANSACTION“ fest, wenn `message` kein JSON-Format hat. Andernfalls wird der Wert aus den JSON-Daten abgeleitet. Legen Sie „GENERIC_EVENT“ fest, wenn die syslog-Nachricht nicht geparst werden kann.
`metadata.log_type`	`metadata.log_type`	Hartcodiert auf „PROOFPOINT_MAIL“.
`metadata.product_event_type`	`metadata.product_event_type`	Legen Sie je nach JSON-Daten „messagesBlocked“, „messagesDelivered“, „clicksPermitted“ oder „clicksBlocked“ fest.
`metadata.product_name`	`metadata.product_name`	Hartcodiert auf „TAP“.
`metadata.vendor_name`	`metadata.vendor_name`	Hartcodiert auf „PROOFPOINT“.
`mime`	`principal.process.file.mime_type`	Der Wert von `mime` aus dem Rohprotokoll wird direkt zugeordnet.
`mod`	`additional.fields[].key`: „module“ `additional_fields[].value.string_value`: Wert von mod	Der Wert von `mod` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`oContentType`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`path`/`uri`	`principal.url`	Wenn `path` vorhanden ist, wird sein Wert verwendet. Andernfalls wird der Wert von `uri` verwendet, falls vorhanden.
`phishScore`	`additional.fields[].key`: „phishScore“ `additional_fields[].value.number_value`: Wert von „phishScore“	Der Wert von `phishScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`pid`	`principal.process.pid`	Der Wert von `pid` aus dem Rohprotokoll wird direkt zugeordnet.
`policy`	`network.direction`	Wenn `policy` „inbound“ ist, wird das UDM-Feld auf „INBOUND“ gesetzt. Wenn `policy` „outbound“ ist, wird das UDM-Feld auf „OUTBOUND“ gesetzt.
`policyRoutes`	`additional.fields[].key`: „PolicyRoutes“ `additional_fields[].value.list_value.values[].string_value`: Wert von „PolicyRoutes“	Die Werte von `policyRoutes` aus dem Rohprotokoll werden als Liste in `additional_fields` eingefügt.
`profile`	`additional.fields[].key`: „profile“ `additional_fields[].value.string_value`: Wert des Profils	Der Wert von `profile` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`prot`	`proto`	Der Wert von `prot` wird in `protocol` extrahiert, in Großbuchstaben umgewandelt und dann `proto` zugeordnet.
`proto`	`network.application_protocol`	Der Wert von `proto` (oder der abgeleitete Wert von `prot`) wird zugeordnet. Wenn der Wert „ESMTP“ lautet, wird er vor der Zuordnung in „SMTP“ geändert.
`querydepth`	`additional.fields[].key`: „querydepth“ `additional_fields[].value.string_value`: Wert von „querydepth“	Der Wert von `querydepth` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`queryEndTime`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`qid`	`additional.fields[].key`: „qid“ `additional_fields[].value.string_value`: Wert von qid	Der Wert von `qid` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`rcpt`/`rcpts`	`network.email.to`	Wenn `rcpt` vorhanden ist und eine gültige E-Mail-Adresse ist, wird sie mit dem Feld `to` zusammengeführt. Gleiche Logik für `rcpts`.
`recipient`	`target.user.email_addresses`	Der Wert von `recipient` aus dem Rohprotokoll wird direkt zugeordnet.
`relay`	`intermediary.hostname` `intermediary.ip`	Das Feld `relay` wird analysiert, um den Hostnamen und die IP-Adresse zu extrahieren. Diese werden dann jeweils `intermediary.hostname` und `intermediary.ip` zugeordnet.
`replyToAddress`	`network.email.reply_to`	Der Wert von `replyToAddress` aus dem Rohprotokoll wird direkt zugeordnet.
`result`	`security_result.action`	Wenn `result` „pass“ ist, wird das UDM-Feld auf „ALLOW“ gesetzt. Wenn `result` „fail“ ist, wird das UDM-Feld auf „BLOCK“ gesetzt.
`routes`	`additional.fields[].key`: „routes“ `additional_fields[].value.string_value`: Wert der Routen	Der Wert von `routes` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`s`	`network.session_id`	Der Wert von `s` aus dem Rohprotokoll wird direkt zugeordnet.
`sandboxStatus`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`selector`	`additional.fields[].key`: „selector“ `additional_fields[].value.string_value`: Wert des Selektors	Der Wert von `selector` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`sender`	`principal.user.email_addresses`	Der Wert von `sender` aus dem Rohprotokoll wird direkt zugeordnet.
`senderIP`	`principal.asset.ip` `principal.ip` oder `about.ip`	Wenn es sich in einem Klickereignis befindet, wird es `about.ip` zugeordnet. Andernfalls werden sie `principal.asset.ip` und `principal.ip` zugeordnet.
`sha256`	`security_result.about.file.sha256` oder `about.file.sha256`	Wenn es sich in einer threatInfoMap befindet, wird es `security_result.about.file.sha256` zugeordnet. Andernfalls wird es `about.file.sha256` zugeordnet.
`size`	`principal.process.file.size` oder `additional.fields[].key`: „messageSize“ `additional_fields[].value.number_value`: Wert von „messageSize“	Wenn es sich in einem Nachrichtenereignis befindet, wird es `additional.fields[].messageSize` zugeordnet und in eine unge signed integer umgewandelt. Andernfalls wird es `principal.process.file.size` zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
`spamScore`	`additional.fields[].key`: „spamScore“ `additional_fields[].value.number_value`: Wert von „spamScore“	Der Wert von `spamScore` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`stat`	`additional.fields[].key`: „status“ `additional_fields[].value.string_value`: Wert des Messwerts	Der Wert von `stat` aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`status`	`additional.fields[].key`: „status“ `additional_fields[].value.string_value`: Statuswert	Der Wert von `status` (nach Entfernen der Anführungszeichen) aus dem Rohprotokoll wird in `additional_fields` eingefügt.
`sts`	`network.http.response_code`	Der Wert von `sts` aus dem Rohprotokoll wird direkt zugeordnet und in eine Ganzzahl konvertiert.
`subject`	`network.email.subject`	Der Wert von `subject` aus dem Rohprotokoll wird direkt zugeordnet, nachdem Anführungszeichen entfernt wurden.
`threatID`	`security_result.threat_id`	Der Wert von `threatID` aus dem Rohprotokoll wird direkt zugeordnet.
`threatStatus`	`security_result.threat_status`	Der Wert von `threatStatus` aus dem Rohprotokoll wird direkt zugeordnet.
`threatTime`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`threatType`	`security_result.threat_name`	Der Wert von `threatType` aus dem Rohprotokoll wird direkt zugeordnet.
`threatUrl`/`threatURL`	`security_result.url_back_to_product`	Der Wert von `threatUrl` oder `threatURL` aus dem Rohprotokoll wird direkt zugeordnet.
`threatsInfoMap`	`security_result` (wiederholt)	Jedem Objekt im `threatsInfoMap`-Array wird ein separates `security_result`-Objekt zugeordnet.
`tls`	`network.tls.cipher`	Wenn `cipher` nicht vorhanden ist oder „NONE“ lautet, wird der Wert von `tls` verwendet, sofern dieser nicht „NONE“ lautet.
`tls_verify`/`verify`	`security_result.action`	Wenn `verify` vorhanden ist, wird anhand seines Werts die Aktion bestimmt. Andernfalls wird `tls_verify` verwendet. „FAIL“ wird mit „BLOCK“ und „OK“ mit „ALLOW“ abgeglichen.
`tls_version`/`version`	`network.tls.version`	Wenn `tls_version` vorhanden ist und nicht „NONE“ lautet, wird sein Wert verwendet. Andernfalls wird der Wert von `version` verwendet, wenn er mit „TLS“ übereinstimmt.
`to`	`network.email.to`	Der Wert von `to` (nach dem Entfernen der Zeichen `<` und `>`) wird zugeordnet. Wenn es sich nicht um eine gültige E-Mail-Adresse handelt, wird sie zu `additional_fields` hinzugefügt.
`toAddresses`	`network.email.to`	Der Wert von `toAddresses` aus dem Rohprotokoll wird direkt zugeordnet.
`timestamp.seconds`	`metadata.event_timestamp.seconds`	Der Wert von `timestamp.seconds` aus dem Rohprotokoll wird direkt zugeordnet.
`type`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`url`	`target.url` oder `principal.url`	Wenn es sich in einem Klickereignis befindet, wird es `target.url` zugeordnet. Andernfalls wird es `principal.url` zugeordnet.
`userAgent`	`network.http.user_agent`	Der Wert von `userAgent` aus dem Rohprotokoll wird direkt zugeordnet.
`uri`	`principal.url`	Wenn `path` nicht vorhanden ist, wird der Wert von `uri` verwendet.
`value`	`network.email.from`	Wenn `from` und `hfrom` keine gültigen E-Mail-Adressen sind und `value` eine gültige E-Mail-Adresse ist (nachdem die Zeichen `<` und `>` entfernt wurden), wird sie zugeordnet.
`vendor`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.
`verify`	`security_result.action`	Wenn `verify` vorhanden ist, wird anhand dieses Werts die Aktion bestimmt. „NICHT“ wird „BLOCKIEREN“ zugeordnet, andere Werte werden „ZULASSEN“ zugeordnet.
`version`	`network.tls.version`	Wenn `tls_version` nicht vorhanden ist oder „NONE“ lautet und `version` „TLS“ enthält, wird eine Zuordnung vorgenommen.
`virusthreat`	`security_result.threat_name`	Der Wert von `virusthreat` aus dem Rohprotokoll wird direkt zugeordnet, sofern er nicht „unbekannt“ ist.
`virusthreatid`	`security_result.threat_id`	Der Wert von `virusthreatid` (nach Entfernen der Anführungszeichen) aus dem Rohprotokoll wird direkt zugeordnet, sofern er nicht „unbekannt“ ist.
`xmailer`	Nicht zugeordnet	Dieses Feld ist zwar in den Rohlogs vorhanden, aber nicht dem IDM-Objekt in der bereitgestellten UDM zugeordnet.

Änderungen

2024-05-27

„msg.policyRoutes“ wurde in „additional.fields“ geändert.

2024-04-03

„sender_domain“ wurde aus „msg.fromAddress“ und „clicks.sender“ extrahiert und „principal.domain.name“ zugeordnet.
„clicks.sender“ wurde „principal.user.email_addresses“ zugeordnet.
„clicks.recipient“ wurde „target.user.email_addresses“ zugeordnet.

2023-06-26

Verbesserung –
„clicks.threatStatus“ wurde in „security_result.threat_status“ umgewandelt.

2022-11-03

Verbesserung: Bedingungsüberprüfung für das Datumsfeld hinzugefügt .
„dem Datum mit dem höchsten Zeitstempel eine höhere Priorität geben“
if "click_time" > "threat_time" date mapped to click_time else threat_time.

2022-07-13

Verbesserung: Die Zuordnung für „intermediary.user.email_addresses“ wurde von „(messagesBlocked|messagesDelivered).toAddresses“ zu „(messagesBlocked|messagesDelivered).ccAddresses“ geändert.

2022-06-29

Verbesserung: Es wurde „gsub“ hinzugefügt, um „<>“ aus den Feldern „clicks.messageID“ und „m“ zu entfernen, die auf „network.email.mail_id“ zugeordnet sind.

2022-05-25

„messageSize“ wurde dem Feld „additional“ zugeordnet.
„campaignID“ wurde dem Feld „security_result.rule_id“ zugeordnet.
„ccAddresses“ wurde dem Feld „intermediary.user.email_addresses“ zugeordnet.
„toAddresses“ wurde dem Feld „target.user.email_addresses“ zugeordnet.