Recopila registros de alertas de Proofpoint TAP

Se admite en los siguientes países:

En este documento, se describe cómo puedes configurar un feed de Google Security Operations para recopilar registros de alertas de la Protección contra ataques dirigidos (TAP) de Proofpoint.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia PROOFPOINT_MAIL.

Configura las alertas de Proofpoint TAP

  1. Accede al portal de estadísticas de amenazas de Proofpoint con tus credenciales.
  2. En la pestaña Configuración, selecciona Aplicaciones conectadas. Aparecerá la sección Service credentials.
  3. En la sección Nombre, haz clic en Crear credencial nueva.
  4. Escribe el nombre de tu organización, como altostrat.com.
  5. Haz clic en Generar. En el diálogo Credencial de servicio generada, aparecen los valores Service principal y Secret.
  6. Copia los valores de Principal de servicio y Secreto. Los valores se muestran solo en el momento de la creación y son obligatorios cuando configuras el feed de Google Security Operations.
  7. Haz clic en Listo.

Configura un feed en Google Security Operations para transferir los registros de alertas de Proofpoint TAP

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa un nombre único para el Nombre del campo.
  4. Selecciona API de terceros como el Tipo de origen.
  5. Selecciona Alertas de TAP de Proofpoint como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Configura los siguientes parámetros de entrada obligatorios:
    • Nombre de usuario: Especifica el principal de servicio que obtuviste anteriormente.
    • Secreto: Especifica el secreto que obtuviste antes.
  8. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador controla los registros de Proofpoint Mail en formato JSON o par clave-valor, y extrae detalles de la actividad de correo electrónico y de red. Asigna campos de registro a la UDM, clasifica eventos como transacciones de correo electrónico y solicitudes HTTP de red, y los enriquece con detalles de seguridad, como acciones, categorías y datos de amenazas.

Tabla de asignación de la UDM

Campo de registro Asignación de UDM Lógica
action security_result.action_details El valor de action del registro sin procesar se asigna directamente.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: Es el valor de adultscore.		 El valor de adultscore del registro sin procesar se coloca en additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: Es el valor de los archivos adjuntos.		 El valor de attachments del registro sin procesar se coloca en additional_fields.
campaignID security_result.rule_id El valor de campaignID del registro sin procesar se asigna directamente.
ccAddresses Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: Es el valor de cid.		 El valor de cid del registro sin procesar se coloca en additional_fields.
cipher/tls network.tls.cipher Si cipher está presente y no es "NONE", se usa su valor. De lo contrario, si tls está presente y no es “NONE”, se usa su valor.
classification security_result.category_details El valor de classification del registro sin procesar se asigna directamente.
clickIP principal.asset.ip
principal.ip		 El valor de clickIP del registro sin procesar se asigna directamente.
clickTime metadata.event_timestamp.seconds El analizador convierte la cadena clickTime en una marca de tiempo y la asigna.
clicksBlocked[].campaignId Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 Se asigna el valor de clickIP dentro del array clicksBlocked.
clicksBlocked[].clickTime metadata.event_timestamp.seconds El analizador convierte la cadena clickTime en una marca de tiempo y la asigna.
clicksBlocked[].classification security_result.category_details Se asigna el valor de classification dentro del array clicksBlocked.
clicksBlocked[].GUID metadata.product_log_id Se asigna el valor de GUID dentro del array clicksBlocked.
clicksBlocked[].id Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
clicksBlocked[].messageID network.email.mail_id Se asigna el valor de messageID dentro del array clicksBlocked.
clicksBlocked[].recipient target.user.email_addresses Se asigna el valor de recipient dentro del array clicksBlocked.
clicksBlocked[].sender principal.user.email_addresses Se asigna el valor de sender dentro del array clicksBlocked.
clicksBlocked[].senderIP about.ip Se asigna el valor de senderIP dentro del array clicksBlocked.
clicksBlocked[].threatID security_result.threat_id Se asigna el valor de threatID dentro del array clicksBlocked.
clicksBlocked[].threatTime Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
clicksBlocked[].threatURL security_result.url_back_to_product Se asigna el valor de threatURL dentro del array clicksBlocked.
clicksBlocked[].threatStatus security_result.threat_status Se asigna el valor de threatStatus dentro del array clicksBlocked.
clicksBlocked[].url target.url Se asigna el valor de url dentro del array clicksBlocked.
clicksBlocked[].userAgent network.http.user_agent Se asigna el valor de userAgent dentro del array clicksBlocked.
clicksPermitted[].campaignId Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 Se asigna el valor de clickIP dentro del array clicksPermitted.
clicksPermitted[].clickTime metadata.event_timestamp.seconds El analizador convierte la cadena clickTime en una marca de tiempo y la asigna.
clicksPermitted[].classification security_result.category_details Se asigna el valor de classification dentro del array clicksPermitted.
clicksPermitted[].guid metadata.product_log_id Se asigna el valor de guid dentro del array clicksPermitted.
clicksPermitted[].id Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
clicksPermitted[].messageID Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
clicksPermitted[].recipient target.user.email_addresses Se asigna el valor de recipient dentro del array clicksPermitted.
clicksPermitted[].sender principal.user.email_addresses Se asigna el valor de sender dentro del array clicksPermitted.
clicksPermitted[].senderIP about.ip Se asigna el valor de senderIP dentro del array clicksPermitted.
clicksPermitted[].threatID security_result.threat_id Se asigna el valor de threatID dentro del array clicksPermitted.
clicksPermitted[].threatTime Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
clicksPermitted[].threatURL security_result.url_back_to_product Se asigna el valor de threatURL dentro del array clicksPermitted.
clicksPermitted[].url target.url Se asigna el valor de url dentro del array clicksPermitted.
clicksPermitted[].userAgent network.http.user_agent Se asigna el valor de userAgent dentro del array clicksPermitted.
cmd principal.process.command_line o network.http.method Si sts (código de estado HTTP) está presente, cmd se asigna a network.http.method. De lo contrario, se asigna a principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds El valor de collection_time.seconds del registro sin procesar se asigna directamente.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Es el valor de completelyRewritten.		 El valor de completelyRewritten del registro sin procesar se coloca en security_result.detection_fields.
contentType about.file.mime_type El valor de contentType del registro sin procesar se asigna directamente.
country principal.location.country_or_region El valor de country del registro sin procesar se asigna directamente.
create_time.seconds Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
data (varios campos) La carga útil de JSON en el campo data se analiza y se asigna a varios campos de la AUA.
date/date_log_rebase metadata.event_timestamp.seconds El analizador cambia la fecha a una marca de tiempo con los campos date_log_rebase, date y timeStamp.
dict security_result.category_details El valor de dict del registro sin procesar se asigna directamente.
disposition Sin asignación Aunque está presente en los registros sin procesar, este campo no está asignado al objeto IDM en la UDM proporcionada.
dnsid network.dns.id El valor de dnsid del registro sin procesar se asigna directamente y se convierte en un número entero sin signo.
domain/hfrom_domain principal.administrative_domain Si domain está presente, se usa su valor. De lo contrario, si hfrom_domain está presente, se usa su valor.
duration Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: Es el valor de eid.		 El valor de eid del registro sin procesar se coloca en additional_fields.
engine metadata.product_version El valor de engine del registro sin procesar se asigna directamente.
err / msg / result_detail / tls-alert security_result.description Se asigna el primer valor disponible entre msg, err, result_detail o tls-alert (después de quitar las comillas).
file/name principal.process.file.full_path Si file está presente, se usa su valor. De lo contrario, si name está presente, se usa su valor.
filename about.file.full_path El valor de filename del registro sin procesar se asigna directamente.
folder additional.fields[].key: "folder"
additional_fields[].value.string_value: Es el valor de la carpeta.		 El valor de folder del registro sin procesar se coloca en additional_fields.
from / hfrom / value network.email.from Se aplica una lógica compleja (consulta el código del analizador). Controla los caracteres < y >, y verifica si el formato de correo electrónico es válido.
fromAddress Sin asignación Aunque está presente en los registros sin procesar, este campo no está asignado al objeto IDM en la UDM proporcionada.
GUID metadata.product_log_id El valor de GUID del registro sin procesar se asigna directamente.
headerCC Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Es el valor de headerFrom.		 El valor de headerFrom del registro sin procesar se coloca en additional_fields.
headerReplyTo Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
headerTo Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
helo Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
hops-ip/lip intermediary.ip Si hops-ip está presente, se usa su valor. De lo contrario, si lip está presente, se usa su valor.
host principal.hostname El valor de host del registro sin procesar se asigna directamente.
id Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Es el valor de impostorScore.		 El valor de impostorScore del registro sin procesar se coloca en additional_fields.
ip principal.asset.ip
principal.ip		 El valor de ip del registro sin procesar se asigna directamente.
log_level security_result.severity_details El valor de log_level se asigna y también se usa para derivar security_result.severity.
m network.email.mail_id Se asigna el valor de m (después de quitar los caracteres < y >).
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: Es el valor de malwareScore.		 El valor de malwareScore del registro sin procesar se coloca en additional_fields.
md5 about.file.md5 El valor de md5 del registro sin procesar se asigna directamente.
messageID network.email.mail_id Se asigna el valor de messageID (después de quitar los caracteres < y >).
messagesBlocked (array) (varios campos) Se itera el array de objetos messagesBlocked y los campos de cada objeto se asignan a campos de la UDM.
messagesBlocked[].ccAddresses Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].cluster Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: Es el valor de completelyRewritten.		 El valor de completelyRewritten del registro sin procesar se coloca en security_result.detection_fields.
messagesBlocked[].fromAddress Sin asignación Aunque está presente en los registros sin procesar, este campo no está asignado al objeto IDM en la UDM proporcionada.
messagesBlocked[].GUID metadata.product_log_id El valor de GUID del registro sin procesar se asigna directamente.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Es el valor de headerFrom.		 El valor de headerFrom del registro sin procesar se coloca en additional_fields.
messagesBlocked[].headerReplyTo Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].id Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Es el valor de impostorScore.		 El valor de impostorScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: Es el valor de malwareScore.		 El valor de malwareScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].messageID network.email.mail_id Se asigna el valor de messageID (después de quitar los caracteres < y >).
messagesBlocked[].messageParts about.file (repetido) Cada objeto del array messageParts se asigna a un objeto about.file independiente.
messagesBlocked[].messageParts[].contentType about.file.mime_type El valor de contentType del registro sin procesar se asigna directamente.
messagesBlocked[].messageParts[].disposition Sin asignación Aunque está presente en los registros sin procesar, este campo no está asignado al objeto IDM en la UDM proporcionada.
messagesBlocked[].messageParts[].filename about.file.full_path El valor de filename del registro sin procesar se asigna directamente.
messagesBlocked[].messageParts[].md5 about.file.md5 El valor de md5 del registro sin procesar se asigna directamente.
messagesBlocked[].messageParts[].sandboxStatus Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].messageParts[].sha256 about.file.sha256 El valor de sha256 del registro sin procesar se asigna directamente.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Es el valor de messageSize.		 El valor de messageSize del registro sin procesar se coloca en additional_fields.
messagesBlocked[].messageTime Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].modulesRun Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: Es el valor de phishScore.		 El valor de phishScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Es el valor de policyRoutes.		 Los valores de policyRoutes del registro sin procesar se colocan como una lista en additional_fields.
messagesBlocked[].QID Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: Es el valor de quarantineFolder.		 El valor de quarantineFolder del registro sin procesar se coloca en additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: Es el valor de quarantineRule.		 El valor de quarantineRule del registro sin procesar se coloca en additional_fields.
messagesBlocked[].recipient target.user.email_addresses El valor de recipient del registro sin procesar se asigna directamente.
messagesBlocked[].replyToAddress network.email.reply_to El valor de replyToAddress del registro sin procesar se asigna directamente.
messagesBlocked[].sender principal.user.email_addresses El valor de sender del registro sin procesar se asigna directamente.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 El valor de senderIP del registro sin procesar se asigna directamente.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Es el valor de spamScore.		 El valor de spamScore del registro sin procesar se coloca en additional_fields.
messagesBlocked[].subject network.email.subject El valor de subject del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap security_result (repetido) Cada objeto del array threatsInfoMap se asigna a un objeto security_result independiente.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details El valor de classification del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url El valor de threat del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id El valor de threatID del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status El valor de threatStatus del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatTime Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name El valor de threatType del registro sin procesar se asigna directamente.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product El valor de threatUrl del registro sin procesar se asigna directamente.
messagesBlocked[].toAddresses network.email.to El valor de toAddresses del registro sin procesar se asigna directamente.
messagesBlocked[].xmailer Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
messagesDelivered (array) (varios campos) Se itera el array de objetos messagesDelivered y los campos de cada objeto se asignan a campos de la UDM. Tiene una lógica similar a la de messagesBlocked.
message (varios campos) Si el campo message es un JSON válido, se analiza y se asigna a varios campos de la AUA.
metadata.event_type metadata.event_type Se establece en "EMAIL_TRANSACTION" si message no es JSON; de lo contrario, se deriva de los datos JSON. Establece el valor en "GENERIC_EVENT" si no se puede analizar el mensaje de syslog.
metadata.log_type metadata.log_type Está codificado de forma fija en "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Se establece en "messagesBlocked", "messagesDelivered", "clicksPermitted" o "clicksBlocked" según los datos JSON.
metadata.product_name metadata.product_name Está codificado de forma fija en "TAP".
metadata.vendor_name metadata.vendor_name Está codificado de forma fija en "PROOFPOINT".
mime principal.process.file.mime_type El valor de mime del registro sin procesar se asigna directamente.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: Es el valor de mod.		 El valor de mod del registro sin procesar se coloca en additional_fields.
oContentType Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
path/uri principal.url Si path está presente, se usa su valor. De lo contrario, si uri está presente, se usa su valor.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: Es el valor de phishScore.		 El valor de phishScore del registro sin procesar se coloca en additional_fields.
pid principal.process.pid El valor de pid del registro sin procesar se asigna directamente.
policy network.direction Si policy es "inbound", el campo de la AUA se establece en "INBOUND". Si policy es "outbound", el campo de la AUA se establece en "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Es el valor de policyRoutes.		 Los valores de policyRoutes del registro sin procesar se colocan como una lista en additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: Es el valor del perfil.		 El valor de profile del registro sin procesar se coloca en additional_fields.
prot proto El valor de prot se extrae a protocol, se convierte en mayúsculas y, luego, se asigna a proto.
proto network.application_protocol Se asigna el valor de proto (o el valor derivado de prot). Si el valor es "ESMTP", se cambia a "SMTP" antes de la asignación.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: Es el valor de querydepth.		 El valor de querydepth del registro sin procesar se coloca en additional_fields.
queryEndTime Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: Es el valor de qid.		 El valor de qid del registro sin procesar se coloca en additional_fields.
rcpt/rcpts network.email.to Si rcpt está presente y es una dirección de correo electrónico válida, se fusiona en el campo to. Se aplica la misma lógica para rcpts.
recipient target.user.email_addresses El valor de recipient del registro sin procesar se asigna directamente.
relay intermediary.hostname
intermediary.ip		 El campo relay se analiza para extraer el nombre de host y la dirección IP, que luego se asignan a intermediary.hostname y intermediary.ip, respectivamente.
replyToAddress network.email.reply_to El valor de replyToAddress del registro sin procesar se asigna directamente.
result security_result.action Si result es "pass", el campo UDM se establece en "ALLOW". Si result es “error”, el campo de la AUA se establece en “BLOQUEAR”.
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: Es el valor de las rutas.		 El valor de routes del registro sin procesar se coloca en additional_fields.
s network.session_id El valor de s del registro sin procesar se asigna directamente.
sandboxStatus Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
selector additional.fields[].key: "selector"
additional_fields[].value.string_value: Valor del selector		 El valor de selector del registro sin procesar se coloca en additional_fields.
sender principal.user.email_addresses El valor de sender del registro sin procesar se asigna directamente.
senderIP principal.asset.ip
principal.ip o about.ip		 Si se encuentra dentro de un evento de clic, se asigna a about.ip. De lo contrario, se asigna a principal.asset.ip y principal.ip.
sha256 security_result.about.file.sha256 o about.file.sha256 Si se encuentra dentro de un threatInfoMap, se asigna a security_result.about.file.sha256. De lo contrario, se asigna a about.file.sha256.
size principal.process.file.size o additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Es el valor de messageSize.		 Si se encuentra dentro de un evento de mensaje, se asigna a additional.fields[].messageSize y se convierte en un número entero sin signo. De lo contrario, se asigna a principal.process.file.size y se convierte en un número entero sin signo.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Es el valor de spamScore.		 El valor de spamScore del registro sin procesar se coloca en additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: Es el valor de la estadística.		 El valor de stat del registro sin procesar se coloca en additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: Es el valor del estado.		 El valor de status (después de quitar las comillas) del registro sin procesar se coloca en additional_fields.
sts network.http.response_code El valor de sts del registro sin procesar se asigna directamente y se convierte en un número entero.
subject network.email.subject El valor de subject del registro sin procesar se asigna directamente después de quitar las comillas.
threatID security_result.threat_id El valor de threatID del registro sin procesar se asigna directamente.
threatStatus security_result.threat_status El valor de threatStatus del registro sin procesar se asigna directamente.
threatTime Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
threatType security_result.threat_name El valor de threatType del registro sin procesar se asigna directamente.
threatUrl/threatURL security_result.url_back_to_product El valor de threatUrl o threatURL del registro sin procesar se asigna directamente.
threatsInfoMap security_result (repetido) Cada objeto del array threatsInfoMap se asigna a un objeto security_result independiente.
tls network.tls.cipher Si cipher no está presente o es "NONE", se usa el valor de tls si no es "NONE".
tls_verify/verify security_result.action Si verify está presente, su valor se usa para determinar la acción. De lo contrario, se usa tls_verify. “FAIL” se asigna a “BLOCK” y “OK” se asigna a “ALLOW”.
tls_version/version network.tls.version Si tls_version está presente y no es "NONE", se usa su valor. De lo contrario, si version coincide con "TLS", se usa su valor.
to network.email.to Se asigna el valor de to (después de quitar los caracteres < y >). Si no es una dirección de correo electrónico válida, se agrega a additional_fields.
toAddresses network.email.to El valor de toAddresses del registro sin procesar se asigna directamente.
timestamp.seconds metadata.event_timestamp.seconds El valor de timestamp.seconds del registro sin procesar se asigna directamente.
type Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
url target.url o principal.url Si se encuentra dentro de un evento de clic, se asigna a target.url. De lo contrario, se asigna a principal.url.
userAgent network.http.user_agent El valor de userAgent del registro sin procesar se asigna directamente.
uri principal.url Si path no está presente, se usa el valor de uri.
value network.email.from Si from y hfrom no son direcciones de correo electrónico válidas, y value es una dirección de correo electrónico válida (después de quitar los caracteres < y >), se asigna.
vendor Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.
verify security_result.action Si verify está presente, se usa para determinar la acción. "NOT" se asigna a "BLOCK" y otros valores se asignan a "ALLOW".
version network.tls.version Si tls_version no está presente o es “NONE” y version contiene “TLS”, se asigna.
virusthreat security_result.threat_name El valor de virusthreat del registro sin procesar se asigna directamente si no es "desconocido".
virusthreatid security_result.threat_id El valor de virusthreatid (después de quitar las comillas) del registro sin procesar se asigna directamente si no es "desconocido".
xmailer Sin asignación Aunque está presente en los registros sin procesar, este campo no se asigna al objeto IDM en la UDM proporcionada.

Cambios

2024-05-27

  • Se asignó "msg.policyRoutes" a "additional.fields".

2024-04-03

  • Se extrajo "sender_domain" de "msg.fromAddress" y "clicks.sender", y se asignó a "principal.domain.name".
  • Se asignó "clicks.sender" a "principal.user.email_addresses".
  • Se asignó "clicks.recipient" a "target.user.email_addresses".

2023-06-26

  • Mejora:
  • Se asignó "clicks.threatStatus" a "security_result.threat_status".

2022-11-03

  • Mejora: Se agregó la verificación de condiciones para el campo de fecha .
  • "Otorgar la prioridad más alta a la fecha que tiene la marca de tiempo máxima".
  • if "click_time" > "threat_time" date mapped to click_time else threat_time.

2022-07-13

  • Mejora: Se modificó la asignación de "intermediary.user.email_addresses" de "(messagesBlocked|messagesDelivered).toAddresses" a "(messagesBlocked|messagesDelivered).ccAddresses" .

2022-06-29

  • Mejora: Se agregó gsub para quitar "<>" de los campos "clicks.messageID" y "m" asignados a "network.email.mail_id".

2022-05-25

  • Se asignó "messageSize" al campo "additional".
  • Se asignó "campaignID" al campo "security_result.rule_id".
  • Se asignó "ccAddresses" al campo "intermediary.user.email_addresses".
  • Se asignó "toAddresses" al campo "target.user.email_addresses".