Collecter les journaux des alertes Proofpoint TAP

Compatible avec:

Ce document explique comment collecter les journaux d'alertes de protection contre les attaques ciblées (TAP) de Proofpoint en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion PROOFPOINT_MAIL.

Configurer les alertes Proofpoint TAP

  1. Connectez-vous au portail d'insights sur les menaces Proofpoint à l'aide de vos identifiants.
  2. Dans l'onglet Paramètres, sélectionnez Applications associées. La section Identifiants de service s'affiche.
  3. Dans la section Nom, cliquez sur Créer des identifiants.
  4. Saisissez le nom de votre organisation, par exemple altostrat.com.
  5. Cliquez sur Générer. Dans la boîte de dialogue Identifiants de service générés, les valeurs Principal de service et Secret s'affichent.
  6. Copiez les valeurs Service principal et Secret. Les valeurs ne s'affichent qu'au moment de la création et sont obligatoires lorsque vous configurez le flux Google Security Operations.
  7. Cliquez sur OK.

Configurer un flux dans Google Security Operations pour ingérer les journaux d'alertes Proofpoint TAP

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Add New (Ajouter nouveau).
  3. Saisissez un nom unique dans le champ Nom du champ.
  4. Sélectionnez API tierce comme type de source.
  5. Sélectionnez Alertes Proofpoint TAP comme Type de journal.
  6. Cliquez sur Suivant.
  7. Configurez les paramètres d'entrée obligatoires suivants :
    • Nom d'utilisateur: spécifiez le compte principal du service que vous avez obtenu précédemment.
    • Secret: spécifiez le secret que vous avez obtenu précédemment.
  8. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences de chaque type de flux, consultez la section Configuration des flux par type. Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.

Référence de mappage de champ

Cet analyseur gère les journaux Proofpoint Mail au format JSON ou clé-valeur, en extrayant des informations sur l'activité réseau et les e-mails. Il met en correspondance les champs de journal avec l'UDM, catégorise les événements tels que les transactions par e-mail et les requêtes HTTP réseau, et les enrichit de détails de sécurité tels que les actions, les catégories et les informations sur les menaces.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
action security_result.action_details La valeur de action du journal brut est mappée directement.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: valeur de "adultscore"		 La valeur de adultscore du journal brut est placée dans additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: valeur des pièces jointes		 La valeur de attachments du journal brut est placée dans additional_fields.
campaignID security_result.rule_id La valeur de campaignID du journal brut est mappée directement.
ccAddresses Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: valeur de cid		 La valeur de cid du journal brut est placée dans additional_fields.
cipher/tls network.tls.cipher Si cipher est présent et ne correspond pas à "NONE", sa valeur est utilisée. Sinon, si tls est présent et qu'il ne correspond pas à "NONE", sa valeur est utilisée.
classification security_result.category_details La valeur de classification du journal brut est mappée directement.
clickIP principal.asset.ip
principal.ip		 La valeur de clickIP du journal brut est mappée directement.
clickTime metadata.event_timestamp.seconds L'analyseur convertit la chaîne clickTime en code temporel et la met en correspondance.
clicksBlocked[].campaignId Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 La valeur de clickIP dans le tableau clicksBlocked est mappée.
clicksBlocked[].clickTime metadata.event_timestamp.seconds L'analyseur convertit la chaîne clickTime en code temporel et la met en correspondance.
clicksBlocked[].classification security_result.category_details La valeur de classification dans le tableau clicksBlocked est mappée.
clicksBlocked[].GUID metadata.product_log_id La valeur de GUID dans le tableau clicksBlocked est mappée.
clicksBlocked[].id Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
clicksBlocked[].messageID network.email.mail_id La valeur de messageID dans le tableau clicksBlocked est mappée.
clicksBlocked[].recipient target.user.email_addresses La valeur de recipient dans le tableau clicksBlocked est mappée.
clicksBlocked[].sender principal.user.email_addresses La valeur de sender dans le tableau clicksBlocked est mappée.
clicksBlocked[].senderIP about.ip La valeur de senderIP dans le tableau clicksBlocked est mappée.
clicksBlocked[].threatID security_result.threat_id La valeur de threatID dans le tableau clicksBlocked est mappée.
clicksBlocked[].threatTime Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
clicksBlocked[].threatURL security_result.url_back_to_product La valeur de threatURL dans le tableau clicksBlocked est mappée.
clicksBlocked[].threatStatus security_result.threat_status La valeur de threatStatus dans le tableau clicksBlocked est mappée.
clicksBlocked[].url target.url La valeur de url dans le tableau clicksBlocked est mappée.
clicksBlocked[].userAgent network.http.user_agent La valeur de userAgent dans le tableau clicksBlocked est mappée.
clicksPermitted[].campaignId Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 La valeur de clickIP dans le tableau clicksPermitted est mappée.
clicksPermitted[].clickTime metadata.event_timestamp.seconds L'analyseur convertit la chaîne clickTime en code temporel et la met en correspondance.
clicksPermitted[].classification security_result.category_details La valeur de classification dans le tableau clicksPermitted est mappée.
clicksPermitted[].guid metadata.product_log_id La valeur de guid dans le tableau clicksPermitted est mappée.
clicksPermitted[].id Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
clicksPermitted[].messageID Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
clicksPermitted[].recipient target.user.email_addresses La valeur de recipient dans le tableau clicksPermitted est mappée.
clicksPermitted[].sender principal.user.email_addresses La valeur de sender dans le tableau clicksPermitted est mappée.
clicksPermitted[].senderIP about.ip La valeur de senderIP dans le tableau clicksPermitted est mappée.
clicksPermitted[].threatID security_result.threat_id La valeur de threatID dans le tableau clicksPermitted est mappée.
clicksPermitted[].threatTime Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
clicksPermitted[].threatURL security_result.url_back_to_product La valeur de threatURL dans le tableau clicksPermitted est mappée.
clicksPermitted[].url target.url La valeur de url dans le tableau clicksPermitted est mappée.
clicksPermitted[].userAgent network.http.user_agent La valeur de userAgent dans le tableau clicksPermitted est mappée.
cmd principal.process.command_line ou network.http.method Si sts (code d'état HTTP) est présent, cmd est mappé sur network.http.method. Sinon, il est mappé sur principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds La valeur de collection_time.seconds du journal brut est mappée directement.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valeur de completelyRewritten		 La valeur de completelyRewritten du journal brut est placée dans security_result.detection_fields.
contentType about.file.mime_type La valeur de contentType du journal brut est mappée directement.
country principal.location.country_or_region La valeur de country du journal brut est mappée directement.
create_time.seconds Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
data (Plusieurs champs) La charge utile JSON du champ data est analysée et mappée sur différents champs UDM.
date/date_log_rebase metadata.event_timestamp.seconds L'analyseur rebase la date sur un code temporel à l'aide des champs date_log_rebase ou date et timeStamp.
dict security_result.category_details La valeur de dict du journal brut est mappée directement.
disposition Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
dnsid network.dns.id La valeur de dnsid du journal brut est directement mappée et convertie en entier non signé.
domain/hfrom_domain principal.administrative_domain Si domain est présent, sa valeur est utilisée. Sinon, si hfrom_domain est présent, sa valeur est utilisée.
duration Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: valeur de l'eid		 La valeur de eid du journal brut est placée dans additional_fields.
engine metadata.product_version La valeur de engine du journal brut est mappée directement.
err / msg / result_detail / tls-alert security_result.description La première valeur disponible parmi msg, err, result_detail ou tls-alert (après suppression des guillemets) est mappée.
file/name principal.process.file.full_path Si file est présent, sa valeur est utilisée. Sinon, si name est présent, sa valeur est utilisée.
filename about.file.full_path La valeur de filename du journal brut est mappée directement.
folder additional.fields[].key: "folder"
additional_fields[].value.string_value: valeur du dossier		 La valeur de folder du journal brut est placée dans additional_fields.
from / hfrom / value network.email.from Une logique complexe s'applique (voir le code de l'analyseur). Gère les caractères < et >, et vérifie que le format de l'adresse e-mail est valide.
fromAddress Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
GUID metadata.product_log_id La valeur de GUID du journal brut est mappée directement.
headerCC Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valeur de headerFrom		 La valeur de headerFrom du journal brut est placée dans additional_fields.
headerReplyTo Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
headerTo Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
helo Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
hops-ip/lip intermediary.ip Si hops-ip est présent, sa valeur est utilisée. Sinon, si lip est présent, sa valeur est utilisée.
host principal.hostname La valeur de host du journal brut est mappée directement.
id Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valeur d'impostorScore		 La valeur de impostorScore du journal brut est placée dans additional_fields.
ip principal.asset.ip
principal.ip		 La valeur de ip du journal brut est mappée directement.
log_level security_result.severity_details La valeur de log_level est mappée et utilisée pour dériver security_result.severity.
m network.email.mail_id La valeur de m (après suppression des caractères < et >) est mappée.
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valeur de malwareScore		 La valeur de malwareScore du journal brut est placée dans additional_fields.
md5 about.file.md5 La valeur de md5 du journal brut est mappée directement.
messageID network.email.mail_id La valeur de messageID (après suppression des caractères < et >) est mappée.
messagesBlocked (tableau) (Plusieurs champs) Le tableau d'objets messagesBlocked est itéré, et les champs de chaque objet sont mappés sur les champs UDM.
messagesBlocked[].ccAddresses Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].cluster Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valeur de completelyRewritten		 La valeur de completelyRewritten du journal brut est placée dans security_result.detection_fields.
messagesBlocked[].fromAddress Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].GUID metadata.product_log_id La valeur de GUID du journal brut est mappée directement.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valeur de headerFrom		 La valeur de headerFrom du journal brut est placée dans additional_fields.
messagesBlocked[].headerReplyTo Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].id Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valeur d'impostorScore		 La valeur de impostorScore du journal brut est placée dans additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valeur de malwareScore		 La valeur de malwareScore du journal brut est placée dans additional_fields.
messagesBlocked[].messageID network.email.mail_id La valeur de messageID (après suppression des caractères < et >) est mappée.
messagesBlocked[].messageParts about.file (répété) Chaque objet du tableau messageParts est mappé à un objet about.file distinct.
messagesBlocked[].messageParts[].contentType about.file.mime_type La valeur de contentType du journal brut est mappée directement.
messagesBlocked[].messageParts[].disposition Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].messageParts[].filename about.file.full_path La valeur de filename du journal brut est mappée directement.
messagesBlocked[].messageParts[].md5 about.file.md5 La valeur de md5 du journal brut est mappée directement.
messagesBlocked[].messageParts[].sandboxStatus Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].messageParts[].sha256 about.file.sha256 La valeur de sha256 du journal brut est mappée directement.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valeur de messageSize		 La valeur de messageSize du journal brut est placée dans additional_fields.
messagesBlocked[].messageTime Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].modulesRun Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valeur de phishScore		 La valeur de phishScore du journal brut est placée dans additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valeur de policyRoutes		 Les valeurs de policyRoutes du journal brut sont placées sous forme de liste dans additional_fields.
messagesBlocked[].QID Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: valeur de quarantineFolder		 La valeur de quarantineFolder du journal brut est placée dans additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: valeur de quarantineRule		 La valeur de quarantineRule du journal brut est placée dans additional_fields.
messagesBlocked[].recipient target.user.email_addresses La valeur de recipient du journal brut est mappée directement.
messagesBlocked[].replyToAddress network.email.reply_to La valeur de replyToAddress du journal brut est mappée directement.
messagesBlocked[].sender principal.user.email_addresses La valeur de sender du journal brut est mappée directement.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 La valeur de senderIP du journal brut est mappée directement.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valeur de spamScore		 La valeur de spamScore du journal brut est placée dans additional_fields.
messagesBlocked[].subject network.email.subject La valeur de subject du journal brut est mappée directement.
messagesBlocked[].threatsInfoMap security_result (répété) Chaque objet du tableau threatsInfoMap est mappé à un objet security_result distinct.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details La valeur de classification du journal brut est mappée directement.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url La valeur de threat du journal brut est mappée directement.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id La valeur de threatID du journal brut est mappée directement.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status La valeur de threatStatus du journal brut est mappée directement.
messagesBlocked[].threatsInfoMap[].threatTime Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name La valeur de threatType du journal brut est mappée directement.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product La valeur de threatUrl du journal brut est mappée directement.
messagesBlocked[].toAddresses network.email.to La valeur de toAddresses du journal brut est mappée directement.
messagesBlocked[].xmailer Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
messagesDelivered (tableau) (Plusieurs champs) Le tableau d'objets messagesDelivered est itéré, et les champs de chaque objet sont mappés sur les champs UDM. Logique similaire à celle de messagesBlocked.
message (Plusieurs champs) Si le champ message est au format JSON valide, il est analysé et mappé sur différents champs UDM.
metadata.event_type metadata.event_type Défini sur "EMAIL_TRANSACTION" si message n'est pas au format JSON, sinon dérivé des données JSON. Défini sur "GENERIC_EVENT" si l'analyse du message syslog échoue.
metadata.log_type metadata.log_type Code codé en dur sur "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Définissez cette valeur sur "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" en fonction des données JSON.
metadata.product_name metadata.product_name Code codé en dur sur "TAP".
metadata.vendor_name metadata.vendor_name Code codé en dur sur "PROOFPOINT".
mime principal.process.file.mime_type La valeur de mime du journal brut est mappée directement.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: valeur de mod		 La valeur de mod du journal brut est placée dans additional_fields.
oContentType Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
path/uri principal.url Si path est présent, sa valeur est utilisée. Sinon, si uri est présent, sa valeur est utilisée.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valeur de phishScore		 La valeur de phishScore du journal brut est placée dans additional_fields.
pid principal.process.pid La valeur de pid du journal brut est mappée directement.
policy network.direction Si policy est "inbound", le champ UDM est défini sur "INBOUND". Si policy est défini sur "sortant", le champ UDM est défini sur "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valeur de policyRoutes		 Les valeurs de policyRoutes du journal brut sont placées sous forme de liste dans additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: valeur du profil		 La valeur de profile du journal brut est placée dans additional_fields.
prot proto La valeur de prot est extraite vers protocol, convertie en majuscules, puis mappée sur proto.
proto network.application_protocol La valeur de proto (ou la valeur dérivée de prot) est mappée. Si la valeur est "ESMTP", elle est remplacée par "SMTP" avant le mappage.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: valeur de querydepth		 La valeur de querydepth du journal brut est placée dans additional_fields.
queryEndTime Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: valeur de qid		 La valeur de qid du journal brut est placée dans additional_fields.
rcpt/rcpts network.email.to Si rcpt est présent et qu'il s'agit d'une adresse e-mail valide, il est fusionné dans le champ to. Même logique pour rcpts.
recipient target.user.email_addresses La valeur de recipient du journal brut est mappée directement.
relay intermediary.hostname
intermediary.ip		 Le champ relay est analysé pour extraire le nom d'hôte et l'adresse IP, qui sont ensuite mappés sur intermediary.hostname et intermediary.ip, respectivement.
replyToAddress network.email.reply_to La valeur de replyToAddress du journal brut est mappée directement.
result security_result.action Si result est "pass", le champ UDM est défini sur "ALLOW". Si result est défini sur "fail", le champ UDM est défini sur "BLOCK".
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: valeur des itinéraires		 La valeur de routes du journal brut est placée dans additional_fields.
s network.session_id La valeur de s du journal brut est mappée directement.
sandboxStatus Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
selector additional.fields[].key: "selector"
additional_fields[].value.string_value: valeur du sélecteur		 La valeur de selector du journal brut est placée dans additional_fields.
sender principal.user.email_addresses La valeur de sender du journal brut est mappée directement.
senderIP principal.asset.ip
principal.ip ou about.ip		 S'il s'agit d'un événement de clic, il est mappé sur about.ip. Sinon, il est mappé sur principal.asset.ip et principal.ip.
sha256 security_result.about.file.sha256 ou about.file.sha256 Si elle se trouve dans un threatInfoMap, elle est mappée sur security_result.about.file.sha256. Sinon, il est mappé sur about.file.sha256.
size principal.process.file.size ou additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valeur de messageSize		 S'il se trouve dans un événement de message, il est mappé sur additional.fields[].messageSize et converti en entier non signé. Sinon, il est mappé sur principal.process.file.size et converti en entier non signé.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valeur de spamScore		 La valeur de spamScore du journal brut est placée dans additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: valeur de l'état		 La valeur de stat du journal brut est placée dans additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: valeur de l'état		 La valeur de status (après suppression des guillemets) du journal brut est placée dans additional_fields.
sts network.http.response_code La valeur de sts du journal brut est directement mappée et convertie en entier.
subject network.email.subject La valeur de subject du journal brut est mappée directement après suppression des guillemets.
threatID security_result.threat_id La valeur de threatID du journal brut est mappée directement.
threatStatus security_result.threat_status La valeur de threatStatus du journal brut est mappée directement.
threatTime Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
threatType security_result.threat_name La valeur de threatType du journal brut est mappée directement.
threatUrl/threatURL security_result.url_back_to_product La valeur de threatUrl ou threatURL du journal brut est mappée directement.
threatsInfoMap security_result (répété) Chaque objet du tableau threatsInfoMap est mappé à un objet security_result distinct.
tls network.tls.cipher Si cipher n'est pas présent ou est défini sur "NONE", la valeur de tls est utilisée si elle n'est pas définie sur "NONE".
tls_verify/verify security_result.action Si verify est présent, sa valeur est utilisée pour déterminer l'action. Sinon, tls_verify est utilisé. "FAIL" est mappé sur "BLOCK", et "OK" sur "ALLOW".
tls_version/version network.tls.version Si tls_version est présent et ne correspond pas à "NONE", sa valeur est utilisée. Sinon, si version correspond à "TLS", sa valeur est utilisée.
to network.email.to La valeur de to (après suppression des caractères < et >) est mappée. Si l'adresse e-mail n'est pas valide, elle est ajoutée à additional_fields.
toAddresses network.email.to La valeur de toAddresses du journal brut est mappée directement.
timestamp.seconds metadata.event_timestamp.seconds La valeur de timestamp.seconds du journal brut est mappée directement.
type Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
url target.url ou principal.url S'il s'agit d'un événement de clic, il est mappé sur target.url. Sinon, il est mappé sur principal.url.
userAgent network.http.user_agent La valeur de userAgent du journal brut est mappée directement.
uri principal.url Si path n'est pas présent, la valeur de uri est utilisée.
value network.email.from Si from et hfrom ne sont pas des adresses e-mail valides, et que value est une adresse e-mail valide (après avoir supprimé les caractères < et >), elle est mappée.
vendor Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.
verify security_result.action Si verify est présent, il permet de déterminer l'action. "NON" correspond à "BLOQUER", les autres valeurs correspondent à "AUTORISER".
version network.tls.version Si tls_version n'est pas présent ou est défini sur"NONE ", et que version contient"TLS", il est mappé.
virusthreat security_result.threat_name La valeur de virusthreat du journal brut est mappée directement si elle n'est pas "inconnue".
virusthreatid security_result.threat_id La valeur de virusthreatid (après suppression des guillemets) du journal brut est mappée directement si elle n'est pas "inconnue".
xmailer Non mappé Bien qu'il soit présent dans les journaux bruts, ce champ n'est pas mappé à l'objet IDM dans la UDM fournie.

Modifications

2024-05-27

  • Mappage de "msg.policyRoutes" sur "additional.fields".

2024-04-03

  • "sender_domain" a été extrait de "msg.fromAddress" et "clicks.sender", puis mappé sur "principal.domain.name".
  • Mappage de "clicks.sender" sur "principal.user.email_addresses".
  • Mappage de "clicks.recipient" sur "target.user.email_addresses".

2023-06-26

  • Amélioration :
  • "clicks.threatStatus" a été mappé sur "security_result.threat_status".

2022-11-03

  • Amélioration : ajout d'une vérification de condition pour le champ de date .
  • "donner la priorité la plus élevée à la date qui possède le code temporel maximal".
  • if "click_time" > "threat_time" date mapped to click_time else threat_time.

2022-07-13

  • Amélioration : modification de la mise en correspondance de "intermediary.user.email_addresses" de "(messagesBlocked|messagesDelivered).toAddresses" à "(messagesBlocked|messagesDelivered).ccAddresses" .

2022-06-29

  • Amélioration : ajout de gsub pour supprimer "<>' des champs "clicks.messageID" et "m" mappés sur "network.email.mail_id".

2022-05-25

  • Mappage de "messageSize" sur le champ "additional".
  • Mappage de "campaignID" sur le champ "security_result.rule_id".
  • Mappage de "ccAddresses" sur le champ "intermediary.user.email_addresses".
  • Mappage de "toAddresses" sur le champ "target.user.email_addresses".