Mengumpulkan log pemberitahuan Proofpoint TAP
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log pemberitahuan Proofpoint Targeted Attack Protection (TAP) dengan menyiapkan feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer PROOFPOINT_MAIL.
Mengonfigurasi pemberitahuan Proofpoint TAP
- Login ke portal insight ancaman Proofpoint menggunakan kredensial Anda.
- Di tab Setelan, pilih Aplikasi terhubung. Bagian Kredensial layanan akan muncul.
- Di bagian Nama, klik Buat kredensial baru.
- Ketik nama organisasi Anda, seperti
altostrat.com. - Klik Generate. Di dialog Generated service credential, nilai Service principal dan Secret akan muncul.
- Salin nilai Prinsipal layanan dan Rahasia. Nilai hanya ditampilkan pada saat pembuatan dan diperlukan saat Anda mengonfigurasi feed Google Security Operations.
- Klik Done.
Mengonfigurasi feed di Google Security Operations untuk menyerap log pemberitahuan Proofpoint TAP
- Buka Setelan SIEM > Feed.
- Klik Add New.
- Masukkan nama unik untuk Nama Kolom.
- Pilih Third party API sebagai Source type.
- Pilih Notifikasi Proofpoint TAP sebagai Jenis log.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- Username: tentukan akun utama layanan yang Anda peroleh sebelumnya.
- Secret: tentukan secret yang Anda peroleh sebelumnya.
- Klik Berikutnya, lalu klik Kirim.
Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis. Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini menangani log Proofpoint Mail dalam format JSON atau nilai kunci, yang mengekstrak detail aktivitas email dan jaringan. Alat ini memetakan kolom log ke UDM, mengategorikan peristiwa seperti transaksi email dan permintaan HTTP jaringan, serta memperkayanya dengan detail keamanan seperti tindakan, kategori, dan informasi ancaman.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
action |
security_result.action_details |
Nilai action dari log mentah dipetakan langsung. |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value: Nilai adultscore |
Nilai adultscore dari log mentah ditempatkan di additional_fields. |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: Nilai lampiran |
Nilai attachments dari log mentah ditempatkan di additional_fields. |
campaignID |
security_result.rule_id |
Nilai campaignID dari log mentah dipetakan langsung. |
ccAddresses |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
cid |
additional.fields[].key: "cid"additional_fields[].value.string_value: Nilai cid |
Nilai cid dari log mentah ditempatkan di additional_fields. |
cipher/tls |
network.tls.cipher |
Jika cipher ada dan bukan "NONE", nilainya akan digunakan. Jika tidak, jika tls ada dan bukan "NONE", nilainya akan digunakan. |
classification |
security_result.category_details |
Nilai classification dari log mentah dipetakan langsung. |
clickIP |
principal.asset.ipprincipal.ip |
Nilai clickIP dari log mentah dipetakan langsung. |
clickTime |
metadata.event_timestamp.seconds |
Parser mengonversi string clickTime menjadi stempel waktu dan memetakan string tersebut. |
clicksBlocked[].campaignId |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
Nilai clickIP dalam array clicksBlocked dipetakan. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
Parser mengonversi string clickTime menjadi stempel waktu dan memetakan string tersebut. |
clicksBlocked[].classification |
security_result.category_details |
Nilai classification dalam array clicksBlocked dipetakan. |
clicksBlocked[].GUID |
metadata.product_log_id |
Nilai GUID dalam array clicksBlocked dipetakan. |
clicksBlocked[].id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
clicksBlocked[].messageID |
network.email.mail_id |
Nilai messageID dalam array clicksBlocked dipetakan. |
clicksBlocked[].recipient |
target.user.email_addresses |
Nilai recipient dalam array clicksBlocked dipetakan. |
clicksBlocked[].sender |
principal.user.email_addresses |
Nilai sender dalam array clicksBlocked dipetakan. |
clicksBlocked[].senderIP |
about.ip |
Nilai senderIP dalam array clicksBlocked dipetakan. |
clicksBlocked[].threatID |
security_result.threat_id |
Nilai threatID dalam array clicksBlocked dipetakan. |
clicksBlocked[].threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
Nilai threatURL dalam array clicksBlocked dipetakan. |
clicksBlocked[].threatStatus |
security_result.threat_status |
Nilai threatStatus dalam array clicksBlocked dipetakan. |
clicksBlocked[].url |
target.url |
Nilai url dalam array clicksBlocked dipetakan. |
clicksBlocked[].userAgent |
network.http.user_agent |
Nilai userAgent dalam array clicksBlocked dipetakan. |
clicksPermitted[].campaignId |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
Nilai clickIP dalam array clicksPermitted dipetakan. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
Parser mengonversi string clickTime menjadi stempel waktu dan memetakan string tersebut. |
clicksPermitted[].classification |
security_result.category_details |
Nilai classification dalam array clicksPermitted dipetakan. |
clicksPermitted[].guid |
metadata.product_log_id |
Nilai guid dalam array clicksPermitted dipetakan. |
clicksPermitted[].id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
clicksPermitted[].messageID |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
clicksPermitted[].recipient |
target.user.email_addresses |
Nilai recipient dalam array clicksPermitted dipetakan. |
clicksPermitted[].sender |
principal.user.email_addresses |
Nilai sender dalam array clicksPermitted dipetakan. |
clicksPermitted[].senderIP |
about.ip |
Nilai senderIP dalam array clicksPermitted dipetakan. |
clicksPermitted[].threatID |
security_result.threat_id |
Nilai threatID dalam array clicksPermitted dipetakan. |
clicksPermitted[].threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
Nilai threatURL dalam array clicksPermitted dipetakan. |
clicksPermitted[].url |
target.url |
Nilai url dalam array clicksPermitted dipetakan. |
clicksPermitted[].userAgent |
network.http.user_agent |
Nilai userAgent dalam array clicksPermitted dipetakan. |
cmd |
principal.process.command_line atau network.http.method |
Jika sts (kode status HTTP) ada, cmd akan dipetakan ke network.http.method. Jika tidak, kolom akan dipetakan ke principal.process.command_line. |
collection_time.seconds |
metadata.event_timestamp.seconds |
Nilai collection_time.seconds dari log mentah dipetakan langsung. |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Nilai completelyRewritten |
Nilai completelyRewritten dari log mentah ditempatkan di security_result.detection_fields. |
contentType |
about.file.mime_type |
Nilai contentType dari log mentah dipetakan langsung. |
country |
principal.location.country_or_region |
Nilai country dari log mentah dipetakan langsung. |
create_time.seconds |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
data |
(Beberapa kolom) | Payload JSON di kolom data diuraikan dan dipetakan ke berbagai kolom UDM. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
Parser menetapkan ulang tanggal ke stempel waktu menggunakan kolom date_log_rebase atau date dan timeStamp. |
dict |
security_result.category_details |
Nilai dict dari log mentah dipetakan langsung. |
disposition |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
dnsid |
network.dns.id |
Nilai dnsid dari log mentah dipetakan langsung dan dikonversi menjadi bilangan bulat tanpa tanda tangan. |
domain/hfrom_domain |
principal.administrative_domain |
Jika domain ada, nilainya akan digunakan. Jika tidak, jika hfrom_domain ada, nilainya akan digunakan. |
duration |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: Nilai eid |
Nilai eid dari log mentah ditempatkan di additional_fields. |
engine |
metadata.product_version |
Nilai engine dari log mentah dipetakan langsung. |
err / msg / result_detail / tls-alert |
security_result.description |
Nilai pertama yang tersedia di antara msg, err, result_detail, atau tls-alert (setelah menghapus tanda kutip) akan dipetakan. |
file/name |
principal.process.file.full_path |
Jika file ada, nilainya akan digunakan. Jika tidak, jika name ada, nilainya akan digunakan. |
filename |
about.file.full_path |
Nilai filename dari log mentah dipetakan langsung. |
folder |
additional.fields[].key: "folder"additional_fields[].value.string_value: Nilai folder |
Nilai folder dari log mentah ditempatkan di additional_fields. |
from / hfrom / value |
network.email.from |
Logika kompleks berlaku (lihat kode parser). Menangani karakter < dan > serta memeriksa format email yang valid. |
fromAddress |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
GUID |
metadata.product_log_id |
Nilai GUID dari log mentah dipetakan langsung. |
headerCC |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Nilai headerFrom |
Nilai headerFrom dari log mentah ditempatkan di additional_fields. |
headerReplyTo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
headerTo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
helo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
hops-ip/lip |
intermediary.ip |
Jika hops-ip ada, nilainya akan digunakan. Jika tidak, jika lip ada, nilainya akan digunakan. |
host |
principal.hostname |
Nilai host dari log mentah dipetakan langsung. |
id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: Nilai impostorScore |
Nilai impostorScore dari log mentah ditempatkan di additional_fields. |
ip |
principal.asset.ipprincipal.ip |
Nilai ip dari log mentah dipetakan langsung. |
log_level |
security_result.severity_details |
Nilai log_level dipetakan dan juga digunakan untuk mendapatkan security_result.severity. |
m |
network.email.mail_id |
Nilai m (setelah menghapus karakter < dan >) dipetakan. |
malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: Nilai malwareScore |
Nilai malwareScore dari log mentah ditempatkan di additional_fields. |
md5 |
about.file.md5 |
Nilai md5 dari log mentah dipetakan langsung. |
messageID |
network.email.mail_id |
Nilai messageID (setelah menghapus karakter < dan >) dipetakan. |
messagesBlocked (array) |
(Beberapa kolom) | Array objek messagesBlocked di-iterasi, dan setiap kolom objek dipetakan ke kolom UDM. |
messagesBlocked[].ccAddresses |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].cluster |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: Nilai completelyRewritten |
Nilai completelyRewritten dari log mentah ditempatkan di security_result.detection_fields. |
messagesBlocked[].fromAddress |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].GUID |
metadata.product_log_id |
Nilai GUID dari log mentah dipetakan langsung. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Nilai headerFrom |
Nilai headerFrom dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].headerReplyTo |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].id |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: Nilai impostorScore |
Nilai impostorScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: Nilai malwareScore |
Nilai malwareScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].messageID |
network.email.mail_id |
Nilai messageID (setelah menghapus karakter < dan >) dipetakan. |
messagesBlocked[].messageParts |
about.file (diulang) |
Setiap objek dalam array messageParts dipetakan ke objek about.file terpisah. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
Nilai contentType dari log mentah dipetakan langsung. |
messagesBlocked[].messageParts[].disposition |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
Nilai filename dari log mentah dipetakan langsung. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
Nilai md5 dari log mentah dipetakan langsung. |
messagesBlocked[].messageParts[].sandboxStatus |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
Nilai sha256 dari log mentah dipetakan langsung. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: Nilai messageSize |
Nilai messageSize dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].messageTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].modulesRun |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: Nilai phishScore |
Nilai phishScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Nilai policyRoutes |
Nilai policyRoutes dari log mentah ditempatkan sebagai daftar di additional_fields. |
messagesBlocked[].QID |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: Nilai quarantineFolder |
Nilai quarantineFolder dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: Nilai quarantineRule |
Nilai quarantineRule dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].recipient |
target.user.email_addresses |
Nilai recipient dari log mentah dipetakan langsung. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
Nilai replyToAddress dari log mentah dipetakan langsung. |
messagesBlocked[].sender |
principal.user.email_addresses |
Nilai sender dari log mentah dipetakan langsung. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
Nilai senderIP dari log mentah dipetakan langsung. |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: Nilai spamScore |
Nilai spamScore dari log mentah ditempatkan di additional_fields. |
messagesBlocked[].subject |
network.email.subject |
Nilai subject dari log mentah dipetakan langsung. |
messagesBlocked[].threatsInfoMap |
security_result (diulang) |
Setiap objek dalam array threatsInfoMap dipetakan ke objek security_result terpisah. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
Nilai classification dari log mentah dipetakan langsung. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
Nilai threat dari log mentah dipetakan langsung. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
Nilai threatID dari log mentah dipetakan langsung. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
Nilai threatStatus dari log mentah dipetakan langsung. |
messagesBlocked[].threatsInfoMap[].threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
Nilai threatType dari log mentah dipetakan langsung. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
Nilai threatUrl dari log mentah dipetakan langsung. |
messagesBlocked[].toAddresses |
network.email.to |
Nilai toAddresses dari log mentah dipetakan langsung. |
messagesBlocked[].xmailer |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
messagesDelivered (array) |
(Beberapa kolom) | Array objek messagesDelivered di-iterasi, dan setiap kolom objek dipetakan ke kolom UDM. Logika serupa dengan messagesBlocked. |
message |
(Beberapa kolom) | Jika kolom message adalah JSON yang valid, kolom tersebut akan diuraikan dan dipetakan ke berbagai kolom UDM. |
metadata.event_type |
metadata.event_type |
Tetapkan ke "EMAIL_TRANSACTION" jika message bukan JSON, jika tidak, berasal dari data JSON. Tetapkan ke "GENERIC_EVENT" jika pesan syslog gagal diuraikan. |
metadata.log_type |
metadata.log_type |
Di-hardcode ke "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Tetapkan ke "messagesBlocked", "messagesDelivered", "clicksPermitted", atau "clicksBlocked" berdasarkan data JSON. |
metadata.product_name |
metadata.product_name |
Di-hardcode ke "TAP". |
metadata.vendor_name |
metadata.vendor_name |
Di-hardcode ke "PROOFPOINT". |
mime |
principal.process.file.mime_type |
Nilai mime dari log mentah dipetakan langsung. |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: Nilai mod |
Nilai mod dari log mentah ditempatkan di additional_fields. |
oContentType |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
path/uri |
principal.url |
Jika path ada, nilainya akan digunakan. Jika tidak, jika uri ada, nilainya akan digunakan. |
phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: Nilai phishScore |
Nilai phishScore dari log mentah ditempatkan di additional_fields. |
pid |
principal.process.pid |
Nilai pid dari log mentah dipetakan langsung. |
policy |
network.direction |
Jika policy adalah "inbound", kolom UDM ditetapkan ke "INBOUND". Jika policy adalah "outbound", kolom UDM ditetapkan ke "OUTBOUND". |
policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Nilai policyRoutes |
Nilai policyRoutes dari log mentah ditempatkan sebagai daftar di additional_fields. |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: Nilai profil |
Nilai profile dari log mentah ditempatkan di additional_fields. |
prot |
proto |
Nilai prot diekstrak ke protocol, dikonversi ke huruf besar, lalu dipetakan ke proto. |
proto |
network.application_protocol |
Nilai proto (atau nilai turunan dari prot) dipetakan. Jika nilainya "ESMTP", nilai tersebut akan diubah menjadi "SMTP" sebelum pemetaan. |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: Nilai querydepth |
Nilai querydepth dari log mentah ditempatkan di additional_fields. |
queryEndTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: Nilai qid |
Nilai qid dari log mentah ditempatkan di additional_fields. |
rcpt/rcpts |
network.email.to |
Jika rcpt ada dan merupakan alamat email yang valid, alamat tersebut akan digabungkan ke kolom to. Logika yang sama untuk rcpts. |
recipient |
target.user.email_addresses |
Nilai recipient dari log mentah dipetakan langsung. |
relay |
intermediary.hostnameintermediary.ip |
Kolom relay diuraikan untuk mengekstrak nama host dan alamat IP, yang kemudian dipetakan ke intermediary.hostname dan intermediary.ip. |
replyToAddress |
network.email.reply_to |
Nilai replyToAddress dari log mentah dipetakan langsung. |
result |
security_result.action |
Jika result adalah "pass", kolom UDM ditetapkan ke "ALLOW". Jika result adalah "gagal", kolom UDM ditetapkan ke "BLOCK". |
routes |
additional.fields[].key: "routes"additional_fields[].value.string_value: Nilai rute |
Nilai routes dari log mentah ditempatkan di additional_fields. |
s |
network.session_id |
Nilai s dari log mentah dipetakan langsung. |
sandboxStatus |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
selector |
additional.fields[].key: "selector"additional_fields[].value.string_value: Nilai pemilih |
Nilai selector dari log mentah ditempatkan di additional_fields. |
sender |
principal.user.email_addresses |
Nilai sender dari log mentah dipetakan langsung. |
senderIP |
principal.asset.ipprincipal.ip atau about.ip |
Jika berada dalam peristiwa klik, peristiwa tersebut akan dipetakan ke about.ip. Jika tidak, kolom akan dipetakan ke principal.asset.ip dan principal.ip. |
sha256 |
security_result.about.file.sha256 atau about.file.sha256 |
Jika berada dalam threatInfoMap, ID akan dipetakan ke security_result.about.file.sha256. Jika tidak, kolom akan dipetakan ke about.file.sha256. |
size |
principal.process.file.size atau additional.fields[].key: "messageSize"additional_fields[].value.number_value: Nilai messageSize |
Jika berada dalam peristiwa pesan, peristiwa tersebut akan dipetakan ke additional.fields[].messageSize dan dikonversi menjadi bilangan bulat tanpa tanda tangan. Jika tidak, nilai akan dipetakan ke principal.process.file.size dan dikonversi menjadi bilangan bulat tanpa tanda tangan. |
spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: Nilai spamScore |
Nilai spamScore dari log mentah ditempatkan di additional_fields. |
stat |
additional.fields[].key: "status"additional_fields[].value.string_value: Nilai statistik |
Nilai stat dari log mentah ditempatkan di additional_fields. |
status |
additional.fields[].key: "status"additional_fields[].value.string_value: Nilai status |
Nilai status (setelah menghapus tanda kutip) dari log mentah ditempatkan di additional_fields. |
sts |
network.http.response_code |
Nilai sts dari log mentah dipetakan dan dikonversi langsung menjadi bilangan bulat. |
subject |
network.email.subject |
Nilai subject dari log mentah dipetakan langsung setelah menghapus tanda kutip. |
threatID |
security_result.threat_id |
Nilai threatID dari log mentah dipetakan langsung. |
threatStatus |
security_result.threat_status |
Nilai threatStatus dari log mentah dipetakan langsung. |
threatTime |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
threatType |
security_result.threat_name |
Nilai threatType dari log mentah dipetakan langsung. |
threatUrl/threatURL |
security_result.url_back_to_product |
Nilai threatUrl atau threatURL dari log mentah dipetakan secara langsung. |
threatsInfoMap |
security_result (diulang) |
Setiap objek dalam array threatsInfoMap dipetakan ke objek security_result terpisah. |
tls |
network.tls.cipher |
Jika cipher tidak ada atau "NONE", nilai tls akan digunakan jika bukan "NONE". |
tls_verify/verify |
security_result.action |
Jika verify ada, nilainya akan digunakan untuk menentukan tindakan. Jika tidak, tls_verify akan digunakan. "GAGAL" dipetakan ke "BLOKIR", "OK" dipetakan ke "Izinkan". |
tls_version/version |
network.tls.version |
Jika tls_version ada dan bukan "NONE", nilainya akan digunakan. Jika tidak, jika version cocok dengan "TLS", nilainya akan digunakan. |
to |
network.email.to |
Nilai to (setelah menghapus karakter < dan >) dipetakan. Jika bukan alamat email yang valid, alamat tersebut akan ditambahkan ke additional_fields. |
toAddresses |
network.email.to |
Nilai toAddresses dari log mentah dipetakan langsung. |
timestamp.seconds |
metadata.event_timestamp.seconds |
Nilai timestamp.seconds dari log mentah dipetakan langsung. |
type |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
url |
target.url atau principal.url |
Jika berada dalam peristiwa klik, peristiwa tersebut akan dipetakan ke target.url. Jika tidak, kolom akan dipetakan ke principal.url. |
userAgent |
network.http.user_agent |
Nilai userAgent dari log mentah dipetakan langsung. |
uri |
principal.url |
Jika path tidak ada, nilai uri akan digunakan. |
value |
network.email.from |
Jika from dan hfrom bukan alamat email yang valid, dan value adalah alamat email yang valid (setelah menghapus karakter < dan >), alamat email tersebut akan dipetakan. |
vendor |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
verify |
security_result.action |
Jika ada, verify akan digunakan untuk menentukan tindakan. "NOT" dipetakan ke "BLOCK", nilai lainnya dipetakan ke "ALLOW". |
version |
network.tls.version |
Jika tls_version tidak ada atau "NONE", dan version berisi "TLS", version akan dipetakan. |
virusthreat |
security_result.threat_name |
Nilai virusthreat dari log mentah dipetakan secara langsung jika bukan "tidak diketahui". |
virusthreatid |
security_result.threat_id |
Nilai virusthreatid (setelah menghapus tanda kutip) dari log mentah akan langsung dipetakan jika bukan "tidak diketahui". |
xmailer |
Tidak Dipetakan | Meskipun ada dalam log mentah, kolom ini tidak dipetakan ke objek IDM di UDM yang disediakan. |
Perubahan
2024-05-27
- Memetakan "msg.policyRoutes" ke "additional.fields".
2024-04-03
- Mengekstrak "sender_domain" dari "msg.fromAddress" dan "clicks.sender", serta memetakan ke "principal.domain.name".
- Memetakan "clicks.sender" ke "principal.user.email_addresses".
- Memetakan "clicks.recipient" ke "target.user.email_addresses".
2023-06-26
- Peningkatan -
- Memetakan "clicks.threatStatus" ke "security_result.threat_status".
2022-11-03
- Peningkatan - Menambahkan pemeriksaan kondisi untuk kolom tanggal .
- "berikan prioritas lebih tinggi ke tanggal yang memiliki stempel waktu maksimum".
- jika "click_time" > "threat_time", tanggal dipetakan ke click_time, jika tidak, threat_time.
2022-07-13
- Peningkatan - Mengubah pemetaan untuk "intermediary.user.email_addresses" dari "(messagesBlocked|messagesDelivered).toAddresses" menjadi "(messagesBlocked|messagesDelivered).ccAddresses" .
2022-06-29
- Peningkatan - Menambahkan gsub untuk menghapus '<>' dari kolom 'clicks.messageID' dan 'm' yang dipetakan ke 'network.email.mail_id'.
25-05-2022
- Memetakan "messageSize" ke kolom "additional".
- Memetakan "campaignID" ke kolom "security_result.rule_id".
- Memetakan "ccAddresses" ke kolom "intermediary.user.email_addresses".
- Memetakan "toAddresses" ke kolom "target.user.email_addresses".