Proofpoint TAP アラート ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Proofpoint Targeted Attack Protection(TAP)アラート ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル PROOFPOINT_MAIL が付加されたパーサーに適用されます。
Proofpoint TAP アラートを構成する
- 認証情報を使用して Proofpoint 脅威分析ポータルにログインします。
- [設定] タブで [接続済みのアプリ] を選択します。[Service 認証情報] セクションが表示されます。
- [名前] セクションで、[新しい認証情報を作成] をクリックします。
- 組織の名前(
altostrat.comなど)を入力します。 - [生成] をクリックします。[生成されたサービス認証情報] ダイアログに、[サービス プリンシパル] と [シークレット] の値が表示されます。
- [サービス プリンシパル] と [シークレット] の値をコピーします。値は作成時にのみ表示され、Google Security Operations フィードを構成するときに必要です。
- [完了] をクリックします。
Proofpoint TAP のアラートログを取り込むように Google Security Operations でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New] をクリックします。
- [フィールド名] に一意の名前を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] で [Proofpoint TAP アラート] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- ユーザー名: 前の手順で取得したサービス プリンシパルを指定します。
- シークレット: 前の手順で取得したシークレットを指定します。
- [次へ] をクリックし、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。 フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Proofpoint Mail ログを JSON 形式または Key-Value 形式で処理し、メールとネットワーク アクティビティの詳細を抽出します。ログフィールドを UDM にマッピングし、メール トランザクションやネットワーク HTTP リクエストなどのイベントを分類し、アクション、カテゴリ、脅威情報などのセキュリティの詳細情報を拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
action |
security_result.action_details |
未加工ログの action の値は直接マッピングされます。 |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value: adultscore の値 |
未加工ログの adultscore の値が additional_fields に格納されます。 |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: アタッチメントの値 |
未加工ログの attachments の値が additional_fields に格納されます。 |
campaignID |
security_result.rule_id |
未加工ログの campaignID の値は直接マッピングされます。 |
ccAddresses |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
cid |
additional.fields[].key: "cid"additional_fields[].value.string_value: cid の値 |
未加工ログの cid の値が additional_fields に格納されます。 |
cipher / tls |
network.tls.cipher |
cipher が存在し、値が「NONE」でない場合、その値が使用されます。それ以外の場合、tls が存在し、値が「NONE」でない場合、その値が使用されます。 |
classification |
security_result.category_details |
未加工ログの classification の値は直接マッピングされます。 |
clickIP |
principal.asset.ipprincipal.ip |
未加工ログの clickIP の値は直接マッピングされます。 |
clickTime |
metadata.event_timestamp.seconds |
パーサーは、clickTime 文字列をタイムスタンプに変換してマッピングします。 |
clicksBlocked[].campaignId |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
clicksBlocked 配列内の clickIP の値がマッピングされます。 |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
パーサーは、clickTime 文字列をタイムスタンプに変換してマッピングします。 |
clicksBlocked[].classification |
security_result.category_details |
clicksBlocked 配列内の classification の値がマッピングされます。 |
clicksBlocked[].GUID |
metadata.product_log_id |
clicksBlocked 配列内の GUID の値がマッピングされます。 |
clicksBlocked[].id |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
clicksBlocked[].messageID |
network.email.mail_id |
clicksBlocked 配列内の messageID の値がマッピングされます。 |
clicksBlocked[].recipient |
target.user.email_addresses |
clicksBlocked 配列内の recipient の値がマッピングされます。 |
clicksBlocked[].sender |
principal.user.email_addresses |
clicksBlocked 配列内の sender の値がマッピングされます。 |
clicksBlocked[].senderIP |
about.ip |
clicksBlocked 配列内の senderIP の値がマッピングされます。 |
clicksBlocked[].threatID |
security_result.threat_id |
clicksBlocked 配列内の threatID の値がマッピングされます。 |
clicksBlocked[].threatTime |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
clicksBlocked 配列内の threatURL の値がマッピングされます。 |
clicksBlocked[].threatStatus |
security_result.threat_status |
clicksBlocked 配列内の threatStatus の値がマッピングされます。 |
clicksBlocked[].url |
target.url |
clicksBlocked 配列内の url の値がマッピングされます。 |
clicksBlocked[].userAgent |
network.http.user_agent |
clicksBlocked 配列内の userAgent の値がマッピングされます。 |
clicksPermitted[].campaignId |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
clicksPermitted 配列内の clickIP の値がマッピングされます。 |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
パーサーは、clickTime 文字列をタイムスタンプに変換してマッピングします。 |
clicksPermitted[].classification |
security_result.category_details |
clicksPermitted 配列内の classification の値がマッピングされます。 |
clicksPermitted[].guid |
metadata.product_log_id |
clicksPermitted 配列内の guid の値がマッピングされます。 |
clicksPermitted[].id |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
clicksPermitted[].messageID |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
clicksPermitted[].recipient |
target.user.email_addresses |
clicksPermitted 配列内の recipient の値がマッピングされます。 |
clicksPermitted[].sender |
principal.user.email_addresses |
clicksPermitted 配列内の sender の値がマッピングされます。 |
clicksPermitted[].senderIP |
about.ip |
clicksPermitted 配列内の senderIP の値がマッピングされます。 |
clicksPermitted[].threatID |
security_result.threat_id |
clicksPermitted 配列内の threatID の値がマッピングされます。 |
clicksPermitted[].threatTime |
マッピングなし | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
clicksPermitted 配列内の threatURL の値がマッピングされます。 |
clicksPermitted[].url |
target.url |
clicksPermitted 配列内の url の値がマッピングされます。 |
clicksPermitted[].userAgent |
network.http.user_agent |
clicksPermitted 配列内の userAgent の値がマッピングされます。 |
cmd |
principal.process.command_line または network.http.method |
sts(HTTP ステータス コード)が存在する場合、cmd は network.http.method にマッピングされます。それ以外の場合は principal.process.command_line にマッピングされます。 |
collection_time.seconds |
metadata.event_timestamp.seconds |
未加工ログの collection_time.seconds の値は直接マッピングされます。 |
completelyRewritten |
security_result.detection_fields[].key: 「completelyRewritten」security_result.detection_fields[].value: completelyRewritten の値 |
未加工ログの completelyRewritten の値が security_result.detection_fields に格納されます。 |
contentType |
about.file.mime_type |
未加工ログの contentType の値は直接マッピングされます。 |
country |
principal.location.country_or_region |
未加工ログの country の値は直接マッピングされます。 |
create_time.seconds |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
data |
(複数のフィールド) | data フィールドの JSON ペイロードは解析され、さまざまな UDM フィールドにマッピングされます。 |
date / date_log_rebase |
metadata.event_timestamp.seconds |
パーサーは、date_log_rebase フィールドまたは date フィールドと timeStamp フィールドのいずれかを使用して、日付をタイムスタンプにリベースします。 |
dict |
security_result.category_details |
未加工ログの dict の値は直接マッピングされます。 |
disposition |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
dnsid |
network.dns.id |
未加工ログの dnsid の値は、直接マッピングされ、符号なし整数に変換されます。 |
domain / hfrom_domain |
principal.administrative_domain |
domain が存在する場合は、その値が使用されます。それ以外の場合は、hfrom_domain が存在する場合はその値が使用されます。 |
duration |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: eid の値 |
未加工ログの eid の値が additional_fields に格納されます。 |
engine |
metadata.product_version |
未加工ログの engine の値は直接マッピングされます。 |
err / msg / result_detail / tls-alert |
security_result.description |
msg、err、result_detail、tls-alert のいずれか(引用符を削除した後)で使用可能な最初の値がマッピングされます。 |
file / name |
principal.process.file.full_path |
file が存在する場合は、その値が使用されます。それ以外の場合は、name が存在する場合はその値が使用されます。 |
filename |
about.file.full_path |
未加工ログの filename の値は直接マッピングされます。 |
folder |
additional.fields[].key: "folder"additional_fields[].value.string_value: folder の値 |
未加工ログの folder の値が additional_fields に格納されます。 |
from / hfrom / value |
network.email.from |
複雑なロジックが適用されます(パーサーコードを参照)。< 文字と > 文字を処理し、有効なメール形式かどうかを確認します。 |
fromAddress |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
GUID |
metadata.product_log_id |
未加工ログの GUID の値は直接マッピングされます。 |
headerCC |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom の値 |
未加工ログの headerFrom の値が additional_fields に格納されます。 |
headerReplyTo |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
headerTo |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
helo |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
hops-ip / lip |
intermediary.ip |
hops-ip が存在する場合は、その値が使用されます。それ以外の場合は、lip が存在する場合はその値が使用されます。 |
host |
principal.hostname |
未加工ログの host の値は直接マッピングされます。 |
id |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
impostorScore |
additional.fields[].key: 「impostorScore」additional_fields[].value.number_value: impostorScore の値 |
未加工ログの impostorScore の値が additional_fields に格納されます。 |
ip |
principal.asset.ipprincipal.ip |
未加工ログの ip の値は直接マッピングされます。 |
log_level |
security_result.severity_details |
log_level の値はマッピングされ、security_result.severity の導出にも使用されます。 |
m |
network.email.mail_id |
m の値(< 文字と > 文字を削除した後)がマッピングされます。 |
malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: malwareScore の値 |
未加工ログの malwareScore の値が additional_fields に格納されます。 |
md5 |
about.file.md5 |
未加工ログの md5 の値は直接マッピングされます。 |
messageID |
network.email.mail_id |
messageID の値(< 文字と > 文字を削除した後)がマッピングされます。 |
messagesBlocked(配列) |
(複数のフィールド) | messagesBlocked オブジェクトの配列が反復処理され、各オブジェクトのフィールドが UDM フィールドにマッピングされます。 |
messagesBlocked[].ccAddresses |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].cluster |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: 「completelyRewritten」security_result.detection_fields[].value: completelyRewritten の値 |
未加工ログの completelyRewritten の値が security_result.detection_fields に格納されます。 |
messagesBlocked[].fromAddress |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].GUID |
metadata.product_log_id |
未加工ログの GUID の値は直接マッピングされます。 |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom の値 |
未加工ログの headerFrom の値が additional_fields に格納されます。 |
messagesBlocked[].headerReplyTo |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].id |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].impostorScore |
additional.fields[].key: 「impostorScore」additional_fields[].value.number_value: impostorScore の値 |
未加工ログの impostorScore の値が additional_fields に格納されます。 |
messagesBlocked[].malwareScore |
additional.fields[].key: 「malwareScore」additional_fields[].value.number_value: malwareScore の値 |
未加工ログの malwareScore の値が additional_fields に格納されます。 |
messagesBlocked[].messageID |
network.email.mail_id |
messageID の値(< 文字と > 文字を削除した後)がマッピングされます。 |
messagesBlocked[].messageParts |
about.file(繰り返し) |
messageParts 配列内の各オブジェクトは、個別の about.file オブジェクトにマッピングされます。 |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
未加工ログの contentType の値は直接マッピングされます。 |
messagesBlocked[].messageParts[].disposition |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
未加工ログの filename の値は直接マッピングされます。 |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
未加工ログの md5 の値は直接マッピングされます。 |
messagesBlocked[].messageParts[].sandboxStatus |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
未加工ログの sha256 の値は直接マッピングされます。 |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: messageSize の値 |
未加工ログの messageSize の値が additional_fields に格納されます。 |
messagesBlocked[].messageTime |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].modulesRun |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: phishScore の値 |
未加工ログの phishScore の値が additional_fields に格納されます。 |
messagesBlocked[].policyRoutes |
additional.fields[].key: 「PolicyRoutes」additional_fields[].value.list_value.values[].string_value: policyRoutes の値 |
元のログの policyRoutes の値は、リストとして additional_fields に格納されます。 |
messagesBlocked[].QID |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: quarantineFolder の値 |
未加工ログの quarantineFolder の値が additional_fields に格納されます。 |
messagesBlocked[].quarantineRule |
additional.fields[].key: 「quarantineRule」additional_fields[].value.string_value: quarantineRule の値 |
未加工ログの quarantineRule の値が additional_fields に格納されます。 |
messagesBlocked[].recipient |
target.user.email_addresses |
未加工ログの recipient の値は直接マッピングされます。 |
messagesBlocked[].replyToAddress |
network.email.reply_to |
未加工ログの replyToAddress の値は直接マッピングされます。 |
messagesBlocked[].sender |
principal.user.email_addresses |
未加工ログの sender の値は直接マッピングされます。 |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
未加工ログの senderIP の値は直接マッピングされます。 |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: spamScore の値 |
未加工ログの spamScore の値が additional_fields に格納されます。 |
messagesBlocked[].subject |
network.email.subject |
未加工ログの subject の値は直接マッピングされます。 |
messagesBlocked[].threatsInfoMap |
security_result(繰り返し) |
threatsInfoMap 配列内の各オブジェクトは、個別の security_result オブジェクトにマッピングされます。 |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
未加工ログの classification の値は直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
未加工ログの threat の値は直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
未加工ログの threatID の値は直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
未加工ログの threatStatus の値は直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatTime |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
未加工ログの threatType の値は直接マッピングされます。 |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
未加工ログの threatUrl の値は直接マッピングされます。 |
messagesBlocked[].toAddresses |
network.email.to |
未加工ログの toAddresses の値は直接マッピングされます。 |
messagesBlocked[].xmailer |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
messagesDelivered(配列) |
(複数のフィールド) | messagesDelivered オブジェクトの配列が反復処理され、各オブジェクトのフィールドが UDM フィールドにマッピングされます。messagesBlocked と同じロジックです。 |
message |
(複数のフィールド) | message フィールドが有効な JSON の場合、解析されてさまざまな UDM フィールドにマッピングされます。 |
metadata.event_type |
metadata.event_type |
message が JSON でない場合、「EMAIL_TRANSACTION」に設定します。それ以外の場合は、JSON データから導出されます。syslog メッセージが解析されなかった場合は「GENERIC_EVENT」に設定します。 |
metadata.log_type |
metadata.log_type |
「PROOFPOINT_MAIL」にハードコードされています。 |
metadata.product_event_type |
metadata.product_event_type |
JSON データに基づいて、「messagesBlocked」、「messagesDelivered」、「clicksPermitted」、「clicksBlocked」のいずれかに設定します。 |
metadata.product_name |
metadata.product_name |
「TAP」にハードコードされています。 |
metadata.vendor_name |
metadata.vendor_name |
「PROOFPOINT」にハードコードされています。 |
mime |
principal.process.file.mime_type |
未加工ログの mime の値は直接マッピングされます。 |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: mod の値 |
未加工ログの mod の値が additional_fields に格納されます。 |
oContentType |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
path / uri |
principal.url |
path が存在する場合は、その値が使用されます。それ以外の場合は、uri が存在する場合はその値が使用されます。 |
phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: phishScore の値 |
未加工ログの phishScore の値が additional_fields に格納されます。 |
pid |
principal.process.pid |
未加工ログの pid の値は直接マッピングされます。 |
policy |
network.direction |
policy が「inbound」の場合、UDM フィールドは「INBOUND」に設定されます。policy が「outbound」の場合、UDM フィールドは「OUTBOUND」に設定されます。 |
policyRoutes |
additional.fields[].key: 「PolicyRoutes」additional_fields[].value.list_value.values[].string_value: policyRoutes の値 |
元のログの policyRoutes の値は、リストとして additional_fields に格納されます。 |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: プロファイルの値 |
未加工ログの profile の値が additional_fields に格納されます。 |
prot |
proto |
prot の値は protocol に抽出され、大文字に変換されて proto にマッピングされます。 |
proto |
network.application_protocol |
proto の値(または prot から派生した値)がマッピングされます。値が「ESMTP」の場合、マッピング前に「SMTP」に変更されます。 |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: querydepth の値 |
未加工ログの querydepth の値が additional_fields に格納されます。 |
queryEndTime |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: qid の値 |
未加工ログの qid の値が additional_fields に格納されます。 |
rcpt / rcpts |
network.email.to |
rcpt が存在し、有効なメールアドレスの場合は、to フィールドに統合されます。rcpts の場合も同じロジックです。 |
recipient |
target.user.email_addresses |
未加工ログの recipient の値は直接マッピングされます。 |
relay |
intermediary.hostnameintermediary.ip |
relay フィールドが解析され、ホスト名と IP アドレスが抽出されます。これらの値は、それぞれ intermediary.hostname と intermediary.ip にマッピングされます。 |
replyToAddress |
network.email.reply_to |
未加工ログの replyToAddress の値は直接マッピングされます。 |
result |
security_result.action |
result が「pass」の場合、UDM フィールドは「ALLOW」に設定されます。result が「fail」の場合、UDM フィールドは「BLOCK」に設定されます。 |
routes |
additional.fields[].key: 「routes」additional_fields[].value.string_value: routes の値 |
未加工ログの routes の値が additional_fields に格納されます。 |
s |
network.session_id |
未加工ログの s の値は直接マッピングされます。 |
sandboxStatus |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
selector |
additional.fields[].key: "selector"additional_fields[].value.string_value: セレクタの値 |
未加工ログの selector の値が additional_fields に格納されます。 |
sender |
principal.user.email_addresses |
未加工ログの sender の値は直接マッピングされます。 |
senderIP |
principal.asset.ipprincipal.ip または about.ip |
クリック イベント内にある場合は、about.ip にマッピングされます。それ以外の場合は、principal.asset.ip と principal.ip にマッピングされます。 |
sha256 |
security_result.about.file.sha256 または about.file.sha256 |
threatInfoMap 内にある場合は、security_result.about.file.sha256 にマッピングされます。それ以外の場合は about.file.sha256 にマッピングされます。 |
size |
principal.process.file.size または additional.fields[].key: 「messageSize」additional_fields[].value.number_value: messageSize の値 |
メッセージ イベント内にある場合、additional.fields[].messageSize にマッピングされ、符号なし整数に変換されます。それ以外の場合は、principal.process.file.size にマッピングされ、符号なし整数に変換されます。 |
spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: spamScore の値 |
未加工ログの spamScore の値が additional_fields に格納されます。 |
stat |
additional.fields[].key: 「status」additional_fields[].value.string_value: 統計情報の値 |
未加工ログの stat の値が additional_fields に格納されます。 |
status |
additional.fields[].key: 「status」additional_fields[].value.string_value: status の値 |
未加工のログから引用符を削除した status の値が additional_fields に格納されます。 |
sts |
network.http.response_code |
未加工ログの sts の値は直接マッピングされ、整数に変換されます。 |
subject |
network.email.subject |
未加工ログの subject の値は、引用符を削除した後に直接マッピングされます。 |
threatID |
security_result.threat_id |
未加工ログの threatID の値は直接マッピングされます。 |
threatStatus |
security_result.threat_status |
未加工ログの threatStatus の値は直接マッピングされます。 |
threatTime |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
threatType |
security_result.threat_name |
未加工ログの threatType の値は直接マッピングされます。 |
threatUrl / threatURL |
security_result.url_back_to_product |
元のログの threatUrl または threatURL の値が直接マッピングされます。 |
threatsInfoMap |
security_result(繰り返し) |
threatsInfoMap 配列内の各オブジェクトは、個別の security_result オブジェクトにマッピングされます。 |
tls |
network.tls.cipher |
cipher が存在しない場合、または「NONE」の場合は、tls の値が使用されます(「NONE」でない場合)。 |
tls_verify / verify |
security_result.action |
verify が存在する場合、その値がアクションの決定に使用されます。それ以外の場合は、tls_verify が使用されます。「FAIL」は「BLOCK」にマッピングされ、「OK」は「ALLOW」にマッピングされます。 |
tls_version / version |
network.tls.version |
tls_version が存在し、値が「NONE」でない場合、その値が使用されます。それ以外の場合、version が「TLS」と一致する場合は、その値が使用されます。 |
to |
network.email.to |
to の値(< 文字と > 文字を削除した後)がマッピングされます。有効なメールアドレスでない場合は、additional_fields に追加されます。 |
toAddresses |
network.email.to |
未加工ログの toAddresses の値は直接マッピングされます。 |
timestamp.seconds |
metadata.event_timestamp.seconds |
未加工ログの timestamp.seconds の値は直接マッピングされます。 |
type |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
url |
target.url または principal.url |
クリック イベント内にある場合は、target.url にマッピングされます。それ以外の場合は principal.url にマッピングされます。 |
userAgent |
network.http.user_agent |
未加工ログの userAgent の値は直接マッピングされます。 |
uri |
principal.url |
path が存在しない場合、uri の値が使用されます。 |
value |
network.email.from |
from と hfrom が有効なメールアドレスではなく、value が有効なメールアドレス(< と > の文字を削除した後)である場合、value はマッピングされます。 |
vendor |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
verify |
security_result.action |
verify が存在する場合は、アクションの決定に使用されます。「NOT」は「BLOCK」にマッピングされ、それ以外の値は「ALLOW」にマッピングされます。 |
version |
network.tls.version |
tls_version が存在しない場合、または「NONE」の場合、version に「TLS」が含まれていれば、マッピングされます。 |
virusthreat |
security_result.threat_name |
未加工ログの virusthreat の値が「不明」でない場合、その値は直接マッピングされます。 |
virusthreatid |
security_result.threat_id |
未加工ログの virusthreatid の値(引用符を削除した後)が「不明」でない場合、その値は直接マッピングされます。 |
xmailer |
マッピングされていません | このフィールドは元のログに存在しますが、指定された UDM の IDM オブジェクトにはマッピングされていません。 |
変更点
2024-05-27
- 「msg.policyRoutes」を「additional.fields」にマッピングしました。
2024-04-03
- 「msg.fromAddress」と「clicks.sender」から「sender_domain」を抽出し、「principal.domain.name」にマッピングしました。
- 「clicks.sender」を「principal.user.email_addresses」にマッピングしました。
- 「clicks.recipient」を「target.user.email_addresses」にマッピングしました。
2023-06-26
- 機能強化 -
- 「clicks.threatStatus」を「security_result.threat_status」にマッピングしました。
2022-11-03
- 機能強化 - 日付フィールドの条件チェックを追加しました。
- 「タイムスタンプが最大の日付に高い優先順位を指定します」。
- 「click_time」 > 「threat_time」の場合は、日付を click_time にマッピングし、それ以外の場合は threat_time にマッピングします。
2022-07-13
- 機能強化 -「intermediary.user.email_addresses」のマッピングを「(messagesBlocked|messagesDelivered).toAddresses」から「(messagesBlocked|messagesDelivered).ccAddresses」に変更しました。
2022-06-29
- 機能強化 -「network.email.mail_id」にマッピングされた「clicks.messageID」と「m」のフィールドから「<>」を削除する gsub を追加しました。
2022-05-25
- 「messageSize」を「additional」フィールドにマッピングしました。
- 「campaignID」を「security_result.rule_id」フィールドにマッピングしました。
- 「ccAddresses」を「intermediary.user.email_addresses」フィールドにマッピングしました。
- 「toAddresses」を「target.user.email_addresses」フィールドにマッピングしました。