Proofpoint TAP 알림 로그 수집
이 문서에서는 Google Security Operations 피드를 설정하여 Proofpoint Targeted Attack Protection (TAP) 알림 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 PROOFPOINT_MAIL
수집 라벨이 있는 파서에 적용됩니다.
Proofpoint TAP 알림 구성
- 사용자 인증 정보를 사용하여 Proofpoint 위협 통계 포털에 로그인합니다.
- 설정 탭에서 연결된 애플리케이션을 선택합니다. 서비스 사용자 인증 정보 섹션이 표시됩니다.
- 이름 섹션에서 새 사용자 인증 정보 만들기를 클릭합니다.
- 조직 이름(예:
altostrat.com
)을 입력합니다. - 생성을 클릭합니다. 생성된 서비스 사용자 인증 정보 대화상자에 서비스 주 구성원 및 보안 비밀 값이 표시됩니다.
- 서비스 주 구성원 및 보안 비밀번호 값을 복사합니다. 값은 생성 시에만 표시되며 Google Security Operations 피드를 구성할 때 필요합니다.
- 완료를 클릭합니다.
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예: Proofpoint TAP 알림 로그).
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Proofpoint TAP 알림을 선택합니다.
- 다음을 클릭합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 사용자 이름: 이전에 가져온 서비스 주 구성원을 지정합니다.
- Secret: 이전에 가져온 보안 비밀을 지정합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
필드 매핑 참조
이 파서는 JSON 또는 키-값 형식의 Proofpoint Mail 로그를 처리하여 이메일 및 네트워크 활동 세부정보를 추출합니다. 로그 필드를 UDM에 매핑하여 이메일 트랜잭션 및 네트워크 HTTP 요청과 같은 이벤트를 분류하고 작업, 카테고리, 위협 정보와 같은 보안 세부정보로 보강합니다.
UDM 매핑 테이블
로그 필드 | UDM 매핑 | 설명 |
---|---|---|
action |
security_result.action_details |
원시 로그의 action 값이 직접 매핑됩니다. |
adultscore |
additional.fields[].key : 'adultscore'additional.fields[].value.string_value : adultscore의 값 |
원시 로그의 adultscore 값이 additional_fields 에 배치됩니다. |
attachments |
additional.fields[].key : 'attachments'additional_fields[].value.string_value : 첨부파일의 값 |
원시 로그의 attachments 값이 additional_fields 에 배치됩니다. |
campaignID |
security_result.rule_id |
원시 로그의 campaignID 값이 직접 매핑됩니다. |
ccAddresses |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
cid |
additional.fields[].key : cid additional_fields[].value.string_value : cid 의 값 |
원시 로그의 cid 값이 additional_fields 에 배치됩니다. |
cipher /tls |
network.tls.cipher |
cipher 이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. 그렇지 않고 tls 이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. |
classification |
security_result.category_details |
원시 로그의 classification 값이 직접 매핑됩니다. |
clickIP |
principal.asset.ip principal.ip |
원시 로그의 clickIP 값이 직접 매핑됩니다. |
clicks.impostorScore |
security_result.detection_fields |
security_result.detection_fields 의 키-값 쌍에 매핑됩니다. |
clicks.malwareScore |
security_result.detection_fields |
security_result.detection_fields 의 키-값 쌍에 매핑됩니다. |
clicks.phishScore |
security_result.detection_fields |
security_result.detection_fields 의 키-값 쌍에 매핑됩니다. |
clicks.quarantineFolder |
security_result.priority 또는 security_result.detection_fields |
click.quarantineFolder 이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority 에 매핑하고, 그렇지 않은 경우 security_result.detection_fields 에 매핑합니다. |
clicks.quarantineRule |
security_result.rule_name |
security_result.rule_name 의 키-값 쌍에 매핑됩니다. |
clicks.sender |
매핑되지 않음 | |
clicks.senderIP |
principal.ip |
principal.ip 의 키-값 쌍에 매핑됩니다. |
clicks.spamScore |
security_result.detection_fields |
security_result.detection_fields 의 키-값 쌍에 매핑됩니다. |
clicksBlocked[].campaignId |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].clickIP |
principal.asset.ip principal.ip |
clicksBlocked 배열 내의 clickIP 값이 매핑됩니다. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
clicksBlocked[].classification |
security_result.category_details |
clicksBlocked 배열 내의 classification 값이 매핑됩니다. |
clicksBlocked[].GUID |
metadata.product_log_id |
clicksBlocked 배열 내의 GUID 값이 매핑됩니다. |
clicksBlocked[].id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].messageID |
network.email.mail_id |
clicksBlocked 배열 내의 messageID 값이 매핑됩니다. |
clicksBlocked[].recipient |
target.user.email_addresses |
clicksBlocked 배열 내의 recipient 값이 매핑됩니다. |
clicksBlocked[].sender |
principal.user.email_addresses |
clicksBlocked 배열 내의 sender 값이 매핑됩니다. |
clicksBlocked[].senderIP |
about.ip |
clicksBlocked 배열 내의 senderIP 값이 매핑됩니다. 일반 senderIP 항목은 principal.asset.ip 또는 principal.ip 에 매핑됩니다. |
clicksBlocked[].threatID |
security_result.threat_id |
clicksBlocked 배열 내의 threatID 값이 매핑됩니다. |
clicksBlocked[].threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
clicksBlocked 배열 내의 threatURL 값이 매핑됩니다. |
clicksBlocked[].threatStatus |
security_result.threat_status |
clicksBlocked 배열 내의 threatStatus 값이 매핑됩니다. |
clicksBlocked[].url |
target.url |
clicksBlocked 배열 내의 url 값이 매핑됩니다. |
clicksBlocked[].userAgent |
network.http.user_agent |
clicksBlocked 배열 내의 userAgent 값이 매핑됩니다. |
clicksPermitted[].campaignId |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].clickIP |
principal.asset.ip principal.ip |
clicksPermitted 배열 내의 clickIP 값이 매핑됩니다. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
clicksPermitted[].classification |
security_result.category_details |
clicksPermitted 배열 내의 classification 값이 매핑됩니다. |
clicksPermitted[].guid |
metadata.product_log_id |
clicksPermitted 배열 내의 guid 값이 매핑됩니다. |
clicksPermitted[].id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].messageID |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].recipient |
target.user.email_addresses |
clicksPermitted 배열 내의 recipient 값이 매핑됩니다. |
clicksPermitted[].sender |
principal.user.email_addresses |
clicksPermitted 배열 내의 sender 값이 매핑됩니다. |
clicksPermitted[].senderIP |
about.ip |
clicksPermitted 배열 내의 senderIP 값이 매핑됩니다. |
clicksPermitted[].threatID |
security_result.threat_id |
clicksPermitted 배열 내의 threatID 값이 매핑됩니다. |
clicksPermitted[].threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
clicksPermitted 배열 내의 threatURL 값이 매핑됩니다. |
clicksPermitted[].url |
target.url |
clicksPermitted 배열 내의 url 값이 매핑됩니다. |
clicksPermitted[].userAgent |
network.http.user_agent |
clicksPermitted 배열 내의 userAgent 값이 매핑됩니다. |
clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
cmd |
principal.process.command_line 또는 network.http.method |
sts (HTTP 상태 코드)가 있으면 cmd 이 network.http.method 에 매핑됩니다. 그렇지 않으면 principal.process.command_line 에 매핑됩니다. |
collection_time.seconds |
metadata.event_timestamp.seconds |
원시 로그의 collection_time.seconds 값이 직접 매핑됩니다. |
completelyRewritten |
security_result.detection_fields[].key : 'completelyRewritten'security_result.detection_fields[].value : completelyRewritten의 값 |
원시 로그의 completelyRewritten 값이 security_result.detection_fields 에 배치됩니다. |
contentType |
about.file.mime_type |
원시 로그의 contentType 값이 직접 매핑됩니다. |
country |
principal.location.country_or_region |
원시 로그의 country 값이 직접 매핑됩니다. |
create_time.seconds |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
data |
(여러 필드) | data 필드의 JSON 페이로드가 파싱되어 다양한 UDM 필드에 매핑됩니다. |
date /date_log_rebase |
metadata.event_timestamp.seconds |
파서는 date_log_rebase 또는 date 및 timeStamp 필드를 사용하여 날짜를 타임스탬프로 리베이스합니다. |
dict |
security_result.category_details |
원시 로그의 dict 값이 직접 매핑됩니다. |
disposition |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
dnsid |
network.dns.id |
원시 로그의 dnsid 값이 직접 매핑되고 부호 없는 정수로 변환됩니다. |
domain /hfrom_domain |
principal.administrative_domain |
domain 이 있으면 해당 값이 사용됩니다. 그렇지 않고 hfrom_domain 이 있으면 해당 값이 사용됩니다. |
duration |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
eid |
additional.fields[].key : 'eid'additional_fields[].value.string_value : eid 값 |
원시 로그의 eid 값이 additional_fields 에 배치됩니다. |
engine |
metadata.product_version |
원시 로그의 engine 값이 직접 매핑됩니다. |
err / msg / result_detail / tls-alert |
security_result.description |
msg , err , result_detail , tls-alert 중 사용 가능한 첫 번째 값 (따옴표 삭제 후)이 매핑됩니다. |
file /name |
principal.process.file.full_path |
file 이 있으면 해당 값이 사용됩니다. 그렇지 않고 name 이 있으면 해당 값이 사용됩니다. |
filename |
about.file.full_path |
원시 로그의 filename 값이 직접 매핑됩니다. |
folder |
additional.fields[].key : 'folder'additional_fields[].value.string_value : 폴더 값 |
원시 로그의 folder 값이 additional_fields 에 배치됩니다. |
from / hfrom / value |
network.email.from |
복잡한 논리가 적용됩니다 (파서 코드 참고). < 및 > 문자를 처리하고 유효한 이메일 형식을 확인합니다. |
fromAddress |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
GUID |
metadata.product_log_id |
원시 로그의 GUID 값이 직접 매핑됩니다. |
headerCC |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
headerFrom |
additional.fields[].key : "headerFrom"additional_fields[].value.string_value : Value of headerFrom |
원시 로그의 headerFrom 값이 additional_fields 에 배치됩니다. |
headerReplyTo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
headerTo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
helo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
hops-ip /lip |
intermediary.ip |
hops-ip 이 있으면 해당 값이 사용됩니다. 그렇지 않고 lip 이 있으면 해당 값이 사용됩니다. |
host |
principal.hostname |
원시 로그의 host 값이 직접 매핑됩니다. |
id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ip principal.ip |
원시 로그의 ip 값이 직접 매핑됩니다. |
log_level |
security_result.severity_details |
log_level 값은 매핑되며 security_result.severity 를 파생하는 데도 사용됩니다. |
m |
network.email.mail_id |
m 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
원시 로그의 md5 값이 직접 매핑됩니다. |
messageID |
network.email.mail_id |
messageID 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
messagesBlocked (배열) |
(여러 필드) | messagesBlocked 객체의 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다. |
messagesBlocked[].ccAddresses |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].cluster |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key : 'completelyRewritten'security_result.detection_fields[].value : completelyRewritten의 값 |
원시 로그의 completelyRewritten 값이 security_result.detection_fields 에 배치됩니다. |
messagesBlocked[].fromAddress |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].GUID |
metadata.product_log_id |
원시 로그의 GUID 값이 직접 매핑됩니다. |
messagesBlocked[].headerFrom |
additional.fields[].key : "headerFrom"additional_fields[].value.string_value : Value of headerFrom |
원시 로그의 headerFrom 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].headerReplyTo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].impostorScore |
additional.fields[].key : 'impostorScore'additional_fields[].value.number_value : impostorScore의 값 |
원시 로그의 impostorScore 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].malwareScore |
additional.fields[].key : 'malwareScore'additional_fields[].value.number_value : malwareScore의 값 |
원시 로그의 malwareScore 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].messageID |
network.email.mail_id |
messageID 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
messagesBlocked[].messageParts |
about.file (반복됨) |
messageParts 배열의 각 객체는 별도의 about.file 객체에 매핑됩니다. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
원시 로그의 contentType 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].disposition |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
원시 로그의 filename 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
원시 로그의 md5 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].sandboxStatus |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
원시 로그의 sha256 값이 직접 매핑됩니다. |
messagesBlocked[].messageSize |
additional.fields[].key : 'messageSize'additional_fields[].value.number_value : messageSize 값 |
원시 로그의 messageSize 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].messageTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].modulesRun |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].phishScore |
additional.fields[].key : 'phishScore'additional_fields[].value.number_value : phishScore의 값 |
원시 로그의 phishScore 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].policyRoutes |
additional.fields[].key : 'PolicyRoutes'additional_fields[].value.list_value.values[].string_value : policyRoutes의 값 |
원시 로그의 policyRoutes 값이 additional_fields 에 목록으로 배치됩니다. |
messagesBlocked[].QID |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].quarantineFolder |
additional.fields[].key : "quarantineFolder"additional_fields[].value.string_value : quarantineFolder 값 |
원시 로그의 quarantineFolder 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].quarantineRule |
additional.fields[].key : 'quarantineRule'additional_fields[].value.string_value : quarantineRule의 값 |
원시 로그의 quarantineRule 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].recipient |
target.user.email_addresses |
원시 로그의 recipient 값이 직접 매핑됩니다. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
원시 로그의 replyToAddress 값이 직접 매핑됩니다. |
messagesBlocked[].sender |
principal.user.email_addresses |
원시 로그의 sender 값이 직접 매핑됩니다. |
messagesBlocked[].senderIP |
principal.asset.ip principal.ip |
원시 로그의 senderIP 값이 직접 매핑됩니다. |
messagesBlocked[].spamScore |
additional.fields[].key : 'spamScore'additional_fields[].value.number_value : spamScore의 값 |
원시 로그의 spamScore 값이 additional_fields 에 배치됩니다. |
messagesBlocked[].subject |
network.email.subject |
원시 로그의 subject 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap |
security_result (반복됨) |
threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
원시 로그의 classification 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
원시 로그의 threat 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
원시 로그의 threatID 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
원시 로그의 threatStatus 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
원시 로그의 threatType 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
원시 로그의 threatUrl 값이 직접 매핑됩니다. |
messagesBlocked[].toAddresses |
network.email.to |
원시 로그의 toAddresses 값이 직접 매핑됩니다. |
messagesBlocked[].xmailer |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesDelivered (배열) |
(여러 필드) | messagesDelivered 객체의 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다. messagesBlocked 과 유사한 로직입니다. |
message |
(여러 필드) | message 필드가 유효한 JSON인 경우 파싱되어 다양한 UDM 필드에 매핑됩니다. |
metadata.event_type |
metadata.event_type |
message 이 JSON이 아닌 경우 'EMAIL_TRANSACTION'으로 설정하고, 그렇지 않으면 JSON 데이터에서 파생됩니다. syslog 메시지를 파싱할 수 없는 경우 'GENERIC_EVENT'로 설정됩니다. |
metadata.log_type |
metadata.log_type |
'PROOFPOINT_MAIL'로 하드코딩됩니다. |
metadata.product_event_type |
metadata.product_event_type |
JSON 데이터에 따라 'messagesBlocked', 'messagesDelivered', 'clicksPermitted' 또는 'clicksBlocked'로 설정됩니다. |
metadata.product_name |
metadata.product_name |
'TAP'으로 하드코딩됩니다. |
metadata.vendor_name |
metadata.vendor_name |
'PROOFPOINT'로 하드코딩됩니다. |
mime |
principal.process.file.mime_type |
원시 로그의 mime 값이 직접 매핑됩니다. |
mod |
additional.fields[].key : 'module'additional_fields[].value.string_value : mod의 값 |
원시 로그의 mod 값이 additional_fields 에 배치됩니다. |
msg.imposterScore |
security_result.detection_fields |
security_result.detection_fields 의 키-값 쌍에 매핑됩니다. |
msg.malwareScore |
security_result.detection_fields |
security_result.detection_fields 의 키-값 쌍에 매핑됩니다. |
msg.phishScore |
security_result.detection_fields |
security_result.detection_fields 의 키-값 쌍에 매핑됩니다. |
msg.quarantineFolder |
security_result.priority 또는 security_result.detection_fields |
msg.quarantineFolder 이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority 에 매핑하고, 그렇지 않은 경우 security_result.detection_fields 에 매핑합니다. |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
매핑되지 않음 | |
oContentType |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path /uri |
principal.url |
path 이 있으면 해당 값이 사용됩니다. 그렇지 않고 uri 이 있으면 해당 값이 사용됩니다. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
원시 로그의 pid 값이 직접 매핑됩니다. |
policy |
network.direction |
policy 이 'inbound'인 경우 UDM 필드가 'INBOUND'로 설정됩니다. policy 이 'outbound'인 경우 UDM 필드가 'OUTBOUND'로 설정됩니다. |
policyRoutes |
additional.fields[].key : 'PolicyRoutes'additional_fields[].value.list_value.values[].string_value : policyRoutes의 값 |
원시 로그의 policyRoutes 값이 additional_fields 에 목록으로 배치됩니다. |
profile |
additional.fields[].key : 'profile'additional_fields[].value.string_value : 프로필 값 |
원시 로그의 profile 값이 additional_fields 에 배치됩니다. |
prot |
proto |
prot 값이 protocol 로 추출되고 대문자로 변환된 후 proto 에 매핑됩니다. |
proto |
network.application_protocol |
proto 값 (또는 prot 에서 파생된 값)이 매핑됩니다. 값이 'ESMTP'인 경우 매핑 전에 'SMTP'로 변경됩니다. |
querydepth |
additional.fields[].key : 'querydepth'additional_fields[].value.string_value : querydepth 값 |
원시 로그의 querydepth 값이 additional_fields 에 배치됩니다. |
queryEndTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
qid |
additional.fields[].key : 'qid'additional_fields[].value.string_value : qid 값 |
원시 로그의 qid 값이 additional_fields 에 배치됩니다. |
quarantineFolder |
security_result.priority 또는 security_result.detection_fields |
quarantineFolder 이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority 에 매핑하고, 그렇지 않은 경우 security_result.detection_fields 에 매핑합니다. |
rcpt /rcpts |
network.email.to |
rcpt 이 있고 유효한 이메일 주소인 경우 to 필드로 병합됩니다. rcpts 에도 동일한 로직이 적용됩니다. |
recipient |
target.user.email_addresses |
원시 로그의 recipient 값이 직접 매핑됩니다. |
relay |
intermediary.hostname intermediary.ip |
relay 필드가 파싱되어 호스트 이름과 IP 주소가 추출된 후 각각 intermediary.hostname 및 intermediary.ip 에 매핑됩니다. |
replyToAddress |
network.email.reply_to |
원시 로그의 replyToAddress 값이 직접 매핑됩니다. |
result |
security_result.action |
result 이 'pass'인 경우 UDM 필드가 'ALLOW'로 설정됩니다. result 이 'fail'인 경우 UDM 필드가 'BLOCK'으로 설정됩니다. |
routes |
additional.fields[].key : 'routes'additional_fields[].value.string_value : 경로 값 |
원시 로그의 routes 값이 additional_fields 에 배치됩니다. |
s |
network.session_id |
원시 로그의 s 값이 직접 매핑됩니다. |
sandboxStatus |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
selector |
additional.fields[].key : 'selector'additional_fields[].value.string_value : 선택기의 값 |
원시 로그의 selector 값이 additional_fields 에 배치됩니다. |
sender |
principal.user.email_addresses |
원시 로그의 sender 값이 직접 매핑됩니다. |
senderIP |
principal.asset.ip principal.ip 또는 about.ip |
클릭 이벤트 내에 있는 경우 about.ip 에 매핑됩니다. 그렇지 않으면 principal.asset.ip 및 principal.ip 에 매핑됩니다. |
sha256 |
security_result.about.file.sha256 또는 about.file.sha256 |
threatInfoMap 내에 있는 경우 security_result.about.file.sha256 에 매핑됩니다. 그렇지 않으면 about.file.sha256 에 매핑됩니다. |
size |
principal.process.file.size 또는 additional.fields[].key : 'messageSize'additional_fields[].value.number_value : messageSize 값 |
메시지 이벤트 내에 있는 경우 additional.fields[].messageSize 에 매핑되고 부호 없는 정수로 변환됩니다. 그렇지 않으면 principal.process.file.size 에 매핑되고 부호 없는 정수로 변환됩니다. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key : 'status'additional_fields[].value.string_value : 통계 값 |
원시 로그의 stat 값이 additional_fields 에 배치됩니다. |
status |
additional.fields[].key : 'status'additional_fields[].value.string_value : 상태 값 |
원시 로그에서 status 값 (따옴표 삭제 후)이 additional_fields 에 배치됩니다. |
sts |
network.http.response_code |
원시 로그의 sts 값이 직접 매핑되고 정수로 변환됩니다. |
subject |
network.email.subject |
따옴표를 삭제한 후 원시 로그의 subject 값이 직접 매핑됩니다. |
threatID |
security_result.threat_id |
원시 로그의 threatID 값이 직접 매핑됩니다. |
threatStatus |
security_result.threat_status |
원시 로그의 threatStatus 값이 직접 매핑됩니다. |
threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
threatType |
security_result.threat_name |
원시 로그의 threatType 값이 직접 매핑됩니다. |
threatUrl /threatURL |
security_result.url_back_to_product |
원시 로그의 threatUrl 또는 threatURL 값이 직접 매핑됩니다. |
threatsInfoMap |
security_result (반복됨) |
threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다. |
tls |
network.tls.cipher |
cipher 이 없거나 'NONE'인 경우 tls 값이 'NONE'이 아니면 사용됩니다. |
tls_verify /verify |
security_result.action |
verify 이 있으면 해당 값을 사용하여 작업을 결정합니다. 그렇지 않으면 tls_verify 이 사용됩니다. 'FAIL'은 'BLOCK'에 매핑되고 'OK'는 'ALLOW'에 매핑됩니다. |
tls_version /version |
network.tls.version |
tls_version 이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. 그렇지 않고 version 이 'TLS'와 일치하면 해당 값이 사용됩니다. |
to |
network.email.to |
to 값 (< 및 > 문자 삭제 후)이 매핑됩니다. 유효한 이메일 주소가 아닌 경우 additional_fields 에 추가됩니다. |
toAddresses |
network.email.to |
원시 로그의 toAddresses 값이 직접 매핑됩니다. |
timestamp.seconds |
metadata.event_timestamp.seconds |
원시 로그의 timestamp.seconds 값이 직접 매핑됩니다. |
type |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
url |
target.url 또는 principal.url |
클릭 이벤트 내에 있는 경우 target.url 에 매핑됩니다. 그렇지 않으면 principal.url 에 매핑됩니다. |
userAgent |
network.http.user_agent |
원시 로그의 userAgent 값이 직접 매핑됩니다. |
uri |
principal.url |
path 이 없으면 uri 값이 사용됩니다. |
value |
network.email.from |
from 및 hfrom 이 유효한 이메일 주소가 아니고 value 이 유효한 이메일 주소인 경우 (< 및 > 문자 삭제 후) 매핑됩니다. |
vendor |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
verify |
security_result.action |
verify 가 있으면 작업을 결정하는 데 사용됩니다. 'NOT'은 'BLOCK'에 매핑되고 다른 값은 'ALLOW'에 매핑됩니다. |
version |
network.tls.version |
tls_version 가 없거나 'NONE'이고 version 에 'TLS'가 포함되어 있으면 매핑됩니다. |
virusthreat |
security_result.threat_name |
원시 로그의 virusthreat 값이 'unknown'이 아닌 경우 직접 매핑됩니다. |
virusthreatid |
security_result.threat_id |
원시 로그의 virusthreatid 값 (따옴표 삭제 후)이 'unknown'이 아닌 경우 직접 매핑됩니다. |
xmailer |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
UDM 매핑 델타 참조
2025년 9월 9일에 Google SecOps에서 Symantec Endpoint Protection 로그 필드와 UDM 필드의 매핑이 크게 변경되고 이벤트 유형 분류 (매핑)가 업데이트된 새로운 버전의 Symantec Endpoint Protection 파서를 출시했습니다.
로그 필드 매핑 델타
다음 표에는 Symantec Endpoint Protection 로그 필드가 UDM 필드에 매핑되는 방식의 변경사항이 나와 있습니다. 이전 매핑 열에는 2025년 9월 9일 이전에 노출된 필드가 표시되고 현재 매핑 열에는 새 필드가 표시됩니다.
로그 필드 | 이전 매핑 | 현재 매핑 |
---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
quarantineFolder 이 low priority 또는 high priority 와 같은 경우 security_result.priority 에 매핑합니다. 그렇지 않으면 security_result.detection_fields 로 매핑합니다. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
quarantineFolder 이 low priority 또는 high priority 와 같은 경우 security_result.priority 에 매핑합니다. 그렇지 않으면 security_result.detection_fields 로 매핑합니다. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
if quarantineFolderis equal to low priorityor high prioritythen map to UDM field security_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
이벤트 유형 매핑 델타
이전에 일반 이벤트로 분류되었던 여러 이벤트가 이제 더 의미 있는 이벤트 유형으로 올바르게 분류됩니다.
다음 표에는 2025년 9월 9일 이전과 이후의 Symantec Endpoint Protection 이벤트 유형 처리의 차이가 나와 있습니다 (각각 Old event_type 및 Current event_type 열에 나열됨).
형식 | 로그의 eventType | 이전 event_type | 현재 event_type |
---|---|---|---|
SYSLOG+KV |
로그에 fromAddress , toAddresses , hfrom , from , value ,to ,rcpt ,rcpts 또는 mailer ,proto ,mod 필드가 있는 경우 |
EMAIL_TRANSACTION |
|
로그에 mail_id 세부정보만 포함된 경우 |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
CEF 로그 |
eventname= messagesDelivered , messagesBlocked |
EMAIL_TRANSACTION |
|
로그에 emails , sender , headerReplyTo , orig_recipient 가 있는 경우 |
USER_UNCATEGORIED |
||
로그에 src , host 이 있는 경우 |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered , messagesBlocked , clicksPermitted , clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.