Proofpoint TAP 알림 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 피드를 설정하여 Proofpoint Targeted Attack Protection (TAP) 알림 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 PROOFPOINT_MAIL 수집 라벨이 있는 파서에 적용됩니다.

Proofpoint TAP 알림 구성

  1. 사용자 인증 정보를 사용하여 Proofpoint 위협 통계 포털에 로그인합니다.
  2. 설정 탭에서 연결된 애플리케이션을 선택합니다. 서비스 사용자 인증 정보 섹션이 표시됩니다.
  3. 이름 섹션에서 새 사용자 인증 정보 만들기를 클릭합니다.
  4. 조직 이름(예: altostrat.com)을 입력합니다.
  5. 생성을 클릭합니다. 생성된 서비스 사용자 인증 정보 대화상자에 서비스 주 구성원보안 비밀 값이 표시됩니다.
  6. 서비스 주 구성원보안 비밀번호 값을 복사합니다. 값은 생성 시에만 표시되며 Google Security Operations 피드를 구성할 때 필요합니다.
  7. 완료를 클릭합니다.

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: Proofpoint TAP 알림 로그).
  5. 소스 유형으로 서드 파티 API를 선택합니다.
  6. 로그 유형으로 Proofpoint TAP 알림을 선택합니다.
  7. 다음을 클릭합니다.
  8. 다음 필수 입력 매개변수를 구성합니다.
    • 사용자 이름: 이전에 가져온 서비스 주 구성원을 지정합니다.
    • Secret: 이전에 가져온 보안 비밀을 지정합니다.
  9. 다음을 클릭한 후 제출을 클릭합니다.

필드 매핑 참조

이 파서는 JSON 또는 키-값 형식의 Proofpoint Mail 로그를 처리하여 이메일 및 네트워크 활동 세부정보를 추출합니다. 로그 필드를 UDM에 매핑하여 이메일 트랜잭션 및 네트워크 HTTP 요청과 같은 이벤트를 분류하고 작업, 카테고리, 위협 정보와 같은 보안 세부정보로 보강합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 설명
action security_result.action_details 원시 로그의 action 값이 직접 매핑됩니다.
adultscore additional.fields[].key: 'adultscore'
additional.fields[].value.string_value: adultscore의 값
원시 로그의 adultscore 값이 additional_fields에 배치됩니다.
attachments additional.fields[].key: 'attachments'
additional_fields[].value.string_value: 첨부파일의 값
원시 로그의 attachments 값이 additional_fields에 배치됩니다.
campaignID security_result.rule_id 원시 로그의 campaignID 값이 직접 매핑됩니다.
ccAddresses 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
cid additional.fields[].key: cid
additional_fields[].value.string_value: cid의 값
원시 로그의 cid 값이 additional_fields에 배치됩니다.
cipher/tls network.tls.cipher cipher이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. 그렇지 않고 tls이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다.
classification security_result.category_details 원시 로그의 classification 값이 직접 매핑됩니다.
clickIP principal.asset.ip
principal.ip
원시 로그의 clickIP 값이 직접 매핑됩니다.
clicks.impostorScore security_result.detection_fields security_result.detection_fields의 키-값 쌍에 매핑됩니다.
clicks.malwareScore security_result.detection_fields security_result.detection_fields의 키-값 쌍에 매핑됩니다.
clicks.phishScore security_result.detection_fields security_result.detection_fields의 키-값 쌍에 매핑됩니다.
clicks.quarantineFolder security_result.priority 또는 security_result.detection_fields click.quarantineFolder이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority에 매핑하고, 그렇지 않은 경우 security_result.detection_fields에 매핑합니다.
clicks.quarantineRule security_result.rule_name security_result.rule_name의 키-값 쌍에 매핑됩니다.
clicks.sender 매핑되지 않음
clicks.senderIP principal.ip principal.ip의 키-값 쌍에 매핑됩니다.
clicks.spamScore security_result.detection_fields security_result.detection_fields의 키-값 쌍에 매핑됩니다.
clicksBlocked[].campaignId 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
clicksBlocked[].clickIP principal.asset.ip
principal.ip
clicksBlocked 배열 내의 clickIP 값이 매핑됩니다.
clicksBlocked[].clickTime metadata.event_timestamp.seconds 파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다.
clicksBlocked[].classification security_result.category_details clicksBlocked 배열 내의 classification 값이 매핑됩니다.
clicksBlocked[].GUID metadata.product_log_id clicksBlocked 배열 내의 GUID 값이 매핑됩니다.
clicksBlocked[].id 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
clicksBlocked[].messageID network.email.mail_id clicksBlocked 배열 내의 messageID 값이 매핑됩니다.
clicksBlocked[].recipient target.user.email_addresses clicksBlocked 배열 내의 recipient 값이 매핑됩니다.
clicksBlocked[].sender principal.user.email_addresses clicksBlocked 배열 내의 sender 값이 매핑됩니다.
clicksBlocked[].senderIP about.ip clicksBlocked 배열 내의 senderIP 값이 매핑됩니다. 일반 senderIP 항목은 principal.asset.ip 또는 principal.ip에 매핑됩니다.
clicksBlocked[].threatID security_result.threat_id clicksBlocked 배열 내의 threatID 값이 매핑됩니다.
clicksBlocked[].threatTime 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
clicksBlocked[].threatURL security_result.url_back_to_product clicksBlocked 배열 내의 threatURL 값이 매핑됩니다.
clicksBlocked[].threatStatus security_result.threat_status clicksBlocked 배열 내의 threatStatus 값이 매핑됩니다.
clicksBlocked[].url target.url clicksBlocked 배열 내의 url 값이 매핑됩니다.
clicksBlocked[].userAgent network.http.user_agent clicksBlocked 배열 내의 userAgent 값이 매핑됩니다.
clicksPermitted[].campaignId 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
clicksPermitted[].clickIP principal.asset.ip
principal.ip
clicksPermitted 배열 내의 clickIP 값이 매핑됩니다.
clicksPermitted[].clickTime metadata.event_timestamp.seconds 파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다.
clicksPermitted[].classification security_result.category_details clicksPermitted 배열 내의 classification 값이 매핑됩니다.
clicksPermitted[].guid metadata.product_log_id clicksPermitted 배열 내의 guid 값이 매핑됩니다.
clicksPermitted[].id 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
clicksPermitted[].messageID 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
clicksPermitted[].recipient target.user.email_addresses clicksPermitted 배열 내의 recipient 값이 매핑됩니다.
clicksPermitted[].sender principal.user.email_addresses clicksPermitted 배열 내의 sender 값이 매핑됩니다.
clicksPermitted[].senderIP about.ip clicksPermitted 배열 내의 senderIP 값이 매핑됩니다.
clicksPermitted[].threatID security_result.threat_id clicksPermitted 배열 내의 threatID 값이 매핑됩니다.
clicksPermitted[].threatTime 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
clicksPermitted[].threatURL security_result.url_back_to_product clicksPermitted 배열 내의 threatURL 값이 매핑됩니다.
clicksPermitted[].url target.url clicksPermitted 배열 내의 url 값이 매핑됩니다.
clicksPermitted[].userAgent network.http.user_agent clicksPermitted 배열 내의 userAgent 값이 매핑됩니다.
clickTime metadata.event_timestamp.seconds 파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다.
cmd principal.process.command_line 또는 network.http.method sts (HTTP 상태 코드)가 있으면 cmdnetwork.http.method에 매핑됩니다. 그렇지 않으면 principal.process.command_line에 매핑됩니다.
collection_time.seconds metadata.event_timestamp.seconds 원시 로그의 collection_time.seconds 값이 직접 매핑됩니다.
completelyRewritten security_result.detection_fields[].key: 'completelyRewritten'
security_result.detection_fields[].value: completelyRewritten의 값
원시 로그의 completelyRewritten 값이 security_result.detection_fields에 배치됩니다.
contentType about.file.mime_type 원시 로그의 contentType 값이 직접 매핑됩니다.
country principal.location.country_or_region 원시 로그의 country 값이 직접 매핑됩니다.
create_time.seconds 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
data (여러 필드) data 필드의 JSON 페이로드가 파싱되어 다양한 UDM 필드에 매핑됩니다.
date/date_log_rebase metadata.event_timestamp.seconds 파서는 date_log_rebase 또는 datetimeStamp 필드를 사용하여 날짜를 타임스탬프로 리베이스합니다.
dict security_result.category_details 원시 로그의 dict 값이 직접 매핑됩니다.
disposition 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
dnsid network.dns.id 원시 로그의 dnsid 값이 직접 매핑되고 부호 없는 정수로 변환됩니다.
domain/hfrom_domain principal.administrative_domain domain이 있으면 해당 값이 사용됩니다. 그렇지 않고 hfrom_domain이 있으면 해당 값이 사용됩니다.
duration 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
eid additional.fields[].key: 'eid'
additional_fields[].value.string_value: eid 값
원시 로그의 eid 값이 additional_fields에 배치됩니다.
engine metadata.product_version 원시 로그의 engine 값이 직접 매핑됩니다.
err / msg / result_detail / tls-alert security_result.description msg, err, result_detail, tls-alert 중 사용 가능한 첫 번째 값 (따옴표 삭제 후)이 매핑됩니다.
file/name principal.process.file.full_path file이 있으면 해당 값이 사용됩니다. 그렇지 않고 name이 있으면 해당 값이 사용됩니다.
filename about.file.full_path 원시 로그의 filename 값이 직접 매핑됩니다.
folder additional.fields[].key: 'folder'
additional_fields[].value.string_value: 폴더 값
원시 로그의 folder 값이 additional_fields에 배치됩니다.
from / hfrom / value network.email.from 복잡한 논리가 적용됩니다 (파서 코드 참고). <> 문자를 처리하고 유효한 이메일 형식을 확인합니다.
fromAddress 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
GUID metadata.product_log_id 원시 로그의 GUID 값이 직접 매핑됩니다.
headerCC 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Value of headerFrom
원시 로그의 headerFrom 값이 additional_fields에 배치됩니다.
headerReplyTo 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
headerTo 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
helo 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
hops-ip/lip intermediary.ip hops-ip이 있으면 해당 값이 사용됩니다. 그렇지 않고 lip이 있으면 해당 값이 사용됩니다.
host principal.hostname 원시 로그의 host 값이 직접 매핑됩니다.
id 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
impostorScore security_result.detection_fields
ip principal.asset.ip
principal.ip
원시 로그의 ip 값이 직접 매핑됩니다.
log_level security_result.severity_details log_level 값은 매핑되며 security_result.severity를 파생하는 데도 사용됩니다.
m network.email.mail_id m 값 (<> 문자 삭제 후)이 매핑됩니다.
malwareScore security_result.detection_fields
md5 about.file.md5 원시 로그의 md5 값이 직접 매핑됩니다.
messageID network.email.mail_id messageID 값 (<> 문자 삭제 후)이 매핑됩니다.
messagesBlocked (배열) (여러 필드) messagesBlocked 객체의 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다.
messagesBlocked[].ccAddresses 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].cluster 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: 'completelyRewritten'
security_result.detection_fields[].value: completelyRewritten의 값
원시 로그의 completelyRewritten 값이 security_result.detection_fields에 배치됩니다.
messagesBlocked[].fromAddress 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].GUID metadata.product_log_id 원시 로그의 GUID 값이 직접 매핑됩니다.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Value of headerFrom
원시 로그의 headerFrom 값이 additional_fields에 배치됩니다.
messagesBlocked[].headerReplyTo 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].id 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].impostorScore additional.fields[].key: 'impostorScore'
additional_fields[].value.number_value: impostorScore의 값
원시 로그의 impostorScore 값이 additional_fields에 배치됩니다.
messagesBlocked[].malwareScore additional.fields[].key: 'malwareScore'
additional_fields[].value.number_value: malwareScore의 값
원시 로그의 malwareScore 값이 additional_fields에 배치됩니다.
messagesBlocked[].messageID network.email.mail_id messageID 값 (<> 문자 삭제 후)이 매핑됩니다.
messagesBlocked[].messageParts about.file (반복됨) messageParts 배열의 각 객체는 별도의 about.file 객체에 매핑됩니다.
messagesBlocked[].messageParts[].contentType about.file.mime_type 원시 로그의 contentType 값이 직접 매핑됩니다.
messagesBlocked[].messageParts[].disposition 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].messageParts[].filename about.file.full_path 원시 로그의 filename 값이 직접 매핑됩니다.
messagesBlocked[].messageParts[].md5 about.file.md5 원시 로그의 md5 값이 직접 매핑됩니다.
messagesBlocked[].messageParts[].sandboxStatus 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].messageParts[].sha256 about.file.sha256 원시 로그의 sha256 값이 직접 매핑됩니다.
messagesBlocked[].messageSize additional.fields[].key: 'messageSize'
additional_fields[].value.number_value: messageSize 값
원시 로그의 messageSize 값이 additional_fields에 배치됩니다.
messagesBlocked[].messageTime 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].modulesRun 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].phishScore additional.fields[].key: 'phishScore'
additional_fields[].value.number_value: phishScore의 값
원시 로그의 phishScore 값이 additional_fields에 배치됩니다.
messagesBlocked[].policyRoutes additional.fields[].key: 'PolicyRoutes'
additional_fields[].value.list_value.values[].string_value: policyRoutes의 값
원시 로그의 policyRoutes 값이 additional_fields에 목록으로 배치됩니다.
messagesBlocked[].QID 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: quarantineFolder 값
원시 로그의 quarantineFolder 값이 additional_fields에 배치됩니다.
messagesBlocked[].quarantineRule additional.fields[].key: 'quarantineRule'
additional_fields[].value.string_value: quarantineRule의 값
원시 로그의 quarantineRule 값이 additional_fields에 배치됩니다.
messagesBlocked[].recipient target.user.email_addresses 원시 로그의 recipient 값이 직접 매핑됩니다.
messagesBlocked[].replyToAddress network.email.reply_to 원시 로그의 replyToAddress 값이 직접 매핑됩니다.
messagesBlocked[].sender principal.user.email_addresses 원시 로그의 sender 값이 직접 매핑됩니다.
messagesBlocked[].senderIP principal.asset.ip
principal.ip
원시 로그의 senderIP 값이 직접 매핑됩니다.
messagesBlocked[].spamScore additional.fields[].key: 'spamScore'
additional_fields[].value.number_value: spamScore의 값
원시 로그의 spamScore 값이 additional_fields에 배치됩니다.
messagesBlocked[].subject network.email.subject 원시 로그의 subject 값이 직접 매핑됩니다.
messagesBlocked[].threatsInfoMap security_result (반복됨) threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details 원시 로그의 classification 값이 직접 매핑됩니다.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url 원시 로그의 threat 값이 직접 매핑됩니다.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id 원시 로그의 threatID 값이 직접 매핑됩니다.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status 원시 로그의 threatStatus 값이 직접 매핑됩니다.
messagesBlocked[].threatsInfoMap[].threatTime 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name 원시 로그의 threatType 값이 직접 매핑됩니다.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product 원시 로그의 threatUrl 값이 직접 매핑됩니다.
messagesBlocked[].toAddresses network.email.to 원시 로그의 toAddresses 값이 직접 매핑됩니다.
messagesBlocked[].xmailer 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
messagesDelivered (배열) (여러 필드) messagesDelivered 객체의 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다. messagesBlocked과 유사한 로직입니다.
message (여러 필드) message 필드가 유효한 JSON인 경우 파싱되어 다양한 UDM 필드에 매핑됩니다.
metadata.event_type metadata.event_type message이 JSON이 아닌 경우 'EMAIL_TRANSACTION'으로 설정하고, 그렇지 않으면 JSON 데이터에서 파생됩니다. syslog 메시지를 파싱할 수 없는 경우 'GENERIC_EVENT'로 설정됩니다.
metadata.log_type metadata.log_type 'PROOFPOINT_MAIL'로 하드코딩됩니다.
metadata.product_event_type metadata.product_event_type JSON 데이터에 따라 'messagesBlocked', 'messagesDelivered', 'clicksPermitted' 또는 'clicksBlocked'로 설정됩니다.
metadata.product_name metadata.product_name 'TAP'으로 하드코딩됩니다.
metadata.vendor_name metadata.vendor_name 'PROOFPOINT'로 하드코딩됩니다.
mime principal.process.file.mime_type 원시 로그의 mime 값이 직접 매핑됩니다.
mod additional.fields[].key: 'module'
additional_fields[].value.string_value: mod의 값
원시 로그의 mod 값이 additional_fields에 배치됩니다.
msg.imposterScore security_result.detection_fields security_result.detection_fields의 키-값 쌍에 매핑됩니다.
msg.malwareScore security_result.detection_fields security_result.detection_fields의 키-값 쌍에 매핑됩니다.
msg.phishScore security_result.detection_fields security_result.detection_fields의 키-값 쌍에 매핑됩니다.
msg.quarantineFolder security_result.priority 또는 security_result.detection_fields msg.quarantineFolder이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority에 매핑하고, 그렇지 않은 경우 security_result.detection_fields에 매핑합니다.
msg.quarantineRule security_result.rule_name
msg.spamScore security_result.detection_fields
msgPart.contentType 매핑되지 않음
oContentType 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
partData.contentType about.file.mime_type
partData.disposition additional.fields
partData.filename about.file.full_path
partData.md5 about.file.md5
partData.sha256 about.file.sha256
partData.contentType security_result.detection_fields
path/uri principal.url path이 있으면 해당 값이 사용됩니다. 그렇지 않고 uri이 있으면 해당 값이 사용됩니다.
phishScore security_result.detection_fields
pid principal.process.pid 원시 로그의 pid 값이 직접 매핑됩니다.
policy network.direction policy이 'inbound'인 경우 UDM 필드가 'INBOUND'로 설정됩니다. policy이 'outbound'인 경우 UDM 필드가 'OUTBOUND'로 설정됩니다.
policyRoutes additional.fields[].key: 'PolicyRoutes'
additional_fields[].value.list_value.values[].string_value: policyRoutes의 값
원시 로그의 policyRoutes 값이 additional_fields에 목록으로 배치됩니다.
profile additional.fields[].key: 'profile'
additional_fields[].value.string_value: 프로필 값
원시 로그의 profile 값이 additional_fields에 배치됩니다.
prot proto prot 값이 protocol로 추출되고 대문자로 변환된 후 proto에 매핑됩니다.
proto network.application_protocol proto 값 (또는 prot에서 파생된 값)이 매핑됩니다. 값이 'ESMTP'인 경우 매핑 전에 'SMTP'로 변경됩니다.
querydepth additional.fields[].key: 'querydepth'
additional_fields[].value.string_value: querydepth 값
원시 로그의 querydepth 값이 additional_fields에 배치됩니다.
queryEndTime 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
qid additional.fields[].key: 'qid'
additional_fields[].value.string_value: qid 값
원시 로그의 qid 값이 additional_fields에 배치됩니다.
quarantineFolder security_result.priority 또는 security_result.detection_fields quarantineFolder이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority에 매핑하고, 그렇지 않은 경우 security_result.detection_fields에 매핑합니다.
rcpt/rcpts network.email.to rcpt이 있고 유효한 이메일 주소인 경우 to 필드로 병합됩니다. rcpts에도 동일한 로직이 적용됩니다.
recipient target.user.email_addresses 원시 로그의 recipient 값이 직접 매핑됩니다.
relay intermediary.hostname
intermediary.ip
relay 필드가 파싱되어 호스트 이름과 IP 주소가 추출된 후 각각 intermediary.hostnameintermediary.ip에 매핑됩니다.
replyToAddress network.email.reply_to 원시 로그의 replyToAddress 값이 직접 매핑됩니다.
result security_result.action result이 'pass'인 경우 UDM 필드가 'ALLOW'로 설정됩니다. result이 'fail'인 경우 UDM 필드가 'BLOCK'으로 설정됩니다.
routes additional.fields[].key: 'routes'
additional_fields[].value.string_value: 경로 값
원시 로그의 routes 값이 additional_fields에 배치됩니다.
s network.session_id 원시 로그의 s 값이 직접 매핑됩니다.
sandboxStatus 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
selector additional.fields[].key: 'selector'
additional_fields[].value.string_value: 선택기의 값
원시 로그의 selector 값이 additional_fields에 배치됩니다.
sender principal.user.email_addresses 원시 로그의 sender 값이 직접 매핑됩니다.
senderIP principal.asset.ip
principal.ip 또는 about.ip
클릭 이벤트 내에 있는 경우 about.ip에 매핑됩니다. 그렇지 않으면 principal.asset.ipprincipal.ip에 매핑됩니다.
sha256 security_result.about.file.sha256 또는 about.file.sha256 threatInfoMap 내에 있는 경우 security_result.about.file.sha256에 매핑됩니다. 그렇지 않으면 about.file.sha256에 매핑됩니다.
size principal.process.file.size 또는 additional.fields[].key: 'messageSize'
additional_fields[].value.number_value: messageSize 값
메시지 이벤트 내에 있는 경우 additional.fields[].messageSize에 매핑되고 부호 없는 정수로 변환됩니다. 그렇지 않으면 principal.process.file.size에 매핑되고 부호 없는 정수로 변환됩니다.
spamScore security_result.detection_fields
stat additional.fields[].key: 'status'
additional_fields[].value.string_value: 통계 값
원시 로그의 stat 값이 additional_fields에 배치됩니다.
status additional.fields[].key: 'status'
additional_fields[].value.string_value: 상태 값
원시 로그에서 status 값 (따옴표 삭제 후)이 additional_fields에 배치됩니다.
sts network.http.response_code 원시 로그의 sts 값이 직접 매핑되고 정수로 변환됩니다.
subject network.email.subject 따옴표를 삭제한 후 원시 로그의 subject 값이 직접 매핑됩니다.
threatID security_result.threat_id 원시 로그의 threatID 값이 직접 매핑됩니다.
threatStatus security_result.threat_status 원시 로그의 threatStatus 값이 직접 매핑됩니다.
threatTime 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
threatType security_result.threat_name 원시 로그의 threatType 값이 직접 매핑됩니다.
threatUrl/threatURL security_result.url_back_to_product 원시 로그의 threatUrl 또는 threatURL 값이 직접 매핑됩니다.
threatsInfoMap security_result (반복됨) threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다.
tls network.tls.cipher cipher이 없거나 'NONE'인 경우 tls 값이 'NONE'이 아니면 사용됩니다.
tls_verify/verify security_result.action verify이 있으면 해당 값을 사용하여 작업을 결정합니다. 그렇지 않으면 tls_verify이 사용됩니다. 'FAIL'은 'BLOCK'에 매핑되고 'OK'는 'ALLOW'에 매핑됩니다.
tls_version/version network.tls.version tls_version이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. 그렇지 않고 version이 'TLS'와 일치하면 해당 값이 사용됩니다.
to network.email.to to 값 (<> 문자 삭제 후)이 매핑됩니다. 유효한 이메일 주소가 아닌 경우 additional_fields에 추가됩니다.
toAddresses network.email.to 원시 로그의 toAddresses 값이 직접 매핑됩니다.
timestamp.seconds metadata.event_timestamp.seconds 원시 로그의 timestamp.seconds 값이 직접 매핑됩니다.
type 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
url target.url 또는 principal.url 클릭 이벤트 내에 있는 경우 target.url에 매핑됩니다. 그렇지 않으면 principal.url에 매핑됩니다.
userAgent network.http.user_agent 원시 로그의 userAgent 값이 직접 매핑됩니다.
uri principal.url path이 없으면 uri 값이 사용됩니다.
value network.email.from fromhfrom이 유효한 이메일 주소가 아니고 value이 유효한 이메일 주소인 경우 (<> 문자 삭제 후) 매핑됩니다.
vendor 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.
verify security_result.action verify가 있으면 작업을 결정하는 데 사용됩니다. 'NOT'은 'BLOCK'에 매핑되고 다른 값은 'ALLOW'에 매핑됩니다.
version network.tls.version tls_version가 없거나 'NONE'이고 version에 'TLS'가 포함되어 있으면 매핑됩니다.
virusthreat security_result.threat_name 원시 로그의 virusthreat 값이 'unknown'이 아닌 경우 직접 매핑됩니다.
virusthreatid security_result.threat_id 원시 로그의 virusthreatid 값 (따옴표 삭제 후)이 'unknown'이 아닌 경우 직접 매핑됩니다.
xmailer 매핑되지 않음 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다.

UDM 매핑 델타 참조

2025년 9월 9일에 Google SecOps에서 Symantec Endpoint Protection 로그 필드와 UDM 필드의 매핑이 크게 변경되고 이벤트 유형 분류 (매핑)가 업데이트된 새로운 버전의 Symantec Endpoint Protection 파서를 출시했습니다.

로그 필드 매핑 델타

다음 표에는 Symantec Endpoint Protection 로그 필드가 UDM 필드에 매핑되는 방식의 변경사항이 나와 있습니다. 이전 매핑 열에는 2025년 9월 9일 이전에 노출된 필드가 표시되고 현재 매핑 열에는 새 필드가 표시됩니다.

로그 필드 이전 매핑 현재 매핑
clicks.impostorScore additional.fields security_result.detection_fields
clicks.malwareScore additional.fields security_result.detection_fields
clicks.phishScore additional.fields security_result.detection_fields
clicks.quarantineFolder additional.fields quarantineFolderlow priority 또는 high priority와 같은 경우 security_result.priority에 매핑합니다. 그렇지 않으면 security_result.detection_fields로 매핑합니다.
clicks.quarantineRule additional.fields security_result.rule_name
clicks.sender about.email Not Mapped
clicks.senderIP about.ip principal.ip
clicks.spamScore additional.fields security_result.detection_fields
impostorScore additional.fields security_result.detection_fields
malwareScore additional.fields security_result.detection_fields
msg.impostorScore additional.fields security_result.detection_fields
msg.malwareScore additional.fields security_result.detection_fields
msg.phishScore additional.fields security_result.detection_fields
msg.quarantineFolder additional.fields quarantineFolderlow priority 또는 high priority와 같은 경우 security_result.priority에 매핑합니다. 그렇지 않으면 security_result.detection_fields로 매핑합니다.
msg.quarantineRule additional.fields security_result.rule_name
msg.spamScore additional.fields security_result.detection_fields
msgPart.contentType additional.fields Not Mapped
partData.contentType principal.process.file.mime_type about.file.mime_type
partData.disposition security_result.detection_fields additional.fields
partData.filename principal.process.file.full_path about.file.full_path
partData.md5 principal.process.file.md5 about.file.md5
partData.sha256 about.file.sha1 about.file.sha256
phishScore additional.fields security_result.detection_fields
quarantineFolder additional.fields ifquarantineFolderis equal tolow priorityorhigh prioritythen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields
spamScore additional.fields security_result.detection_fields

이벤트 유형 매핑 델타

이전에 일반 이벤트로 분류되었던 여러 이벤트가 이제 더 의미 있는 이벤트 유형으로 올바르게 분류됩니다.

다음 표에는 2025년 9월 9일 이전과 이후의 Symantec Endpoint Protection 이벤트 유형 처리의 차이가 나와 있습니다 (각각 Old event_typeCurrent event_type 열에 나열됨).

형식 로그의 eventType 이전 event_type 현재 event_type
SYSLOG+KV 로그에 fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts 또는 mailer,proto,mod 필드가 있는 경우 EMAIL_TRANSACTION
로그에 mail_id 세부정보만 포함된 경우 EMAIL_TRANSACTION EMAIL_UNCATEGORIZED
CEF 로그 eventname= messagesDelivered, messagesBlocked EMAIL_TRANSACTION
로그에 emails, sender, headerReplyTo, orig_recipient가 있는 경우 USER_UNCATEGORIED
로그에 src, host이 있는 경우 STATUS_UPDATE
SYSLOG+JSON eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked EMAIL_TRANSACTION
JSON record.address USER_UNCATEGORIZED
lookalikeDomain.name STATUS_UPDATE

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.