Proofpoint TAP 알림 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 Proofpoint Targeted Attack Protection (TAP) 알림 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 PROOFPOINT_MAIL 수집 라벨이 있는 파서에 적용됩니다.
Proofpoint TAP 알림 구성
- 사용자 인증 정보를 사용하여 Proofpoint 위협 통계 포털에 로그인합니다.
- 설정 탭에서 연결된 애플리케이션을 선택합니다. 서비스 사용자 인증 정보 섹션이 표시됩니다.
- 이름 섹션에서 새 사용자 인증 정보 만들기를 클릭합니다.
- 조직 이름을 입력합니다(예:
altostrat.com). - 생성을 클릭합니다. 생성된 서비스 사용자 인증 정보 대화상자에 서비스 사용자 인증 정보 및 보안 비밀 값이 표시됩니다.
- 서비스 사용자 인증 정보 및 보안 비밀 값을 복사합니다. 이 값은 생성 시점에만 표시되며 Google Security Operations 피드를 구성할 때 필요합니다.
- 완료를 클릭합니다.
Proofpoint TAP 알림 로그를 수집하도록 Google Security Operations에서 피드 구성
- SIEM 설정 > 피드로 이동합니다.
- 새 항목 추가를 클릭합니다.
- 필드 이름의 고유한 이름을 입력합니다.
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Proofpoint TAP 알림을 선택합니다.
- 다음을 클릭합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 사용자 이름: 이전에 가져온 서비스 사용자를 지정합니다.
- 보안 비밀: 이전에 가져온 보안 비밀을 지정합니다.
- 다음을 클릭한 후 제출을 클릭합니다.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 JSON 또는 키-값 형식의 Proofpoint Mail 로그를 처리하여 이메일 및 네트워크 활동 세부정보를 추출합니다. 로그 필드를 UDM에 매핑하여 이메일 트랜잭션 및 네트워크 HTTP 요청과 같은 이벤트를 분류하고 작업, 카테고리, 위협 정보와 같은 보안 세부정보로 보강합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
action |
security_result.action_details |
원시 로그의 action 값이 직접 매핑됩니다. |
adultscore |
additional.fields[].key: 'adultscore'additional.fields[].value.string_value: adultscore 값 |
원시 로그의 adultscore 값이 additional_fields에 배치됩니다. |
attachments |
additional.fields[].key: '첨부파일'additional_fields[].value.string_value: 첨부파일의 값 |
원시 로그의 attachments 값이 additional_fields에 배치됩니다. |
campaignID |
security_result.rule_id |
원시 로그의 campaignID 값이 직접 매핑됩니다. |
ccAddresses |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
cid |
additional.fields[].key: 'cid'additional_fields[].value.string_value: cid 값 |
원시 로그의 cid 값이 additional_fields에 배치됩니다. |
cipher/tls |
network.tls.cipher |
cipher이 있고 'NONE'이 아닌 경우 값이 사용됩니다. 그렇지 않고 tls이 'NONE'이 아닌 경우 tls의 값이 사용됩니다. |
classification |
security_result.category_details |
원시 로그의 classification 값이 직접 매핑됩니다. |
clickIP |
principal.asset.ipprincipal.ip |
원시 로그의 clickIP 값이 직접 매핑됩니다. |
clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
clicksBlocked[].campaignId |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
clicksBlocked 배열 내의 clickIP 값이 매핑됩니다. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
clicksBlocked[].classification |
security_result.category_details |
clicksBlocked 배열 내의 classification 값이 매핑됩니다. |
clicksBlocked[].GUID |
metadata.product_log_id |
clicksBlocked 배열 내의 GUID 값이 매핑됩니다. |
clicksBlocked[].id |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].messageID |
network.email.mail_id |
clicksBlocked 배열 내의 messageID 값이 매핑됩니다. |
clicksBlocked[].recipient |
target.user.email_addresses |
clicksBlocked 배열 내의 recipient 값이 매핑됩니다. |
clicksBlocked[].sender |
principal.user.email_addresses |
clicksBlocked 배열 내의 sender 값이 매핑됩니다. |
clicksBlocked[].senderIP |
about.ip |
clicksBlocked 배열 내의 senderIP 값이 매핑됩니다. |
clicksBlocked[].threatID |
security_result.threat_id |
clicksBlocked 배열 내의 threatID 값이 매핑됩니다. |
clicksBlocked[].threatTime |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
clicksBlocked 배열 내의 threatURL 값이 매핑됩니다. |
clicksBlocked[].threatStatus |
security_result.threat_status |
clicksBlocked 배열 내의 threatStatus 값이 매핑됩니다. |
clicksBlocked[].url |
target.url |
clicksBlocked 배열 내의 url 값이 매핑됩니다. |
clicksBlocked[].userAgent |
network.http.user_agent |
clicksBlocked 배열 내의 userAgent 값이 매핑됩니다. |
clicksPermitted[].campaignId |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
clicksPermitted 배열 내의 clickIP 값이 매핑됩니다. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
clicksPermitted[].classification |
security_result.category_details |
clicksPermitted 배열 내의 classification 값이 매핑됩니다. |
clicksPermitted[].guid |
metadata.product_log_id |
clicksPermitted 배열 내의 guid 값이 매핑됩니다. |
clicksPermitted[].id |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].messageID |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].recipient |
target.user.email_addresses |
clicksPermitted 배열 내의 recipient 값이 매핑됩니다. |
clicksPermitted[].sender |
principal.user.email_addresses |
clicksPermitted 배열 내의 sender 값이 매핑됩니다. |
clicksPermitted[].senderIP |
about.ip |
clicksPermitted 배열 내의 senderIP 값이 매핑됩니다. |
clicksPermitted[].threatID |
security_result.threat_id |
clicksPermitted 배열 내의 threatID 값이 매핑됩니다. |
clicksPermitted[].threatTime |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
clicksPermitted 배열 내의 threatURL 값이 매핑됩니다. |
clicksPermitted[].url |
target.url |
clicksPermitted 배열 내의 url 값이 매핑됩니다. |
clicksPermitted[].userAgent |
network.http.user_agent |
clicksPermitted 배열 내의 userAgent 값이 매핑됩니다. |
cmd |
principal.process.command_line 또는 network.http.method |
sts (HTTP 상태 코드)가 있으면 cmd가 network.http.method에 매핑됩니다. 그렇지 않으면 principal.process.command_line에 매핑됩니다. |
collection_time.seconds |
metadata.event_timestamp.seconds |
원시 로그의 collection_time.seconds 값이 직접 매핑됩니다. |
completelyRewritten |
security_result.detection_fields[].key: 'completelyRewritten'security_result.detection_fields[].value: completelyRewritten의 값 |
원시 로그의 completelyRewritten 값이 security_result.detection_fields에 배치됩니다. |
contentType |
about.file.mime_type |
원시 로그의 contentType 값이 직접 매핑됩니다. |
country |
principal.location.country_or_region |
원시 로그의 country 값이 직접 매핑됩니다. |
create_time.seconds |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
data |
(여러 필드) | data 필드의 JSON 페이로드가 파싱되어 다양한 UDM 필드에 매핑됩니다. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
파서는 date_log_rebase 또는 date 및 timeStamp 필드를 사용하여 날짜를 타임스탬프로 재조정합니다. |
dict |
security_result.category_details |
원시 로그의 dict 값이 직접 매핑됩니다. |
disposition |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
dnsid |
network.dns.id |
원시 로그의 dnsid 값이 직접 매핑되어 부호 없는 정수로 변환됩니다. |
domain/hfrom_domain |
principal.administrative_domain |
domain가 있으면 값이 사용됩니다. 그렇지 않고 hfrom_domain가 있는 경우 hfrom_domain의 값이 사용됩니다. |
duration |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
eid |
additional.fields[].key: 'eid'additional_fields[].value.string_value: eid 값 |
원시 로그의 eid 값이 additional_fields에 배치됩니다. |
engine |
metadata.product_version |
원시 로그의 engine 값이 직접 매핑됩니다. |
err / msg / result_detail / tls-alert |
security_result.description |
msg, err, result_detail, tls-alert 중에서 사용 가능한 첫 번째 값 (따옴표 제거 후)이 매핑됩니다. |
file/name |
principal.process.file.full_path |
file이 있으면 값이 사용됩니다. 그렇지 않고 name가 있는 경우 name의 값이 사용됩니다. |
filename |
about.file.full_path |
원시 로그의 filename 값이 직접 매핑됩니다. |
folder |
additional.fields[].key: 'folder'additional_fields[].value.string_value: 폴더 값 |
원시 로그의 folder 값이 additional_fields에 배치됩니다. |
from / hfrom / value |
network.email.from |
복잡한 로직이 적용됩니다 (파서 코드 참고). < 및 > 문자를 처리하고 유효한 이메일 형식을 확인합니다. |
fromAddress |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
GUID |
metadata.product_log_id |
원시 로그의 GUID 값이 직접 매핑됩니다. |
headerCC |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
headerFrom |
additional.fields[].key: 'headerFrom'additional_fields[].value.string_value: headerFrom 값 |
원시 로그의 headerFrom 값이 additional_fields에 배치됩니다. |
headerReplyTo |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
headerTo |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
helo |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
hops-ip/lip |
intermediary.ip |
hops-ip이 있으면 값이 사용됩니다. 그렇지 않고 lip가 있는 경우 lip의 값이 사용됩니다. |
host |
principal.hostname |
원시 로그의 host 값이 직접 매핑됩니다. |
id |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
impostorScore |
additional.fields[].key: 'impostorScore'additional_fields[].value.number_value: impostorScore 값 |
원시 로그의 impostorScore 값이 additional_fields에 배치됩니다. |
ip |
principal.asset.ipprincipal.ip |
원시 로그의 ip 값이 직접 매핑됩니다. |
log_level |
security_result.severity_details |
log_level 값은 매핑되며 security_result.severity를 파생하는 데도 사용됩니다. |
m |
network.email.mail_id |
m 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
malwareScore |
additional.fields[].key: 'malwareScore'additional_fields[].value.number_value: malwareScore의 값 |
원시 로그의 malwareScore 값이 additional_fields에 배치됩니다. |
md5 |
about.file.md5 |
원시 로그의 md5 값이 직접 매핑됩니다. |
messageID |
network.email.mail_id |
messageID 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
messagesBlocked (배열) |
(여러 필드) | messagesBlocked 객체 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다. |
messagesBlocked[].ccAddresses |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].cluster |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: 'completelyRewritten'security_result.detection_fields[].value: completelyRewritten의 값 |
원시 로그의 completelyRewritten 값이 security_result.detection_fields에 배치됩니다. |
messagesBlocked[].fromAddress |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].GUID |
metadata.product_log_id |
원시 로그의 GUID 값이 직접 매핑됩니다. |
messagesBlocked[].headerFrom |
additional.fields[].key: 'headerFrom'additional_fields[].value.string_value: headerFrom 값 |
원시 로그의 headerFrom 값이 additional_fields에 배치됩니다. |
messagesBlocked[].headerReplyTo |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].id |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].impostorScore |
additional.fields[].key: 'impostorScore'additional_fields[].value.number_value: impostorScore 값 |
원시 로그의 impostorScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].malwareScore |
additional.fields[].key: 'malwareScore'additional_fields[].value.number_value: malwareScore 값 |
원시 로그의 malwareScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].messageID |
network.email.mail_id |
messageID 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
messagesBlocked[].messageParts |
about.file (반복) |
messageParts 배열의 각 객체는 별도의 about.file 객체에 매핑됩니다. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
원시 로그의 contentType 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].disposition |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
원시 로그의 filename 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
원시 로그의 md5 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].sandboxStatus |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
원시 로그의 sha256 값이 직접 매핑됩니다. |
messagesBlocked[].messageSize |
additional.fields[].key: 'messageSize'additional_fields[].value.number_value: messageSize 값 |
원시 로그의 messageSize 값이 additional_fields에 배치됩니다. |
messagesBlocked[].messageTime |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].modulesRun |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].phishScore |
additional.fields[].key: 'phishScore'additional_fields[].value.number_value: phishScore 값 |
원시 로그의 phishScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].policyRoutes |
additional.fields[].key: 'PolicyRoutes'additional_fields[].value.list_value.values[].string_value: policyRoutes의 값 |
원시 로그의 policyRoutes 값이 additional_fields에 목록으로 배치됩니다. |
messagesBlocked[].QID |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: 'quarantineFolder'additional_fields[].value.string_value: quarantineFolder의 값 |
원시 로그의 quarantineFolder 값이 additional_fields에 배치됩니다. |
messagesBlocked[].quarantineRule |
additional.fields[].key: 'quarantineRule'additional_fields[].value.string_value: quarantineRule 값 |
원시 로그의 quarantineRule 값이 additional_fields에 배치됩니다. |
messagesBlocked[].recipient |
target.user.email_addresses |
원시 로그의 recipient 값이 직접 매핑됩니다. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
원시 로그의 replyToAddress 값이 직접 매핑됩니다. |
messagesBlocked[].sender |
principal.user.email_addresses |
원시 로그의 sender 값이 직접 매핑됩니다. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
원시 로그의 senderIP 값이 직접 매핑됩니다. |
messagesBlocked[].spamScore |
additional.fields[].key: 'spamScore'additional_fields[].value.number_value: spamScore 값 |
원시 로그의 spamScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].subject |
network.email.subject |
원시 로그의 subject 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap |
security_result (반복) |
threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
원시 로그의 classification 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
원시 로그의 threat 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
원시 로그의 threatID 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
원시 로그의 threatStatus 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatTime |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
원시 로그의 threatType 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
원시 로그의 threatUrl 값이 직접 매핑됩니다. |
messagesBlocked[].toAddresses |
network.email.to |
원시 로그의 toAddresses 값이 직접 매핑됩니다. |
messagesBlocked[].xmailer |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesDelivered (배열) |
(여러 필드) | messagesDelivered 객체 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다. messagesBlocked와 유사한 로직입니다. |
message |
(여러 필드) | message 필드가 유효한 JSON인 경우 파싱되어 다양한 UDM 필드에 매핑됩니다. |
metadata.event_type |
metadata.event_type |
message이 JSON이 아닌 경우 'EMAIL_TRANSACTION'으로 설정하고, JSON 데이터에서 파생된 경우에는 JSON 데이터에서 파생합니다. syslog 메시지를 파싱하지 못하면 'GENERIC_EVENT'로 설정합니다. |
metadata.log_type |
metadata.log_type |
'PROOFPOINT_MAIL'로 하드코딩됩니다. |
metadata.product_event_type |
metadata.product_event_type |
JSON 데이터에 따라 'messagesBlocked', 'messagesDelivered', 'clicksPermitted' 또는 'clicksBlocked'로 설정합니다. |
metadata.product_name |
metadata.product_name |
'TAP'으로 하드코딩됩니다. |
metadata.vendor_name |
metadata.vendor_name |
'PROOFPOINT'로 하드코딩됩니다. |
mime |
principal.process.file.mime_type |
원시 로그의 mime 값이 직접 매핑됩니다. |
mod |
additional.fields[].key: '모듈'additional_fields[].value.string_value: mod의 값 |
원시 로그의 mod 값이 additional_fields에 배치됩니다. |
oContentType |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
path/uri |
principal.url |
path이 있으면 값이 사용됩니다. 그렇지 않고 uri가 있는 경우 uri의 값이 사용됩니다. |
phishScore |
additional.fields[].key: 'phishScore'additional_fields[].value.number_value: phishScore 값 |
원시 로그의 phishScore 값이 additional_fields에 배치됩니다. |
pid |
principal.process.pid |
원시 로그의 pid 값이 직접 매핑됩니다. |
policy |
network.direction |
policy이 '인바운드'인 경우 UDM 필드는 'INBOUND'로 설정됩니다. policy이 'outbound'인 경우 UDM 필드는 'OUTBOUND'로 설정됩니다. |
policyRoutes |
additional.fields[].key: 'PolicyRoutes'additional_fields[].value.list_value.values[].string_value: policyRoutes의 값 |
원시 로그의 policyRoutes 값이 additional_fields에 목록으로 배치됩니다. |
profile |
additional.fields[].key: 'profile'additional_fields[].value.string_value: 프로필 값 |
원시 로그의 profile 값이 additional_fields에 배치됩니다. |
prot |
proto |
prot 값은 protocol로 추출되고 대문자로 변환된 후 proto에 매핑됩니다. |
proto |
network.application_protocol |
proto 값 (또는 prot에서 파생된 값)이 매핑됩니다. 값이 'ESMTP'인 경우 매핑 전에 'SMTP'로 변경됩니다. |
querydepth |
additional.fields[].key: 'querydepth'additional_fields[].value.string_value: querydepth 값 |
원시 로그의 querydepth 값이 additional_fields에 배치됩니다. |
queryEndTime |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
qid |
additional.fields[].key: 'qid'additional_fields[].value.string_value: qid 값 |
원시 로그의 qid 값이 additional_fields에 배치됩니다. |
rcpt/rcpts |
network.email.to |
rcpt가 있고 이메일 주소가 유효하면 to 필드에 병합됩니다. rcpts에도 동일한 로직이 적용됩니다. |
recipient |
target.user.email_addresses |
원시 로그의 recipient 값이 직접 매핑됩니다. |
relay |
intermediary.hostnameintermediary.ip |
relay 필드는 파싱되어 호스트 이름과 IP 주소를 추출한 후 각각 intermediary.hostname 및 intermediary.ip에 매핑됩니다. |
replyToAddress |
network.email.reply_to |
원시 로그의 replyToAddress 값이 직접 매핑됩니다. |
result |
security_result.action |
result이 'pass'인 경우 UDM 필드는 'ALLOW'로 설정됩니다. result이 'fail'인 경우 UDM 필드는 'BLOCK'으로 설정됩니다. |
routes |
additional.fields[].key: 'routes'additional_fields[].value.string_value: 경로 값 |
원시 로그의 routes 값이 additional_fields에 배치됩니다. |
s |
network.session_id |
원시 로그의 s 값이 직접 매핑됩니다. |
sandboxStatus |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
selector |
additional.fields[].key: '선택자'additional_fields[].value.string_value: 선택자의 값 |
원시 로그의 selector 값이 additional_fields에 배치됩니다. |
sender |
principal.user.email_addresses |
원시 로그의 sender 값이 직접 매핑됩니다. |
senderIP |
principal.asset.ipprincipal.ip 또는 about.ip |
클릭 이벤트 내에 있는 경우 about.ip에 매핑됩니다. 그렇지 않으면 principal.asset.ip 및 principal.ip에 매핑됩니다. |
sha256 |
security_result.about.file.sha256 또는 about.file.sha256 |
threatInfoMap 내에 있는 경우 security_result.about.file.sha256에 매핑됩니다. 그렇지 않으면 about.file.sha256에 매핑됩니다. |
size |
principal.process.file.size 또는 additional.fields[].key: 'messageSize'additional_fields[].value.number_value: messageSize 값 |
메시지 이벤트 내에 있으면 additional.fields[].messageSize에 매핑되고 부호 없는 정수로 변환됩니다. 그렇지 않으면 principal.process.file.size에 매핑되고 부호 없는 정수로 변환됩니다. |
spamScore |
additional.fields[].key: 'spamScore'additional_fields[].value.number_value: spamScore 값 |
원시 로그의 spamScore 값이 additional_fields에 배치됩니다. |
stat |
additional.fields[].key: 'status'additional_fields[].value.string_value: 통계 값 |
원시 로그의 stat 값이 additional_fields에 배치됩니다. |
status |
additional.fields[].key: 'status'additional_fields[].value.string_value: 상태 값 |
원시 로그에서 따옴표를 삭제한 status 값이 additional_fields에 배치됩니다. |
sts |
network.http.response_code |
원시 로그의 sts 값이 직접 매핑되어 정수로 변환됩니다. |
subject |
network.email.subject |
원시 로그의 subject 값은 따옴표를 삭제한 후 직접 매핑됩니다. |
threatID |
security_result.threat_id |
원시 로그의 threatID 값이 직접 매핑됩니다. |
threatStatus |
security_result.threat_status |
원시 로그의 threatStatus 값이 직접 매핑됩니다. |
threatTime |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
threatType |
security_result.threat_name |
원시 로그의 threatType 값이 직접 매핑됩니다. |
threatUrl/threatURL |
security_result.url_back_to_product |
원시 로그의 threatUrl 또는 threatURL 값이 직접 매핑됩니다. |
threatsInfoMap |
security_result (반복) |
threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다. |
tls |
network.tls.cipher |
cipher이 없거나 'NONE'인 경우 tls의 값이 사용되며, tls이 'NONE'이 아닌 경우 tls의 값이 사용됩니다. |
tls_verify/verify |
security_result.action |
verify가 있으면 값이 작업을 결정하는 데 사용됩니다. 그렇지 않으면 tls_verify이 사용됩니다. 'FAIL'은 'BLOCK'에 매핑되고 'OK'는 'ALLOW'에 매핑됩니다. |
tls_version/version |
network.tls.version |
tls_version이 있고 'NONE'이 아닌 경우 값이 사용됩니다. 그렇지 않고 version이 'TLS'와 일치하는 경우 값이 사용됩니다. |
to |
network.email.to |
to 값 (< 및 > 문자 삭제 후)이 매핑됩니다. 유효한 이메일 주소가 아닌 경우 additional_fields에 추가됩니다. |
toAddresses |
network.email.to |
원시 로그의 toAddresses 값이 직접 매핑됩니다. |
timestamp.seconds |
metadata.event_timestamp.seconds |
원시 로그의 timestamp.seconds 값이 직접 매핑됩니다. |
type |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
url |
target.url 또는 principal.url |
클릭 이벤트 내에 있으면 target.url에 매핑됩니다. 그렇지 않으면 principal.url에 매핑됩니다. |
userAgent |
network.http.user_agent |
원시 로그의 userAgent 값이 직접 매핑됩니다. |
uri |
principal.url |
path가 없으면 uri 값이 사용됩니다. |
value |
network.email.from |
from 및 hfrom가 유효한 이메일 주소가 아니고 value가 유효한 이메일 주소 (< 및 > 문자를 삭제한 후)인 경우 매핑됩니다. |
vendor |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
verify |
security_result.action |
verify가 있으면 작업을 결정하는 데 사용됩니다. 'NOT'은 'BLOCK'에 매핑되고 다른 값은 'ALLOW'에 매핑됩니다. |
version |
network.tls.version |
tls_version가 없거나 'NONE'이고 version에 'TLS'가 포함된 경우 매핑됩니다. |
virusthreat |
security_result.threat_name |
원시 로그의 virusthreat 값이 '알 수 없음'이 아닌 경우 직접 매핑됩니다. |
virusthreatid |
security_result.threat_id |
원시 로그에서 따옴표를 삭제한 virusthreatid 값이 'unknown'이 아닌 경우 직접 매핑됩니다. |
xmailer |
매핑되지 않음 | 이 필드는 원시 로그에 있지만 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
변경사항
2024-05-27
- 'msg.policyRoutes'가 'additional.fields'에 매핑되었습니다.
2024-04-03
- 'msg.fromAddress' 및 'clicks.sender'에서 'sender_domain'을 추출하여 'principal.domain.name'에 매핑했습니다.
- 'clicks.sender'가 'principal.user.email_addresses'에 매핑되었습니다.
- 'clicks.recipient'가 'target.user.email_addresses'에 매핑되었습니다.
2023-06-26
- 개선 -
- 'clicks.threatStatus'가 'security_result.threat_status'에 매핑되었습니다.
2022-11-03
- 개선사항: 날짜 필드에 대한 조건 확인이 추가되었습니다 .
- '최대 타임스탬프가 있는 날짜에 더 높은 우선순위를 지정합니다.'
- 'click_time' > 'threat_time'이면 날짜가 click_time에 매핑되고 그 밖의 경우에는 threat_time에 매핑됩니다.
2022-07-13
- 개선사항 - 'intermediary.user.email_addresses'의 매핑이 '(messagesBlocked|messagesDelivered).toAddresses'에서 '(messagesBlocked|messagesDelivered).ccAddresses'로 수정되었습니다.
2022-06-29
- 개선사항: 'network.email.mail_id'에 매핑된 'clicks.messageID' 및 'm' 필드에서 '<>'를 삭제하는 gsub가 추가되었습니다.
2022-05-25
- 'messageSize'가 'additional' 필드에 매핑되었습니다.
- 'campaignID'가 'security_result.rule_id' 필드에 매핑되었습니다.
- 'ccAddresses'가 'intermediary.user.email_addresses' 필드에 매핑되었습니다.
- 'toAddresses'가 'target.user.email_addresses' 필드에 매핑되었습니다.