Recolha registos de alertas do Proofpoint TAP
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos de alertas do Proofpoint Targeted Attack Protection (TAP) através da configuração de um feed do Google Security Operations.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento PROOFPOINT_MAIL.
Configure alertas do Proofpoint TAP
- Inicie sessão no portal de estatísticas de ameaças da Proofpoint com as suas credenciais.
- No separador Definições, selecione Aplicações associadas. É apresentada a secção Credenciais de serviço.
- Na secção Nome, clique em Criar novas credenciais.
- Escreva o nome da sua organização, como
altostrat.com. - Clique em Gerar. Na caixa de diálogo Credencial de serviço gerada, são apresentados os valores Principal do serviço e Segredo.
- Copie os valores de Principal do serviço e Segredo. Os valores são apresentados apenas no momento da criação e são necessários quando configura o feed do Google Security Operations.
- Clique em Concluído.
Configure feeds
Para configurar o feed, siga estes passos:
- Aceda a Definições do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Clique no pacote de feeds Proofpoint.
- Localize o tipo de registo Alertas do Proofpoint Tap.
Especifique os valores para os seguintes campos:
- Tipo de origem: API de terceiros
- Nome de utilizador: especifique o principal do serviço que obteve anteriormente.
- Secret: especifique o segredo que obteve anteriormente.
Opções avançadas * Nome do feed: um valor pré-preenchido que identifica o feed. * Espaço de nomes do recurso: espaço de nomes associado ao feed. * Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para obter informações sobre os requisitos de cada tipo de feed, consulte o artigo Configuração do feed por tipo. Se tiver problemas ao criar feeds, contacte o apoio técnico das operações de segurança da Google.
Referência de mapeamento de campos
Este analisador processa registos de correio do Proofpoint no formato JSON ou de chave-valor, extraindo detalhes de atividade de rede e de email. Mapeia os campos de registo para o UDM, categorizando eventos como transações de email e pedidos HTTP de rede, e enriquecendo-os com detalhes de segurança, como ações, categorias e informações sobre ameaças.
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Observação |
|---|---|---|
action |
security_result.action_details |
O valor de action do registo não processado é mapeado diretamente. |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value: valor de adultscore |
O valor de adultscore do registo não processado é colocado em additional_fields. |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: valor dos anexos |
O valor de attachments do registo não processado é colocado em additional_fields. |
campaignID |
security_result.rule_id |
O valor de campaignID do registo não processado é mapeado diretamente. |
ccAddresses |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
cid |
additional.fields[].key: cidadditional_fields[].value.string_value: valor de cid |
O valor de cid do registo não processado é colocado em additional_fields. |
cipher/tls |
network.tls.cipher |
Se cipher estiver presente e não for "NONE", é usado o respetivo valor. Caso contrário, se tls estiver presente e não for "NONE", é usado o respetivo valor. |
classification |
security_result.category_details |
O valor de classification do registo não processado é mapeado diretamente. |
clickIP |
principal.asset.ipprincipal.ip |
O valor de clickIP do registo não processado é mapeado diretamente. |
clicks.impostorScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicks.malwareScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicks.phishScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicks.quarantineFolder |
security_result.priority ou security_result.detection_fields |
Se click.quarantineFolder for igual a "prioridade baixa" ou "prioridade alta", mapeie para o campo UDM security_result.priority. Caso contrário, mapeie para security_result.detection_fields |
clicks.quarantineRule |
security_result.rule_name |
Mapeado para um par de chave-valor em security_result.rule_name |
clicks.sender |
Não mapeado | |
clicks.senderIP |
principal.ip |
Mapeado para um par de chave-valor em principal.ip |
clicks.spamScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicksBlocked[].campaignId |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
O valor de clickIP na matriz clicksBlocked está mapeado. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
O analisador converte a string clickTime numa indicação de tempo e mapeia-a. |
clicksBlocked[].classification |
security_result.category_details |
O valor de classification na matriz clicksBlocked está mapeado. |
clicksBlocked[].GUID |
metadata.product_log_id |
O valor de GUID na matriz clicksBlocked está mapeado. |
clicksBlocked[].id |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
clicksBlocked[].messageID |
network.email.mail_id |
O valor de messageID na matriz clicksBlocked está mapeado. |
clicksBlocked[].recipient |
target.user.email_addresses |
O valor de recipient na matriz clicksBlocked está mapeado. |
clicksBlocked[].sender |
principal.user.email_addresses |
O valor de sender na matriz clicksBlocked está mapeado. |
clicksBlocked[].senderIP |
about.ip |
O valor de senderIP na matriz clicksBlocked está mapeado. A entrada geral senderIP é mapeada para principal.asset.ip ou principal.ip |
clicksBlocked[].threatID |
security_result.threat_id |
O valor de threatID na matriz clicksBlocked está mapeado. |
clicksBlocked[].threatTime |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
O valor de threatURL na matriz clicksBlocked está mapeado. |
clicksBlocked[].threatStatus |
security_result.threat_status |
O valor de threatStatus na matriz clicksBlocked está mapeado. |
clicksBlocked[].url |
target.url |
O valor de url na matriz clicksBlocked está mapeado. |
clicksBlocked[].userAgent |
network.http.user_agent |
O valor de userAgent na matriz clicksBlocked está mapeado. |
clicksPermitted[].campaignId |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
O valor de clickIP na matriz clicksPermitted está mapeado. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
O analisador converte a string clickTime numa indicação de tempo e mapeia-a. |
clicksPermitted[].classification |
security_result.category_details |
O valor de classification na matriz clicksPermitted está mapeado. |
clicksPermitted[].guid |
metadata.product_log_id |
O valor de guid na matriz clicksPermitted está mapeado. |
clicksPermitted[].id |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
clicksPermitted[].messageID |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
clicksPermitted[].recipient |
target.user.email_addresses |
O valor de recipient na matriz clicksPermitted está mapeado. |
clicksPermitted[].sender |
principal.user.email_addresses |
O valor de sender na matriz clicksPermitted está mapeado. |
clicksPermitted[].senderIP |
about.ip |
O valor de senderIP na matriz clicksPermitted está mapeado. |
clicksPermitted[].threatID |
security_result.threat_id |
O valor de threatID na matriz clicksPermitted está mapeado. |
clicksPermitted[].threatTime |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
O valor de threatURL na matriz clicksPermitted está mapeado. |
clicksPermitted[].url |
target.url |
O valor de url na matriz clicksPermitted está mapeado. |
clicksPermitted[].userAgent |
network.http.user_agent |
O valor de userAgent na matriz clicksPermitted está mapeado. |
clickTime |
metadata.event_timestamp.seconds |
O analisador converte a string clickTime numa indicação de tempo e mapeia-a. |
cmd |
principal.process.command_line ou network.http.method |
Se sts (código de estado HTTP) estiver presente, cmd é mapeado para network.http.method. Caso contrário, é mapeado para principal.process.command_line. |
collection_time.seconds |
metadata.event_timestamp.seconds |
O valor de collection_time.seconds do registo não processado é mapeado diretamente. |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: valor de completelyRewritten |
O valor de completelyRewritten do registo não processado é colocado em security_result.detection_fields. |
contentType |
about.file.mime_type |
O valor de contentType do registo não processado é mapeado diretamente. |
country |
principal.location.country_or_region |
O valor de country do registo não processado é mapeado diretamente. |
create_time.seconds |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
data |
(Vários campos) | A carga útil JSON no campo data é analisada e mapeada para vários campos da UDM. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
O analisador volta a basear a data num registo de data/hora através dos campos date_log_rebase ou date e timeStamp. |
dict |
security_result.category_details |
O valor de dict do registo não processado é mapeado diretamente. |
disposition |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
dnsid |
network.dns.id |
O valor de dnsid do registo não processado é mapeado e convertido diretamente num número inteiro não assinado. |
domain/hfrom_domain |
principal.administrative_domain |
Se domain estiver presente, é usado o respetivo valor. Caso contrário, se hfrom_domain estiver presente, é usado o respetivo valor. |
duration |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: Valor de eid |
O valor de eid do registo não processado é colocado em additional_fields. |
engine |
metadata.product_version |
O valor de engine do registo não processado é mapeado diretamente. |
err / msg / result_detail / tls-alert |
security_result.description |
É mapeado o primeiro valor disponível entre msg, err, result_detail ou tls-alert (depois de remover as aspas). |
file/name |
principal.process.file.full_path |
Se file estiver presente, é usado o respetivo valor. Caso contrário, se name estiver presente, é usado o respetivo valor. |
filename |
about.file.full_path |
O valor de filename do registo não processado é mapeado diretamente. |
folder |
additional.fields[].key: "folder"additional_fields[].value.string_value: Valor da pasta |
O valor de folder do registo não processado é colocado em additional_fields. |
from / hfrom / value |
network.email.from |
É aplicada uma lógica complexa (consulte o código do analisador). Processa os carateres < e > e verifica se o formato de email é válido. |
fromAddress |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
GUID |
metadata.product_log_id |
O valor de GUID do registo não processado é mapeado diretamente. |
headerCC |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Valor de headerFrom |
O valor de headerFrom do registo não processado é colocado em additional_fields. |
headerReplyTo |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
headerTo |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
helo |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
hops-ip/lip |
intermediary.ip |
Se hops-ip estiver presente, é usado o respetivo valor. Caso contrário, se lip estiver presente, é usado o respetivo valor. |
host |
principal.hostname |
O valor de host do registo não processado é mapeado diretamente. |
id |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
O valor de ip do registo não processado é mapeado diretamente. |
log_level |
security_result.severity_details |
O valor de log_level é mapeado e também usado para derivar security_result.severity. |
m |
network.email.mail_id |
O valor de m (após a remoção dos carateres < e >) é mapeado. |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
O valor de md5 do registo não processado é mapeado diretamente. |
messageID |
network.email.mail_id |
O valor de messageID (após a remoção dos carateres < e >) é mapeado. |
messagesBlocked (matriz) |
(Vários campos) | A matriz de objetos messagesBlocked é iterada e os campos de cada objeto são mapeados para campos da UDM. |
messagesBlocked[].ccAddresses |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].cluster |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: valor de completelyRewritten |
O valor de completelyRewritten do registo não processado é colocado em security_result.detection_fields. |
messagesBlocked[].fromAddress |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].GUID |
metadata.product_log_id |
O valor de GUID do registo não processado é mapeado diretamente. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Valor de headerFrom |
O valor de headerFrom do registo não processado é colocado em additional_fields. |
messagesBlocked[].headerReplyTo |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].id |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: Valor de impostorScore |
O valor de impostorScore do registo não processado é colocado em additional_fields. |
messagesBlocked[].malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: valor de malwareScore |
O valor de malwareScore do registo não processado é colocado em additional_fields. |
messagesBlocked[].messageID |
network.email.mail_id |
O valor de messageID (após a remoção dos carateres < e >) é mapeado. |
messagesBlocked[].messageParts |
about.file (repetido) |
Cada objeto na matriz messageParts é mapeado para um objeto about.file separado. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
O valor de contentType do registo não processado é mapeado diretamente. |
messagesBlocked[].messageParts[].disposition |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
O valor de filename do registo não processado é mapeado diretamente. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
O valor de md5 do registo não processado é mapeado diretamente. |
messagesBlocked[].messageParts[].sandboxStatus |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
O valor de sha256 do registo não processado é mapeado diretamente. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: Value of messageSize |
O valor de messageSize do registo não processado é colocado em additional_fields. |
messagesBlocked[].messageTime |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].modulesRun |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: valor de phishScore |
O valor de phishScore do registo não processado é colocado em additional_fields. |
messagesBlocked[].policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes |
Os valores de policyRoutes do registo não processado são colocados como uma lista em additional_fields. |
messagesBlocked[].QID |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: Value of quarantineFolder |
O valor de quarantineFolder do registo não processado é colocado em additional_fields. |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: Valor de quarantineRule |
O valor de quarantineRule do registo não processado é colocado em additional_fields. |
messagesBlocked[].recipient |
target.user.email_addresses |
O valor de recipient do registo não processado é mapeado diretamente. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
O valor de replyToAddress do registo não processado é mapeado diretamente. |
messagesBlocked[].sender |
principal.user.email_addresses |
O valor de sender do registo não processado é mapeado diretamente. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
O valor de senderIP do registo não processado é mapeado diretamente. |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: Valor de spamScore |
O valor de spamScore do registo não processado é colocado em additional_fields. |
messagesBlocked[].subject |
network.email.subject |
O valor de subject do registo não processado é mapeado diretamente. |
messagesBlocked[].threatsInfoMap |
security_result (repetido) |
Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
O valor de classification do registo não processado é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
O valor de threat do registo não processado é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
O valor de threatID do registo não processado é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
O valor de threatStatus do registo não processado é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatTime |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
O valor de threatType do registo não processado é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
O valor de threatUrl do registo não processado é mapeado diretamente. |
messagesBlocked[].toAddresses |
network.email.to |
O valor de toAddresses do registo não processado é mapeado diretamente. |
messagesBlocked[].xmailer |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
messagesDelivered (matriz) |
(Vários campos) | A matriz de objetos messagesDelivered é iterada e os campos de cada objeto são mapeados para campos da UDM. Lógica semelhante à de messagesBlocked. |
message |
(Vários campos) | Se o campo message for JSON válido, é analisado e mapeado para vários campos da UDM. |
metadata.event_type |
metadata.event_type |
Definido como "EMAIL_TRANSACTION" se message não for JSON. Caso contrário, é derivado dos dados JSON. Definido como "GENERIC_EVENT" se não for possível analisar a mensagem syslog. |
metadata.log_type |
metadata.log_type |
Codificado de forma rígida para "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Definido como "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" com base nos dados JSON. |
metadata.product_name |
metadata.product_name |
Codificado de forma rígida como "TAP". |
metadata.vendor_name |
metadata.vendor_name |
Codificado de forma rígida para "PROOFPOINT". |
mime |
principal.process.file.mime_type |
O valor de mime do registo não processado é mapeado diretamente. |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: Value of mod |
O valor de mod do registo não processado é colocado em additional_fields. |
msg.imposterScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
msg.malwareScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
msg.phishScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
msg.quarantineFolder |
security_result.priority ou security_result.detection_fields |
Se msg.quarantineFolder for igual a "prioridade baixa" ou "prioridade alta", mapeie para o campo UDM security_result.priority. Caso contrário, mapeie para security_result.detection_fields |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
Não mapeado | |
oContentType |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path/uri |
principal.url |
Se path estiver presente, é usado o respetivo valor. Caso contrário, se uri estiver presente, é usado o respetivo valor. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
O valor de pid do registo não processado é mapeado diretamente. |
policy |
network.direction |
Se policy for "inbound", o campo UDM é definido como "INBOUND". Se policy for "outbound", o campo UDM é definido como "OUTBOUND". |
policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes |
Os valores de policyRoutes do registo não processado são colocados como uma lista em additional_fields. |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: valor do perfil |
O valor de profile do registo não processado é colocado em additional_fields. |
prot |
proto |
O valor de prot é extraído para protocol, convertido em maiúsculas e, em seguida, mapeado para proto. |
proto |
network.application_protocol |
O valor de proto (ou o valor derivado de prot) é mapeado. Se o valor for "ESMTP", é alterado para "SMTP" antes do mapeamento. |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: Valor de querydepth |
O valor de querydepth do registo não processado é colocado em additional_fields. |
queryEndTime |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: Valor de qid |
O valor de qid do registo não processado é colocado em additional_fields. |
quarantineFolder |
security_result.priority ou security_result.detection_fields |
Se quarantineFolder for igual a "prioridade baixa" ou "prioridade alta", mapeie para o campo UDM security_result.priority. Caso contrário, mapeie para security_result.detection_fields |
rcpt/rcpts |
network.email.to |
Se rcpt estiver presente e for um endereço de email válido, é unido ao campo to. A mesma lógica para rcpts. |
recipient |
target.user.email_addresses |
O valor de recipient do registo não processado é mapeado diretamente. |
relay |
intermediary.hostnameintermediary.ip |
O campo relay é analisado para extrair o nome do anfitrião e o endereço IP, que são, em seguida, mapeados para intermediary.hostname e intermediary.ip, respetivamente. |
replyToAddress |
network.email.reply_to |
O valor de replyToAddress do registo não processado é mapeado diretamente. |
result |
security_result.action |
Se result for "pass", o campo UDM é definido como "ALLOW". Se result for "fail", o campo UDM é definido como "BLOCK". |
routes |
additional.fields[].key: "routes"additional_fields[].value.string_value: valor de routes |
O valor de routes do registo não processado é colocado em additional_fields. |
s |
network.session_id |
O valor de s do registo não processado é mapeado diretamente. |
sandboxStatus |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
selector |
additional.fields[].key: "selector"additional_fields[].value.string_value: Valor do seletor |
O valor de selector do registo não processado é colocado em additional_fields. |
sender |
principal.user.email_addresses |
O valor de sender do registo não processado é mapeado diretamente. |
senderIP |
principal.asset.ipprincipal.ip ou about.ip |
Se estiver num evento de clique, é mapeado para about.ip. Caso contrário, é mapeado para principal.asset.ip e principal.ip. |
sha256 |
security_result.about.file.sha256 ou about.file.sha256 |
Se estiver num threatInfoMap, é mapeado para security_result.about.file.sha256. Caso contrário, é mapeado para about.file.sha256. |
size |
principal.process.file.size ou additional.fields[].key: "messageSize"additional_fields[].value.number_value: valor de messageSize |
Se estiver num evento de mensagem, é mapeado para additional.fields[].messageSize e convertido num número inteiro não assinado. Caso contrário, é mapeado para principal.process.file.size e convertido num número inteiro não assinado. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key: "status"additional_fields[].value.string_value: valor de stat |
O valor de stat do registo não processado é colocado em additional_fields. |
status |
additional.fields[].key: "status"additional_fields[].value.string_value: valor do estado |
O valor de status (após a remoção das aspas) do registo não processado é colocado em additional_fields. |
sts |
network.http.response_code |
O valor de sts do registo não processado é mapeado diretamente e convertido num número inteiro. |
subject |
network.email.subject |
O valor de subject do registo não processado é mapeado diretamente após a remoção das aspas. |
threatID |
security_result.threat_id |
O valor de threatID do registo não processado é mapeado diretamente. |
threatStatus |
security_result.threat_status |
O valor de threatStatus do registo não processado é mapeado diretamente. |
threatTime |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
threatType |
security_result.threat_name |
O valor de threatType do registo não processado é mapeado diretamente. |
threatUrl/threatURL |
security_result.url_back_to_product |
O valor de threatUrl ou threatURL do registo não processado é mapeado diretamente. |
threatsInfoMap |
security_result (repetido) |
Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado. |
tls |
network.tls.cipher |
Se cipher não estiver presente ou for "NONE", é usado o valor de tls se não for "NONE". |
tls_verify/verify |
security_result.action |
Se verify estiver presente, o respetivo valor é usado para determinar a ação. Caso contrário, é usado tls_verify. "FAIL" é mapeado para "BLOCK" e "OK" é mapeado para "ALLOW". |
tls_version/version |
network.tls.version |
Se tls_version estiver presente e não for "NONE", é usado o respetivo valor. Caso contrário, se version corresponder a "TLS", é usado o respetivo valor. |
to |
network.email.to |
O valor de to (após a remoção dos carateres < e >) é mapeado. Se não for um endereço de email válido, é adicionado a additional_fields. |
toAddresses |
network.email.to |
O valor de toAddresses do registo não processado é mapeado diretamente. |
timestamp.seconds |
metadata.event_timestamp.seconds |
O valor de timestamp.seconds do registo não processado é mapeado diretamente. |
type |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
url |
target.url ou principal.url |
Se estiver num evento de clique, é mapeado para target.url. Caso contrário, é mapeado para principal.url. |
userAgent |
network.http.user_agent |
O valor de userAgent do registo não processado é mapeado diretamente. |
uri |
principal.url |
Se path não estiver presente, é usado o valor de uri. |
value |
network.email.from |
Se from e hfrom não forem endereços de email válidos e value for um endereço de email válido (depois de remover os carateres < e >), é mapeado. |
vendor |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
verify |
security_result.action |
Se verify estiver presente, é usado para determinar a ação. "NOT" é mapeado para "BLOCK", outros valores são mapeados para "ALLOW". |
version |
network.tls.version |
Se tls_version não estiver presente ou for "NONE" e version contiver "TLS", é mapeado. |
virusthreat |
security_result.threat_name |
O valor de virusthreat do registo não processado é mapeado diretamente se não for "desconhecido". |
virusthreatid |
security_result.threat_id |
O valor de virusthreatid (após a remoção das aspas) do registo não processado é mapeado diretamente se não for "desconhecido". |
xmailer |
Não mapeado | Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido. |
Referência delta do mapeamento de UDM
A 9 de setembro de 2025, o Google SecOps lançou uma nova versão do analisador do Symantec Endpoint Protection, que inclui alterações significativas ao mapeamento dos campos de registo do Symantec Endpoint Protection para os campos da UDM e atualizações às classificações (mapeamentos) dos tipos de eventos.
Delta do mapeamento de campos de registo
A tabela seguinte mostra as alterações à forma como os campos de registo do Symantec Endpoint Protection são mapeados para os campos da UDM. A coluna Mapeamento antigo apresenta os campos expostos antes de 9 de setembro de 2025 e a coluna Mapeamento atual apresenta os novos campos.
| Campo de registo | Mapeamento antigo | Mapeamento atual |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
Se quarantineFolder for igual a low priority ou high priority,mapeie para security_result.priority. Caso contrário, mapeie para security_result.detection_fields. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
Se quarantineFolder for igual a low priority ou high priority,mapeie para security_result.priority. Caso contrário, mapeie para security_result.detection_fields. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal tolow priorityorhigh prioritythen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
Delta de mapeamento de tipo de evento
Vários eventos que foram classificados anteriormente como eventos genéricos são agora classificados corretamente com tipos de eventos mais significativos.
A tabela seguinte apresenta a diferença no processamento dos tipos de eventos do Symantec Endpoint Protection antes de 9 de setembro de 2025 e posteriormente (indicados nas colunas Old event_type e Current event_type, respetivamente).
| Formato | eventType do registo | Old event_type | Current event_type |
|---|---|---|---|
SYSLOG+KV |
Se o registo tiver os campos fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts ou mailer,proto,mod presentes |
EMAIL_TRANSACTION |
|
Se o registo contiver apenas detalhes mail_id |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
CEF registos |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
se o registo tiver emails, sender, headerReplyTo, orig_recipient |
USER_UNCATEGORIED |
||
se o registo tiver src, host |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.