Recolha registos de alertas do Proofpoint TAP

Compatível com:

Este documento descreve como pode recolher registos de alertas do Proofpoint Targeted Attack Protection (TAP) através da configuração de um feed do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento PROOFPOINT_MAIL.

Configure alertas do Proofpoint TAP

  1. Inicie sessão no portal de estatísticas de ameaças da Proofpoint com as suas credenciais.
  2. No separador Definições, selecione Aplicações associadas. É apresentada a secção Credenciais de serviço.
  3. Na secção Nome, clique em Criar novas credenciais.
  4. Escreva o nome da sua organização, como altostrat.com.
  5. Clique em Gerar. Na caixa de diálogo Credencial de serviço gerada, são apresentados os valores Principal do serviço e Segredo.
  6. Copie os valores de principal do serviço e segredo. Os valores são apresentados apenas no momento da criação e são necessários quando configura o feed do Google Security Operations.
  7. Clique em Concluído.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos de alertas do Proofpoint TAP.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Alertas do Proofpoint TAP como o Tipo de registo.
  7. Clicar em Seguinte.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Nome de utilizador: especifique o principal do serviço que obteve anteriormente.
    • Secret: especifique o segredo que obteve anteriormente.
  9. Clique em Seguinte e, de seguida, em Enviar.

Referência de mapeamento de campos

Este analisador processa registos de correio do Proofpoint no formato JSON ou de chave-valor, extraindo detalhes de atividade de email e de rede. Mapeia os campos de registo para o UDM, categorizando eventos como transações de email e pedidos HTTP de rede, e enriquecendo-os com detalhes de segurança, como ações, categorias e informações sobre ameaças.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
action security_result.action_details O valor de action do registo não processado é mapeado diretamente.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: valor de adultscore		 O valor de adultscore do registo não processado é colocado em additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: valor de anexos		 O valor de attachments do registo não processado é colocado em additional_fields.
campaignID security_result.rule_id O valor de campaignID do registo não processado é mapeado diretamente.
ccAddresses Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: Valor de cid		 O valor de cid do registo não processado é colocado em additional_fields.
cipher/tls network.tls.cipher Se cipher estiver presente e não for "NONE", é usado o respetivo valor. Caso contrário, se tls estiver presente e não for "NONE", é usado o respetivo valor.
classification security_result.category_details O valor de classification do registo não processado é mapeado diretamente.
clickIP principal.asset.ip
principal.ip		 O valor de clickIP do registo não processado é mapeado diretamente.
clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime numa indicação de tempo e mapeia-a.
clicksBlocked[].campaignId Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 O valor de clickIP na matriz clicksBlocked está mapeado.
clicksBlocked[].clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime numa indicação de tempo e mapeia-a.
clicksBlocked[].classification security_result.category_details O valor de classification na matriz clicksBlocked está mapeado.
clicksBlocked[].GUID metadata.product_log_id O valor de GUID na matriz clicksBlocked está mapeado.
clicksBlocked[].id Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
clicksBlocked[].messageID network.email.mail_id O valor de messageID na matriz clicksBlocked está mapeado.
clicksBlocked[].recipient target.user.email_addresses O valor de recipient na matriz clicksBlocked está mapeado.
clicksBlocked[].sender principal.user.email_addresses O valor de sender na matriz clicksBlocked está mapeado.
clicksBlocked[].senderIP about.ip O valor de senderIP na matriz clicksBlocked está mapeado.
clicksBlocked[].threatID security_result.threat_id O valor de threatID na matriz clicksBlocked está mapeado.
clicksBlocked[].threatTime Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
clicksBlocked[].threatURL security_result.url_back_to_product O valor de threatURL na matriz clicksBlocked está mapeado.
clicksBlocked[].threatStatus security_result.threat_status O valor de threatStatus na matriz clicksBlocked está mapeado.
clicksBlocked[].url target.url O valor de url na matriz clicksBlocked está mapeado.
clicksBlocked[].userAgent network.http.user_agent O valor de userAgent na matriz clicksBlocked está mapeado.
clicksPermitted[].campaignId Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 O valor de clickIP na matriz clicksPermitted está mapeado.
clicksPermitted[].clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime numa indicação de tempo e mapeia-a.
clicksPermitted[].classification security_result.category_details O valor de classification na matriz clicksPermitted está mapeado.
clicksPermitted[].guid metadata.product_log_id O valor de guid na matriz clicksPermitted está mapeado.
clicksPermitted[].id Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].messageID Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].recipient target.user.email_addresses O valor de recipient na matriz clicksPermitted está mapeado.
clicksPermitted[].sender principal.user.email_addresses O valor de sender na matriz clicksPermitted está mapeado.
clicksPermitted[].senderIP about.ip O valor de senderIP na matriz clicksPermitted está mapeado.
clicksPermitted[].threatID security_result.threat_id O valor de threatID na matriz clicksPermitted está mapeado.
clicksPermitted[].threatTime Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].threatURL security_result.url_back_to_product O valor de threatURL na matriz clicksPermitted está mapeado.
clicksPermitted[].url target.url O valor de url na matriz clicksPermitted está mapeado.
clicksPermitted[].userAgent network.http.user_agent O valor de userAgent na matriz clicksPermitted está mapeado.
cmd principal.process.command_line ou network.http.method Se sts (código de estado HTTP) estiver presente, cmd é mapeado para network.http.method. Caso contrário, é mapeado para principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds O valor de collection_time.seconds do registo não processado é mapeado diretamente.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valor de completelyRewritten		 O valor de completelyRewritten do registo não processado é colocado em security_result.detection_fields.
contentType about.file.mime_type O valor de contentType do registo não processado é mapeado diretamente.
country principal.location.country_or_region O valor de country do registo não processado é mapeado diretamente.
create_time.seconds Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
data (Vários campos) A carga útil JSON no campo data é analisada e mapeada para vários campos da UDM.
date/date_log_rebase metadata.event_timestamp.seconds O analisador volta a basear a data num registo de data/hora através dos campos date_log_rebase ou date e timeStamp.
dict security_result.category_details O valor de dict do registo não processado é mapeado diretamente.
disposition Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
dnsid network.dns.id O valor de dnsid do registo não processado é mapeado e convertido diretamente num número inteiro não assinado.
domain/hfrom_domain principal.administrative_domain Se domain estiver presente, é usado o respetivo valor. Caso contrário, se hfrom_domain estiver presente, é usado o respetivo valor.
duration Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: Valor de eid		 O valor de eid do registo não processado é colocado em additional_fields.
engine metadata.product_version O valor de engine do registo não processado é mapeado diretamente.
err / msg / result_detail / tls-alert security_result.description É mapeado o primeiro valor disponível entre msg, err, result_detail ou tls-alert (depois de remover as aspas).
file/name principal.process.file.full_path Se file estiver presente, é usado o respetivo valor. Caso contrário, se name estiver presente, é usado o respetivo valor.
filename about.file.full_path O valor de filename do registo não processado é mapeado diretamente.
folder additional.fields[].key: "folder"
additional_fields[].value.string_value: Valor da pasta		 O valor de folder do registo não processado é colocado em additional_fields.
from / hfrom / value network.email.from É aplicada uma lógica complexa (consulte o código do analisador). Processa os carateres < e > e verifica se o formato de email é válido.
fromAddress Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
GUID metadata.product_log_id O valor de GUID do registo não processado é mapeado diretamente.
headerCC Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Valor de headerFrom		 O valor de headerFrom do registo não processado é colocado em additional_fields.
headerReplyTo Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
headerTo Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
helo Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
hops-ip/lip intermediary.ip Se hops-ip estiver presente, é usado o respetivo valor. Caso contrário, se lip estiver presente, é usado o respetivo valor.
host principal.hostname O valor de host do registo não processado é mapeado diretamente.
id Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Valor de impostorScore		 O valor de impostorScore do registo não processado é colocado em additional_fields.
ip principal.asset.ip
principal.ip		 O valor de ip do registo não processado é mapeado diretamente.
log_level security_result.severity_details O valor de log_level é mapeado e também usado para derivar security_result.severity.
m network.email.mail_id O valor de m (após a remoção dos carateres < e >) é mapeado.
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valor de malwareScore		 O valor de malwareScore do registo não processado é colocado em additional_fields.
md5 about.file.md5 O valor de md5 do registo não processado é mapeado diretamente.
messageID network.email.mail_id O valor de messageID (após a remoção dos carateres < e >) é mapeado.
messagesBlocked (matriz) (Vários campos) A matriz de objetos messagesBlocked é iterada e os campos de cada objeto são mapeados para campos da UDM.
messagesBlocked[].ccAddresses Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].cluster Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valor de completelyRewritten		 O valor de completelyRewritten do registo não processado é colocado em security_result.detection_fields.
messagesBlocked[].fromAddress Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].GUID metadata.product_log_id O valor de GUID do registo não processado é mapeado diretamente.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: Valor de headerFrom		 O valor de headerFrom do registo não processado é colocado em additional_fields.
messagesBlocked[].headerReplyTo Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].id Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: Valor de impostorScore		 O valor de impostorScore do registo não processado é colocado em additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valor de malwareScore		 O valor de malwareScore do registo não processado é colocado em additional_fields.
messagesBlocked[].messageID network.email.mail_id O valor de messageID (após a remoção dos carateres < e >) é mapeado.
messagesBlocked[].messageParts about.file (repetido) Cada objeto na matriz messageParts é mapeado para um objeto about.file separado.
messagesBlocked[].messageParts[].contentType about.file.mime_type O valor de contentType do registo não processado é mapeado diretamente.
messagesBlocked[].messageParts[].disposition Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].messageParts[].filename about.file.full_path O valor de filename do registo não processado é mapeado diretamente.
messagesBlocked[].messageParts[].md5 about.file.md5 O valor de md5 do registo não processado é mapeado diretamente.
messagesBlocked[].messageParts[].sandboxStatus Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].messageParts[].sha256 about.file.sha256 O valor de sha256 do registo não processado é mapeado diretamente.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: Value of messageSize		 O valor de messageSize do registo não processado é colocado em additional_fields.
messagesBlocked[].messageTime Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].modulesRun Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valor de phishScore		 O valor de phishScore do registo não processado é colocado em additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes		 Os valores de policyRoutes do registo não processado são colocados como uma lista em additional_fields.
messagesBlocked[].QID Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: Value of quarantineFolder		 O valor de quarantineFolder do registo não processado é colocado em additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: Valor de quarantineRule		 O valor de quarantineRule do registo não processado é colocado em additional_fields.
messagesBlocked[].recipient target.user.email_addresses O valor de recipient do registo não processado é mapeado diretamente.
messagesBlocked[].replyToAddress network.email.reply_to O valor de replyToAddress do registo não processado é mapeado diretamente.
messagesBlocked[].sender principal.user.email_addresses O valor de sender do registo não processado é mapeado diretamente.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 O valor de senderIP do registo não processado é mapeado diretamente.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Valor de spamScore		 O valor de spamScore do registo não processado é colocado em additional_fields.
messagesBlocked[].subject network.email.subject O valor de subject do registo não processado é mapeado diretamente.
messagesBlocked[].threatsInfoMap security_result (repetido) Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details O valor de classification do registo não processado é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url O valor de threat do registo não processado é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id O valor de threatID do registo não processado é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status O valor de threatStatus do registo não processado é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatTime Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name O valor de threatType do registo não processado é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product O valor de threatUrl do registo não processado é mapeado diretamente.
messagesBlocked[].toAddresses network.email.to O valor de toAddresses do registo não processado é mapeado diretamente.
messagesBlocked[].xmailer Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
messagesDelivered (matriz) (Vários campos) A matriz de objetos messagesDelivered é iterada e os campos de cada objeto são mapeados para campos da UDM. Lógica semelhante à de messagesBlocked.
message (Vários campos) Se o campo message for JSON válido, é analisado e mapeado para vários campos da UDM.
metadata.event_type metadata.event_type Definido como "EMAIL_TRANSACTION" se message não for JSON. Caso contrário, é derivado dos dados JSON. Definido como "GENERIC_EVENT" se não for possível analisar a mensagem syslog.
metadata.log_type metadata.log_type Codificado de forma rígida para "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Definido como "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" com base nos dados JSON.
metadata.product_name metadata.product_name Codificado como "TAP".
metadata.vendor_name metadata.vendor_name Codificado de forma rígida para "PROOFPOINT".
mime principal.process.file.mime_type O valor de mime do registo não processado é mapeado diretamente.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: Value of mod		 O valor de mod do registo não processado é colocado em additional_fields.
oContentType Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
path/uri principal.url Se path estiver presente, é usado o respetivo valor. Caso contrário, se uri estiver presente, é usado o respetivo valor.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valor de phishScore		 O valor de phishScore do registo não processado é colocado em additional_fields.
pid principal.process.pid O valor de pid do registo não processado é mapeado diretamente.
policy network.direction Se policy for "inbound", o campo UDM é definido como "INBOUND". Se policy for "outbound", o campo UDM é definido como "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: Valor de policyRoutes		 Os valores de policyRoutes do registo não processado são colocados como uma lista em additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: valor do perfil		 O valor de profile do registo não processado é colocado em additional_fields.
prot proto O valor de prot é extraído para protocol, convertido em maiúsculas e, em seguida, mapeado para proto.
proto network.application_protocol O valor de proto (ou o valor derivado de prot) é mapeado. Se o valor for "ESMTP", é alterado para "SMTP" antes do mapeamento.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: valor de querydepth		 O valor de querydepth do registo não processado é colocado em additional_fields.
queryEndTime Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: Valor de qid		 O valor de qid do registo não processado é colocado em additional_fields.
rcpt/rcpts network.email.to Se rcpt estiver presente e for um endereço de email válido, é unido ao campo to. A mesma lógica para rcpts.
recipient target.user.email_addresses O valor de recipient do registo não processado é mapeado diretamente.
relay intermediary.hostname
intermediary.ip		 O campo relay é analisado para extrair o nome do anfitrião e o endereço IP, que são, em seguida, mapeados para intermediary.hostname e intermediary.ip, respetivamente.
replyToAddress network.email.reply_to O valor de replyToAddress do registo não processado é mapeado diretamente.
result security_result.action Se result for "pass", o campo UDM é definido como "ALLOW". Se result for "fail", o campo UDM é definido como "BLOCK".
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: valor de routes		 O valor de routes do registo não processado é colocado em additional_fields.
s network.session_id O valor de s do registo não processado é mapeado diretamente.
sandboxStatus Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
selector additional.fields[].key: "selector"
additional_fields[].value.string_value: Valor do seletor		 O valor de selector do registo não processado é colocado em additional_fields.
sender principal.user.email_addresses O valor de sender do registo não processado é mapeado diretamente.
senderIP principal.asset.ip
principal.ip ou about.ip		 Se estiver num evento de clique, é mapeado para about.ip. Caso contrário, é mapeado para principal.asset.ip e principal.ip.
sha256 security_result.about.file.sha256 ou about.file.sha256 Se estiver num threatInfoMap, é mapeado para security_result.about.file.sha256. Caso contrário, é mapeado para about.file.sha256.
size principal.process.file.size ou additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valor de messageSize		 Se estiver num evento de mensagem, é mapeado para additional.fields[].messageSize e convertido num número inteiro não assinado. Caso contrário, é mapeado para principal.process.file.size e convertido num número inteiro não assinado.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: Valor de spamScore		 O valor de spamScore do registo não processado é colocado em additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: valor de stat		 O valor de stat do registo não processado é colocado em additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: valor do estado		 O valor de status (após a remoção das aspas) do registo não processado é colocado em additional_fields.
sts network.http.response_code O valor de sts do registo não processado é mapeado diretamente e convertido num número inteiro.
subject network.email.subject O valor de subject do registo não processado é mapeado diretamente após a remoção das aspas.
threatID security_result.threat_id O valor de threatID do registo não processado é mapeado diretamente.
threatStatus security_result.threat_status O valor de threatStatus do registo não processado é mapeado diretamente.
threatTime Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
threatType security_result.threat_name O valor de threatType do registo não processado é mapeado diretamente.
threatUrl/threatURL security_result.url_back_to_product O valor de threatUrl ou threatURL do registo não processado é mapeado diretamente.
threatsInfoMap security_result (repetido) Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado.
tls network.tls.cipher Se cipher não estiver presente ou for "NONE", é usado o valor de tls se não for "NONE".
tls_verify/verify security_result.action Se verify estiver presente, o respetivo valor é usado para determinar a ação. Caso contrário, é usado tls_verify. "FAIL" é mapeado para "BLOCK" e "OK" é mapeado para "ALLOW".
tls_version/version network.tls.version Se tls_version estiver presente e não for "NONE", é usado o respetivo valor. Caso contrário, se version corresponder a "TLS", é usado o respetivo valor.
to network.email.to O valor de to (após a remoção dos carateres < e >) é mapeado. Se não for um endereço de email válido, é adicionado a additional_fields.
toAddresses network.email.to O valor de toAddresses do registo não processado é mapeado diretamente.
timestamp.seconds metadata.event_timestamp.seconds O valor de timestamp.seconds do registo não processado é mapeado diretamente.
type Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
url target.url ou principal.url Se estiver num evento de clique, é mapeado para target.url. Caso contrário, é mapeado para principal.url.
userAgent network.http.user_agent O valor de userAgent do registo não processado é mapeado diretamente.
uri principal.url Se path não estiver presente, é usado o valor de uri.
value network.email.from Se from e hfrom não forem endereços de email válidos e value for um endereço de email válido (depois de remover os carateres < e >), é mapeado.
vendor Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.
verify security_result.action Se verify estiver presente, é usado para determinar a ação. "NOT" é mapeado para "BLOCK", e outros valores são mapeados para "ALLOW".
version network.tls.version Se tls_version não estiver presente ou for "NONE" e version contiver "TLS", é mapeado.
virusthreat security_result.threat_name O valor de virusthreat do registo não processado é mapeado diretamente se não for "desconhecido".
virusthreatid security_result.threat_id O valor de virusthreatid (após a remoção das aspas) do registo não processado é mapeado diretamente se não for "desconhecido".
xmailer Não mapeado Embora esteja presente nos registos não processados, este campo não está mapeado para o objeto IDM no UDM fornecido.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.