Coletar registros de alertas do Proofpoint TAP
Compatível com:
Google SecOps
SIEM
Neste documento, descrevemos como coletar registros de alertas do Proofpoint Targeted Attack Protection (TAP) configurando um feed do Google Security Operations.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador
com o rótulo de ingestão PROOFPOINT_MAIL.
Configurar alertas do Proofpoint TAP
- Faça login no portal de insights de ameaças do Proofpoint usando suas credenciais.
- Na guia Configurações, selecione Aplicativos conectados. A seção Credenciais de serviço aparece.
- Na seção Nome, clique em Criar nova credencial.
- Digite o nome da sua organização, como
altostrat.com. - Clique em Gerar. Na caixa de diálogo Credencial de serviço gerada, aparecem os valores Entidade de serviço e Secret.
- Copie os valores de Entidade de serviço e Secret. Os valores são mostrados apenas no momento da criação e são necessários ao configurar o feed do Google Security Operations.
- Clique em Concluído.
Configurar feeds
Para configurar um feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de alertas do Proofpoint TAP.
- Selecione API de terceiros como o Tipo de origem.
- Selecione Alertas do Proofpoint TAP como o Tipo de registro.
- Clique em Próxima.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Nome de usuário: especifique a principal de serviço que você recebeu anteriormente.
- Chave secreta: especifique a chave secreta que você recebeu anteriormente.
- Clique em Próxima e em Enviar.
Referência de mapeamento de campos
Esse analisador processa registros do Proofpoint Mail em formato JSON ou de chave-valor, extraindo detalhes de e-mail e atividade de rede. Ele mapeia campos de registro para a UDM, categorizando eventos como transações de e-mail e solicitações HTTP de rede, além de enriquecê-los com detalhes de segurança, como ações, categorias e informações de ameaças.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Observação |
|---|---|---|
action |
security_result.action_details |
O valor de action do registro bruto é mapeado diretamente. |
adultscore |
additional.fields[].key: "adultscore"additional.fields[].value.string_value: valor de adultscore |
O valor de adultscore do registro bruto é colocado em additional_fields. |
attachments |
additional.fields[].key: "attachments"additional_fields[].value.string_value: valor dos anexos |
O valor de attachments do registro bruto é colocado em additional_fields. |
campaignID |
security_result.rule_id |
O valor de campaignID do registro bruto é mapeado diretamente. |
ccAddresses |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
cid |
additional.fields[].key: cidadditional_fields[].value.string_value: valor de cid |
O valor de cid do registro bruto é colocado em additional_fields. |
cipher / tls |
network.tls.cipher |
Se cipher estiver presente e não for "NONE", o valor dele será usado. Caso contrário, se tls estiver presente e não for "NONE", o valor dele será usado. |
classification |
security_result.category_details |
O valor de classification do registro bruto é mapeado diretamente. |
clickIP |
principal.asset.ipprincipal.ip |
O valor de clickIP do registro bruto é mapeado diretamente. |
clicks.impostorScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicks.malwareScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicks.phishScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicks.quarantineFolder |
security_result.priority ou security_result.detection_fields |
se click.quarantineFolder for igual a "baixa prioridade" ou "alta prioridade", mapeie para o campo security_result.priority da UDM. Caso contrário, mapeie para security_result.detection_fields. |
clicks.quarantineRule |
security_result.rule_name |
Mapeado para um par de chave-valor em security_result.rule_name |
clicks.sender |
Não mapeado | |
clicks.senderIP |
principal.ip |
Mapeado para um par de chave-valor em principal.ip |
clicks.spamScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
clicksBlocked[].campaignId |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
O valor de clickIP na matriz clicksBlocked é mapeado. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
O analisador converte a string clickTime em um carimbo de data/hora e a mapeia. |
clicksBlocked[].classification |
security_result.category_details |
O valor de classification na matriz clicksBlocked é mapeado. |
clicksBlocked[].GUID |
metadata.product_log_id |
O valor de GUID na matriz clicksBlocked é mapeado. |
clicksBlocked[].id |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
clicksBlocked[].messageID |
network.email.mail_id |
O valor de messageID na matriz clicksBlocked é mapeado. |
clicksBlocked[].recipient |
target.user.email_addresses |
O valor de recipient na matriz clicksBlocked é mapeado. |
clicksBlocked[].sender |
principal.user.email_addresses |
O valor de sender na matriz clicksBlocked é mapeado. |
clicksBlocked[].senderIP |
about.ip |
O valor de senderIP na matriz clicksBlocked é mapeado. A entrada geral senderIP é mapeada para principal.asset.ip ou principal.ip. |
clicksBlocked[].threatID |
security_result.threat_id |
O valor de threatID na matriz clicksBlocked é mapeado. |
clicksBlocked[].threatTime |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
O valor de threatURL na matriz clicksBlocked é mapeado. |
clicksBlocked[].threatStatus |
security_result.threat_status |
O valor de threatStatus na matriz clicksBlocked é mapeado. |
clicksBlocked[].url |
target.url |
O valor de url na matriz clicksBlocked é mapeado. |
clicksBlocked[].userAgent |
network.http.user_agent |
O valor de userAgent na matriz clicksBlocked é mapeado. |
clicksPermitted[].campaignId |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
O valor de clickIP na matriz clicksPermitted é mapeado. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
O analisador converte a string clickTime em um carimbo de data/hora e a mapeia. |
clicksPermitted[].classification |
security_result.category_details |
O valor de classification na matriz clicksPermitted é mapeado. |
clicksPermitted[].guid |
metadata.product_log_id |
O valor de guid na matriz clicksPermitted é mapeado. |
clicksPermitted[].id |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
clicksPermitted[].messageID |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
clicksPermitted[].recipient |
target.user.email_addresses |
O valor de recipient na matriz clicksPermitted é mapeado. |
clicksPermitted[].sender |
principal.user.email_addresses |
O valor de sender na matriz clicksPermitted é mapeado. |
clicksPermitted[].senderIP |
about.ip |
O valor de senderIP na matriz clicksPermitted é mapeado. |
clicksPermitted[].threatID |
security_result.threat_id |
O valor de threatID na matriz clicksPermitted é mapeado. |
clicksPermitted[].threatTime |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
O valor de threatURL na matriz clicksPermitted é mapeado. |
clicksPermitted[].url |
target.url |
O valor de url na matriz clicksPermitted é mapeado. |
clicksPermitted[].userAgent |
network.http.user_agent |
O valor de userAgent na matriz clicksPermitted é mapeado. |
clickTime |
metadata.event_timestamp.seconds |
O analisador converte a string clickTime em um carimbo de data/hora e a mapeia. |
cmd |
principal.process.command_line ou network.http.method |
Se sts (código de status HTTP) estiver presente, cmd será mapeado para network.http.method. Caso contrário, ele será mapeado para principal.process.command_line. |
collection_time.seconds |
metadata.event_timestamp.seconds |
O valor de collection_time.seconds do registro bruto é mapeado diretamente. |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: valor de completelyRewritten |
O valor de completelyRewritten do registro bruto é colocado em security_result.detection_fields. |
contentType |
about.file.mime_type |
O valor de contentType do registro bruto é mapeado diretamente. |
country |
principal.location.country_or_region |
O valor de country do registro bruto é mapeado diretamente. |
create_time.seconds |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
data |
(Vários campos) | O payload JSON no campo data é analisado e mapeado para vários campos da UDM. |
date / date_log_rebase |
metadata.event_timestamp.seconds |
O analisador rebaseia a data para um carimbo de data/hora usando os campos date_log_rebase ou date e timeStamp. |
dict |
security_result.category_details |
O valor de dict do registro bruto é mapeado diretamente. |
disposition |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
dnsid |
network.dns.id |
O valor de dnsid do registro bruto é mapeado e convertido diretamente em um número inteiro sem sinal. |
domain / hfrom_domain |
principal.administrative_domain |
Se domain estiver presente, o valor dele será usado. Caso contrário, se hfrom_domain estiver presente, o valor dele será usado. |
duration |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: Value of eid |
O valor de eid do registro bruto é colocado em additional_fields. |
engine |
metadata.product_version |
O valor de engine do registro bruto é mapeado diretamente. |
err / msg / result_detail / tls-alert |
security_result.description |
O primeiro valor disponível entre msg, err, result_detail ou tls-alert (depois de remover as aspas) é mapeado. |
file / name |
principal.process.file.full_path |
Se file estiver presente, o valor dele será usado. Caso contrário, se name estiver presente, o valor dele será usado. |
filename |
about.file.full_path |
O valor de filename do registro bruto é mapeado diretamente. |
folder |
additional.fields[].key: "folder"additional_fields[].value.string_value: valor da pasta |
O valor de folder do registro bruto é colocado em additional_fields. |
from / hfrom / value |
network.email.from |
Lógica complexa aplicada (consulte o código do analisador). Processa caracteres < e > e verifica se o formato do e-mail é válido. |
fromAddress |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
GUID |
metadata.product_log_id |
O valor de GUID do registro bruto é mapeado diretamente. |
headerCC |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
O valor de headerFrom do registro bruto é colocado em additional_fields. |
headerReplyTo |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
headerTo |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
helo |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
hops-ip / lip |
intermediary.ip |
Se hops-ip estiver presente, o valor dele será usado. Caso contrário, se lip estiver presente, o valor dele será usado. |
host |
principal.hostname |
O valor de host do registro bruto é mapeado diretamente. |
id |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
O valor de ip do registro bruto é mapeado diretamente. |
log_level |
security_result.severity_details |
O valor de log_level é mapeado e usado para derivar security_result.severity. |
m |
network.email.mail_id |
O valor de m (após a remoção dos caracteres < e >) é mapeado. |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
O valor de md5 do registro bruto é mapeado diretamente. |
messageID |
network.email.mail_id |
O valor de messageID (após a remoção dos caracteres < e >) é mapeado. |
messagesBlocked (matriz) |
(Vários campos) | A matriz de objetos messagesBlocked é iterada, e os campos de cada objeto são mapeados para campos da UDM. |
messagesBlocked[].ccAddresses |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].cluster |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value: valor de completelyRewritten |
O valor de completelyRewritten do registro bruto é colocado em security_result.detection_fields. |
messagesBlocked[].fromAddress |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].GUID |
metadata.product_log_id |
O valor de GUID do registro bruto é mapeado diretamente. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
O valor de headerFrom do registro bruto é colocado em additional_fields. |
messagesBlocked[].headerReplyTo |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].id |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].impostorScore |
additional.fields[].key: "impostorScore"additional_fields[].value.number_value: valor de "impostorScore" |
O valor de impostorScore do registro bruto é colocado em additional_fields. |
messagesBlocked[].malwareScore |
additional.fields[].key: "malwareScore"additional_fields[].value.number_value: valor de malwareScore |
O valor de malwareScore do registro bruto é colocado em additional_fields. |
messagesBlocked[].messageID |
network.email.mail_id |
O valor de messageID (após a remoção dos caracteres < e >) é mapeado. |
messagesBlocked[].messageParts |
about.file (repetido) |
Cada objeto na matriz messageParts é mapeado para um objeto about.file separado. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
O valor de contentType do registro bruto é mapeado diretamente. |
messagesBlocked[].messageParts[].disposition |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
O valor de filename do registro bruto é mapeado diretamente. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
O valor de md5 do registro bruto é mapeado diretamente. |
messagesBlocked[].messageParts[].sandboxStatus |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
O valor de sha256 do registro bruto é mapeado diretamente. |
messagesBlocked[].messageSize |
additional.fields[].key: "messageSize"additional_fields[].value.number_value: Value of messageSize |
O valor de messageSize do registro bruto é colocado em additional_fields. |
messagesBlocked[].messageTime |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].modulesRun |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].phishScore |
additional.fields[].key: "phishScore"additional_fields[].value.number_value: valor de "phishScore" |
O valor de phishScore do registro bruto é colocado em additional_fields. |
messagesBlocked[].policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: valor de policyRoutes |
Os valores de policyRoutes do registro bruto são colocados como uma lista em additional_fields. |
messagesBlocked[].QID |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: Value of quarantineFolder |
O valor de quarantineFolder do registro bruto é colocado em additional_fields. |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: Value of quarantineRule |
O valor de quarantineRule do registro bruto é colocado em additional_fields. |
messagesBlocked[].recipient |
target.user.email_addresses |
O valor de recipient do registro bruto é mapeado diretamente. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
O valor de replyToAddress do registro bruto é mapeado diretamente. |
messagesBlocked[].sender |
principal.user.email_addresses |
O valor de sender do registro bruto é mapeado diretamente. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
O valor de senderIP do registro bruto é mapeado diretamente. |
messagesBlocked[].spamScore |
additional.fields[].key: "spamScore"additional_fields[].value.number_value: valor de spamScore |
O valor de spamScore do registro bruto é colocado em additional_fields. |
messagesBlocked[].subject |
network.email.subject |
O valor de subject do registro bruto é mapeado diretamente. |
messagesBlocked[].threatsInfoMap |
security_result (repetido) |
Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
O valor de classification do registro bruto é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
O valor de threat do registro bruto é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
O valor de threatID do registro bruto é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
O valor de threatStatus do registro bruto é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatTime |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
O valor de threatType do registro bruto é mapeado diretamente. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
O valor de threatUrl do registro bruto é mapeado diretamente. |
messagesBlocked[].toAddresses |
network.email.to |
O valor de toAddresses do registro bruto é mapeado diretamente. |
messagesBlocked[].xmailer |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
messagesDelivered (matriz) |
(Vários campos) | A matriz de objetos messagesDelivered é iterada, e os campos de cada objeto são mapeados para campos da UDM. Lógica semelhante a messagesBlocked. |
message |
(Vários campos) | Se o campo message for um JSON válido, ele será analisado e mapeado para vários campos do UDM. |
metadata.event_type |
metadata.event_type |
Definido como "EMAIL_TRANSACTION" se message não for JSON. Caso contrário, será derivado dos dados JSON. Definido como "GENERIC_EVENT" se a mensagem do syslog não puder ser analisada. |
metadata.log_type |
metadata.log_type |
Fixado no código como "PROOFPOINT_MAIL". |
metadata.product_event_type |
metadata.product_event_type |
Defina como "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" com base nos dados JSON. |
metadata.product_name |
metadata.product_name |
Fixado no código como "TAP". |
metadata.vendor_name |
metadata.vendor_name |
Fixado no código como "PROOFPOINT". |
mime |
principal.process.file.mime_type |
O valor de mime do registro bruto é mapeado diretamente. |
mod |
additional.fields[].key: "module"additional_fields[].value.string_value: valor de mod |
O valor de mod do registro bruto é colocado em additional_fields. |
msg.imposterScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
msg.malwareScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
msg.phishScore |
security_result.detection_fields |
Mapeado para um par de chave-valor em security_result.detection_fields |
msg.quarantineFolder |
security_result.priority ou security_result.detection_fields |
se msg.quarantineFolder for igual a "baixa prioridade" ou "alta prioridade", mapeie para o campo security_result.priority da UDM. Caso contrário, mapeie para security_result.detection_fields. |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
Não mapeado | |
oContentType |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path / uri |
principal.url |
Se path estiver presente, o valor dele será usado. Caso contrário, se uri estiver presente, o valor dele será usado. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
O valor de pid do registro bruto é mapeado diretamente. |
policy |
network.direction |
Se policy for "inbound", o campo UDM será definido como "INBOUND". Se policy for "outbound", o campo UDM será definido como "OUTBOUND". |
policyRoutes |
additional.fields[].key: "PolicyRoutes"additional_fields[].value.list_value.values[].string_value: valor de policyRoutes |
Os valores de policyRoutes do registro bruto são colocados como uma lista em additional_fields. |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value: Value of profile |
O valor de profile do registro bruto é colocado em additional_fields. |
prot |
proto |
O valor de prot é extraído para protocol, convertido em maiúsculas e mapeado para proto. |
proto |
network.application_protocol |
O valor de proto (ou o valor derivado de prot) é mapeado. Se o valor for "ESMTP", ele será mudado para "SMTP" antes do mapeamento. |
querydepth |
additional.fields[].key: "querydepth"additional_fields[].value.string_value: Value of querydepth |
O valor de querydepth do registro bruto é colocado em additional_fields. |
queryEndTime |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
qid |
additional.fields[].key: "qid"additional_fields[].value.string_value: valor do qid |
O valor de qid do registro bruto é colocado em additional_fields. |
quarantineFolder |
security_result.priority ou security_result.detection_fields |
se quarantineFolder for igual a "baixa prioridade" ou "alta prioridade", mapeie para o campo security_result.priority da UDM. Caso contrário, mapeie para security_result.detection_fields. |
rcpt / rcpts |
network.email.to |
Se rcpt estiver presente e for um endereço de e-mail válido, ele será mesclado ao campo to. A mesma lógica se aplica a rcpts. |
recipient |
target.user.email_addresses |
O valor de recipient do registro bruto é mapeado diretamente. |
relay |
intermediary.hostnameintermediary.ip |
O campo relay é analisado para extrair o nome do host e o endereço IP, que são mapeados para intermediary.hostname e intermediary.ip, respectivamente. |
replyToAddress |
network.email.reply_to |
O valor de replyToAddress do registro bruto é mapeado diretamente. |
result |
security_result.action |
Se result for "pass", o campo UDM será definido como "ALLOW". Se result for "fail", o campo UDM será definido como "BLOCK". |
routes |
additional.fields[].key: "routes"additional_fields[].value.string_value: valor de "routes" |
O valor de routes do registro bruto é colocado em additional_fields. |
s |
network.session_id |
O valor de s do registro bruto é mapeado diretamente. |
sandboxStatus |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
selector |
additional.fields[].key: "selector"additional_fields[].value.string_value: valor do seletor |
O valor de selector do registro bruto é colocado em additional_fields. |
sender |
principal.user.email_addresses |
O valor de sender do registro bruto é mapeado diretamente. |
senderIP |
principal.asset.ipprincipal.ip ou about.ip |
Se estiver em um evento de clique, ele será mapeado para about.ip. Caso contrário, ele será mapeado para principal.asset.ip e principal.ip. |
sha256 |
security_result.about.file.sha256 ou about.file.sha256 |
Se estiver em um threatInfoMap, ele será mapeado para security_result.about.file.sha256. Caso contrário, ele será mapeado para about.file.sha256. |
size |
principal.process.file.size ou additional.fields[].key: "messageSize"additional_fields[].value.number_value: valor de messageSize |
Se estiver em um evento de mensagem, ele será mapeado para additional.fields[].messageSize e convertido em um número inteiro sem sinal. Caso contrário, ele será mapeado para principal.process.file.size e convertido em um número inteiro sem sinal. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key: "status"additional_fields[].value.string_value: valor da estatística |
O valor de stat do registro bruto é colocado em additional_fields. |
status |
additional.fields[].key: "status"additional_fields[].value.string_value: valor do status |
O valor de status (depois de remover as aspas) do registro bruto é colocado em additional_fields. |
sts |
network.http.response_code |
O valor de sts do registro bruto é mapeado e convertido diretamente em um número inteiro. |
subject |
network.email.subject |
O valor de subject do registro bruto é mapeado diretamente após a remoção das aspas. |
threatID |
security_result.threat_id |
O valor de threatID do registro bruto é mapeado diretamente. |
threatStatus |
security_result.threat_status |
O valor de threatStatus do registro bruto é mapeado diretamente. |
threatTime |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
threatType |
security_result.threat_name |
O valor de threatType do registro bruto é mapeado diretamente. |
threatUrl / threatURL |
security_result.url_back_to_product |
O valor de threatUrl ou threatURL do registro bruto é mapeado diretamente. |
threatsInfoMap |
security_result (repetido) |
Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado. |
tls |
network.tls.cipher |
Se cipher não estiver presente ou for "NONE", o valor de tls será usado se não for "NONE". |
tls_verify / verify |
security_result.action |
Se verify estiver presente, o valor dele será usado para determinar a ação. Caso contrário, tls_verify será usado. "FAIL" é mapeado para "BLOCK", e "OK" é mapeado para "ALLOW". |
tls_version / version |
network.tls.version |
Se tls_version estiver presente e não for "NONE", o valor dele será usado. Caso contrário, se version corresponder a "TLS", o valor dele será usado. |
to |
network.email.to |
O valor de to (após a remoção dos caracteres < e >) é mapeado. Se não for um endereço de e-mail válido, ele será adicionado a additional_fields. |
toAddresses |
network.email.to |
O valor de toAddresses do registro bruto é mapeado diretamente. |
timestamp.seconds |
metadata.event_timestamp.seconds |
O valor de timestamp.seconds do registro bruto é mapeado diretamente. |
type |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
url |
target.url ou principal.url |
Se estiver em um evento de clique, ele será mapeado para target.url. Caso contrário, ele será mapeado para principal.url. |
userAgent |
network.http.user_agent |
O valor de userAgent do registro bruto é mapeado diretamente. |
uri |
principal.url |
Se path não estiver presente, o valor de uri será usado. |
value |
network.email.from |
Se from e hfrom não forem endereços de e-mail válidos, e value for um endereço de e-mail válido (depois de remover os caracteres < e >), ele será mapeado. |
vendor |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
verify |
security_result.action |
Se verify estiver presente, ele será usado para determinar a ação. "NOT" é mapeado para "BLOCK", e outros valores são mapeados para "ALLOW". |
version |
network.tls.version |
Se tls_version não estiver presente ou for "NONE", e version contiver "TLS", ele será mapeado. |
virusthreat |
security_result.threat_name |
O valor de virusthreat do registro bruto é mapeado diretamente se não for "unknown". |
virusthreatid |
security_result.threat_id |
O valor de virusthreatid (depois de remover as aspas) do registro bruto é mapeado diretamente se não for "unknown". |
xmailer |
Não mapeado | Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM na UDM fornecida. |
Referência do delta de mapeamento da UDM
Em 9 de setembro de 2025, o Google SecOps lançou uma nova versão do analisador do Symantec Endpoint Protection, que inclui mudanças significativas no mapeamento dos campos de registro do Symantec Endpoint Protection para campos do UDM e atualizações nas classificações (mapeamentos) de tipo de evento.
Delta de mapeamento de campo de registro
A tabela a seguir mostra as mudanças na forma como os campos de registro do Symantec Endpoint Protection são mapeados para campos da UDM. A coluna Mapeamento antigo lista os campos expostos antes de 9 de setembro de 2025, e a coluna Mapeamento atual lista os novos campos.
| Campo de registro | Mapeamento antigo | Mapeamento atual |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
Se quarantineFolder for igual a low priority ou high priority,mapeie para security_result.priority. Caso contrário, mapeie para security_result.detection_fields. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
Se quarantineFolder for igual a low priority ou high priority,mapeie para security_result.priority. Caso contrário, mapeie para security_result.detection_fields. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal tolow priorityorhigh prioritythen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
Delta de mapeamento de tipo de evento
Vários eventos que antes eram classificados como genéricos agora são classificados corretamente com tipos de eventos mais significativos.
A tabela a seguir lista o delta para o processamento de tipos de eventos do Symantec Endpoint Protection antes e depois de 9 de setembro de 2025 (listados nas colunas Old event_type e Current event_type, respectivamente).
| Formato | eventType do registro | Old event_type | Current event_type |
|---|---|---|---|
SYSLOG+KV |
Se o registro tiver os campos fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts ou mailer,proto,mod |
EMAIL_TRANSACTION |
|
Se o registro contiver apenas detalhes de mail_id |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
Registros CEF |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
se o registro tiver emails, sender, headerReplyTo, orig_recipient |
USER_UNCATEGORIED |
||
se o registro tiver src, host |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.