Coletar registros de alertas do Proofpoint TAP

Compatível com:

Este documento descreve como coletar registros de alertas do Proofpoint Targeted Attack Protection (TAP) configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência PROOFPOINT_MAIL.

Configurar alertas do Proofpoint TAP

  1. Faça login no portal de insights de ameaças da Proofpoint usando suas credenciais.
  2. Na guia Configurações, selecione Aplicativos conectados. A seção Credenciais do serviço é exibida.
  3. Na seção Nome, clique em Criar nova credencial.
  4. Digite o nome da sua organização, como altostrat.com.
  5. Clique em Gerar. Na caixa de diálogo Generated service credential, os valores Service principal e Secret aparecem.
  6. Copie os valores Princípio do serviço e Secret. Os valores são mostrados apenas no momento da criação e são obrigatórios ao configurar o feed do Google Security Operations.
  7. Clique em Concluído.

Configurar um feed no Google Security Operations para processar registros de alertas do Proofpoint TAP

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Add New.
  3. Insira um nome exclusivo para o Nome do campo.
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Alertas do Proofpoint TAP como o Tipo de registro.
  6. Clique em Próxima.
  7. Configure os seguintes parâmetros de entrada obrigatórios:
    • Nome de usuário: especifique o principal de serviço que você recebeu anteriormente.
    • Secret: especifique o secret que você recebeu anteriormente.
  8. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador processa os registros do Proofpoint Mail em formato JSON ou chave-valor, extraindo detalhes de e-mail e atividade de rede. Ele mapeia os campos de registro para o UDM, categorizando eventos como transações de e-mail e solicitações HTTP de rede e os enriquecendo com detalhes de segurança, como ações, categorias e informações de ameaças.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
action security_result.action_details O valor de action do registro bruto é mapeado diretamente.
adultscore additional.fields[].key: "adultscore"
additional.fields[].value.string_value: valor de adultscore		 O valor de adultscore do registro bruto é colocado em additional_fields.
attachments additional.fields[].key: "attachments"
additional_fields[].value.string_value: valor dos anexos		 O valor de attachments do registro bruto é colocado em additional_fields.
campaignID security_result.rule_id O valor de campaignID do registro bruto é mapeado diretamente.
ccAddresses Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
cid additional.fields[].key: "cid"
additional_fields[].value.string_value: valor de cid		 O valor de cid do registro bruto é colocado em additional_fields.
cipher / tls network.tls.cipher Se cipher estiver presente e não for "Nenhum", o valor dele será usado. Caso contrário, se tls estiver presente e não for "Nenhum", o valor será usado.
classification security_result.category_details O valor de classification do registro bruto é mapeado diretamente.
clickIP principal.asset.ip
principal.ip		 O valor de clickIP do registro bruto é mapeado diretamente.
clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime em um carimbo de data/hora e a mapeia.
clicksBlocked[].campaignId Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
clicksBlocked[].clickIP principal.asset.ip
principal.ip		 O valor de clickIP na matriz clicksBlocked é mapeado.
clicksBlocked[].clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime em um carimbo de data/hora e a mapeia.
clicksBlocked[].classification security_result.category_details O valor de classification na matriz clicksBlocked é mapeado.
clicksBlocked[].GUID metadata.product_log_id O valor de GUID na matriz clicksBlocked é mapeado.
clicksBlocked[].id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
clicksBlocked[].messageID network.email.mail_id O valor de messageID na matriz clicksBlocked é mapeado.
clicksBlocked[].recipient target.user.email_addresses O valor de recipient na matriz clicksBlocked é mapeado.
clicksBlocked[].sender principal.user.email_addresses O valor de sender na matriz clicksBlocked é mapeado.
clicksBlocked[].senderIP about.ip O valor de senderIP na matriz clicksBlocked é mapeado.
clicksBlocked[].threatID security_result.threat_id O valor de threatID na matriz clicksBlocked é mapeado.
clicksBlocked[].threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
clicksBlocked[].threatURL security_result.url_back_to_product O valor de threatURL na matriz clicksBlocked é mapeado.
clicksBlocked[].threatStatus security_result.threat_status O valor de threatStatus na matriz clicksBlocked é mapeado.
clicksBlocked[].url target.url O valor de url na matriz clicksBlocked é mapeado.
clicksBlocked[].userAgent network.http.user_agent O valor de userAgent na matriz clicksBlocked é mapeado.
clicksPermitted[].campaignId Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].clickIP principal.asset.ip
principal.ip		 O valor de clickIP na matriz clicksPermitted é mapeado.
clicksPermitted[].clickTime metadata.event_timestamp.seconds O analisador converte a string clickTime em um carimbo de data/hora e a mapeia.
clicksPermitted[].classification security_result.category_details O valor de classification na matriz clicksPermitted é mapeado.
clicksPermitted[].guid metadata.product_log_id O valor de guid na matriz clicksPermitted é mapeado.
clicksPermitted[].id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].messageID Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].recipient target.user.email_addresses O valor de recipient na matriz clicksPermitted é mapeado.
clicksPermitted[].sender principal.user.email_addresses O valor de sender na matriz clicksPermitted é mapeado.
clicksPermitted[].senderIP about.ip O valor de senderIP na matriz clicksPermitted é mapeado.
clicksPermitted[].threatID security_result.threat_id O valor de threatID na matriz clicksPermitted é mapeado.
clicksPermitted[].threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
clicksPermitted[].threatURL security_result.url_back_to_product O valor de threatURL na matriz clicksPermitted é mapeado.
clicksPermitted[].url target.url O valor de url na matriz clicksPermitted é mapeado.
clicksPermitted[].userAgent network.http.user_agent O valor de userAgent na matriz clicksPermitted é mapeado.
cmd principal.process.command_line ou network.http.method Se sts (código de status HTTP) estiver presente, cmd será associado a network.http.method. Caso contrário, ele será mapeado para principal.process.command_line.
collection_time.seconds metadata.event_timestamp.seconds O valor de collection_time.seconds do registro bruto é mapeado diretamente.
completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valor de completelyRewritten		 O valor de completelyRewritten do registro bruto é colocado em security_result.detection_fields.
contentType about.file.mime_type O valor de contentType do registro bruto é mapeado diretamente.
country principal.location.country_or_region O valor de country do registro bruto é mapeado diretamente.
create_time.seconds Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
data (vários campos) O payload JSON no campo data é analisado e mapeado para vários campos do UDM.
date / date_log_rebase metadata.event_timestamp.seconds O analisador recalcula a data para um carimbo de data/hora usando os campos date_log_rebase ou date e timeStamp.
dict security_result.category_details O valor de dict do registro bruto é mapeado diretamente.
disposition Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
dnsid network.dns.id O valor de dnsid do registro bruto é mapeado diretamente e convertido em um número inteiro não assinado.
domain / hfrom_domain principal.administrative_domain Se domain estiver presente, o valor dele será usado. Caso contrário, se hfrom_domain estiver presente, o valor será usado.
duration Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
eid additional.fields[].key: "eid"
additional_fields[].value.string_value: valor de eid		 O valor de eid do registro bruto é colocado em additional_fields.
engine metadata.product_version O valor de engine do registro bruto é mapeado diretamente.
err / msg / result_detail / tls-alert security_result.description O primeiro valor disponível entre msg, err, result_detail ou tls-alert (depois de remover as aspas) é mapeado.
file / name principal.process.file.full_path Se file estiver presente, o valor dele será usado. Caso contrário, se name estiver presente, o valor será usado.
filename about.file.full_path O valor de filename do registro bruto é mapeado diretamente.
folder additional.fields[].key: "folder"
additional_fields[].value.string_value: valor da pasta		 O valor de folder do registro bruto é colocado em additional_fields.
from / hfrom / value network.email.from A lógica complexa é aplicada (consulte o código do analisador). Processa os caracteres < e > e verifica se o formato do e-mail é válido.
fromAddress Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
GUID metadata.product_log_id O valor de GUID do registro bruto é mapeado diretamente.
headerCC Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valor de headerFrom		 O valor de headerFrom do registro bruto é colocado em additional_fields.
headerReplyTo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
headerTo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
helo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
hops-ip / lip intermediary.ip Se hops-ip estiver presente, o valor dele será usado. Caso contrário, se lip estiver presente, o valor será usado.
host principal.hostname O valor de host do registro bruto é mapeado diretamente.
id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valor de impostorScore		 O valor de impostorScore do registro bruto é colocado em additional_fields.
ip principal.asset.ip
principal.ip		 O valor de ip do registro bruto é mapeado diretamente.
log_level security_result.severity_details O valor de log_level é mapeado e também usado para derivar security_result.severity.
m network.email.mail_id O valor de m (após a remoção dos caracteres < e >) é mapeado.
malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valor de malwareScore		 O valor de malwareScore do registro bruto é colocado em additional_fields.
md5 about.file.md5 O valor de md5 do registro bruto é mapeado diretamente.
messageID network.email.mail_id O valor de messageID (após a remoção dos caracteres < e >) é mapeado.
messagesBlocked (matriz) (vários campos) A matriz de objetos messagesBlocked é iterada, e os campos de cada objeto são mapeados para campos do UDM.
messagesBlocked[].ccAddresses Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].cluster Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].completelyRewritten security_result.detection_fields[].key: "completelyRewritten"
security_result.detection_fields[].value: valor de completelyRewritten		 O valor de completelyRewritten do registro bruto é colocado em security_result.detection_fields.
messagesBlocked[].fromAddress Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].GUID metadata.product_log_id O valor de GUID do registro bruto é mapeado diretamente.
messagesBlocked[].headerFrom additional.fields[].key: "headerFrom"
additional_fields[].value.string_value: valor de headerFrom		 O valor de headerFrom do registro bruto é colocado em additional_fields.
messagesBlocked[].headerReplyTo Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].id Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].impostorScore additional.fields[].key: "impostorScore"
additional_fields[].value.number_value: valor de impostorScore		 O valor de impostorScore do registro bruto é colocado em additional_fields.
messagesBlocked[].malwareScore additional.fields[].key: "malwareScore"
additional_fields[].value.number_value: valor de malwareScore		 O valor de malwareScore do registro bruto é colocado em additional_fields.
messagesBlocked[].messageID network.email.mail_id O valor de messageID (após a remoção dos caracteres < e >) é mapeado.
messagesBlocked[].messageParts about.file (repetido) Cada objeto na matriz messageParts é mapeado para um objeto about.file separado.
messagesBlocked[].messageParts[].contentType about.file.mime_type O valor de contentType do registro bruto é mapeado diretamente.
messagesBlocked[].messageParts[].disposition Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].messageParts[].filename about.file.full_path O valor de filename do registro bruto é mapeado diretamente.
messagesBlocked[].messageParts[].md5 about.file.md5 O valor de md5 do registro bruto é mapeado diretamente.
messagesBlocked[].messageParts[].sandboxStatus Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].messageParts[].sha256 about.file.sha256 O valor de sha256 do registro bruto é mapeado diretamente.
messagesBlocked[].messageSize additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valor de messageSize		 O valor de messageSize do registro bruto é colocado em additional_fields.
messagesBlocked[].messageTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].modulesRun Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valor de phishScore		 O valor de phishScore do registro bruto é colocado em additional_fields.
messagesBlocked[].policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valor de policyRoutes		 Os valores de policyRoutes do registro bruto são colocados como uma lista em additional_fields.
messagesBlocked[].QID Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].quarantineFolder additional.fields[].key: "quarantineFolder"
additional_fields[].value.string_value: valor de quarantineFolder		 O valor de quarantineFolder do registro bruto é colocado em additional_fields.
messagesBlocked[].quarantineRule additional.fields[].key: "quarantineRule"
additional_fields[].value.string_value: valor de quarantineRule		 O valor de quarantineRule do registro bruto é colocado em additional_fields.
messagesBlocked[].recipient target.user.email_addresses O valor de recipient do registro bruto é mapeado diretamente.
messagesBlocked[].replyToAddress network.email.reply_to O valor de replyToAddress do registro bruto é mapeado diretamente.
messagesBlocked[].sender principal.user.email_addresses O valor de sender do registro bruto é mapeado diretamente.
messagesBlocked[].senderIP principal.asset.ip
principal.ip		 O valor de senderIP do registro bruto é mapeado diretamente.
messagesBlocked[].spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valor de spamScore		 O valor de spamScore do registro bruto é colocado em additional_fields.
messagesBlocked[].subject network.email.subject O valor de subject do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap security_result (repetido) Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado.
messagesBlocked[].threatsInfoMap[].classification security_result.category_details O valor de classification do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threat security_result.about.url O valor de threat do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatID security_result.threat_id O valor de threatID do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatStatus security_result.threat_status O valor de threatStatus do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesBlocked[].threatsInfoMap[].threatType security_result.threat_name O valor de threatType do registro bruto é mapeado diretamente.
messagesBlocked[].threatsInfoMap[].threatUrl security_result.url_back_to_product O valor de threatUrl do registro bruto é mapeado diretamente.
messagesBlocked[].toAddresses network.email.to O valor de toAddresses do registro bruto é mapeado diretamente.
messagesBlocked[].xmailer Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
messagesDelivered (matriz) (vários campos) A matriz de objetos messagesDelivered é iterada, e os campos de cada objeto são mapeados para campos do UDM. Lógica semelhante à messagesBlocked.
message (vários campos) Se o campo message for JSON válido, ele será analisado e mapeado para vários campos do UDM.
metadata.event_type metadata.event_type Defina como "EMAIL_TRANSACTION" se message não for JSON. Caso contrário, será derivado dos dados JSON. Defina como "GENERIC_EVENT" se a mensagem do syslog não for analisada.
metadata.log_type metadata.log_type Fixado em "PROOFPOINT_MAIL".
metadata.product_event_type metadata.product_event_type Defina como "messagesBlocked", "messagesDelivered", "clicksPermitted" ou "clicksBlocked" com base nos dados JSON.
metadata.product_name metadata.product_name Fixado em "TAP".
metadata.vendor_name metadata.vendor_name Fixado em "PROOFPOINT".
mime principal.process.file.mime_type O valor de mime do registro bruto é mapeado diretamente.
mod additional.fields[].key: "module"
additional_fields[].value.string_value: valor do mod		 O valor de mod do registro bruto é colocado em additional_fields.
oContentType Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
path / uri principal.url Se path estiver presente, o valor dele será usado. Caso contrário, se uri estiver presente, o valor será usado.
phishScore additional.fields[].key: "phishScore"
additional_fields[].value.number_value: valor de phishScore		 O valor de phishScore do registro bruto é colocado em additional_fields.
pid principal.process.pid O valor de pid do registro bruto é mapeado diretamente.
policy network.direction Se policy for "inbound", o campo da UDM será definido como "INBOUND". Se policy for "outbound", o campo UDM será definido como "OUTBOUND".
policyRoutes additional.fields[].key: "PolicyRoutes"
additional_fields[].value.list_value.values[].string_value: valor de policyRoutes		 Os valores de policyRoutes do registro bruto são colocados como uma lista em additional_fields.
profile additional.fields[].key: "profile"
additional_fields[].value.string_value: valor do perfil		 O valor de profile do registro bruto é colocado em additional_fields.
prot proto O valor de prot é extraído para protocol, convertido em maiúsculas e mapeado para proto.
proto network.application_protocol O valor de proto (ou o valor derivado de prot) é mapeado. Se o valor for "ESMTP", ele será alterado para "SMTP" antes do mapeamento.
querydepth additional.fields[].key: "querydepth"
additional_fields[].value.string_value: valor de querydepth		 O valor de querydepth do registro bruto é colocado em additional_fields.
queryEndTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
qid additional.fields[].key: "qid"
additional_fields[].value.string_value: valor de qid		 O valor de qid do registro bruto é colocado em additional_fields.
rcpt / rcpts network.email.to Se rcpt estiver presente e for um endereço de e-mail válido, ele será mesclado ao campo to. Mesma lógica para rcpts.
recipient target.user.email_addresses O valor de recipient do registro bruto é mapeado diretamente.
relay intermediary.hostname
intermediary.ip		 O campo relay é analisado para extrair o nome do host e o endereço IP, que são mapeados para intermediary.hostname e intermediary.ip, respectivamente.
replyToAddress network.email.reply_to O valor de replyToAddress do registro bruto é mapeado diretamente.
result security_result.action Se result for "pass", o campo do UDM será definido como "ALLOW". Se result for "fail", o campo UDM será definido como "BLOCK".
routes additional.fields[].key: "routes"
additional_fields[].value.string_value: valor de rotas		 O valor de routes do registro bruto é colocado em additional_fields.
s network.session_id O valor de s do registro bruto é mapeado diretamente.
sandboxStatus Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
selector additional.fields[].key: "selector"
additional_fields[].value.string_value: valor do seletor		 O valor de selector do registro bruto é colocado em additional_fields.
sender principal.user.email_addresses O valor de sender do registro bruto é mapeado diretamente.
senderIP principal.asset.ip
principal.ip ou about.ip		 Se estiver em um evento de clique, ele será mapeado para about.ip. Caso contrário, ele será mapeado para principal.asset.ip e principal.ip.
sha256 security_result.about.file.sha256 ou about.file.sha256 Se estiver em um threatInfoMap, ele será mapeado para security_result.about.file.sha256. Caso contrário, ele será mapeado para about.file.sha256.
size principal.process.file.size ou additional.fields[].key: "messageSize"
additional_fields[].value.number_value: valor de messageSize		 Se estiver em um evento de mensagem, ele será mapeado para additional.fields[].messageSize e convertido em um número inteiro sem sinal. Caso contrário, ele será associado a principal.process.file.size e convertido em um número inteiro não assinado.
spamScore additional.fields[].key: "spamScore"
additional_fields[].value.number_value: valor de spamScore		 O valor de spamScore do registro bruto é colocado em additional_fields.
stat additional.fields[].key: "status"
additional_fields[].value.string_value: valor da estatística		 O valor de stat do registro bruto é colocado em additional_fields.
status additional.fields[].key: "status"
additional_fields[].value.string_value: valor do status		 O valor de status (após a remoção das aspas) do registro bruto é colocado em additional_fields.
sts network.http.response_code O valor de sts do registro bruto é mapeado e convertido diretamente em um número inteiro.
subject network.email.subject O valor de subject do registro bruto é mapeado diretamente após a remoção das aspas.
threatID security_result.threat_id O valor de threatID do registro bruto é mapeado diretamente.
threatStatus security_result.threat_status O valor de threatStatus do registro bruto é mapeado diretamente.
threatTime Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
threatType security_result.threat_name O valor de threatType do registro bruto é mapeado diretamente.
threatUrl / threatURL security_result.url_back_to_product O valor de threatUrl ou threatURL do registro bruto é mapeado diretamente.
threatsInfoMap security_result (repetido) Cada objeto na matriz threatsInfoMap é mapeado para um objeto security_result separado.
tls network.tls.cipher Se cipher não estiver presente ou for "Nenhum", o valor de tls será usado se não for "Nenhum".
tls_verify / verify security_result.action Se verify estiver presente, o valor dele será usado para determinar a ação. Caso contrário, tls_verify será usado. "FAIL" é mapeado para "BLOCK", e "OK" é mapeado para "ALLOW".
tls_version / version network.tls.version Se tls_version estiver presente e não for "NENHUMA", o valor dele será usado. Caso contrário, se version corresponder a "TLS", o valor será usado.
to network.email.to O valor de to (após a remoção dos caracteres < e >) é mapeado. Se não for um endereço de e-mail válido, ele será adicionado a additional_fields.
toAddresses network.email.to O valor de toAddresses do registro bruto é mapeado diretamente.
timestamp.seconds metadata.event_timestamp.seconds O valor de timestamp.seconds do registro bruto é mapeado diretamente.
type Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
url target.url ou principal.url Se estiver em um evento de clique, ele será mapeado para target.url. Caso contrário, ele será mapeado para principal.url.
userAgent network.http.user_agent O valor de userAgent do registro bruto é mapeado diretamente.
uri principal.url Se path não estiver presente, o valor de uri será usado.
value network.email.from Se from e hfrom não forem endereços de e-mail válidos e value for um endereço de e-mail válido (após a remoção dos caracteres < e >), ele será mapeado.
vendor Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.
verify security_result.action Se verify estiver presente, ele será usado para determinar a ação. "NÃO" é mapeado para "BLOQUEAR", e outros valores são mapeados para "PERMITIR".
version network.tls.version Se tls_version não estiver presente ou for "Nenhum" e version contiver "TLS", ele será mapeado.
virusthreat security_result.threat_name O valor de virusthreat do registro bruto é mapeado diretamente se não for "unknown".
virusthreatid security_result.threat_id O valor de virusthreatid (após a remoção das aspas) do registro bruto é mapeado diretamente se não for "unknown".
xmailer Não mapeado Embora esteja presente nos registros brutos, esse campo não é mapeado para o objeto IDM no UDM fornecido.

Alterações

2024-05-27

  • "msg.policyRoutes" foi mapeado para "additional.fields".

2024-04-03

  • O "sender_domain" foi extraído de "msg.fromAddress" e "clicks.sender" e mapeado para "principal.domain.name".
  • "clicks.sender" foi associado a "principal.user.email_addresses".
  • "clicks.recipient" foi associado a "target.user.email_addresses".

2023-06-26

  • Melhoria:
  • "clicks.threatStatus" foi associado a "security_result.threat_status".

2022-11-03

  • Melhoria: foi adicionada uma verificação de condição para o campo de data .
  • "priorizar a data com o carimbo de data/hora máximo".
  • Se "click_time" > "threat_time", a data é associada a click_time. Caso contrário, é associada a threat_time.

2022-07-13

  • Melhoria: o mapeamento de "intermediary.user.email_addresses" foi modificado de "(messagesBlocked|messagesDelivered).toAddresses" para "(messagesBlocked|messagesDelivered).ccAddresses" .

2022-06-29

  • Melhoria: foi adicionado gsub para remover "<>' dos campos "clicks.messageID" e "m" mapeados para "network.email.mail_id".

2022-05-25

  • O campo "messageSize" foi mapeado para "additional".
  • "campaignID" foi associado ao campo "security_result.rule_id".
  • "CcAddresses" foi mapeado para o campo "intermediary.user.email_addresses".
  • "toAddresses" foi mapeado para o campo "target.user.email_addresses".