收集 Proofpoint TAP 提醒日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Proofpoint Targeted Attack Protection (TAP) 提醒日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PROOFPOINT_MAIL 注入标签的解析器。
配置 Proofpoint TAP 提醒
- 使用您的凭据登录 Proofpoint 威胁情报门户。
- 在设置标签页中,选择关联的应用。系统会显示服务凭据部分。
- 在名称部分,点击创建新凭据。
- 输入您组织的名称,例如
altostrat.com。 - 点击生成。在生成的服务凭据对话框中,系统会显示服务正文和密文值。
- 复制服务正文和密钥值。这些值仅在创建时显示,并且在配置 Google Security Operations Feed 时是必需的。
- 点击完成。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed name(Feed 名称)字段中,输入 Feed 的名称,例如 Proofpoint TAP alerts logs。
- 选择第三方 API 作为来源类型。
- 选择 Proofpoint TAP 提醒作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获取的服务正文。
- 密钥:指定您之前获得的密钥。
- 点击下一步,然后点击提交。
字段映射参考
此解析器可处理 JSON 或键值格式的 Proofpoint Mail 日志,并提取电子邮件和网络活动详情。它将日志字段映射到 UDM,对电子邮件交易和网络 HTTP 请求等事件进行分类,并使用操作、类别和威胁信息等安全详细信息来丰富这些事件。
UDM 映射表
| 日志字段 | UDM 映射 | 备注 |
|---|---|---|
action |
security_result.action_details |
直接映射原始日志中的 action 值。 |
adultscore |
additional.fields[].key:“adultscore”additional.fields[].value.string_value:adultscore 的值 |
原始日志中的 adultscore 值会放在 additional_fields 中。 |
attachments |
additional.fields[].key:“附件”additional_fields[].value.string_value:附件的值 |
原始日志中的 attachments 值会放在 additional_fields 中。 |
campaignID |
security_result.rule_id |
直接映射原始日志中的 campaignID 值。 |
ccAddresses |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
cid |
additional.fields[].key:cidadditional_fields[].value.string_value:cid 的值 |
原始日志中的 cid 值会放在 additional_fields 中。 |
cipher/tls |
network.tls.cipher |
如果存在 cipher 且不为“NONE”,则使用其值。否则,如果存在 tls 且不为“NONE”,则使用其值。 |
classification |
security_result.category_details |
直接映射原始日志中的 classification 值。 |
clickIP |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 clickIP 值。 |
clicks.impostorScore |
security_result.detection_fields |
映射到 security_result.detection_fields 中的键值对 |
clicks.malwareScore |
security_result.detection_fields |
映射到 security_result.detection_fields 中的键值对 |
clicks.phishScore |
security_result.detection_fields |
映射到 security_result.detection_fields 中的键值对 |
clicks.quarantineFolder |
security_result.priority 或 security_result.detection_fields |
如果 click.quarantineFolder 等于“低优先级”或“高优先级”,则映射到 UDM 字段 security_result.priority,否则映射到 security_result.detection_fields |
clicks.quarantineRule |
security_result.rule_name |
映射到 security_result.rule_name 中的键值对 |
clicks.sender |
未映射 | |
clicks.senderIP |
principal.ip |
映射到 principal.ip 中的键值对 |
clicks.spamScore |
security_result.detection_fields |
映射到 security_result.detection_fields 中的键值对 |
clicksBlocked[].campaignId |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
clicksBlocked 数组中的 clickIP 值已映射。 |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksBlocked[].classification |
security_result.category_details |
clicksBlocked 数组中的 classification 值已映射。 |
clicksBlocked[].GUID |
metadata.product_log_id |
clicksBlocked 数组中的 GUID 值已映射。 |
clicksBlocked[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].messageID |
network.email.mail_id |
clicksBlocked 数组中的 messageID 值已映射。 |
clicksBlocked[].recipient |
target.user.email_addresses |
clicksBlocked 数组中的 recipient 值已映射。 |
clicksBlocked[].sender |
principal.user.email_addresses |
clicksBlocked 数组中的 sender 值已映射。 |
clicksBlocked[].senderIP |
about.ip |
clicksBlocked 数组中的 senderIP 值已映射。常规 senderIP 条目会映射到 principal.asset.ip 或 principal.ip |
clicksBlocked[].threatID |
security_result.threat_id |
clicksBlocked 数组中的 threatID 值已映射。 |
clicksBlocked[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
clicksBlocked 数组中的 threatURL 值已映射。 |
clicksBlocked[].threatStatus |
security_result.threat_status |
clicksBlocked 数组中的 threatStatus 值已映射。 |
clicksBlocked[].url |
target.url |
clicksBlocked 数组中的 url 值已映射。 |
clicksBlocked[].userAgent |
network.http.user_agent |
clicksBlocked 数组中的 userAgent 值已映射。 |
clicksPermitted[].campaignId |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
clicksPermitted 数组中的 clickIP 值已映射。 |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
clicksPermitted[].classification |
security_result.category_details |
clicksPermitted 数组中的 classification 值已映射。 |
clicksPermitted[].guid |
metadata.product_log_id |
clicksPermitted 数组中的 guid 值已映射。 |
clicksPermitted[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].messageID |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].recipient |
target.user.email_addresses |
clicksPermitted 数组中的 recipient 值已映射。 |
clicksPermitted[].sender |
principal.user.email_addresses |
clicksPermitted 数组中的 sender 值已映射。 |
clicksPermitted[].senderIP |
about.ip |
clicksPermitted 数组中的 senderIP 值已映射。 |
clicksPermitted[].threatID |
security_result.threat_id |
clicksPermitted 数组中的 threatID 值已映射。 |
clicksPermitted[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
clicksPermitted 数组中的 threatURL 值已映射。 |
clicksPermitted[].url |
target.url |
clicksPermitted 数组中的 url 值已映射。 |
clicksPermitted[].userAgent |
network.http.user_agent |
clicksPermitted 数组中的 userAgent 值已映射。 |
clickTime |
metadata.event_timestamp.seconds |
解析器将 clickTime 字符串转换为时间戳并进行映射。 |
cmd |
principal.process.command_line 或 network.http.method |
如果存在 sts(HTTP 状态代码),则 cmd 会映射到 network.http.method。否则,它会映射到 principal.process.command_line。 |
collection_time.seconds |
metadata.event_timestamp.seconds |
直接映射原始日志中的 collection_time.seconds 值。 |
completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放在 security_result.detection_fields 中。 |
contentType |
about.file.mime_type |
直接映射原始日志中的 contentType 值。 |
country |
principal.location.country_or_region |
直接映射原始日志中的 country 值。 |
create_time.seconds |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
data |
(多个字段) | data 字段中的 JSON 载荷会被解析并映射到各种 UDM 字段。 |
date/date_log_rebase |
metadata.event_timestamp.seconds |
解析器使用 date_log_rebase 或 date 和 timeStamp 字段将日期重新定位为时间戳。 |
dict |
security_result.category_details |
直接映射原始日志中的 dict 值。 |
disposition |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
dnsid |
network.dns.id |
原始日志中的 dnsid 值会直接映射并转换为无符号整数。 |
domain/hfrom_domain |
principal.administrative_domain |
如果存在 domain,则使用其值。否则,如果存在 hfrom_domain,则使用其值。 |
duration |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
eid |
additional.fields[].key: "eid"additional_fields[].value.string_value: eid 的值 |
原始日志中的 eid 值会放在 additional_fields 中。 |
engine |
metadata.product_version |
直接映射原始日志中的 engine 值。 |
err / msg / result_detail / tls-alert |
security_result.description |
系统会映射 msg、err、result_detail 或 tls-alert 中第一个可用的值(移除引号后)。 |
file/name |
principal.process.file.full_path |
如果存在 file,则使用其值。否则,如果存在 name,则使用其值。 |
filename |
about.file.full_path |
直接映射原始日志中的 filename 值。 |
folder |
additional.fields[].key:“文件夹”additional_fields[].value.string_value:文件夹的值 |
原始日志中的 folder 值会放在 additional_fields 中。 |
from / hfrom / value |
network.email.from |
应用了复杂的逻辑(请参阅解析器代码)。处理 < 和 > 字符,并检查电子邮件格式是否有效。 |
fromAddress |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
GUID |
metadata.product_log_id |
直接映射原始日志中的 GUID 值。 |
headerCC |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始日志中的 headerFrom 值会放在 additional_fields 中。 |
headerReplyTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
headerTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
helo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
hops-ip/lip |
intermediary.ip |
如果存在 hops-ip,则使用其值。否则,如果存在 lip,则使用其值。 |
host |
principal.hostname |
直接映射原始日志中的 host 值。 |
id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 ip 值。 |
log_level |
security_result.severity_details |
log_level 的值经过映射,还用于派生 security_result.severity。 |
m |
network.email.mail_id |
映射 m 的值(移除 < 和 > 字符后)。 |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
直接映射原始日志中的 md5 值。 |
messageID |
network.email.mail_id |
映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked(数组) |
(多个字段) | 系统会迭代 messagesBlocked 对象数组,并将每个对象的字段映射到 UDM 字段。 |
messagesBlocked[].ccAddresses |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].cluster |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: "completelyRewritten"security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放在 security_result.detection_fields 中。 |
messagesBlocked[].fromAddress |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].GUID |
metadata.product_log_id |
直接映射原始日志中的 GUID 值。 |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: headerFrom 的值 |
原始日志中的 headerFrom 值会放在 additional_fields 中。 |
messagesBlocked[].headerReplyTo |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].id |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].impostorScore |
additional.fields[].key:“impostorScore”additional_fields[].value.number_value:impostorScore 的值 |
原始日志中的 impostorScore 值会放在 additional_fields 中。 |
messagesBlocked[].malwareScore |
additional.fields[].key:“malwareScore”additional_fields[].value.number_value:malwareScore 的值 |
原始日志中的 malwareScore 值会放在 additional_fields 中。 |
messagesBlocked[].messageID |
network.email.mail_id |
映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked[].messageParts |
about.file(重复) |
messageParts 数组中的每个对象都会映射到单独的 about.file 对象。 |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
直接映射原始日志中的 contentType 值。 |
messagesBlocked[].messageParts[].disposition |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
直接映射原始日志中的 filename 值。 |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
直接映射原始日志中的 md5 值。 |
messagesBlocked[].messageParts[].sandboxStatus |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
直接映射原始日志中的 sha256 值。 |
messagesBlocked[].messageSize |
additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
原始日志中的 messageSize 值会放在 additional_fields 中。 |
messagesBlocked[].messageTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].modulesRun |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].phishScore |
additional.fields[].key:“phishScore”additional_fields[].value.number_value:phishScore 的值 |
原始日志中的 phishScore 值会放在 additional_fields 中。 |
messagesBlocked[].policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值以列表形式放置在 additional_fields 中。 |
messagesBlocked[].QID |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: quarantineFolder 的值 |
原始日志中的 quarantineFolder 值会放在 additional_fields 中。 |
messagesBlocked[].quarantineRule |
additional.fields[].key: "quarantineRule"additional_fields[].value.string_value: quarantineRule 的值 |
原始日志中的 quarantineRule 值会放在 additional_fields 中。 |
messagesBlocked[].recipient |
target.user.email_addresses |
直接映射原始日志中的 recipient 值。 |
messagesBlocked[].replyToAddress |
network.email.reply_to |
直接映射原始日志中的 replyToAddress 值。 |
messagesBlocked[].sender |
principal.user.email_addresses |
直接映射原始日志中的 sender 值。 |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
直接映射原始日志中的 senderIP 值。 |
messagesBlocked[].spamScore |
additional.fields[].key:“spamScore”additional_fields[].value.number_value:spamScore 的值 |
原始日志中的 spamScore 值会放在 additional_fields 中。 |
messagesBlocked[].subject |
network.email.subject |
直接映射原始日志中的 subject 值。 |
messagesBlocked[].threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到单独的 security_result 对象。 |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
直接映射原始日志中的 classification 值。 |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
直接映射原始日志中的 threat 值。 |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
直接映射原始日志中的 threatID 值。 |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
直接映射原始日志中的 threatStatus 值。 |
messagesBlocked[].threatsInfoMap[].threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
直接映射原始日志中的 threatType 值。 |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
直接映射原始日志中的 threatUrl 值。 |
messagesBlocked[].toAddresses |
network.email.to |
直接映射原始日志中的 toAddresses 值。 |
messagesBlocked[].xmailer |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
messagesDelivered(数组) |
(多个字段) | 系统会迭代 messagesDelivered 对象数组,并将每个对象的字段映射到 UDM 字段。与 messagesBlocked 类似的逻辑。 |
message |
(多个字段) | 如果 message 字段是有效的 JSON,系统会对其进行解析并将其映射到各种 UDM 字段。 |
metadata.event_type |
metadata.event_type |
如果 message 不是 JSON,则设置为“EMAIL_TRANSACTION”,否则从 JSON 数据中派生。如果 syslog 消息解析失败,则设置为“GENERIC_EVENT”。 |
metadata.log_type |
metadata.log_type |
硬编码为“PROOFPOINT_MAIL”。 |
metadata.product_event_type |
metadata.product_event_type |
根据 JSON 数据,设置为“messagesBlocked”“messagesDelivered”“clicksPermitted”或“clicksBlocked”。 |
metadata.product_name |
metadata.product_name |
硬编码为“点按”。 |
metadata.vendor_name |
metadata.vendor_name |
硬编码为“PROOFPOINT”。 |
mime |
principal.process.file.mime_type |
直接映射原始日志中的 mime 值。 |
mod |
additional.fields[].key:“模块”additional_fields[].value.string_value:mod 的值 |
原始日志中的 mod 值会放在 additional_fields 中。 |
msg.imposterScore |
security_result.detection_fields |
映射到 security_result.detection_fields 中的键值对 |
msg.malwareScore |
security_result.detection_fields |
映射到 security_result.detection_fields 中的键值对 |
msg.phishScore |
security_result.detection_fields |
映射到 security_result.detection_fields 中的键值对 |
msg.quarantineFolder |
security_result.priority 或 security_result.detection_fields |
如果 msg.quarantineFolder 等于“低优先级”或“高优先级”,则映射到 UDM 字段 security_result.priority,否则映射到 security_result.detection_fields |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
未映射 | |
oContentType |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path/uri |
principal.url |
如果存在 path,则使用其值。否则,如果存在 uri,则使用其值。 |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
直接映射原始日志中的 pid 值。 |
policy |
network.direction |
如果 policy 为“inbound”,则 UDM 字段设置为“INBOUND”。如果 policy 为“outbound”,则 UDM 字段设置为“OUTBOUND”。 |
policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值以列表形式放置在 additional_fields 中。 |
profile |
additional.fields[].key: "profile"additional_fields[].value.string_value:个人资料的值 |
原始日志中的 profile 值会放在 additional_fields 中。 |
prot |
proto |
prot 的值会被提取到 protocol,转换为大写,然后映射到 proto。 |
proto |
network.application_protocol |
系统会映射 proto 的值(或从 prot 派生的值)。如果值为“ESMTP”,则在映射之前会将其更改为“SMTP”。 |
querydepth |
additional.fields[].key:“querydepth”additional_fields[].value.string_value:querydepth 的值 |
原始日志中的 querydepth 值会放在 additional_fields 中。 |
queryEndTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
qid |
additional.fields[].key:“qid”additional_fields[].value.string_value:qid 的值 |
原始日志中的 qid 值会放在 additional_fields 中。 |
quarantineFolder |
security_result.priority 或 security_result.detection_fields |
如果 quarantineFolder 等于“低优先级”或“高优先级”,则映射到 UDM 字段 security_result.priority,否则映射到 security_result.detection_fields |
rcpt/rcpts |
network.email.to |
如果存在 rcpt 且为有效的电子邮件地址,则会合并到 to 字段中。rcpts 的逻辑相同。 |
recipient |
target.user.email_addresses |
直接映射原始日志中的 recipient 值。 |
relay |
intermediary.hostnameintermediary.ip |
系统会解析 relay 字段以提取主机名和 IP 地址,然后分别将其映射到 intermediary.hostname 和 intermediary.ip。 |
replyToAddress |
network.email.reply_to |
直接映射原始日志中的 replyToAddress 值。 |
result |
security_result.action |
如果 result 为“pass”,则 UDM 字段设置为“ALLOW”。如果 result 为“fail”,则 UDM 字段设置为“BLOCK”。 |
routes |
additional.fields[].key:“routes”additional_fields[].value.string_value:路线的值 |
原始日志中的 routes 值会放在 additional_fields 中。 |
s |
network.session_id |
直接映射原始日志中的 s 值。 |
sandboxStatus |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
selector |
additional.fields[].key:“选择器”additional_fields[].value.string_value:选择器的值 |
原始日志中的 selector 值会放在 additional_fields 中。 |
sender |
principal.user.email_addresses |
直接映射原始日志中的 sender 值。 |
senderIP |
principal.asset.ipprincipal.ip 或 about.ip |
如果它位于点击事件中,则会映射到 about.ip。否则,它会映射到 principal.asset.ip 和 principal.ip。 |
sha256 |
security_result.about.file.sha256 或 about.file.sha256 |
如果它位于 threatInfoMap 中,则会映射到 security_result.about.file.sha256。否则,它会映射到 about.file.sha256。 |
size |
principal.process.file.size 或 additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
如果它位于消息事件中,则会映射到 additional.fields[].messageSize 并转换为无符号整数。否则,它会映射到 principal.process.file.size 并转换为无符号整数。 |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key:“状态”additional_fields[].value.string_value:统计数据的值 |
原始日志中的 stat 值会放在 additional_fields 中。 |
status |
additional.fields[].key:“状态”additional_fields[].value.string_value:状态的值 |
原始日志中 status 的值(去除引号后)会放入 additional_fields 中。 |
sts |
network.http.response_code |
原始日志中的 sts 值会直接映射并转换为整数。 |
subject |
network.email.subject |
移除引号后,原始日志中的 subject 值会直接映射。 |
threatID |
security_result.threat_id |
直接映射原始日志中的 threatID 值。 |
threatStatus |
security_result.threat_status |
直接映射原始日志中的 threatStatus 值。 |
threatTime |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
threatType |
security_result.threat_name |
直接映射原始日志中的 threatType 值。 |
threatUrl/threatURL |
security_result.url_back_to_product |
原始日志中的 threatUrl 或 threatURL 值会直接映射。 |
threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到单独的 security_result 对象。 |
tls |
network.tls.cipher |
如果 cipher 不存在或为“NONE”,则使用 tls 的值(如果该值不为“NONE”)。 |
tls_verify/verify |
security_result.action |
如果存在 verify,则使用其值来确定操作。否则,将使用 tls_verify。“FAIL”映射到“BLOCK”,“OK”映射到“ALLOW”。 |
tls_version/version |
network.tls.version |
如果存在 tls_version 且不为“NONE”,则使用其值。否则,如果 version 与“TLS”匹配,则使用其值。 |
to |
network.email.to |
映射 to 的值(移除 < 和 > 字符后)。如果不是有效的电子邮件地址,则会添加到 additional_fields。 |
toAddresses |
network.email.to |
直接映射原始日志中的 toAddresses 值。 |
timestamp.seconds |
metadata.event_timestamp.seconds |
直接映射原始日志中的 timestamp.seconds 值。 |
type |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
url |
target.url 或 principal.url |
如果它位于点击事件中,则会映射到 target.url。否则,它会映射到 principal.url。 |
userAgent |
network.http.user_agent |
直接映射原始日志中的 userAgent 值。 |
uri |
principal.url |
如果不存在 path,则使用 uri 的值。 |
value |
network.email.from |
如果 from 和 hfrom 不是有效的电子邮件地址,但 value 是有效的电子邮件地址(在移除 < 和 > 字符后),则会进行映射。 |
vendor |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
verify |
security_result.action |
如果存在 verify,则使用它来确定操作。“NOT”映射到“BLOCK”,其他值映射到“ALLOW”。 |
version |
network.tls.version |
如果 tls_version 不存在或为“NONE”,且 version 包含“TLS”,则会进行映射。 |
virusthreat |
security_result.threat_name |
如果原始日志中的 virusthreat 值不是“unknown”,则直接映射。 |
virusthreatid |
security_result.threat_id |
如果原始日志中的 virusthreatid 值(移除引号后)不是“unknown”,则直接映射。 |
xmailer |
未映射 | 虽然原始日志中存在此字段,但在提供的 UDM 中,此字段未映射到 IDM 对象。 |
UDM 映射增量参考信息
2025 年 9 月 9 日,Google SecOps 发布了新版 Symantec Endpoint Protection 解析器,其中对 Symantec Endpoint Protection 日志字段到 UDM 字段的映射以及事件类型分类(映射)进行了重大更改。
日志字段映射增量
下表显示了 Symantec Endpoint Protection 日志字段与 UDM 字段的映射方式的变化。 旧映射列列出了 2025 年 9 月 9 日之前公开的字段,当前映射列列出了新字段。
| 日志字段 | 旧映射 | 当前映射 |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
如果 quarantineFolder 等于 low priority 或 high priority,则映射到 security_result.priority。否则,映射到 security_result.detection_fields。 |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
如果 quarantineFolder 等于 low priority 或 high priority,则映射到 security_result.priority。否则,映射到 security_result.detection_fields。 |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal to低优先级or高优先级then map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
事件类型映射增量
之前被归类为通用事件的多个事件现在已正确归类为更有意义的事件类型。
下表列出了 2025 年 9 月 9 日之前和之后 Symantec Endpoint Protection 事件类型处理方式的差异(分别列在旧 event_type 和当前 event_type 列中)。
| 格式 | 日志中的 eventType | 旧 event_type | 当前 event_type |
|---|---|---|---|
SYSLOG+KV |
如果日志具有 fromAddress、toAddresses、hfrom、from、value、to、rcpt、rcpts 或 mailer,则存在 proto、mod 字段 |
EMAIL_TRANSACTION |
|
如果日志仅包含 mail_id 详细信息 |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
CEF 日志 |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
如果日志具有 emails、sender、headerReplyTo、orig_recipient |
USER_UNCATEGORIED |
||
如果日志具有 src,则为 host |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。