收集 Proofpoint TAP 提醒日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Proofpoint 有针对性攻击防护 (TAP) 提醒日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 PROOFPOINT_MAIL 注入标签的解析器。
配置 Proofpoint TAP 提醒
- 使用您的凭据登录 Proofpoint 威胁分析门户。
- 在设置标签页中,选择关联的应用。系统会显示服务凭据部分。
- 在名称部分,点击创建新凭据。
- 输入贵组织的名称,例如
altostrat.com。 - 点击生成。在生成的服务凭据对话框中,会显示服务正文和密文值。
- 复制服务主账号和密钥值。这些值仅在创建时显示,并且在配置 Google Security Operations Feed 时必需提供。
- 点击完成。
在 Google Security Operations 中配置 Feed 以注入 Proofpoint TAP 提醒日志
- 依次前往 SIEM 设置 > Feed。
- 点击 Add New(新增)。
- 在字段名称中输入一个具有唯一性的名称。
- 选择第三方 API 作为来源类型。
- 选择 Proofpoint TAP 提醒作为日志类型。
- 点击下一步。
- 配置以下必需的输入参数:
- 用户名:指定您之前获取的服务正文。
- Secret:指定您之前获取的 Secret。
- 点击下一步,然后点击提交。
如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会处理 JSON 或键值对格式的 Proofpoint Mail 日志,提取电子邮件和网络活动详细信息。它会将日志字段映射到 UDM,对电子邮件交易和网络 HTTP 请求等事件进行分类,并使用操作、类别和威胁信息等安全详细信息对其进行丰富。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
action |
security_result.action_details |
系统会直接映射原始日志中的 action 值。 |
adultscore |
additional.fields[].key:“adultscore”additional.fields[].value.string_value:adultscore 的值 |
原始日志中的 adultscore 值会放置在 additional_fields 中。 |
attachments |
additional.fields[].key:“attachments”additional_fields[].value.string_value:attachments 的值 |
原始日志中的 attachments 值会放置在 additional_fields 中。 |
campaignID |
security_result.rule_id |
系统会直接映射原始日志中的 campaignID 值。 |
ccAddresses |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
cid |
additional.fields[].key:“cid”additional_fields[].value.string_value:cid 的值 |
原始日志中的 cid 值会放置在 additional_fields 中。 |
cipher/tls |
network.tls.cipher |
如果存在 cipher 且不为“NONE”,则使用其值。否则,如果存在 tls 且不为“NONE”,则使用其值。 |
classification |
security_result.category_details |
系统会直接映射原始日志中的 classification 值。 |
clickIP |
principal.asset.ipprincipal.ip |
系统会直接映射原始日志中的 clickIP 值。 |
clickTime |
metadata.event_timestamp.seconds |
解析器会将 clickTime 字符串转换为时间戳并进行映射。 |
clicksBlocked[].campaignId |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
clicksBlocked 数组中的 clickIP 值会进行映射。 |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
解析器会将 clickTime 字符串转换为时间戳并进行映射。 |
clicksBlocked[].classification |
security_result.category_details |
clicksBlocked 数组中的 classification 值会进行映射。 |
clicksBlocked[].GUID |
metadata.product_log_id |
clicksBlocked 数组中的 GUID 值会进行映射。 |
clicksBlocked[].id |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
clicksBlocked[].messageID |
network.email.mail_id |
clicksBlocked 数组中的 messageID 值会进行映射。 |
clicksBlocked[].recipient |
target.user.email_addresses |
clicksBlocked 数组中的 recipient 值会进行映射。 |
clicksBlocked[].sender |
principal.user.email_addresses |
clicksBlocked 数组中的 sender 值会进行映射。 |
clicksBlocked[].senderIP |
about.ip |
clicksBlocked 数组中的 senderIP 值会进行映射。 |
clicksBlocked[].threatID |
security_result.threat_id |
clicksBlocked 数组中的 threatID 值会进行映射。 |
clicksBlocked[].threatTime |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
clicksBlocked 数组中的 threatURL 值会进行映射。 |
clicksBlocked[].threatStatus |
security_result.threat_status |
clicksBlocked 数组中的 threatStatus 值会进行映射。 |
clicksBlocked[].url |
target.url |
clicksBlocked 数组中的 url 值会进行映射。 |
clicksBlocked[].userAgent |
network.http.user_agent |
clicksBlocked 数组中的 userAgent 值会进行映射。 |
clicksPermitted[].campaignId |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
clicksPermitted 数组中的 clickIP 值会进行映射。 |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
解析器会将 clickTime 字符串转换为时间戳并进行映射。 |
clicksPermitted[].classification |
security_result.category_details |
clicksPermitted 数组中的 classification 值会进行映射。 |
clicksPermitted[].guid |
metadata.product_log_id |
clicksPermitted 数组中的 guid 值会进行映射。 |
clicksPermitted[].id |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
clicksPermitted[].messageID |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
clicksPermitted[].recipient |
target.user.email_addresses |
clicksPermitted 数组中的 recipient 值会进行映射。 |
clicksPermitted[].sender |
principal.user.email_addresses |
clicksPermitted 数组中的 sender 值会进行映射。 |
clicksPermitted[].senderIP |
about.ip |
clicksPermitted 数组中的 senderIP 值会进行映射。 |
clicksPermitted[].threatID |
security_result.threat_id |
clicksPermitted 数组中的 threatID 值会进行映射。 |
clicksPermitted[].threatTime |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
clicksPermitted 数组中的 threatURL 值会进行映射。 |
clicksPermitted[].url |
target.url |
clicksPermitted 数组中的 url 值会进行映射。 |
clicksPermitted[].userAgent |
network.http.user_agent |
clicksPermitted 数组中的 userAgent 值会进行映射。 |
cmd |
principal.process.command_line 或 network.http.method |
如果存在 sts(HTTP 状态代码),cmd 会映射到 network.http.method。否则,它会映射到 principal.process.command_line。 |
collection_time.seconds |
metadata.event_timestamp.seconds |
系统会直接映射原始日志中的 collection_time.seconds 值。 |
completelyRewritten |
security_result.detection_fields[].key:“completelyRewritten”security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放置在 security_result.detection_fields 中。 |
contentType |
about.file.mime_type |
系统会直接映射原始日志中的 contentType 值。 |
country |
principal.location.country_or_region |
系统会直接映射原始日志中的 country 值。 |
create_time.seconds |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
data |
(多个字段) | 系统会解析 data 字段中的 JSON 载荷,并将其映射到各种 UDM 字段。 |
date/date_log_rebase |
metadata.event_timestamp.seconds |
解析器使用 date_log_rebase 或 date 和 timeStamp 字段将日期重置为时间戳。 |
dict |
security_result.category_details |
系统会直接映射原始日志中的 dict 值。 |
disposition |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
dnsid |
network.dns.id |
原始日志中的 dnsid 值会直接映射并转换为无符号整数。 |
domain/hfrom_domain |
principal.administrative_domain |
如果存在 domain,则使用其值。否则,如果存在 hfrom_domain,则使用其值。 |
duration |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
eid |
additional.fields[].key:“eid”additional_fields[].value.string_value:eid 的值 |
原始日志中的 eid 值会放置在 additional_fields 中。 |
engine |
metadata.product_version |
系统会直接映射原始日志中的 engine 值。 |
err / msg / result_detail / tls-alert |
security_result.description |
系统会映射 msg、err、result_detail 或 tls-alert(移除引号后)中第一个可用值。 |
file/name |
principal.process.file.full_path |
如果存在 file,则使用其值。否则,如果存在 name,则使用其值。 |
filename |
about.file.full_path |
系统会直接映射原始日志中的 filename 值。 |
folder |
additional.fields[].key:“文件夹”additional_fields[].value.string_value:文件夹的值 |
原始日志中的 folder 值会放置在 additional_fields 中。 |
from / hfrom / value |
network.email.from |
应用复杂的逻辑(请参阅解析器代码)。处理 < 和 > 字符,并检查电子邮件格式是否有效。 |
fromAddress |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
GUID |
metadata.product_log_id |
系统会直接映射原始日志中的 GUID 值。 |
headerCC |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
headerFrom |
additional.fields[].key:“headerFrom”additional_fields[].value.string_value:headerFrom 的值 |
原始日志中的 headerFrom 值会放置在 additional_fields 中。 |
headerReplyTo |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
headerTo |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
helo |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
hops-ip/lip |
intermediary.ip |
如果存在 hops-ip,则使用其值。否则,如果存在 lip,则使用其值。 |
host |
principal.hostname |
系统会直接映射原始日志中的 host 值。 |
id |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
impostorScore |
additional.fields[].key:“impostorScore”additional_fields[].value.number_value:impostorScore 的值 |
原始日志中的 impostorScore 值会放置在 additional_fields 中。 |
ip |
principal.asset.ipprincipal.ip |
系统会直接映射原始日志中的 ip 值。 |
log_level |
security_result.severity_details |
log_level 的值会被映射,并且还会用于派生 security_result.severity。 |
m |
network.email.mail_id |
系统会映射 m 的值(移除 < 和 > 字符后)。 |
malwareScore |
additional.fields[].key:“malwareScore”additional_fields[].value.number_value:malwareScore 的值 |
原始日志中的 malwareScore 值会放置在 additional_fields 中。 |
md5 |
about.file.md5 |
系统会直接映射原始日志中的 md5 值。 |
messageID |
network.email.mail_id |
系统会映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked(数组) |
(多个字段) | 系统会迭代 messagesBlocked 对象数组,并将每个对象的字段映射到 UDM 字段。 |
messagesBlocked[].ccAddresses |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].cluster |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key:“completelyRewritten”security_result.detection_fields[].value:completelyRewritten 的值 |
原始日志中的 completelyRewritten 值会放置在 security_result.detection_fields 中。 |
messagesBlocked[].fromAddress |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].GUID |
metadata.product_log_id |
系统会直接映射原始日志中的 GUID 值。 |
messagesBlocked[].headerFrom |
additional.fields[].key:“headerFrom”additional_fields[].value.string_value:headerFrom 的值 |
原始日志中的 headerFrom 值会放置在 additional_fields 中。 |
messagesBlocked[].headerReplyTo |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].id |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].impostorScore |
additional.fields[].key:“impostorScore”additional_fields[].value.number_value:impostorScore 的值 |
原始日志中的 impostorScore 值会放置在 additional_fields 中。 |
messagesBlocked[].malwareScore |
additional.fields[].key:“malwareScore”additional_fields[].value.number_value:malwareScore 的值 |
原始日志中的 malwareScore 值会放置在 additional_fields 中。 |
messagesBlocked[].messageID |
network.email.mail_id |
系统会映射 messageID 的值(移除 < 和 > 字符后)。 |
messagesBlocked[].messageParts |
about.file(重复) |
messageParts 数组中的每个对象都会映射到一个单独的 about.file 对象。 |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
系统会直接映射原始日志中的 contentType 值。 |
messagesBlocked[].messageParts[].disposition |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
系统会直接映射原始日志中的 filename 值。 |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
系统会直接映射原始日志中的 md5 值。 |
messagesBlocked[].messageParts[].sandboxStatus |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
系统会直接映射原始日志中的 sha256 值。 |
messagesBlocked[].messageSize |
additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
原始日志中的 messageSize 值会放置在 additional_fields 中。 |
messagesBlocked[].messageTime |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].modulesRun |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].phishScore |
additional.fields[].key:“phishScore”additional_fields[].value.number_value:phishScore 的值 |
原始日志中的 phishScore 值会放置在 additional_fields 中。 |
messagesBlocked[].policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值会作为列表放入 additional_fields 中。 |
messagesBlocked[].QID |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].quarantineFolder |
additional.fields[].key:“quarantineFolder”additional_fields[].value.string_value:quarantineFolder 的值 |
原始日志中的 quarantineFolder 值会放置在 additional_fields 中。 |
messagesBlocked[].quarantineRule |
additional.fields[].key:“quarantineRule”additional_fields[].value.string_value:quarantineRule 的值 |
原始日志中的 quarantineRule 值会放置在 additional_fields 中。 |
messagesBlocked[].recipient |
target.user.email_addresses |
系统会直接映射原始日志中的 recipient 值。 |
messagesBlocked[].replyToAddress |
network.email.reply_to |
系统会直接映射原始日志中的 replyToAddress 值。 |
messagesBlocked[].sender |
principal.user.email_addresses |
系统会直接映射原始日志中的 sender 值。 |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
系统会直接映射原始日志中的 senderIP 值。 |
messagesBlocked[].spamScore |
additional.fields[].key:“spamScore”additional_fields[].value.number_value:spamScore 的值 |
原始日志中的 spamScore 值会放置在 additional_fields 中。 |
messagesBlocked[].subject |
network.email.subject |
系统会直接映射原始日志中的 subject 值。 |
messagesBlocked[].threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到单独的 security_result 对象。 |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
系统会直接映射原始日志中的 classification 值。 |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
系统会直接映射原始日志中的 threat 值。 |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
系统会直接映射原始日志中的 threatID 值。 |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
系统会直接映射原始日志中的 threatStatus 值。 |
messagesBlocked[].threatsInfoMap[].threatTime |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
系统会直接映射原始日志中的 threatType 值。 |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
系统会直接映射原始日志中的 threatUrl 值。 |
messagesBlocked[].toAddresses |
network.email.to |
系统会直接映射原始日志中的 toAddresses 值。 |
messagesBlocked[].xmailer |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
messagesDelivered(数组) |
(多个字段) | 系统会迭代 messagesDelivered 对象数组,并将每个对象的字段映射到 UDM 字段。与 messagesBlocked 类似的逻辑。 |
message |
(多个字段) | 如果 message 字段是有效的 JSON,系统会对其进行解析并将其映射到各种 UDM 字段。 |
metadata.event_type |
metadata.event_type |
如果 message 不是 JSON,则设为“EMAIL_TRANSACTION”;否则,从 JSON 数据派生。如果 syslog 消息解析失败,则将其设置为“GENERIC_EVENT”。 |
metadata.log_type |
metadata.log_type |
已硬编码为“PROOFPOINT_MAIL”。 |
metadata.product_event_type |
metadata.product_event_type |
根据 JSON 数据设置为“messagesBlocked”“messagesDelivered”“clicksPermitted”或“clicksBlocked”。 |
metadata.product_name |
metadata.product_name |
已硬编码为“TAP”。 |
metadata.vendor_name |
metadata.vendor_name |
已硬编码为“PROOFPOINT”。 |
mime |
principal.process.file.mime_type |
系统会直接映射原始日志中的 mime 值。 |
mod |
additional.fields[].key:“模块”additional_fields[].value.string_value:mod 的值 |
原始日志中的 mod 值会放置在 additional_fields 中。 |
oContentType |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
path/uri |
principal.url |
如果存在 path,则使用其值。否则,如果存在 uri,则使用其值。 |
phishScore |
additional.fields[].key:“phishScore”additional_fields[].value.number_value:phishScore 的值 |
原始日志中的 phishScore 值会放置在 additional_fields 中。 |
pid |
principal.process.pid |
系统会直接映射原始日志中的 pid 值。 |
policy |
network.direction |
如果 policy 为“inbound”,则 UDM 字段设置为“INBOUND”。如果 policy 为“outbound”,则 UDM 字段设置为“OUTBOUND”。 |
policyRoutes |
additional.fields[].key:“PolicyRoutes”additional_fields[].value.list_value.values[].string_value:policyRoutes 的值 |
原始日志中的 policyRoutes 值会作为列表放入 additional_fields 中。 |
profile |
additional.fields[].key:“profile”additional_fields[].value.string_value:配置文件的值 |
原始日志中的 profile 值会放置在 additional_fields 中。 |
prot |
proto |
prot 的值会提取到 protocol,转换为大写,然后映射到 proto。 |
proto |
network.application_protocol |
系统会映射 proto 的值(或从 prot 派生的值)。如果值为“ESMTP”,则会在映射之前更改为“SMTP”。 |
querydepth |
additional.fields[].key:“querydepth”additional_fields[].value.string_value:querydepth 的值 |
原始日志中的 querydepth 值会放置在 additional_fields 中。 |
queryEndTime |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
qid |
additional.fields[].key:“qid”additional_fields[].value.string_value:qid 的值 |
原始日志中的 qid 值会放置在 additional_fields 中。 |
rcpt/rcpts |
network.email.to |
如果存在 rcpt 且电子邮件地址有效,则会合并到 to 字段中。rcpts 也遵循相同的逻辑。 |
recipient |
target.user.email_addresses |
系统会直接映射原始日志中的 recipient 值。 |
relay |
intermediary.hostnameintermediary.ip |
系统会解析 relay 字段以提取主机名和 IP 地址,然后将其分别映射到 intermediary.hostname 和 intermediary.ip。 |
replyToAddress |
network.email.reply_to |
系统会直接映射原始日志中的 replyToAddress 值。 |
result |
security_result.action |
如果 result 为“pass”,则 UDM 字段设置为“ALLOW”。如果 result 为“fail”,则 UDM 字段会设置为“BLOCK”。 |
routes |
additional.fields[].key:“routes”additional_fields[].value.string_value:routes 的值 |
原始日志中的 routes 值会放置在 additional_fields 中。 |
s |
network.session_id |
系统会直接映射原始日志中的 s 值。 |
sandboxStatus |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
selector |
additional.fields[].key:“选择器”additional_fields[].value.string_value:选择器的值 |
原始日志中的 selector 值会放置在 additional_fields 中。 |
sender |
principal.user.email_addresses |
系统会直接映射原始日志中的 sender 值。 |
senderIP |
principal.asset.ipprincipal.ip 或 about.ip |
如果它位于点击事件中,则会映射到 about.ip。否则,它会映射到 principal.asset.ip 和 principal.ip。 |
sha256 |
security_result.about.file.sha256 或 about.file.sha256 |
如果它位于 threatInfoMap 中,则会映射到 security_result.about.file.sha256。否则,它会映射到 about.file.sha256。 |
size |
principal.process.file.size 或 additional.fields[].key:“messageSize”additional_fields[].value.number_value:messageSize 的值 |
如果它位于消息事件中,则会映射到 additional.fields[].messageSize 并转换为无符号整数。否则,它会映射到 principal.process.file.size 并转换为无符号整数。 |
spamScore |
additional.fields[].key:“spamScore”additional_fields[].value.number_value:spamScore 的值 |
原始日志中的 spamScore 值会放置在 additional_fields 中。 |
stat |
additional.fields[].key:“status”additional_fields[].value.string_value:stat 的值 |
原始日志中的 stat 值会放置在 additional_fields 中。 |
status |
additional.fields[].key:“status”additional_fields[].value.string_value:状态的值 |
原始日志中的 status 值(移除引号后)会放入 additional_fields。 |
sts |
network.http.response_code |
原始日志中的 sts 值会直接映射并转换为整数。 |
subject |
network.email.subject |
移除引号后,系统会直接映射原始日志中的 subject 值。 |
threatID |
security_result.threat_id |
系统会直接映射原始日志中的 threatID 值。 |
threatStatus |
security_result.threat_status |
系统会直接映射原始日志中的 threatStatus 值。 |
threatTime |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
threatType |
security_result.threat_name |
系统会直接映射原始日志中的 threatType 值。 |
threatUrl/threatURL |
security_result.url_back_to_product |
系统会直接映射原始日志中的 threatUrl 或 threatURL 的值。 |
threatsInfoMap |
security_result(重复) |
threatsInfoMap 数组中的每个对象都会映射到一个单独的 security_result 对象。 |
tls |
network.tls.cipher |
如果 cipher 不存在或为“NONE”,则使用 tls 的值(如果该值不为“NONE”)。 |
tls_verify/verify |
security_result.action |
如果存在 verify,系统会使用其值来确定操作。否则,系统会使用 tls_verify。“FAIL”映射到“BLOCK”“OK”映射到“ALLOW”。 |
tls_version/version |
network.tls.version |
如果存在 tls_version 且不为“NONE”,则使用其值。否则,如果 version 与“TLS”匹配,则使用其值。 |
to |
network.email.to |
系统会映射 to 的值(移除 < 和 > 字符后)。如果电子邮件地址无效,则会添加到 additional_fields。 |
toAddresses |
network.email.to |
系统会直接映射原始日志中的 toAddresses 值。 |
timestamp.seconds |
metadata.event_timestamp.seconds |
系统会直接映射原始日志中的 timestamp.seconds 值。 |
type |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
url |
target.url 或 principal.url |
如果它位于点击事件中,则会映射到 target.url。否则,它会映射到 principal.url。 |
userAgent |
network.http.user_agent |
系统会直接映射原始日志中的 userAgent 值。 |
uri |
principal.url |
如果 path 不存在,则使用 uri 的值。 |
value |
network.email.from |
如果 from 和 hfrom 不是有效的电子邮件地址,而 value 是有效的电子邮件地址(移除 < 和 > 字符后),则系统会进行映射。 |
vendor |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
verify |
security_result.action |
如果存在 verify,则系统会使用它来确定操作。“NOT”映射到“BLOCK”,其他值映射到“ALLOW”。 |
version |
network.tls.version |
如果 tls_version 不存在或为“NONE”,并且 version 包含“TLS”,则会进行映射。 |
virusthreat |
security_result.threat_name |
如果原始日志中的 virusthreat 值不是“未知”,则会直接映射。 |
virusthreatid |
security_result.threat_id |
如果原始日志中的 virusthreatid 值(移除引号后)不是“未知”,则会直接映射。 |
xmailer |
未映射 | 虽然此字段存在于原始日志中,但未映射到所提供 UDM 中的 IDM 对象。 |
变化
2024-05-27
- 将“msg.policyRoutes”映射到“additional.fields”。
2024-04-03
- 从“msg.fromAddress”和“clicks.sender”中提取了“sender_domain”,并将其映射到“principal.domain.name”。
- 将“clicks.sender”映射到“principal.user.email_addresses”。
- 将“clicks.recipient”映射到“target.user.email_addresses”。
2023-06-26
- 增强功能 -
- 将“clicks.threatStatus”映射到“security_result.threat_status”。
2022-11-03
- 增强功能 - 添加了日期字段的条件检查。
- “将更高的优先级赋予时间戳较大的日期”。
- 如果“click_time”>“threat_time”,则将日期映射到 click_time,否则映射到 threat_time。
2022-07-13
- 增强功能 - 将“intermediary.user.email_addresses”的映射从“(messagesBlocked|messagesDelivered).toAddresses”修改为“(messagesBlocked|messagesDelivered).ccAddresses”。
2022-06-29
- 增强功能 - 添加了 gsub,用于从映射到“network.email.mail_id”的“clicks.messageID”和“m”字段中移除“<>”。
2022-05-25
- 将“messageSize”映射到“additional”字段。
- 将“campaignID”映射到“security_result.rule_id”字段。
- 将“ccAddresses”映射到“intermediary.user.email_addresses”字段。
- 将“toAddresses”映射到“target.user.email_addresses”字段。