Proofpoint TAP 알림 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 피드를 설정하여 Proofpoint Targeted Attack Protection (TAP) 알림 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 PROOFPOINT_MAIL 수집 라벨이 있는 파서에 적용됩니다.
Proofpoint TAP 알림 구성
- 사용자 인증 정보를 사용하여 Proofpoint 위협 통계 포털에 로그인합니다.
- 설정 탭에서 연결된 애플리케이션을 선택합니다. 서비스 사용자 인증 정보 섹션이 표시됩니다.
- 이름 섹션에서 새 사용자 인증 정보 만들기를 클릭합니다.
- 조직 이름(예:
altostrat.com)을 입력합니다. - 생성을 클릭합니다. 생성된 서비스 사용자 인증 정보 대화상자에 서비스 주 구성원 및 보안 비밀 값이 표시됩니다.
- 서비스 주 구성원 및 보안 비밀번호 값을 복사합니다. 값은 생성 시에만 표시되며 Google Security Operations 피드를 구성할 때 필요합니다.
- 완료를 클릭합니다.
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- Proofpoint 피드 팩을 클릭합니다.
- Proofpoint Tap Alerts 로그 유형을 찾습니다.
다음 필드의 값을 지정합니다.
- 소스 유형: 서드 파티 API
- 사용자 이름: 이전에 가져온 서비스 주 구성원을 지정합니다.
- Secret: 이전에 가져온 보안 비밀을 지정합니다.
고급 옵션 * 피드 이름: 피드를 식별하는 미리 채워진 값입니다. * 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다. * 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.
Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참조하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 JSON 또는 키-값 형식의 Proofpoint Mail 로그를 처리하여 이메일 및 네트워크 활동 세부정보를 추출합니다. 로그 필드를 UDM에 매핑하여 이메일 트랜잭션 및 네트워크 HTTP 요청과 같은 이벤트를 분류하고 작업, 카테고리, 위협 정보와 같은 보안 세부정보로 보강합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 설명 |
|---|---|---|
action |
security_result.action_details |
원시 로그의 action 값이 직접 매핑됩니다. |
adultscore |
additional.fields[].key: 'adultscore'additional.fields[].value.string_value: adultscore의 값 |
원시 로그의 adultscore 값이 additional_fields에 배치됩니다. |
attachments |
additional.fields[].key: 'attachments'additional_fields[].value.string_value: 첨부파일의 값 |
원시 로그의 attachments 값이 additional_fields에 배치됩니다. |
campaignID |
security_result.rule_id |
원시 로그의 campaignID 값이 직접 매핑됩니다. |
ccAddresses |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
cid |
additional.fields[].key: cidadditional_fields[].value.string_value: cid의 값 |
원시 로그의 cid 값이 additional_fields에 배치됩니다. |
cipher/tls |
network.tls.cipher |
cipher이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. 그렇지 않고 tls이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. |
classification |
security_result.category_details |
원시 로그의 classification 값이 직접 매핑됩니다. |
clickIP |
principal.asset.ipprincipal.ip |
원시 로그의 clickIP 값이 직접 매핑됩니다. |
clicks.impostorScore |
security_result.detection_fields |
security_result.detection_fields의 키-값 쌍에 매핑됩니다. |
clicks.malwareScore |
security_result.detection_fields |
security_result.detection_fields의 키-값 쌍에 매핑됩니다. |
clicks.phishScore |
security_result.detection_fields |
security_result.detection_fields의 키-값 쌍에 매핑됩니다. |
clicks.quarantineFolder |
security_result.priority 또는 security_result.detection_fields |
click.quarantineFolder이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority에 매핑하고, 그렇지 않은 경우 security_result.detection_fields에 매핑합니다. |
clicks.quarantineRule |
security_result.rule_name |
security_result.rule_name의 키-값 쌍에 매핑됩니다. |
clicks.sender |
매핑되지 않음 | |
clicks.senderIP |
principal.ip |
principal.ip의 키-값 쌍에 매핑됩니다. |
clicks.spamScore |
security_result.detection_fields |
security_result.detection_fields의 키-값 쌍에 매핑됩니다. |
clicksBlocked[].campaignId |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].clickIP |
principal.asset.ipprincipal.ip |
clicksBlocked 배열 내의 clickIP 값이 매핑됩니다. |
clicksBlocked[].clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
clicksBlocked[].classification |
security_result.category_details |
clicksBlocked 배열 내의 classification 값이 매핑됩니다. |
clicksBlocked[].GUID |
metadata.product_log_id |
clicksBlocked 배열 내의 GUID 값이 매핑됩니다. |
clicksBlocked[].id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].messageID |
network.email.mail_id |
clicksBlocked 배열 내의 messageID 값이 매핑됩니다. |
clicksBlocked[].recipient |
target.user.email_addresses |
clicksBlocked 배열 내의 recipient 값이 매핑됩니다. |
clicksBlocked[].sender |
principal.user.email_addresses |
clicksBlocked 배열 내의 sender 값이 매핑됩니다. |
clicksBlocked[].senderIP |
about.ip |
clicksBlocked 배열 내의 senderIP 값이 매핑됩니다. 일반 senderIP 항목은 principal.asset.ip 또는 principal.ip에 매핑됩니다. |
clicksBlocked[].threatID |
security_result.threat_id |
clicksBlocked 배열 내의 threatID 값이 매핑됩니다. |
clicksBlocked[].threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksBlocked[].threatURL |
security_result.url_back_to_product |
clicksBlocked 배열 내의 threatURL 값이 매핑됩니다. |
clicksBlocked[].threatStatus |
security_result.threat_status |
clicksBlocked 배열 내의 threatStatus 값이 매핑됩니다. |
clicksBlocked[].url |
target.url |
clicksBlocked 배열 내의 url 값이 매핑됩니다. |
clicksBlocked[].userAgent |
network.http.user_agent |
clicksBlocked 배열 내의 userAgent 값이 매핑됩니다. |
clicksPermitted[].campaignId |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].clickIP |
principal.asset.ipprincipal.ip |
clicksPermitted 배열 내의 clickIP 값이 매핑됩니다. |
clicksPermitted[].clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
clicksPermitted[].classification |
security_result.category_details |
clicksPermitted 배열 내의 classification 값이 매핑됩니다. |
clicksPermitted[].guid |
metadata.product_log_id |
clicksPermitted 배열 내의 guid 값이 매핑됩니다. |
clicksPermitted[].id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].messageID |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].recipient |
target.user.email_addresses |
clicksPermitted 배열 내의 recipient 값이 매핑됩니다. |
clicksPermitted[].sender |
principal.user.email_addresses |
clicksPermitted 배열 내의 sender 값이 매핑됩니다. |
clicksPermitted[].senderIP |
about.ip |
clicksPermitted 배열 내의 senderIP 값이 매핑됩니다. |
clicksPermitted[].threatID |
security_result.threat_id |
clicksPermitted 배열 내의 threatID 값이 매핑됩니다. |
clicksPermitted[].threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
clicksPermitted[].threatURL |
security_result.url_back_to_product |
clicksPermitted 배열 내의 threatURL 값이 매핑됩니다. |
clicksPermitted[].url |
target.url |
clicksPermitted 배열 내의 url 값이 매핑됩니다. |
clicksPermitted[].userAgent |
network.http.user_agent |
clicksPermitted 배열 내의 userAgent 값이 매핑됩니다. |
clickTime |
metadata.event_timestamp.seconds |
파서는 clickTime 문자열을 타임스탬프로 변환하고 매핑합니다. |
cmd |
principal.process.command_line 또는 network.http.method |
sts (HTTP 상태 코드)가 있으면 cmd이 network.http.method에 매핑됩니다. 그렇지 않으면 principal.process.command_line에 매핑됩니다. |
collection_time.seconds |
metadata.event_timestamp.seconds |
원시 로그의 collection_time.seconds 값이 직접 매핑됩니다. |
completelyRewritten |
security_result.detection_fields[].key: 'completelyRewritten'security_result.detection_fields[].value: completelyRewritten의 값 |
원시 로그의 completelyRewritten 값이 security_result.detection_fields에 배치됩니다. |
contentType |
about.file.mime_type |
원시 로그의 contentType 값이 직접 매핑됩니다. |
country |
principal.location.country_or_region |
원시 로그의 country 값이 직접 매핑됩니다. |
create_time.seconds |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
data |
(여러 필드) | data 필드의 JSON 페이로드가 파싱되어 다양한 UDM 필드에 매핑됩니다. |
date/date_log_rebase |
metadata.event_timestamp.seconds |
파서는 date_log_rebase 또는 date 및 timeStamp 필드를 사용하여 날짜를 타임스탬프로 리베이스합니다. |
dict |
security_result.category_details |
원시 로그의 dict 값이 직접 매핑됩니다. |
disposition |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
dnsid |
network.dns.id |
원시 로그의 dnsid 값이 직접 매핑되고 부호 없는 정수로 변환됩니다. |
domain/hfrom_domain |
principal.administrative_domain |
domain이 있으면 해당 값이 사용됩니다. 그렇지 않고 hfrom_domain이 있으면 해당 값이 사용됩니다. |
duration |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
eid |
additional.fields[].key: 'eid'additional_fields[].value.string_value: eid 값 |
원시 로그의 eid 값이 additional_fields에 배치됩니다. |
engine |
metadata.product_version |
원시 로그의 engine 값이 직접 매핑됩니다. |
err / msg / result_detail / tls-alert |
security_result.description |
msg, err, result_detail, tls-alert 중 사용 가능한 첫 번째 값 (따옴표 삭제 후)이 매핑됩니다. |
file/name |
principal.process.file.full_path |
file이 있으면 해당 값이 사용됩니다. 그렇지 않고 name이 있으면 해당 값이 사용됩니다. |
filename |
about.file.full_path |
원시 로그의 filename 값이 직접 매핑됩니다. |
folder |
additional.fields[].key: 'folder'additional_fields[].value.string_value: 폴더 값 |
원시 로그의 folder 값이 additional_fields에 배치됩니다. |
from / hfrom / value |
network.email.from |
복잡한 논리가 적용됩니다 (파서 코드 참고). < 및 > 문자를 처리하고 유효한 이메일 형식을 확인합니다. |
fromAddress |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
GUID |
metadata.product_log_id |
원시 로그의 GUID 값이 직접 매핑됩니다. |
headerCC |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
원시 로그의 headerFrom 값이 additional_fields에 배치됩니다. |
headerReplyTo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
headerTo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
helo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
hops-ip/lip |
intermediary.ip |
hops-ip이 있으면 해당 값이 사용됩니다. 그렇지 않고 lip이 있으면 해당 값이 사용됩니다. |
host |
principal.hostname |
원시 로그의 host 값이 직접 매핑됩니다. |
id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
impostorScore |
security_result.detection_fields |
|
ip |
principal.asset.ipprincipal.ip |
원시 로그의 ip 값이 직접 매핑됩니다. |
log_level |
security_result.severity_details |
log_level 값은 매핑되며 security_result.severity를 파생하는 데도 사용됩니다. |
m |
network.email.mail_id |
m 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
malwareScore |
security_result.detection_fields |
|
md5 |
about.file.md5 |
원시 로그의 md5 값이 직접 매핑됩니다. |
messageID |
network.email.mail_id |
messageID 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
messagesBlocked (배열) |
(여러 필드) | messagesBlocked 객체의 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다. |
messagesBlocked[].ccAddresses |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].cluster |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].completelyRewritten |
security_result.detection_fields[].key: 'completelyRewritten'security_result.detection_fields[].value: completelyRewritten의 값 |
원시 로그의 completelyRewritten 값이 security_result.detection_fields에 배치됩니다. |
messagesBlocked[].fromAddress |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].GUID |
metadata.product_log_id |
원시 로그의 GUID 값이 직접 매핑됩니다. |
messagesBlocked[].headerFrom |
additional.fields[].key: "headerFrom"additional_fields[].value.string_value: Value of headerFrom |
원시 로그의 headerFrom 값이 additional_fields에 배치됩니다. |
messagesBlocked[].headerReplyTo |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].id |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].impostorScore |
additional.fields[].key: 'impostorScore'additional_fields[].value.number_value: impostorScore의 값 |
원시 로그의 impostorScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].malwareScore |
additional.fields[].key: 'malwareScore'additional_fields[].value.number_value: malwareScore의 값 |
원시 로그의 malwareScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].messageID |
network.email.mail_id |
messageID 값 (< 및 > 문자 삭제 후)이 매핑됩니다. |
messagesBlocked[].messageParts |
about.file (반복됨) |
messageParts 배열의 각 객체는 별도의 about.file 객체에 매핑됩니다. |
messagesBlocked[].messageParts[].contentType |
about.file.mime_type |
원시 로그의 contentType 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].disposition |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].messageParts[].filename |
about.file.full_path |
원시 로그의 filename 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].md5 |
about.file.md5 |
원시 로그의 md5 값이 직접 매핑됩니다. |
messagesBlocked[].messageParts[].sandboxStatus |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].messageParts[].sha256 |
about.file.sha256 |
원시 로그의 sha256 값이 직접 매핑됩니다. |
messagesBlocked[].messageSize |
additional.fields[].key: 'messageSize'additional_fields[].value.number_value: messageSize 값 |
원시 로그의 messageSize 값이 additional_fields에 배치됩니다. |
messagesBlocked[].messageTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].modulesRun |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].phishScore |
additional.fields[].key: 'phishScore'additional_fields[].value.number_value: phishScore의 값 |
원시 로그의 phishScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].policyRoutes |
additional.fields[].key: 'PolicyRoutes'additional_fields[].value.list_value.values[].string_value: policyRoutes의 값 |
원시 로그의 policyRoutes 값이 additional_fields에 목록으로 배치됩니다. |
messagesBlocked[].QID |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].quarantineFolder |
additional.fields[].key: "quarantineFolder"additional_fields[].value.string_value: quarantineFolder 값 |
원시 로그의 quarantineFolder 값이 additional_fields에 배치됩니다. |
messagesBlocked[].quarantineRule |
additional.fields[].key: 'quarantineRule'additional_fields[].value.string_value: quarantineRule의 값 |
원시 로그의 quarantineRule 값이 additional_fields에 배치됩니다. |
messagesBlocked[].recipient |
target.user.email_addresses |
원시 로그의 recipient 값이 직접 매핑됩니다. |
messagesBlocked[].replyToAddress |
network.email.reply_to |
원시 로그의 replyToAddress 값이 직접 매핑됩니다. |
messagesBlocked[].sender |
principal.user.email_addresses |
원시 로그의 sender 값이 직접 매핑됩니다. |
messagesBlocked[].senderIP |
principal.asset.ipprincipal.ip |
원시 로그의 senderIP 값이 직접 매핑됩니다. |
messagesBlocked[].spamScore |
additional.fields[].key: 'spamScore'additional_fields[].value.number_value: spamScore의 값 |
원시 로그의 spamScore 값이 additional_fields에 배치됩니다. |
messagesBlocked[].subject |
network.email.subject |
원시 로그의 subject 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap |
security_result (반복됨) |
threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].classification |
security_result.category_details |
원시 로그의 classification 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threat |
security_result.about.url |
원시 로그의 threat 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatID |
security_result.threat_id |
원시 로그의 threatID 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatStatus |
security_result.threat_status |
원시 로그의 threatStatus 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesBlocked[].threatsInfoMap[].threatType |
security_result.threat_name |
원시 로그의 threatType 값이 직접 매핑됩니다. |
messagesBlocked[].threatsInfoMap[].threatUrl |
security_result.url_back_to_product |
원시 로그의 threatUrl 값이 직접 매핑됩니다. |
messagesBlocked[].toAddresses |
network.email.to |
원시 로그의 toAddresses 값이 직접 매핑됩니다. |
messagesBlocked[].xmailer |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
messagesDelivered (배열) |
(여러 필드) | messagesDelivered 객체의 배열이 반복되고 각 객체의 필드가 UDM 필드에 매핑됩니다. messagesBlocked과 유사한 로직입니다. |
message |
(여러 필드) | message 필드가 유효한 JSON인 경우 파싱되어 다양한 UDM 필드에 매핑됩니다. |
metadata.event_type |
metadata.event_type |
message이 JSON이 아닌 경우 'EMAIL_TRANSACTION'으로 설정하고, 그렇지 않으면 JSON 데이터에서 파생됩니다. syslog 메시지를 파싱할 수 없는 경우 'GENERIC_EVENT'로 설정됩니다. |
metadata.log_type |
metadata.log_type |
'PROOFPOINT_MAIL'로 하드코딩됩니다. |
metadata.product_event_type |
metadata.product_event_type |
JSON 데이터에 따라 'messagesBlocked', 'messagesDelivered', 'clicksPermitted' 또는 'clicksBlocked'로 설정됩니다. |
metadata.product_name |
metadata.product_name |
'TAP'으로 하드코딩됩니다. |
metadata.vendor_name |
metadata.vendor_name |
'PROOFPOINT'로 하드코딩됩니다. |
mime |
principal.process.file.mime_type |
원시 로그의 mime 값이 직접 매핑됩니다. |
mod |
additional.fields[].key: 'module'additional_fields[].value.string_value: mod의 값 |
원시 로그의 mod 값이 additional_fields에 배치됩니다. |
msg.imposterScore |
security_result.detection_fields |
security_result.detection_fields의 키-값 쌍에 매핑됩니다. |
msg.malwareScore |
security_result.detection_fields |
security_result.detection_fields의 키-값 쌍에 매핑됩니다. |
msg.phishScore |
security_result.detection_fields |
security_result.detection_fields의 키-값 쌍에 매핑됩니다. |
msg.quarantineFolder |
security_result.priority 또는 security_result.detection_fields |
msg.quarantineFolder이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority에 매핑하고, 그렇지 않은 경우 security_result.detection_fields에 매핑합니다. |
msg.quarantineRule |
security_result.rule_name |
|
msg.spamScore |
security_result.detection_fields |
|
msgPart.contentType |
매핑되지 않음 | |
oContentType |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
partData.contentType |
about.file.mime_type |
|
partData.disposition |
additional.fields |
|
partData.filename |
about.file.full_path |
|
partData.md5 |
about.file.md5 |
|
partData.sha256 |
about.file.sha256 |
|
partData.contentType |
security_result.detection_fields |
|
path/uri |
principal.url |
path이 있으면 해당 값이 사용됩니다. 그렇지 않고 uri이 있으면 해당 값이 사용됩니다. |
phishScore |
security_result.detection_fields |
|
pid |
principal.process.pid |
원시 로그의 pid 값이 직접 매핑됩니다. |
policy |
network.direction |
policy이 'inbound'인 경우 UDM 필드가 'INBOUND'로 설정됩니다. policy이 'outbound'인 경우 UDM 필드가 'OUTBOUND'로 설정됩니다. |
policyRoutes |
additional.fields[].key: 'PolicyRoutes'additional_fields[].value.list_value.values[].string_value: policyRoutes의 값 |
원시 로그의 policyRoutes 값이 additional_fields에 목록으로 배치됩니다. |
profile |
additional.fields[].key: 'profile'additional_fields[].value.string_value: 프로필 값 |
원시 로그의 profile 값이 additional_fields에 배치됩니다. |
prot |
proto |
prot 값이 protocol로 추출되고 대문자로 변환된 후 proto에 매핑됩니다. |
proto |
network.application_protocol |
proto 값 (또는 prot에서 파생된 값)이 매핑됩니다. 값이 'ESMTP'인 경우 매핑 전에 'SMTP'로 변경됩니다. |
querydepth |
additional.fields[].key: 'querydepth'additional_fields[].value.string_value: querydepth 값 |
원시 로그의 querydepth 값이 additional_fields에 배치됩니다. |
queryEndTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
qid |
additional.fields[].key: 'qid'additional_fields[].value.string_value: qid 값 |
원시 로그의 qid 값이 additional_fields에 배치됩니다. |
quarantineFolder |
security_result.priority 또는 security_result.detection_fields |
quarantineFolder이 'low priority' 또는 'high priority'와 같은 경우 UDM 필드 security_result.priority에 매핑하고, 그렇지 않은 경우 security_result.detection_fields에 매핑합니다. |
rcpt/rcpts |
network.email.to |
rcpt이 있고 유효한 이메일 주소인 경우 to 필드로 병합됩니다. rcpts에도 동일한 로직이 적용됩니다. |
recipient |
target.user.email_addresses |
원시 로그의 recipient 값이 직접 매핑됩니다. |
relay |
intermediary.hostnameintermediary.ip |
relay 필드가 파싱되어 호스트 이름과 IP 주소가 추출된 후 각각 intermediary.hostname 및 intermediary.ip에 매핑됩니다. |
replyToAddress |
network.email.reply_to |
원시 로그의 replyToAddress 값이 직접 매핑됩니다. |
result |
security_result.action |
result이 'pass'인 경우 UDM 필드가 'ALLOW'로 설정됩니다. result이 'fail'인 경우 UDM 필드가 'BLOCK'으로 설정됩니다. |
routes |
additional.fields[].key: 'routes'additional_fields[].value.string_value: 경로 값 |
원시 로그의 routes 값이 additional_fields에 배치됩니다. |
s |
network.session_id |
원시 로그의 s 값이 직접 매핑됩니다. |
sandboxStatus |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
selector |
additional.fields[].key: 'selector'additional_fields[].value.string_value: 선택기의 값 |
원시 로그의 selector 값이 additional_fields에 배치됩니다. |
sender |
principal.user.email_addresses |
원시 로그의 sender 값이 직접 매핑됩니다. |
senderIP |
principal.asset.ipprincipal.ip 또는 about.ip |
클릭 이벤트 내에 있는 경우 about.ip에 매핑됩니다. 그렇지 않으면 principal.asset.ip 및 principal.ip에 매핑됩니다. |
sha256 |
security_result.about.file.sha256 또는 about.file.sha256 |
threatInfoMap 내에 있는 경우 security_result.about.file.sha256에 매핑됩니다. 그렇지 않으면 about.file.sha256에 매핑됩니다. |
size |
principal.process.file.size 또는 additional.fields[].key: 'messageSize'additional_fields[].value.number_value: messageSize 값 |
메시지 이벤트 내에 있는 경우 additional.fields[].messageSize에 매핑되고 부호 없는 정수로 변환됩니다. 그렇지 않으면 principal.process.file.size에 매핑되고 부호 없는 정수로 변환됩니다. |
spamScore |
security_result.detection_fields |
|
stat |
additional.fields[].key: 'status'additional_fields[].value.string_value: 통계 값 |
원시 로그의 stat 값이 additional_fields에 배치됩니다. |
status |
additional.fields[].key: 'status'additional_fields[].value.string_value: 상태 값 |
원시 로그에서 status 값 (따옴표 삭제 후)이 additional_fields에 배치됩니다. |
sts |
network.http.response_code |
원시 로그의 sts 값이 직접 매핑되고 정수로 변환됩니다. |
subject |
network.email.subject |
따옴표를 삭제한 후 원시 로그의 subject 값이 직접 매핑됩니다. |
threatID |
security_result.threat_id |
원시 로그의 threatID 값이 직접 매핑됩니다. |
threatStatus |
security_result.threat_status |
원시 로그의 threatStatus 값이 직접 매핑됩니다. |
threatTime |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
threatType |
security_result.threat_name |
원시 로그의 threatType 값이 직접 매핑됩니다. |
threatUrl/threatURL |
security_result.url_back_to_product |
원시 로그의 threatUrl 또는 threatURL 값이 직접 매핑됩니다. |
threatsInfoMap |
security_result (반복됨) |
threatsInfoMap 배열의 각 객체는 별도의 security_result 객체에 매핑됩니다. |
tls |
network.tls.cipher |
cipher이 없거나 'NONE'인 경우 tls 값이 'NONE'이 아니면 사용됩니다. |
tls_verify/verify |
security_result.action |
verify이 있으면 해당 값을 사용하여 작업을 결정합니다. 그렇지 않으면 tls_verify이 사용됩니다. 'FAIL'은 'BLOCK'에 매핑되고 'OK'는 'ALLOW'에 매핑됩니다. |
tls_version/version |
network.tls.version |
tls_version이 있고 'NONE'이 아닌 경우 해당 값이 사용됩니다. 그렇지 않고 version이 'TLS'와 일치하면 해당 값이 사용됩니다. |
to |
network.email.to |
to 값 (< 및 > 문자 삭제 후)이 매핑됩니다. 유효한 이메일 주소가 아닌 경우 additional_fields에 추가됩니다. |
toAddresses |
network.email.to |
원시 로그의 toAddresses 값이 직접 매핑됩니다. |
timestamp.seconds |
metadata.event_timestamp.seconds |
원시 로그의 timestamp.seconds 값이 직접 매핑됩니다. |
type |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
url |
target.url 또는 principal.url |
클릭 이벤트 내에 있는 경우 target.url에 매핑됩니다. 그렇지 않으면 principal.url에 매핑됩니다. |
userAgent |
network.http.user_agent |
원시 로그의 userAgent 값이 직접 매핑됩니다. |
uri |
principal.url |
path이 없으면 uri 값이 사용됩니다. |
value |
network.email.from |
from 및 hfrom이 유효한 이메일 주소가 아니고 value이 유효한 이메일 주소인 경우 (< 및 > 문자 삭제 후) 매핑됩니다. |
vendor |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
verify |
security_result.action |
verify가 있으면 작업을 결정하는 데 사용됩니다. 'NOT'은 'BLOCK'에 매핑되고 다른 값은 'ALLOW'에 매핑됩니다. |
version |
network.tls.version |
tls_version가 없거나 'NONE'이고 version에 'TLS'가 포함되어 있으면 매핑됩니다. |
virusthreat |
security_result.threat_name |
원시 로그의 virusthreat 값이 'unknown'이 아닌 경우 직접 매핑됩니다. |
virusthreatid |
security_result.threat_id |
원시 로그의 virusthreatid 값 (따옴표 삭제 후)이 'unknown'이 아닌 경우 직접 매핑됩니다. |
xmailer |
매핑되지 않음 | 원시 로그에 있지만 이 필드는 제공된 UDM의 IDM 객체에 매핑되지 않습니다. |
UDM 매핑 델타 참조
2025년 9월 9일에 Google SecOps에서 Symantec Endpoint Protection 로그 필드와 UDM 필드의 매핑이 크게 변경되고 이벤트 유형 분류 (매핑)가 업데이트된 새로운 버전의 Symantec Endpoint Protection 파서를 출시했습니다.
로그 필드 매핑 델타
다음 표에는 Symantec Endpoint Protection 로그 필드가 UDM 필드에 매핑되는 방식의 변경사항이 나와 있습니다. 이전 매핑 열에는 2025년 9월 9일 이전에 노출된 필드가 표시되고 현재 매핑 열에는 새 필드가 표시됩니다.
| 로그 필드 | 이전 매핑 | 현재 매핑 |
|---|---|---|
clicks.impostorScore |
additional.fields |
security_result.detection_fields |
clicks.malwareScore |
additional.fields |
security_result.detection_fields |
clicks.phishScore |
additional.fields |
security_result.detection_fields |
clicks.quarantineFolder |
additional.fields |
quarantineFolder이 low priority 또는 high priority와 같은 경우 security_result.priority에 매핑합니다. 그렇지 않으면 security_result.detection_fields로 매핑합니다. |
clicks.quarantineRule |
additional.fields |
security_result.rule_name |
clicks.sender |
about.email |
Not Mapped |
clicks.senderIP |
about.ip |
principal.ip |
clicks.spamScore |
additional.fields |
security_result.detection_fields |
impostorScore |
additional.fields |
security_result.detection_fields |
malwareScore |
additional.fields |
security_result.detection_fields |
msg.impostorScore |
additional.fields |
security_result.detection_fields |
msg.malwareScore |
additional.fields |
security_result.detection_fields |
msg.phishScore |
additional.fields |
security_result.detection_fields |
msg.quarantineFolder |
additional.fields |
quarantineFolder이 low priority 또는 high priority와 같은 경우 security_result.priority에 매핑합니다. 그렇지 않으면 security_result.detection_fields로 매핑합니다. |
msg.quarantineRule |
additional.fields |
security_result.rule_name |
msg.spamScore |
additional.fields |
security_result.detection_fields |
msgPart.contentType |
additional.fields |
Not Mapped |
partData.contentType |
principal.process.file.mime_type |
about.file.mime_type |
partData.disposition |
security_result.detection_fields |
additional.fields |
partData.filename |
principal.process.file.full_path |
about.file.full_path |
partData.md5 |
principal.process.file.md5 |
about.file.md5 |
partData.sha256 |
about.file.sha1 |
about.file.sha256 |
phishScore |
additional.fields |
security_result.detection_fields |
quarantineFolder |
additional.fields |
ifquarantineFolderis equal tolow priorityorhigh prioritythen map to UDM fieldsecurity_result.priorityelse security_result.detection_fields |
spamScore |
additional.fields |
security_result.detection_fields |
이벤트 유형 매핑 델타
이전에 일반 이벤트로 분류되었던 여러 이벤트가 이제 더 의미 있는 이벤트 유형으로 올바르게 분류됩니다.
다음 표에는 2025년 9월 9일 이전과 이후의 Symantec Endpoint Protection 이벤트 유형 처리의 차이가 나와 있습니다 (각각 Old event_type 및 Current event_type 열에 나열됨).
| 형식 | 로그의 eventType | 이전 event_type | 현재 event_type |
|---|---|---|---|
SYSLOG+KV |
로그에 fromAddress, toAddresses, hfrom, from, value,to,rcpt,rcpts 또는 mailer,proto,mod 필드가 있는 경우 |
EMAIL_TRANSACTION |
|
로그에 mail_id 세부정보만 포함된 경우 |
EMAIL_TRANSACTION |
EMAIL_UNCATEGORIZED |
|
CEF 로그 |
eventname= messagesDelivered, messagesBlocked |
EMAIL_TRANSACTION |
|
로그에 emails, sender, headerReplyTo, orig_recipient가 있는 경우 |
USER_UNCATEGORIED |
||
로그에 src, host이 있는 경우 |
STATUS_UPDATE |
||
SYSLOG+JSON |
eventname= messagesDelivered, messagesBlocked, clicksPermitted, clicksBlocked |
EMAIL_TRANSACTION |
|
JSON |
record.address |
USER_UNCATEGORIZED |
|
lookalikeDomain.name |
STATUS_UPDATE |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.