Proofpoint On Demand
编辑Proofpoint On Demand
编辑Proofpoint on Demand 是一个基于云的网络安全平台,提供广泛的服务来保护企业免受网络威胁。这包括电子邮件安全、威胁情报、信息保护和合规解决方案。用于 Elastic 的 Proofpoint on Demand 集成可深入了解您的电子邮件安全策略的功能和有效性,使您能够做出明智的决策以提高安全态势。
Proofpoint On Demand 集成使用安全 WebSocket (WSS) 协议进行日志流式传输,收集审计、邮件和消息日志的数据。
数据流
编辑Proofpoint On Demand 集成收集以下三个事件的数据
- 审计
- 邮件
- 消息
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过此方法,您可以安装 Elastic Agent,并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过此方法,您可以安装 Elastic Agent,并在安装它的系统上手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表获得,我们还提供用于在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求。
设置
编辑从 Proofpoint On Demand 日志服务收集数据
编辑集群 ID显示在管理界面的右上角,紧挨着版本号。Proofpoint 将为每个集群提供令牌。
Proofpoint On Demand 日志服务需要远程 Syslog 转发许可证。请参阅有关如何启用它的文档。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航至“管理”>“集成”。
- 在顶部的“搜索集成”栏中,搜索
Proofpoint On Demand。 - 从搜索结果中选择“Proofpoint On Demand”集成。
- 选择“添加 Proofpoint On Demand”以添加集成。
- 添加所有必需的集成配置参数,包括集群 ID 和访问令牌,以启用数据收集。
- 单击“保存并继续”以保存集成。
日志参考
编辑审计
编辑这是 Audit 数据集。
示例
audit 的示例事件如下所示
{
"@timestamp": "2023-10-30T06:13:37.162Z",
"agent": {
"ephemeral_id": "47390a83-5b53-47d7-8583-4e2075c0c3a7",
"id": "8561ea27-9bb2-4207-aed6-dba9ce3b1a40",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "proofpoint_on_demand.audit",
"namespace": "14398",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8561ea27-9bb2-4207-aed6-dba9ce3b1a40",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "login",
"agent_id_status": "verified",
"category": [
"authentication"
],
"dataset": "proofpoint_on_demand.audit",
"id": "792f514f-15cb-480d-825e-e3565d32f928",
"ingested": "2024-07-25T09:11:29Z",
"kind": "event",
"original": "{\"audit\":{\"action\":\"login\",\"level\":\"INFO\",\"resourceType\":\"authorization\",\"tags\":[{\"name\":\"eventSubCategory\",\"value\":\"authorization\"},{\"name\":\"eventDetails\",\"value\":\"\"},{\"name\":\"login.authorization\",\"value\":\"true\"}],\"user\":{\"email\":\"[email protected]\",\"id\":\"a7e6abcd-1234-7901-1234-abcdefc31236\",\"ipAddress\":\"1.128.0.0\"}},\"guid\":\"792f514f-15cb-480d-825e-e3565d32f928\",\"metadata\":{\"customerId\":\"c8215678-6e78-42dd-a327-abcde13f9cff\",\"origin\":{\"data\":{\"agent\":\"89.160.20.128\",\"cid\":\"pphosted_prodmgt_hosted\",\"version\":\"1.0\"},\"schemaVersion\":\"1.0\",\"type\":\"cadmin-api-gateway\"}},\"ts\":\"2023-10-30T06:13:37.162521+0000\"}",
"type": [
"start"
]
},
"input": {
"type": "websocket"
},
"labels": {
"eventSubCategory": "authorization",
"login.authorization": "true"
},
"log": {
"level": "INFO"
},
"observer": {
"ip": [
"89.160.20.128"
],
"name": "pphosted_prodmgt_hosted",
"product": "Proofpoint On Demand",
"vendor": "Proofpoint",
"version": "1.0"
},
"proofpoint_on_demand": {
"audit": {
"action": "login",
"guid": "792f514f-15cb-480d-825e-e3565d32f928",
"level": "INFO",
"metadata": {
"customer_id": "c8215678-6e78-42dd-a327-abcde13f9cff",
"origin": {
"data": {
"agent_ip": "89.160.20.128",
"cid": "pphosted_prodmgt_hosted",
"version": "1.0"
},
"schema_version": "1.0",
"type": "cadmin-api-gateway"
}
},
"resource_type": "authorization",
"tags": [
{
"name": "eventSubCategory",
"value": "authorization"
},
{
"name": "eventDetails"
},
{
"name": "login.authorization",
"value": "true"
}
],
"ts": "2023-10-30T06:13:37.162Z",
"user": {
"email": "[email protected]",
"id": "a7e6abcd-1234-7901-1234-abcdefc31236",
"ip_address": "1.128.0.0"
}
}
},
"related": {
"ip": [
"89.160.20.128",
"1.128.0.0"
],
"user": [
"[email protected]",
"a7e6abcd-1234-7901-1234-abcdefc31236"
]
},
"source": {
"ip": "1.128.0.0",
"user": {
"email": "[email protected]",
"id": "a7e6abcd-1234-7901-1234-abcdefc31236"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"proofpoint_on_demand-audit"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
labels.create.policyRoutes |
keyword |
|
labels.create.threatProtectionApiKeys |
keyword |
|
labels.delete.policyRoutes |
keyword |
|
labels.delete.threatProtectionApiKeys |
keyword |
|
labels.edit.spamDetection.policies |
keyword |
|
labels.eventDetails |
keyword |
|
labels.eventSubCategory |
keyword |
|
labels.execute.search |
keyword |
|
labels.login.authorization |
keyword |
|
labels.logout.authorization |
keyword |
|
labels.read.sendMailSearch |
keyword |
|
log.offset |
日志偏移量。 |
long |
proofpoint_on_demand.audit.action |
资源操作。 |
keyword |
proofpoint_on_demand.audit.guid |
此消息对象的全局唯一标识符。 |
keyword |
proofpoint_on_demand.audit.level |
事件日志级别。 |
keyword |
proofpoint_on_demand.audit.metadata.customer_id |
客户 ID。 |
keyword |
proofpoint_on_demand.audit.metadata.origin.data.agent |
发生审计事件的源主机。 |
keyword |
proofpoint_on_demand.audit.metadata.origin.data.agent_ip |
ip |
|
proofpoint_on_demand.audit.metadata.origin.data.cid |
PPS 部署的集群 ID 许可证。 |
keyword |
proofpoint_on_demand.audit.metadata.origin.data.version |
发布的 PPS 版本。 |
keyword |
proofpoint_on_demand.audit.metadata.origin.schema_version |
此消息负载的架构版本。 |
keyword |
proofpoint_on_demand.audit.metadata.origin.type |
来源的类型,例如 PPS、Cloudmark 等。 |
keyword |
proofpoint_on_demand.audit.metadata.trace.id |
流量统计所需的跟踪 ID 信息。 |
keyword |
proofpoint_on_demand.audit.metadata.trace.ts |
流量统计所需的跟踪时间戳信息。 |
日期 |
proofpoint_on_demand.audit.resource_name |
资源名称。 |
keyword |
proofpoint_on_demand.audit.resource_type |
资源类型。 |
keyword |
proofpoint_on_demand.audit.service.cid |
来自 IDM 服务令牌的集群 ID。 |
keyword |
proofpoint_on_demand.audit.service.customer_id |
服务的客户 ID。 |
keyword |
proofpoint_on_demand.audit.service.id |
IDM 服务 ID。 |
keyword |
proofpoint_on_demand.audit.service.ip_address |
服务的 IP 地址。 |
ip |
proofpoint_on_demand.audit.tags |
嵌套 |
|
proofpoint_on_demand.audit.tags.name |
特定事件实例的标记名称。 |
keyword |
proofpoint_on_demand.audit.tags.value |
与标记名称关联的值。 |
keyword |
proofpoint_on_demand.audit.ts |
要审计的事件发生的时间戳。 |
日期 |
proofpoint_on_demand.audit.user.email |
用户电子邮件地址。 |
keyword |
proofpoint_on_demand.audit.user.id |
用户 ID。 |
keyword |
proofpoint_on_demand.audit.user.ip_address |
用户登录的 IP 地址。 |
ip |
proofpoint_on_demand.audit.user.roles_assigned |
用户授权信息。 |
keyword |
邮件
编辑这是 Mail 数据集。
示例
mail 的示例事件如下所示
{
"@timestamp": "2024-06-19T12:28:32.533Z",
"agent": {
"ephemeral_id": "0cda9434-4fc8-4bab-ad7b-70616889e081",
"id": "8561ea27-9bb2-4207-aed6-dba9ce3b1a40",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "proofpoint_on_demand.mail",
"namespace": "41202",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8561ea27-9bb2-4207-aed6-dba9ce3b1a40",
"snapshot": false,
"version": "8.13.0"
},
"email": {
"to": {
"address": [
"[email protected]"
]
}
},
"event": {
"agent_id_status": "verified",
"category": [
"email"
],
"dataset": "proofpoint_on_demand.mail",
"id": "NABCDefGH0/I1234slqccQ",
"ingested": "2024-07-25T09:12:42Z",
"kind": "event",
"original": "{\"data\":\"2024-06-19T05:28:32.533564-07:00 m0000123 sendmail[17416]: 45ABSW12341234: to=\\[email protected]\\u003e, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, tls_verify=OK, tls_version=TLSv1.2, cipher=ECDHE-RSA-AES256-GCM, pri=121557, relay=test4.example.net. [216.160.83.56], dsn=2.0.0, stat=Sent (Ok: queued)\",\"id\":\"NABCDefGH0/I1234slqccQ\",\"metadata\":{\"customerId\":\"c82abcde-5678-42dd-1234-1234563f9cff\",\"origin\":{\"data\":{\"agent\":\"m0000123.ppops.net\",\"cid\":\"pphosted_prodmgt_hosted\"},\"schemaVersion\":\"20200420\"}},\"pps\":{\"agent\":\"m0000123.ppops.net\",\"cid\":\"pphosted_prodmgt_hosted\"},\"sm\":{\"delay\":\"00:00:00\",\"dsn\":\"2.0.0\",\"mailer\":\"esmtp\",\"pri\":\"121557\",\"qid\":\"45ABSW12341234\",\"relay\":\"test4.example.net. [216.160.83.56]\",\"stat\":\"Sent (Ok: queued)\",\"to\":[\"\\[email protected]\\u003e\"],\"xdelay\":\"00:00:00\"},\"tls\":{\"cipher\":\"ECDHE-RSA-AES256-GCM\",\"verify\":\"OK\",\"version\":\"TLSv1.2\"},\"ts\":\"2024-06-19T05:28:32.533564-0700\"}",
"outcome": "success",
"type": [
"info"
]
},
"input": {
"type": "websocket"
},
"message": "2024-06-19T05:28:32.533564-07:00 m0000123 sendmail[17416]: 45ABSW12341234: to=<[email protected]>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, tls_verify=OK, tls_version=TLSv1.2, cipher=ECDHE-RSA-AES256-GCM, pri=121557, relay=test4.example.net. [216.160.83.56], dsn=2.0.0, stat=Sent (Ok: queued)",
"observer": {
"hostname": "m0000123.ppops.net",
"name": "pphosted_prodmgt_hosted",
"product": "Proofpoint On Demand",
"type": "mail-gateway",
"vendor": "Proofpoint"
},
"proofpoint_on_demand": {
"mail": {
"data": "2024-06-19T05:28:32.533564-07:00 m0000123 sendmail[17416]: 45ABSW12341234: to=<[email protected]>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, tls_verify=OK, tls_version=TLSv1.2, cipher=ECDHE-RSA-AES256-GCM, pri=121557, relay=test4.example.net. [216.160.83.56], dsn=2.0.0, stat=Sent (Ok: queued)",
"id": "NABCDefGH0/I1234slqccQ",
"metadata": {
"origin": {
"data": {
"agent": "m0000123.ppops.net",
"cid": "pphosted_prodmgt_hosted"
}
}
},
"pps": {
"agent": "m0000123.ppops.net",
"cid": "pphosted_prodmgt_hosted"
},
"sm": {
"delay": "00:00:00",
"dsn": "2.0.0",
"mailer": "esmtp",
"priority": 121557,
"qid": "45ABSW12341234",
"relay": "test4.example.net. [216.160.83.56]",
"status": "Sent (Ok: queued)",
"to": [
"[email protected]"
],
"xdelay": "00:00:00"
},
"tls": {
"cipher": "ECDHE-RSA-AES256-GCM",
"verify": "OK",
"version": "TLSv1.2"
},
"ts": "2024-06-19T12:28:32.533Z"
}
},
"related": {
"hosts": [
"m0000123.ppops.net"
],
"user": [
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"proofpoint_on_demand-mail"
],
"tls": {
"cipher": "ECDHE-RSA-AES256-GCM",
"version": "1.2",
"version_protocol": "tls"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
proofpoint_on_demand.mail.data |
对应于 maillog 中的一行日志的原始数据。 |
keyword |
proofpoint_on_demand.mail.id |
对象的唯一 ID。 |
keyword |
proofpoint_on_demand.mail.metadata.origin.data.agent |
keyword |
|
proofpoint_on_demand.mail.metadata.origin.data.cid |
keyword |
|
proofpoint_on_demand.mail.metadata.origin.data.version |
keyword |
|
proofpoint_on_demand.mail.pps.agent |
产生邮件日志行的源代理的 FQDN。 |
keyword |
proofpoint_on_demand.mail.pps.cid |
数据日志行来源的集群 ID。 |
keyword |
proofpoint_on_demand.mail.pps.version |
keyword |
|
proofpoint_on_demand.mail.sm.auth |
keyword |
|
proofpoint_on_demand.mail.sm.class |
消息的类(即,数字优先级)。 |
long |
proofpoint_on_demand.mail.sm.ctladdr |
“控制用户”,即用于传递的用户凭据的名称。 |
keyword |
proofpoint_on_demand.mail.sm.daemon |
来自 DaemonPortOptions 设置的守护程序名称。 |
keyword |
proofpoint_on_demand.mail.sm.delay |
总消息延迟:(接收和最终传递或退回之间的时差)。格式为延迟=HH:MM::SS,表示延迟小于一天,延迟=天数+HH:MM::SS,表示延迟大于一天。 |
keyword |
proofpoint_on_demand.mail.sm.dsn |
如果可用,则为增强的错误代码 (RFC2034)。 |
keyword |
proofpoint_on_demand.mail.sm.from |
信封发件人地址。 |
keyword |
proofpoint_on_demand.mail.sm.mailer |
用于向此收件人传递邮件的邮件程序的名称。 |
keyword |
proofpoint_on_demand.mail.sm.msgid |
消息的消息 ID(来自标头)。 |
keyword |
proofpoint_on_demand.mail.sm.nrcpts |
此消息的信封收件人数量(在别名和转发之后)。 |
long |
proofpoint_on_demand.mail.sm.priority |
初始消息优先级(用于队列排序)。 |
long |
proofpoint_on_demand.mail.sm.protocol |
用于接收此消息的协议(例如,ESMTP 或 UUCP)。 |
keyword |
proofpoint_on_demand.mail.sm.qid |
日志行对应的 sendmail 队列 ID。 |
keyword |
proofpoint_on_demand.mail.sm.relay |
显示哪个用户或系统发送/接收了消息;格式为 relay=user(a)domain [IP]、relay=user(a)localhost 或 relay=fqdn host。 |
keyword |
proofpoint_on_demand.mail.sm.size_bytes |
DATA 阶段期间传入消息的大小(以字节为单位),包括行尾字符。 |
long |
proofpoint_on_demand.mail.sm.status |
消息的传递状态。 |
keyword |
proofpoint_on_demand.mail.sm.tls.verify |
tls_verify 数据包含在两行日志中。当数据出现在 from= 日志行中时,它描述了 Proofpoint Protection Server 接收消息时的 TLS 结果。当数据出现在 to= 日志行中时,它描述了 Proofpoint Protection Server 发送消息时的 TLS 结果。 |
keyword |
proofpoint_on_demand.mail.sm.to |
此邮件程序的收件人。 |
keyword |
proofpoint_on_demand.mail.sm.xdelay |
消息在最终传递期间传输的总时间。这与 delay= 等式不同,因为 xdelay= 等式仅计算实际最终传递中的时间。 |
keyword |
proofpoint_on_demand.mail.tls.cipher |
keyword |
|
proofpoint_on_demand.mail.tls.verify |
keyword |
|
proofpoint_on_demand.mail.tls.version |
keyword |
|
proofpoint_on_demand.mail.ts |
以 ISO8601 格式记录时间的时戳。 |
日期 |
消息
编辑这是 Message 数据集。
示例
message 的示例事件如下所示
{
"@timestamp": "2024-05-22T19:10:03.058Z",
"agent": {
"ephemeral_id": "6d737326-c5db-4dc6-8693-e42b208cd0fb",
"id": "8561ea27-9bb2-4207-aed6-dba9ce3b1a40",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "proofpoint_on_demand.message",
"namespace": "92037",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "8561ea27-9bb2-4207-aed6-dba9ce3b1a40",
"snapshot": false,
"version": "8.13.0"
},
"email": {
"from": {
"address": [
"\"(Cron Daemon)\" <[email protected]>"
]
},
"message_id": [
"<[email protected]>"
],
"sender": {
"address": "[email protected]"
},
"subject": [
"Cron <pps@m0000123> /opt/proofpoint/resttimer.pl"
],
"to": {
"address": [
"[email protected]"
]
}
},
"event": {
"agent_id_status": "verified",
"category": [
"email"
],
"dataset": "proofpoint_on_demand.message",
"duration": 118720000,
"id": "vRq4ZIFWHXbuABCDEFghij0U4VvIc71x",
"ingested": "2024-07-25T09:13:55Z",
"kind": "event",
"original": "{\"connection\":{\"country\":\"**\",\"helo\":\"m0000123.ppops.net\",\"host\":\"localhost\",\"ip\":\"127.0.0.1\",\"protocol\":\"smtp:smtp\",\"resolveStatus\":\"ok\",\"sid\":\"3y8abcd123\",\"tls\":{\"inbound\":{\"cipher\":\"ECDHE-RSA-AES256-GCM-SHA384\",\"cipherBits\":256,\"version\":\"TLSv1.2\"}}},\"envelope\":{\"from\":\"[email protected]\",\"rcpts\":[\"[email protected]\"]},\"filter\":{\"actions\":[{\"action\":\"accept\",\"isFinal\":true,\"module\":\"access\",\"rule\":\"system\"}],\"delivered\":{\"rcpts\":[\"[email protected]\"]},\"disposition\":\"accept\",\"durationSecs\":0.11872,\"msgSizeBytes\":1127,\"qid\":\"44ABCDm0000123\",\"routeDirection\":\"outbound\",\"routes\":[\"allow_relay\",\"firewallsafe\"],\"suborgs\":{\"rcpts\":[\"0\"],\"sender\":\"0\"},\"verified\":{\"rcpts\":[\"[email protected]\"]}},\"guid\":\"vRq4ZIFWHXbuABCDEFghij0U4VvIc71x\",\"metadata\":{\"origin\":{\"data\":{\"agent\":\"m0000123.ppops.net\",\"cid\":\"pphosted_prodmgt_hosted\",\"version\":\"8.21.0.1358\"}}},\"msg\":{\"header\":{\"from\":[\"\\\"(Cron Daemon)\\\" \\[email protected]\\u003e\"],\"message-id\":[\"\\[email protected]\\u003e\"],\"subject\":[\"Cron \\u003cpps@m0000123\\u003e /opt/proofpoint/resttimer.pl\"],\"to\":[\"[email protected]\"]},\"lang\":\"\",\"normalizedHeader\":{\"from\":[\"\\\"(Cron Daemon)\\\" \\[email protected]\\u003e\"],\"message-id\":[\"[email protected]\"],\"subject\":[\"Cron \\u003cpps@m0000123\\u003e /opt/proofpoint/resttimer.pl\"],\"to\":[\"[email protected]\"]},\"parsedAddresses\":{},\"sizeBytes\":1151},\"msgParts\":[],\"ts\":\"2024-05-22T12:10:03.058340-0700\"}",
"type": [
"info"
]
},
"input": {
"type": "websocket"
},
"network": {
"direction": "outbound",
"protocol": "smtp"
},
"observer": {
"hostname": "m0000123.ppops.net",
"name": "pphosted_prodmgt_hosted",
"product": "Proofpoint On Demand",
"type": "mail-gateway",
"vendor": "Proofpoint",
"version": "8.21.0.1358"
},
"proofpoint_on_demand": {
"message": {
"connection": {
"helo": "m0000123.ppops.net",
"host": "localhost",
"ip": "127.0.0.1",
"protocol": "smtp:smtp",
"resolve_status": "ok",
"sid": "3y8abcd123",
"tls": {
"inbound": {
"cipher": "ECDHE-RSA-AES256-GCM-SHA384",
"cipher_bits": 256,
"version": "TLSv1.2"
}
}
},
"envelope": {
"from": "[email protected]",
"rcpts": [
"[email protected]"
]
},
"filter": {
"actions": [
{
"action": "accept",
"is_final": true,
"module": "access",
"rule": "system"
}
],
"disposition": "accept",
"duration_secs": 0.11872,
"msg_size_bytes": 1127,
"qid": "44ABCDm0000123",
"route_direction": "outbound",
"routes": [
"allow_relay",
"firewallsafe"
],
"verified": {
"rcpts": [
"[email protected]"
]
}
},
"guid": "vRq4ZIFWHXbuABCDEFghij0U4VvIc71x",
"metadata": {
"origin": {
"data": {
"agent": "m0000123.ppops.net",
"cid": "pphosted_prodmgt_hosted",
"version": "8.21.0.1358"
}
}
},
"msg": {
"header": {
"from": [
"\"(Cron Daemon)\" <[email protected]>"
],
"message_id": [
"<[email protected]>"
],
"subject": [
"Cron <pps@m0000123> /opt/proofpoint/resttimer.pl"
],
"to": [
"[email protected]"
]
},
"normalized_header": {
"from": [
"\"(Cron Daemon)\" <[email protected]>"
],
"message_id": [
"[email protected]"
],
"subject": [
"Cron <pps@m0000123> /opt/proofpoint/resttimer.pl"
],
"to": [
"[email protected]"
]
},
"size_bytes": 1151
},
"ts": "2024-05-22T19:10:03.058Z"
}
},
"related": {
"hosts": [
"m0000123.ppops.net",
"localhost"
],
"ip": [
"127.0.0.1"
],
"user": [
"[email protected]",
"\"(Cron Daemon)\" <[email protected]>"
]
},
"source": {
"address": "m0000123.ppops.net",
"domain": "localhost",
"ip": "127.0.0.1"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"proofpoint_on_demand-message"
],
"tls": {
"cipher": "ECDHE-RSA-AES256-GCM-SHA384",
"version": "1.2",
"version_protocol": "tls"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
proofpoint_on_demand.message.action_dkimv.action |
keyword |
|
proofpoint_on_demand.message.action_dkimv.module |
keyword |
|
proofpoint_on_demand.message.action_dkimv.rule |
keyword |
|
proofpoint_on_demand.message.action_dmarc.action |
keyword |
|
proofpoint_on_demand.message.action_dmarc.module |
keyword |
|
proofpoint_on_demand.message.action_dmarc.rule |
keyword |
|
proofpoint_on_demand.message.action_spf.action |
keyword |
|
proofpoint_on_demand.message.action_spf.module |
keyword |
|
proofpoint_on_demand.message.action_spf.rule |
keyword |
|
proofpoint_on_demand.message.connection.country |
发件人 IP 的国家/地区代码。 |
keyword |
proofpoint_on_demand.message.connection.helo |
通过 HELO 或 EHLO 命令报告的 FQDN 或 IP。 |
keyword |
proofpoint_on_demand.message.connection.host |
发件人 IP 的反向查找的主机名。 |
keyword |
proofpoint_on_demand.message.connection.ip |
IPv4 或 IPv6 格式的发件人 IP。 |
ip |
proofpoint_on_demand.message.connection.protocol |
连接协议信息。 |
keyword |
proofpoint_on_demand.message.connection.resolve_status |
是否可以使用反向查找解析发件人 IP。 |
keyword |
proofpoint_on_demand.message.connection.sid |
连接/会话对象的 ID;这在 filter.log 中也称为“sid”。 |
keyword |
proofpoint_on_demand.message.connection.tls.inbound.cipher |
检测到的入站 TLS 密码算法。 |
keyword |
proofpoint_on_demand.message.connection.tls.inbound.cipher_bits |
入站 TLS 密码算法强度(以 # 位为单位)。 |
long |
proofpoint_on_demand.message.connection.tls.inbound.policy |
入站 TLS 策略。 |
keyword |
proofpoint_on_demand.message.connection.tls.inbound.version |
入站 TLS 协议版本。 |
keyword |
proofpoint_on_demand.message.envelope.from |
信封发件人。 |
keyword |
proofpoint_on_demand.message.envelope.from_hashed |
keyword |
|
proofpoint_on_demand.message.envelope.rcpts |
信封收件人。 |
keyword |
proofpoint_on_demand.message.envelope.rcpts_hashed |
keyword |
|
proofpoint_on_demand.message.filter.actions.action |
keyword |
|
proofpoint_on_demand.message.filter.actions.is_final |
布尔值 |
|
proofpoint_on_demand.message.filter.actions.module |
keyword |
|
proofpoint_on_demand.message.filter.actions.rule |
keyword |
|
proofpoint_on_demand.message.filter.current_folder |
当前分配邮件的文件夹。 |
keyword |
proofpoint_on_demand.message.filter.disposition |
由 filterd(过滤引擎守护程序)确定的邮件处置字符串。 |
keyword |
proofpoint_on_demand.message.filter.duration_secs |
处理邮件所花费的时间。 |
双精度浮点数 |
proofpoint_on_demand.message.filter.is_msg_encrypted |
邮件是否已加密。 |
布尔值 |
proofpoint_on_demand.message.filter.is_msg_reinjected |
邮件是否已重新注入。 |
布尔值 |
proofpoint_on_demand.message.filter.mid |
邮件 ID。 |
keyword |
proofpoint_on_demand.message.filter.modules.av.virus_names |
AV 模块报告的病毒名称。 |
keyword |
proofpoint_on_demand.message.filter.modules.dkimv.domain |
签名行中的 DKIM d= 值。 |
keyword |
proofpoint_on_demand.message.filter.modules.dkimv.result |
DKIM 结果。 |
keyword |
proofpoint_on_demand.message.filter.modules.dkimv.selector |
签名行中的 DKIM s= 值。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.alignment.from_domain |
来自 MAIL FROM 数据的 DMARC TLD。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.alignment.results.identity |
签名中报告的 DMARC 域标识。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.alignment.results.identity_org |
作为顶级域的 DMARC 标识组织。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.alignment.results.method |
对齐结果对象涉及的 DMARC 方法。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.alignment.results.result |
对齐结果对象涉及的 DMARC 结果。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.email_identities.header.from |
DMARC 授权结果对象的 header.from 电子邮件标识。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.email_identities.smtp.helo |
DMARC 授权结果对象的 smtp.helo 电子邮件标识。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.email_identities.smtp.mailfrom |
DMARC 授权结果对象的 smtp.mailfrom 电子邮件标识。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.email_identities.smtp.mailfrom_hashed |
keyword |
|
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.method |
授权结果方法。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.propspec.header.d |
keyword |
|
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.propspec.header.s |
根据 DMARC 规范,授权结果的属性规范的 header.s 值。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.reason |
授权结果的原因字符串。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.auth_results.result |
授权结果的结果值。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.filterd_result |
汇总的 DMARC 结果(由 filterd 为规则生成,即 $dmarcresult)。 |
keyword |
proofpoint_on_demand.message.filter.modules.dmarc.records |
实际原始 DMARC TXT 记录。 |
嵌套 |
proofpoint_on_demand.message.filter.modules.dmarc.srvid |
filter.cfg 中定义的 DMARC 身份验证服务 ID。 |
keyword |
proofpoint_on_demand.message.filter.modules.pdr.v1.rscore |
PDR(Proofpoint 动态信誉)v1 rscore 值。 |
long |
proofpoint_on_demand.message.filter.modules.pdr.v1.spamscore |
PDR v1 spamscore 值。 |
long |
proofpoint_on_demand.message.filter.modules.pdr.v1.virusscore |
PDR v1 virusscore 值。 |
long |
proofpoint_on_demand.message.filter.modules.pdr.v2.response |
PDR v2 响应状态。 |
keyword |
proofpoint_on_demand.message.filter.modules.pdr.v2.rscore |
PDR v2 rscore 值。 |
long |
proofpoint_on_demand.message.filter.modules.sandbox.error_status |
附件防御错误状态字符串。 |
keyword |
proofpoint_on_demand.message.filter.modules.spam.triggered_classifier |
由策略规则定义并确定垃圾邮件处置的一个垃圾邮件分类器。 |
keyword |
proofpoint_on_demand.message.filter.modules.spf.domain |
keyword |
|
proofpoint_on_demand.message.filter.modules.spf.result |
SPF(发件人策略框架)结果。 |
keyword |
proofpoint_on_demand.message.filter.modules.urldefense.counts.max_limit |
URL 防御模块可以处理的唯一 URL 配置的最大数量。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.no_rewrite.is_content_type_text |
由于“是内容类型文本”,URL 防御未重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.no_rewrite.is_email |
由于“是电子邮件”,URL 防御模块未重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.no_rewrite.is_excluded_domain |
由于“是排除的域”,URL 防御模块未重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.no_rewrite.is_large_msgpart_size |
由于“是大型邮件部分大小”,URL 防御模块未重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.no_rewrite.is_maxlength_exceeded |
由于“超出最大长度”,URL 防御模块未重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.no_rewrite.is_schemeless |
由于“是无模式”,URL 防御模块未重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.no_rewrite.is_unsupported_scheme |
由于“是不支持的模式”,URL 防御模块未重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.rewritten |
URL 防御模块重写的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.total |
URL 防御处理的 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.counts.unique |
URL 防御模块处理的唯一 URL 总数。 |
long |
proofpoint_on_demand.message.filter.modules.urldefense.rewritten_urls |
URL 防御重写的 URL。 |
keyword |
proofpoint_on_demand.message.filter.modules.urldefense.version.engine |
URL 防御模块的引擎版本。 |
keyword |
proofpoint_on_demand.message.filter.modules.zerohour.score |
ZeroHour 威胁评分。 |
keyword |
proofpoint_on_demand.message.filter.msg_size_bytes |
电子邮件的大小(以字节为单位)。 |
long |
proofpoint_on_demand.message.filter.orig_guid |
当前邮件从中拆分的父邮件的 GUID。 |
keyword |
proofpoint_on_demand.message.filter.pe.rcpts |
通过 Proofpoint 加密加密的收件人。 |
keyword |
proofpoint_on_demand.message.filter.pe.rcpts_object |
通过 Proofpoint 加密加密的收件人。 |
嵌套 |
proofpoint_on_demand.message.filter.qid |
sendmail 队列 ID。 |
keyword |
proofpoint_on_demand.message.filter.quarantine.folder |
包含邮件副本的隔离文件夹。 |
keyword |
proofpoint_on_demand.message.filter.quarantine.rule |
导致邮件被隔离的规则。 |
keyword |
proofpoint_on_demand.message.filter.route_direction |
keyword |
|
proofpoint_on_demand.message.filter.routes |
由邮件触发的策略路由。 |
keyword |
proofpoint_on_demand.message.filter.smime.rcpts |
通过 S/MIME 加密的收件人。 |
keyword |
proofpoint_on_demand.message.filter.smime.signed_rcpts |
通过 S/MIME 签名和加密的收件人。 |
keyword |
proofpoint_on_demand.message.filter.start_time |
邮件处理开始的时间戳。 |
日期 |
proofpoint_on_demand.message.filter.suborgs.rcpts |
keyword |
|
proofpoint_on_demand.message.filter.suborgs.sender |
keyword |
|
proofpoint_on_demand.message.filter.throttle_ip |
正在进行速率控制的 IP 地址。 |
ip |
proofpoint_on_demand.message.filter.verified.rcpts |
已验证的收件人。 |
keyword |
proofpoint_on_demand.message.filter.verified.rcpts_hashed |
keyword |
|
proofpoint_on_demand.message.final_action |
keyword |
|
proofpoint_on_demand.message.final_module |
keyword |
|
proofpoint_on_demand.message.final_rule |
keyword |
|
proofpoint_on_demand.message.guid |
邮件对象的全局唯一标识符。 |
keyword |
proofpoint_on_demand.message.metadata.origin.data.agent |
keyword |
|
proofpoint_on_demand.message.metadata.origin.data.cid |
keyword |
|
proofpoint_on_demand.message.metadata.origin.data.version |
keyword |
|
proofpoint_on_demand.message.msg.header.cc |
电子邮件地址的抄送。 |
keyword |
proofpoint_on_demand.message.msg.header.from |
标头发件人。 |
keyword |
proofpoint_on_demand.message.msg.header.from_hashed |
keyword |
|
proofpoint_on_demand.message.msg.header.message_id |
标头 message-id。 |
keyword |
proofpoint_on_demand.message.msg.header.reply_to |
标头回复地址。 |
keyword |
proofpoint_on_demand.message.msg.header.return_path |
标头返回路径地址。 |
keyword |
proofpoint_on_demand.message.msg.header.subject |
标头主题。 |
keyword |
proofpoint_on_demand.message.msg.header.to |
标头收件人。 |
keyword |
proofpoint_on_demand.message.msg.header.to_hashed |
keyword |
|
proofpoint_on_demand.message.msg.lang |
检测到的邮件语言。 |
keyword |
proofpoint_on_demand.message.msg.normalized_header.cc |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.from |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.from_hashed |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.message_id |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.reply_to |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.return_path |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.subject |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.to |
keyword |
|
proofpoint_on_demand.message.msg.normalized_header.to_hashed |
keyword |
|
proofpoint_on_demand.message.msg.parsed_addresses.cc |
keyword |
|
proofpoint_on_demand.message.msg.parsed_addresses.from |
keyword |
|
proofpoint_on_demand.message.msg.parsed_addresses.from_hashed |
keyword |
|
proofpoint_on_demand.message.msg.parsed_addresses.to |
keyword |
|
proofpoint_on_demand.message.msg.parsed_addresses.to_hashed |
keyword |
|
proofpoint_on_demand.message.msg.size_bytes |
原始的、未处理的邮件大小(以字节为单位)。 |
long |
proofpoint_on_demand.message.msg_parts.database64 |
keyword |
|
proofpoint_on_demand.message.msg_parts.detected_charset |
检测到的邮件部分字符集。 |
keyword |
proofpoint_on_demand.message.msg_parts.detected_ext |
检测到的邮件部分扩展名。 |
keyword |
proofpoint_on_demand.message.msg_parts.detected_mime |
检测到的邮件部分 MIME 类型。 |
keyword |
proofpoint_on_demand.message.msg_parts.detected_name |
检测到的邮件部分文件名。 |
keyword |
proofpoint_on_demand.message.msg_parts.detected_size_bytes |
检测到的邮件部分文件大小(以字节为单位)。 |
long |
proofpoint_on_demand.message.msg_parts.disposition |
内容处置值。 |
keyword |
proofpoint_on_demand.message.msg_parts.is_archive |
邮件部分是否为存档类型。 |
布尔值 |
proofpoint_on_demand.message.msg_parts.is_corrupted |
邮件部分是否已损坏。 |
布尔值 |
proofpoint_on_demand.message.msg_parts.is_deleted |
邮件部分是否已删除。 |
布尔值 |
proofpoint_on_demand.message.msg_parts.is_protected |
邮件部分是否受密码保护。 |
布尔值 |
proofpoint_on_demand.message.msg_parts.is_timed_out |
消息部分分析或文本提取是否超时。 |
布尔值 |
proofpoint_on_demand.message.msg_parts.is_virtual |
消息部分是否为虚拟(存档类型附件中的文件成员)。 |
布尔值 |
proofpoint_on_demand.message.msg_parts.labeled_charset |
给定的消息部分的字符集。 |
keyword |
proofpoint_on_demand.message.msg_parts.labeled_ext |
给定的附件扩展名。 |
keyword |
proofpoint_on_demand.message.msg_parts.labeled_mime |
给定的消息部分的检测到的 MIME 类型。 |
keyword |
proofpoint_on_demand.message.msg_parts.labeled_name |
给定的消息部分的名称。 |
keyword |
proofpoint_on_demand.message.msg_parts.md5 |
消息部分的 MD5 ID。 |
keyword |
proofpoint_on_demand.message.msg_parts.metadata |
cvtd(文档提取引擎的接口)报告的消息部分的元数据。 |
对象 |
proofpoint_on_demand.message.msg_parts.sandbox_status |
消息部分的沙箱模块状态。 |
keyword |
proofpoint_on_demand.message.msg_parts.sha256 |
消息部分的 SHA256 ID。 |
keyword |
proofpoint_on_demand.message.msg_parts.size_decoded_bytes |
解码后的消息部分的大小(以字节为单位)。 |
long |
proofpoint_on_demand.message.msg_parts.structure_id |
消息部分相对于容器类型附件的结构 ID。 |
keyword |
proofpoint_on_demand.message.msg_parts.text_extracted |
keyword |
|
proofpoint_on_demand.message.msg_parts.urls.is_rewritten |
URL 是否被 URL Defense 重写。 |
布尔值 |
proofpoint_on_demand.message.msg_parts.urls.not_rewritten_reason |
相应的 URL 未被 URL Defense 重写的原因。 如果它被重写,则该值为空字符串。 |
keyword |
proofpoint_on_demand.message.msg_parts.urls.src |
检测到 URL 的 PPS 源。 |
keyword |
proofpoint_on_demand.message.msg_parts.urls.url |
在相应的消息部分中找到的 URL。 |
keyword |
proofpoint_on_demand.message.pps.agent |
接收电子邮件的来源/MFA 主机。 |
keyword |
proofpoint_on_demand.message.pps.cid |
PPS 部署的集群 ID 许可证。 |
keyword |
proofpoint_on_demand.message.pps.version |
发布的 PPS 版本。 |
keyword |
proofpoint_on_demand.message.ts |
日期 |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) 错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
0.1.1 |
错误修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |