Proofpoint TAP
编辑Proofpoint TAP
编辑Proofpoint TAP 集成从 Proofpoint TAP REST API 收集和解析数据。
兼容性
编辑此模块已针对 SIEM API v2 进行测试。
配置
编辑服务主体和密钥用于向 SIEM API 验证身份。要生成 TAP 服务凭据,请按照以下步骤操作。
- 登录到 TAP 仪表板。
- 导航至 设置 > 连接的应用程序。
- 点击 创建新凭据。
- 为新的凭据集命名,然后点击 生成。
- 复制 服务主体 和 密钥 并保存以供以后使用。
有关生成 TAP 凭据的更多信息,请按照链接 生成 TAP 服务凭据 中提到的步骤进行操作。
日志
编辑阻止的点击
编辑这是 clicks_blocked 数据集。
对于 clicks_blocked 数据集,source.ip 对应于 Proofpoint senderIP - 电子邮件发送者的 IP,destination.ip 对应于 clickIP - 点击目标的 IP。
示例
clicks_blocked 的示例事件如下所示
{
"@timestamp": "2022-03-30T10:11:12.000Z",
"agent": {
"ephemeral_id": "ae779a95-f06b-4c4b-b5ef-85bd0374ec45",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "proofpoint_tap.clicks_blocked",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.112"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"email": {
"from": {
"address": [
"[email protected]"
]
},
"message_id": "[email protected]",
"to": {
"address": [
"[email protected]"
]
}
},
"event": {
"action": [
"denied"
],
"agent_id_status": "verified",
"category": [
"email"
],
"created": "2023-09-22T17:31:59.691Z",
"dataset": "proofpoint_tap.clicks_blocked",
"id": "a5c9f8bb-1234-1234-1234-dx9xxx2xx9xxx",
"ingested": "2023-09-22T17:32:02Z",
"kind": "event",
"original": "{\"GUID\":\"ZcxxxxVxyxFxyxLxxxDxVxx4xxxxx\",\"campaignId\":\"46x01x8x-x899-404x-xxx9-111xx393d1x7\",\"classification\":\"malware\",\"clickIP\":\"89.160.20.112\",\"clickTime\":\"2022-03-30T10:11:12.000Z\",\"id\":\"a5c9f8bb-1234-1234-1234-dx9xxx2xx9xxx\",\"messageID\":\"[email protected]\",\"recipient\":\"[email protected]\",\"sender\":\"[email protected]\",\"senderIP\":\"81.2.69.143\",\"threatID\":\"502b7xxxx0x5x1x3xb6xcxexbxxxxxxxcxxexc6xbxxxxxxdx7fxcx6x9xxxx9xdxxxxxxxx5f\",\"threatStatus\":\"active\",\"threatTime\":\"2022-03-21T14:40:31.000Z\",\"threatURL\":\"https://threatinsight.proofpoint.com/a2abc123-1234-1234-1234-babcded1234/threat/email/502xxxxxxxxxcebxxxxxxxxxxa04277xxxxx5dxc6xxxxxxxxx5f\",\"url\":\"https://www.example.com/abcdabcd123?query=0\",\"userAgent\":\"Mozilla/5.0 (iPhone; CPU iPhone OS 14_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) GSA/199.0.427504638 Mobile/15E148 Safari/604.1\"}",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"proofpoint_tap": {
"clicks_blocked": {
"campaign_id": "46x01x8x-x899-404x-xxx9-111xx393d1x7",
"classification": "malware",
"threat": {
"id": "502b7xxxx0x5x1x3xb6xcxexbxxxxxxxcxxexc6xbxxxxxxdx7fxcx6x9xxxx9xdxxxxxxxx5f",
"status": "active",
"time": "2022-03-21T14:40:31.000Z",
"url": "https://threatinsight.proofpoint.com/a2abc123-1234-1234-1234-babcded1234/threat/email/502xxxxxxxxxcebxxxxxxxxxxa04277xxxxx5dxc6xxxxxxxxx5f"
}
},
"guid": "ZcxxxxVxyxFxyxLxxxDxVxx4xxxxx"
},
"related": {
"ip": [
"81.2.69.143",
"89.160.20.112"
]
},
"source": {
"ip": "81.2.69.143"
},
"tags": [
"preserve_original_event",
"forwarded",
"proofpoint_tap-clicks_blocked"
],
"url": {
"domain": "www.example.com",
"full": "https://www.example.com/abcdabcd123?query=0",
"path": "/abcdabcd123",
"query": "query=0",
"scheme": "https"
},
"user_agent": {
"device": {
"name": "iPhone"
},
"name": "Google",
"original": "Mozilla/5.0 (iPhone; CPU iPhone OS 14_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) GSA/199.0.427504638 Mobile/15E148 Safari/604.1",
"os": {
"full": "iOS 14.6",
"name": "iOS",
"version": "14.6"
},
"version": "199.0.427504638"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
proofpoint_tap.clicks_blocked.campaign_id |
威胁所属活动的标识符(如果查询时可用)。威胁可以链接到活动,即使这些事件已被检索。 |
关键字 |
proofpoint_tap.clicks_blocked.classification |
恶意 URL 的威胁类别。 |
关键字 |
proofpoint_tap.clicks_blocked.click_time |
用户点击 URL 的时间。 |
日期 |
proofpoint_tap.clicks_blocked.sender_ip |
发送者的 IP 地址。 |
IP |
proofpoint_tap.clicks_blocked.threat.id |
与此威胁关联的唯一标识符。它可以用于查询取证和活动端点。 |
关键字 |
proofpoint_tap.clicks_blocked.threat.status |
威胁的当前状态。 |
关键字 |
proofpoint_tap.clicks_blocked.threat.time |
Proofpoint 在此时将 URL 识别为威胁。 |
日期 |
proofpoint_tap.clicks_blocked.threat.url |
指向 TAP 仪表板上特定威胁条目的链接。 |
关键字 |
proofpoint_tap.guid |
消息在 PPS 中的 ID。它可用于在 PPS 中标识消息,并保证是唯一的。 |
关键字 |
允许的点击
编辑这是 clicks_permitted 数据集。
对于 clicks_permitted 数据集,source.ip 对应于 Proofpoint senderIP - 电子邮件发送者的 IP,destination.ip 对应于 clickIP - 点击目标的 IP。
示例
clicks_permitted 的示例事件如下所示
{
"@timestamp": "2022-03-21T20:39:37.000Z",
"agent": {
"ephemeral_id": "9ed6d678-8adf-4976-bd88-2df7b0511246",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "proofpoint_tap.clicks_permitted",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.112"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"email": {
"from": {
"address": [
"[email protected]"
]
},
"message_id": "[email protected]",
"to": {
"address": [
"[email protected]"
]
}
},
"event": {
"action": [
"allowed"
],
"agent_id_status": "verified",
"category": [
"email"
],
"created": "2023-09-22T17:32:59.985Z",
"dataset": "proofpoint_tap.clicks_permitted",
"id": "de7eef56-1234-1234-1234-5xxfx7xxxdxxxx",
"ingested": "2023-09-22T17:33:02Z",
"kind": "event",
"original": "{\"GUID\":\"cTxxxxxxzx7xxxxxxxxxx8x4xwxx\",\"campaignId\":\"46x01x8x-x899-404x-xxx9-111xx393d1x7\",\"classification\":\"phish\",\"clickIP\":\"89.160.20.112\",\"clickTime\":\"2022-03-21T20:39:37.000Z\",\"id\":\"de7eef56-1234-1234-1234-5xxfx7xxxdxxxx\",\"messageID\":\"[email protected]\",\"recipient\":\"[email protected]\",\"sender\":\"[email protected]\",\"senderIP\":\"81.2.69.143\",\"threatID\":\"92c17aaxxxxxxxxxx07xx7xxxx9xexcx3x3xxxxxx8xx3xxxx\",\"threatStatus\":\"active\",\"threatTime\":\"2022-03-30T10:05:57.000Z\",\"threatURL\":\"https://threatinsight.proofpoint.com/a2abc123-1234-1234-1234-babcded1234/threat/email/92c17aaxxxxxxxxxx07xx7xxxx9xexcx3x3xxxxxx8xx3xxxx\",\"url\":\"https://example.com/collab/?id=x4x3x6xsx1xxxx8xEdxexnxxxaxX\",\"userAgent\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.46\"}",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"proofpoint_tap": {
"clicks_permitted": {
"campaign_id": "46x01x8x-x899-404x-xxx9-111xx393d1x7",
"classification": "phish",
"threat": {
"id": "92c17aaxxxxxxxxxx07xx7xxxx9xexcx3x3xxxxxx8xx3xxxx",
"status": "active",
"time": "2022-03-30T10:05:57.000Z",
"url": "https://threatinsight.proofpoint.com/a2abc123-1234-1234-1234-babcded1234/threat/email/92c17aaxxxxxxxxxx07xx7xxxx9xexcx3x3xxxxxx8xx3xxxx"
}
},
"guid": "cTxxxxxxzx7xxxxxxxxxx8x4xwxx"
},
"related": {
"ip": [
"81.2.69.143",
"89.160.20.112"
]
},
"source": {
"ip": "81.2.69.143"
},
"tags": [
"preserve_original_event",
"forwarded",
"proofpoint_tap-clicks_permitted"
],
"url": {
"domain": "example.com",
"full": "https://example.com/collab/?id=x4x3x6xsx1xxxx8xEdxexnxxxaxX",
"path": "/collab/",
"query": "id=x4x3x6xsx1xxxx8xEdxexnxxxaxX",
"scheme": "https"
},
"user_agent": {
"device": {
"name": "Other"
},
"name": "Edge",
"original": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.46",
"os": {
"full": "Windows 10",
"name": "Windows",
"version": "10"
},
"version": "99.0.1150.46"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
proofpoint_tap.clicks_permitted.campaign_id |
威胁所属活动的标识符(如果查询时可用)。威胁可以链接到活动,即使这些事件已被检索。 |
关键字 |
proofpoint_tap.clicks_permitted.classification |
恶意 URL 的威胁类别。 |
关键字 |
proofpoint_tap.clicks_permitted.click_time |
用户点击 URL 的时间。 |
日期 |
proofpoint_tap.clicks_permitted.sender_ip |
发送者的 IP 地址。 |
IP |
proofpoint_tap.clicks_permitted.threat.id |
与此威胁关联的唯一标识符。它可以用于查询取证和活动端点。 |
关键字 |
proofpoint_tap.clicks_permitted.threat.status |
威胁的当前状态。 |
关键字 |
proofpoint_tap.clicks_permitted.threat.time |
Proofpoint 在此时将 URL 识别为威胁。 |
日期 |
proofpoint_tap.clicks_permitted.threat.url |
指向 TAP 仪表板上特定威胁条目的链接。 |
关键字 |
proofpoint_tap.guid |
消息在 PPS 中的 ID。它可用于在 PPS 中标识消息,并保证是唯一的。 |
关键字 |
阻止的消息
编辑这是 message_blocked 数据集。
示例
message_blocked 的示例事件如下所示
{
"@timestamp": "2021-11-25T09:10:00.050Z",
"agent": {
"ephemeral_id": "2738078c-875f-4284-984f-5858cbba75c9",
"id": "633dac72-aecd-41d9-88df-dd066a3b83ea",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "proofpoint_tap.message_blocked",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "633dac72-aecd-41d9-88df-dd066a3b83ea",
"snapshot": false,
"version": "8.13.0"
},
"email": {
"attachments": [
{
"file": {
"hash": {
"md5": "b10a8db164e0754105b7a99be72e3fe5",
"sha256": "a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e"
},
"mime_type": "text/plain",
"name": "text.txt"
}
},
{
"file": {
"hash": {
"md5": "b10a8db164e0754105b7a99be72e3fe5",
"sha256": "a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e"
},
"mime_type": "application/pdf",
"name": "text.pdf"
}
}
],
"cc": {
"address": [
"[email protected]"
]
},
"delivery_timestamp": "2021-11-25T09:10:00.050Z",
"from": {
"address": [
"[email protected]"
]
},
"message_id": "[email protected]",
"sender": {
"address": "[email protected]"
},
"subject": "Please find a totally safe invoice attached.",
"to": {
"address": [
"[email protected]",
"[email protected]"
]
},
"x_mailer": "Spambot v2.5"
},
"event": {
"action": [
"denied"
],
"agent_id_status": "verified",
"category": [
"email"
],
"created": "2024-04-03T23:27:42.516Z",
"dataset": "proofpoint_tap.message_blocked",
"ingested": "2024-04-03T23:27:46Z",
"kind": "event",
"original": "{\"GUID\":\"x11xxxx1-12f9-111x-x12x-1x1x123456xx\",\"QID\":\"x2XXxXXX111111\",\"ccAddresses\":[\"[email protected]\"],\"clusterId\":\"pharmtech_hosted\",\"completelyRewritten\":\"true\",\"fromAddress\":\"[email protected]\",\"headerCC\":\"\\\"Example Abc\\\" \\[email protected]\\u003e\",\"headerFrom\":\"\\\"A. Bc\\\" \\[email protected]\\u003e\",\"headerReplyTo\":null,\"headerTo\":\"\\\"Aa Bb\\\" \\[email protected]\\u003e; \\\"Hey Hello\\\" \\[email protected]\\u003e\",\"impostorScore\":0,\"malwareScore\":100,\"messageID\":\"[email protected]\",\"messageParts\":[{\"contentType\":\"text/plain\",\"disposition\":\"inline\",\"filename\":\"text.txt\",\"md5\":\"b10a8db164e0754105b7a99be72e3fe5\",\"oContentType\":\"text/plain\",\"sandboxStatus\":\"unsupported\",\"sha256\":\"a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e\"},{\"contentType\":\"application/pdf\",\"disposition\":\"attached\",\"filename\":\"text.pdf\",\"md5\":\"b10a8db164e0754105b7a99be72e3fe5\",\"oContentType\":\"application/pdf\",\"sandboxStatus\":\"threat\",\"sha256\":\"a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e\"}],\"messageTime\":\"2021-11-25T09:10:00.050Z\",\"modulesRun\":[\"pdr\",\"sandbox\",\"spam\",\"urldefense\"],\"phishScore\":46,\"policyRoutes\":[\"default_inbound\",\"executives\"],\"quarantineFolder\":\"Attachment Defense\",\"quarantineRule\":\"module.sandbox.threat\",\"recipient\":[\"[email protected]\",\"[email protected]\"],\"replyToAddress\":null,\"sender\":\"[email protected]\",\"senderIP\":\"175.16.199.1\",\"spamScore\":4,\"subject\":\"Please find a totally safe invoice attached.\",\"threatsInfoMap\":[{\"campaignId\":\"46x01x8x-x899-404x-xxx9-111xx393d1x7\",\"classification\":\"MALWARE\",\"threat\":\"a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e\",\"threatId\":\"2xxx740f143fc1aa4c1cd0146d334x5593b1428x6x062b2c406e5efe8xxx95xx\",\"threatStatus\":\"active\",\"threatTime\":\"2021-11-25T09:10:00.050Z\",\"threatType\":\"ATTACHMENT\",\"threatUrl\":\"https://www.example.com/?name=john\"},{\"campaignId\":\"46x01x8x-x899-404x-xxx9-111xx393d1x7\",\"classification\":\"MALWARE\",\"threat\":\"example.com\",\"threatId\":\"3xx97xx852c66a7xx761450xxxxxx9f4ffab74715b591294f78b5e37a76481xx\",\"threatTime\":\"2021-07-20T05:00:00.050Z\",\"threatType\":\"URL\",\"threatUrl\":\"https://www.example.com/?name=john\"}],\"toAddresses\":[\"[email protected]\",\"[email protected]\"],\"xmailer\":\"Spambot v2.5\"}",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"proofpoint_tap": {
"guid": "x11xxxx1-12f9-111x-x12x-1x1x123456xx",
"message_blocked": {
"completely_rewritten": "true",
"header": {
"cc": "\"Example Abc\" <[email protected]>",
"from": "\"A. Bc\" [email protected]",
"to": "\"Aa Bb\" <[email protected]>; \"Hey Hello\" <[email protected]>"
},
"impostor_score": 0,
"malware_score": 100,
"message_parts": [
{
"disposition": "inline",
"o_content_type": "text/plain",
"sandbox_status": "unsupported"
},
{
"disposition": "attached",
"o_content_type": "application/pdf",
"sandbox_status": "threat"
}
],
"modules_run": [
"pdr",
"sandbox",
"spam",
"urldefense"
],
"phish_score": 46,
"policy_routes": [
"default_inbound",
"executives"
],
"qid": "x2XXxXXX111111",
"quarantine": {
"folder": "Attachment Defense",
"rule": "module.sandbox.threat"
},
"recipient": [
"[email protected]",
"[email protected]"
],
"spam_score": 4,
"threat_info_map": [
{
"campaign_id": "46x01x8x-x899-404x-xxx9-111xx393d1x7",
"classification": "MALWARE",
"threat": {
"artifact": "a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e",
"id": "2xxx740f143fc1aa4c1cd0146d334x5593b1428x6x062b2c406e5efe8xxx95xx",
"status": "active",
"time": "2021-11-25T09:10:00.050Z",
"type": "ATTACHMENT",
"url": "https://www.example.com/?name=john"
}
},
{
"campaign_id": "46x01x8x-x899-404x-xxx9-111xx393d1x7",
"classification": "MALWARE",
"threat": {
"artifact": "example.com",
"id": "3xx97xx852c66a7xx761450xxxxxx9f4ffab74715b591294f78b5e37a76481xx",
"time": "2021-07-20T05:00:00.050Z",
"type": "URL",
"url": "https://www.example.com/?name=john"
}
}
],
"to_addresses": [
"[email protected]",
"[email protected]"
]
}
},
"related": {
"hash": [
"b10a8db164e0754105b7a99be72e3fe5",
"a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e"
],
"ip": [
"175.16.199.1"
]
},
"source": {
"geo": {
"city_name": "Changchun",
"continent_name": "Asia",
"country_iso_code": "CN",
"country_name": "China",
"location": {
"lat": 43.88,
"lon": 125.3228
},
"region_iso_code": "CN-22",
"region_name": "Jilin Sheng"
},
"ip": "175.16.199.1"
},
"tags": [
"preserve_original_event",
"forwarded",
"proofpoint_tap-message_blocked"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
proofpoint_tap.guid |
消息在 PPS 中的 ID。它可用于在 PPS 中标识消息,并保证是唯一的。 |
关键字 |
proofpoint_tap.message_blocked.cluster |
处理消息的 PPS 集群的名称。 |
关键字 |
proofpoint_tap.message_blocked.completely_rewritten |
消息的重写状态。如果值为 *true*,则消息中所有 URL 威胁实例都已成功重写。如果该值为 *false*,则至少有一个威胁 URL 的实例未重写。如果该值为 *na*,则消息不包含任何基于 URL 的威胁。 |
关键字 |
proofpoint_tap.message_blocked.header.cc |
关键字 |
|
proofpoint_tap.message_blocked.header.from |
From: 标头的完整内容,包括任何友好名称。 |
关键字 |
proofpoint_tap.message_blocked.header.replyto |
如果存在,Reply-To: 标头的完整内容,包括任何友好名称。 |
关键字 |
proofpoint_tap.message_blocked.header.to |
关键字 |
|
proofpoint_tap.message_blocked.impostor_score |
消息的冒名顶替者分数。较高的分数表示较高的确定性。 |
双精度 |
proofpoint_tap.message_blocked.malware_score |
消息的恶意软件分数。较高的分数表示较高的确定性。 |
长整型 |
proofpoint_tap.message_blocked.message_parts.disposition |
如果值为 *inline*,则 messagePart 是消息正文。如果值为 *attached*,则 messagePart 是附件。 |
关键字 |
proofpoint_tap.message_blocked.message_parts.o_content_type |
messagePart 的已声明内容类型。 |
关键字 |
proofpoint_tap.message_blocked.message_parts.sandbox_status |
沙箱在扫描过程中返回的判定。如果值为 *unsupported*,则附件防御不支持该 messagePart,并且未扫描。如果值为 *clean*,则沙箱返回干净的判定。如果值为 *threat*,则沙箱返回恶意判定。如果值为 *prefilter*,则 messagePart 不包含任何活动内容,因此未发送到沙箱服务。如果值为 *uploaded*,则 PPS 将消息上传到沙箱服务,但在处理消息时还没有判定。如果值为 *inprogress*,则在处理消息时,附件已上传并等待扫描。如果判定为 *uploaddisabled*,则附件符合扫描条件,但由于 PPS 策略而未上传。 |
关键字 |
proofpoint_tap.message_blocked.message_size |
消息的大小(以字节为单位),包括标头和附件。 |
长整型 |
proofpoint_tap.message_blocked.modules_run |
处理消息的 PPS 模块列表。 |
关键字 |
proofpoint_tap.message_blocked.phish_score |
消息的网络钓鱼分数。较高的分数表示较高的确定性。 |
长整型 |
proofpoint_tap.message_blocked.policy_routes |
消息在 PPS 处理期间匹配的策略路由。 |
关键字 |
proofpoint_tap.message_blocked.qid |
消息在 PPS 中的队列 ID。它可用于在 PPS 中标识消息,但不是唯一的。 |
关键字 |
proofpoint_tap.message_blocked.quarantine.folder |
包含隔离消息的文件夹的名称。这仅针对 messagesBlocked 显示。 |
关键字 |
proofpoint_tap.message_blocked.quarantine.rule |
隔离消息的规则的名称。这仅针对 messagesBlocked 事件显示。 |
关键字 |
proofpoint_tap.message_blocked.recipient |
包含 SMTP(信封)收件人的电子邮件地址的数组。 |
关键字 |
proofpoint_tap.message_blocked.spam_score |
消息的垃圾邮件分数。较高的分数表示较高的确定性。 |
长整型 |
proofpoint_tap.message_blocked.threat_info_map.campaign_id |
威胁所属活动的标识符(如果查询时可用)。威胁可以链接到活动,即使这些事件已被检索。 |
关键字 |
proofpoint_tap.message_blocked.threat_info_map.classification |
在消息中发现的威胁类别。 |
关键字 |
proofpoint_tap.message_blocked.threat_info_map.threat.artifact |
Proofpoint 谴责的工件。恶意 URL、附件威胁的哈希值或冒名顶替发送者的电子邮件地址。 |
关键字 |
proofpoint_tap.message_blocked.threat_info_map.threat.id |
与此威胁关联的唯一标识符。它可以用于查询取证和活动端点。 |
关键字 |
proofpoint_tap.message_blocked.threat_info_map.threat.status |
威胁的当前状态。 |
关键字 |
proofpoint_tap.message_blocked.threat_info_map.threat.time |
Proofpoint 在此时分配了 threatStatus。 |
日期 |
proofpoint_tap.message_blocked.threat_info_map.threat.type |
威胁是附件、URL 还是消息类型。 |
关键字 |
proofpoint_tap.message_blocked.threat_info_map.threat.url |
指向 TAP 仪表板上有关该威胁的条目的链接。 |
关键字 |
proofpoint_tap.message_blocked.to_addresses |
包含在 To: 标头中的电子邮件地址列表,不包括友好名称。 |
关键字 |
已传递的消息
编辑这是 message_delivered 数据集。
示例
message_delivered 的示例事件如下所示
{
"@timestamp": "2022-01-01T00:00:00.000Z",
"agent": {
"ephemeral_id": "f01ebff4-ea3a-4827-ac33-e7af925ed197",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "proofpoint_tap.message_delivered",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"email": {
"delivery_timestamp": "2022-01-01T00:00:00.000Z",
"to": {
"address": [
"[email protected]"
]
}
},
"event": {
"agent_id_status": "verified",
"category": [
"email"
],
"created": "2023-09-22T17:35:00.037Z",
"dataset": "proofpoint_tap.message_delivered",
"id": "2hsvbU-i8abc123-12345-xxxxx12",
"ingested": "2023-09-22T17:35:03Z",
"kind": "event",
"original": "{\"GUID\":\"NxxxsxvxbxUxixcx2xxxxx5x6xWxBxOxxxxxjxx\",\"QID\":null,\"ccAddresses\":null,\"cluster\":\"pharmtech_hosted\",\"completelyRewritten\":true,\"fromAddress\":null,\"headerFrom\":null,\"headerReplyTo\":null,\"id\":\"2hsvbU-i8abc123-12345-xxxxx12\",\"impostorScore\":0,\"malwareScore\":0,\"messageID\":\"\",\"messageParts\":null,\"messageSize\":0,\"messageTime\":\"2022-01-01T00:00:00.000Z\",\"modulesRun\":null,\"phishScore\":0,\"policyRoutes\":null,\"quarantineFolder\":null,\"quarantineRule\":null,\"recipient\":[\"[email protected]\"],\"replyToAddress\":null,\"sender\":\"\",\"senderIP\":\"89.160.20.112\",\"spamScore\":0,\"subject\":null,\"threatsInfoMap\":[{\"campaignID\":null,\"classification\":\"spam\",\"threat\":\"http://zbcd123456x0.example.com\",\"threatID\":\"b7exxxxxxxx0d10xxxxxxe2xxxxxxxxxxxx81cxxxxxx034ac9cxxxxxxxxxxxxb\",\"threatStatus\":\"active\",\"threatTime\":\"2021-11-25T13:02:58.640Z\",\"threatType\":\"url\",\"threatUrl\":\"https://threatinsight.proofpoint.com/aaabcdef-1234-b1abcdefghe/threat/email/b7exxxxxxxx0d10xxxxxxe2xxxxxxxxxxxx81cxxxxxx034ac9cxxxxxxxxxxxxb\"},{\"campaignID\":null,\"classification\":\"phish\",\"threat\":\"http://zbcd123456x0.example.com\",\"threatID\":\"aaabcdefg123456f009971a9c193abcdefg123456bf5abcdefg1234566\",\"threatStatus\":\"active\",\"threatTime\":\"2021-07-19T10:28:15.100Z\",\"threatType\":\"url\",\"threatUrl\":\"https://threatinsight.proofpoint.com/aaabcdef-1234-b1abcdefghe/threat/email/b7exxxxxxxx0d10xxxxxxe2xxxxxxxxxxxx81cxxxxxx034ac9cxxxxxxxxxxxxb\"}],\"toAddresses\":null,\"xmailer\":null}",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"proofpoint_tap": {
"guid": "NxxxsxvxbxUxixcx2xxxxx5x6xWxBxOxxxxxjxx",
"message_delivered": {
"cluster": "pharmtech_hosted",
"completely_rewritten": "true",
"impostor_score": 0,
"malware_score": 0,
"message_size": 0,
"phish_score": 0,
"recipient": [
"[email protected]"
],
"spam_score": 0,
"threat_info_map": [
{
"classification": "spam",
"threat": {
"artifact": "http://zbcd123456x0.example.com",
"id": "b7exxxxxxxx0d10xxxxxxe2xxxxxxxxxxxx81cxxxxxx034ac9cxxxxxxxxxxxxb",
"status": "active",
"time": "2021-11-25T13:02:58.640Z",
"type": "url",
"url": "https://threatinsight.proofpoint.com/aaabcdef-1234-b1abcdefghe/threat/email/b7exxxxxxxx0d10xxxxxxe2xxxxxxxxxxxx81cxxxxxx034ac9cxxxxxxxxxxxxb"
}
},
{
"classification": "phish",
"threat": {
"artifact": "http://zbcd123456x0.example.com",
"id": "aaabcdefg123456f009971a9c193abcdefg123456bf5abcdefg1234566",
"status": "active",
"time": "2021-07-19T10:28:15.100Z",
"type": "url",
"url": "https://threatinsight.proofpoint.com/aaabcdef-1234-b1abcdefghe/threat/email/b7exxxxxxxx0d10xxxxxxe2xxxxxxxxxxxx81cxxxxxx034ac9cxxxxxxxxxxxxb"
}
}
]
}
},
"related": {
"ip": [
"89.160.20.112"
]
},
"source": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.112"
},
"tags": [
"preserve_original_event",
"forwarded",
"proofpoint_tap-message_delivered"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
proofpoint_tap.guid |
消息在 PPS 中的 ID。它可用于在 PPS 中标识消息,并保证是唯一的。 |
关键字 |
proofpoint_tap.message_delivered.cluster |
处理消息的 PPS 集群的名称。 |
关键字 |
proofpoint_tap.message_delivered.completely_rewritten |
消息的重写状态。如果值为 *true*,则消息中所有 URL 威胁实例都已成功重写。如果该值为 *false*,则至少有一个威胁 URL 的实例未重写。如果该值为 *na*,则消息不包含任何基于 URL 的威胁。 |
关键字 |
proofpoint_tap.message_delivered.header.from |
From: 标头的完整内容,包括任何友好名称。 |
关键字 |
proofpoint_tap.message_delivered.header.replyto |
如果存在,Reply-To: 标头的完整内容,包括任何友好名称。 |
关键字 |
proofpoint_tap.message_delivered.impostor_score |
消息的冒名顶替者分数。较高的分数表示较高的确定性。 |
双精度 |
proofpoint_tap.message_delivered.malware_score |
消息的恶意软件分数。较高的分数表示较高的确定性。 |
长整型 |
proofpoint_tap.message_delivered.message_parts.disposition |
如果值为 *inline*,则 messagePart 是消息正文。如果值为 *attached*,则 messagePart 是附件。 |
关键字 |
proofpoint_tap.message_delivered.message_parts.o_content_type |
messagePart 的已声明内容类型。 |
关键字 |
proofpoint_tap.message_delivered.message_parts.sandbox_status |
沙箱在扫描过程中返回的判定。如果值为 *unsupported*,则附件防御不支持该 messagePart,并且未扫描。如果值为 *clean*,则沙箱返回干净的判定。如果值为 *threat*,则沙箱返回恶意判定。如果值为 *prefilter*,则 messagePart 不包含任何活动内容,因此未发送到沙箱服务。如果值为 *uploaded*,则 PPS 将消息上传到沙箱服务,但在处理消息时还没有判定。如果值为 *inprogress*,则在处理消息时,附件已上传并等待扫描。如果判定为 *uploaddisabled*,则附件符合扫描条件,但由于 PPS 策略而未上传。 |
关键字 |
proofpoint_tap.message_delivered.message_size |
消息的大小(以字节为单位),包括标头和附件。 |
长整型 |
proofpoint_tap.message_delivered.modules_run |
处理消息的 PPS 模块列表。 |
关键字 |
proofpoint_tap.message_delivered.phish_score |
消息的网络钓鱼分数。较高的分数表示较高的确定性。 |
长整型 |
proofpoint_tap.message_delivered.policy_routes |
消息在 PPS 处理期间匹配的策略路由。 |
关键字 |
proofpoint_tap.message_delivered.qid |
消息在 PPS 中的队列 ID。它可用于在 PPS 中标识消息,但不是唯一的。 |
关键字 |
proofpoint_tap.message_delivered.quarantine.folder |
包含隔离消息的文件夹的名称。这仅针对 messagesBlocked 显示。 |
关键字 |
proofpoint_tap.message_delivered.quarantine.rule |
隔离消息的规则的名称。这仅针对 messagesBlocked 事件显示。 |
关键字 |
proofpoint_tap.message_delivered.recipient |
包含 SMTP(信封)收件人的电子邮件地址的数组。 |
关键字 |
proofpoint_tap.message_delivered.spam_score |
消息的垃圾邮件分数。较高的分数表示较高的确定性。 |
长整型 |
proofpoint_tap.message_delivered.threat_info_map.campaign_id |
威胁所属活动的标识符(如果查询时可用)。威胁可以链接到活动,即使这些事件已被检索。 |
关键字 |
proofpoint_tap.message_delivered.threat_info_map.classification |
在消息中发现的威胁类别。 |
关键字 |
proofpoint_tap.message_delivered.threat_info_map.threat.artifact |
Proofpoint 谴责的工件。恶意 URL、附件威胁的哈希值或冒名顶替发送者的电子邮件地址。 |
关键字 |
proofpoint_tap.message_delivered.threat_info_map.threat.id |
与此威胁关联的唯一标识符。它可以用于查询取证和活动端点。 |
关键字 |
proofpoint_tap.message_delivered.threat_info_map.threat.status |
威胁的当前状态。 |
关键字 |
proofpoint_tap.message_delivered.threat_info_map.threat.time |
Proofpoint 在此时分配了 threatStatus。 |
日期 |
proofpoint_tap.message_delivered.threat_info_map.threat.type |
威胁是附件、URL 还是消息类型。 |
关键字 |
proofpoint_tap.message_delivered.threat_info_map.threat.url |
指向 TAP 仪表板上有关该威胁的条目的链接。 |
关键字 |
proofpoint_tap.message_delivered.to_addresses |
包含在 To: 标头中的电子邮件地址列表,不包括友好名称。 |
关键字 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.26.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.24.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.24.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.24.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.24.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.18.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.16.3 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.2 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.4.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.2 |
Bug 修复 (查看拉取请求) |
— |
0.2.1 |
Bug 修复 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |