Sublime Security
编辑Sublime Security
编辑Sublime Security 是一个可编程的、人工智能驱动的云电子邮件安全平台,适用于 Microsoft 365 和 Google Workspace 环境。它用于阻止电子邮件攻击,如网络钓鱼、BEC、恶意软件、威胁搜寻和自动分类用户报告。
Sublime Security 集成使用 REST API 和 AWS-S3 或 AWS-SQS 收集审计、电子邮件消息(MDM 架构)和消息事件日志的数据。
- REST API 模式 - Sublime Security 集成从 Sublime Security REST API 收集和解析数据。
- AWS S3 轮询模式 - Sublime Security 将数据写入 S3,Elastic Agent 通过列出其内容和读取新文件来轮询 S3 存储桶。
- AWS S3 SQS 模式 - Sublime Security 将数据写入 S3,S3 将新对象通知推送到 SQS,Elastic Agent 从 SQS 接收通知,然后读取 S3 对象。此模式下可以使用多个代理。
数据流
编辑Sublime Security 集成收集三种类型的日志
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的选项
安装由 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent 并在其安装的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 镜像均可从 Elastic Docker 注册表中获得,并且我们提供了在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅 Elastic Agent 最低要求。
设置
编辑从 Sublime Security API 收集数据
编辑步骤 1:转到平台
编辑- 访问 Sublime Security 平台,然后在“开发人员”部分中选择
API。
步骤 2:生成 API 密钥
编辑- 检索您的
API 密钥。此密钥将在 Elastic 集成设置中进一步使用,以验证身份并访问不同的 Sublime Security 日志。 -
配置集成还需要 Sublime Security 的
基本 URL。
具有 管理员 角色的用户可以访问 审计 日志。有关更多信息,请参阅此处。
从 AWS S3 存储桶或 AWS SQS 收集数据
编辑对于 AWS S3 存储桶,请按照以下步骤操作
编辑- 创建一个 Amazon S3 存储桶。请参阅链接此处。
- 用户可以根据需要设置参数“存储桶列表前缀”。
对于 AWS SQS,请按照以下步骤操作
编辑- 如果尚未配置将数据转发到 AWS S3 存储桶,请首先按照上述文档中提到的设置 AWS S3 存储桶。
-
要设置 SQS 队列,请按照 文档中提到的“步骤 1:创建 Amazon SQS 队列”进行操作。
- 创建 SQS 队列时,请提供创建 AWS S3 存储桶后生成的相同存储桶 ARN。
-
为 S3 存储桶设置事件通知。请按照此链接进行操作。
- 用户必须将前缀参数设置为与之前创建的 S3 存储桶列表前缀相同。(例如,
exports/sublime_platform_audit_log/用于审计数据流)。 - 选择事件类型为 s3:ObjectCreated:*,选择目标类型为 SQS 队列,然后选择在步骤 2 中创建的队列。
- 用户必须将前缀参数设置为与之前创建的 S3 存储桶列表前缀相同。(例如,
注意
- 上述 AWS S3 和 SQS 输入类型的凭证应使用链接进行配置。
- 在这种情况下,通过 AWS S3 存储桶和 AWS SQS 收集数据是互斥的。
- 您可以为所有数据流配置全局 SQS 队列,也可以为每个数据流配置本地 SQS 队列。配置特定于数据流的 SQS 队列将提高性能和可扩展性。特定于数据流的 SQS 队列将始终覆盖该特定数据流的任何全局队列定义。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到“管理”>“集成”。
- 在顶部的“搜索集成”栏中,搜索
Sublime Security。 - 从搜索结果中选择“Sublime Security”集成。
- 选择“添加 Sublime Security”以添加集成。
- 启用集成以通过 AWS S3 或 API 输入收集日志。
- 在 AWS S3 输入下,有两种类型的输入:使用 AWS S3 存储桶或使用 SQS。
- 添加所有必需的集成配置参数,包括 API 输入的 API 密钥、间隔、初始间隔和页面大小,以及 AWS 输入类型的访问密钥、密钥和会话令牌,以启用数据收集。
- 单击“保存并继续”以保存集成。
注意
- Sublime Security 云客户的基本 URL 是
https://api.platform.sublimesecurity.com。根据您的部署类型,您的可能有所不同。 - 对于 SSO 用户,除了访问密钥 ID 和秘密访问密钥外,还需要会话令牌来配置集成。对于 IAM 用户,会话令牌是可选的,不需要。
日志参考
编辑审计
编辑这是 audit 数据集。
示例
audit 的示例事件如下所示
{
"@timestamp": "2024-08-12T06:04:03.714Z",
"agent": {
"ephemeral_id": "390c3f2d-c9eb-4229-9992-0f4fc2436f51",
"id": "5f3fcbb9-1a97-4ff3-857f-167af6664464",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "sublime_security.audit",
"namespace": "99243",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "5f3fcbb9-1a97-4ff3-857f-167af6664464",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "search",
"agent_id_status": "verified",
"dataset": "sublime_security.audit",
"id": "bd49af79-0cfb-4184-bd18-b0401d69ac61",
"ingested": "2024-08-28T10:35:52Z",
"kind": "event",
"original": "{\"created_at\":\"2024-08-12T06:04:03.714126Z\",\"created_by\":{\"active\":true,\"created_at\":\"2024-07-12T05:13:47.879426Z\",\"email_address\":\"[email protected]\",\"first_name\":\"Demo\",\"google_oauth_user_id\":\"d83rb8et4-refe-fe7t4f8efe\",\"id\":\"6e6eca05-4fea-406b-86d4-b40177e25474\",\"is_enrolled\":true,\"last_name\":\"User\",\"microsoft_oauth_user_id\":\"fhe7t4bgf8-freu-ebfur94ref\",\"phone_number\":null,\"role\":\"admin\",\"updated_at\":\"2024-07-12T05:13:47.879426Z\"},\"data\":{\"request\":{\"api_key_name\":\"demo mode local\",\"authentication_method\":\"api_key\",\"body\":\"\",\"id\":\"6ad202de-0def-423d-a0f2-549402e1a9c9\",\"ip\":\"1.128.0.0\",\"method\":\"GET\",\"path\":\"/v0/message-groups\",\"user_agent\":\"Go-http-client/1.1\"}},\"id\":\"bd49af79-0cfb-4184-bd18-b0401d69ac61\",\"type\":\"message_group.search\"}",
"type": [
"info"
]
},
"http": {
"request": {
"id": "6ad202de-0def-423d-a0f2-549402e1a9c9",
"method": "GET"
}
},
"input": {
"type": "cel"
},
"observer": {
"product": "Sublime Security",
"vendor": "Sublime Security"
},
"related": {
"ip": [
"1.128.0.0"
],
"user": [
"[email protected]",
"Demo",
"d83rb8et4-refe-fe7t4f8efe",
"6e6eca05-4fea-406b-86d4-b40177e25474",
"fhe7t4bgf8-freu-ebfur94ref"
]
},
"source": {
"ip": "1.128.0.0"
},
"sublime_security": {
"audit": {
"created_at": "2024-08-12T06:04:03.714Z",
"created_by": {
"active": true,
"created_at": "2024-07-12T05:13:47.879Z",
"email_address": "[email protected]",
"first_name": "Demo",
"google_oauth_user_id": "d83rb8et4-refe-fe7t4f8efe",
"id": "6e6eca05-4fea-406b-86d4-b40177e25474",
"is_enrolled": true,
"last_name": "User",
"microsoft_oauth_user_id": "fhe7t4bgf8-freu-ebfur94ref",
"role": "admin",
"updated_at": "2024-07-12T05:13:47.879Z"
},
"data": {
"request": {
"api_key_name": "demo mode local",
"authentication_method": "api_key",
"id": "6ad202de-0def-423d-a0f2-549402e1a9c9",
"ip": "1.128.0.0",
"method": "GET",
"path": "/v0/message-groups",
"user_agent": "Go-http-client/1.1"
}
},
"id": "bd49af79-0cfb-4184-bd18-b0401d69ac61",
"type": "message_group.search"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"sublime_security-audit"
],
"url": {
"path": "/v0/message-groups"
},
"user": {
"domain": "example.com",
"email": "[email protected]",
"full_name": "Demo User",
"id": "6e6eca05-4fea-406b-86d4-b40177e25474",
"name": "demo",
"roles": [
"admin"
]
},
"user_agent": {
"device": {
"name": "Other"
},
"name": "Go-http-client",
"original": "Go-http-client/1.1",
"version": "1.1"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
sublime_security.audit.created_at |
事件创建时间。 |
日期 |
sublime_security.audit.created_by.active |
布尔值 |
|
sublime_security.audit.created_by.created_at |
用户创建时间。 |
日期 |
sublime_security.audit.created_by.deleted_at |
用户删除时间。 |
日期 |
sublime_security.audit.created_by.email_address |
电子邮件地址。 |
keyword |
sublime_security.audit.created_by.first_name |
名字。 |
keyword |
sublime_security.audit.created_by.google_oauth_user_id |
用户的 Google 用户 ID(如果存在)。 |
keyword |
sublime_security.audit.created_by.id |
用户 ID。 |
keyword |
sublime_security.audit.created_by.is_enrolled |
用户是否已开始使用系统(例如,接受邀请或至少登录一次)。 |
布尔值 |
sublime_security.audit.created_by.last_name |
姓氏。 |
keyword |
sublime_security.audit.created_by.microsoft_oauth_user_id |
用户的 Microsoft 用户 ID(如果存在)。 |
keyword |
sublime_security.audit.created_by.phone_number |
电话号码。 |
keyword |
sublime_security.audit.created_by.role |
用户承担的角色。 |
keyword |
sublime_security.audit.created_by.updated_at |
用户上次更新时间。 |
日期 |
sublime_security.audit.data.message.id |
消息 ID。 |
keyword |
sublime_security.audit.data.message_group.id |
消息组 ID。 |
keyword |
sublime_security.audit.data.request.api_key_name |
如果使用了 API 密钥,则为 API 密钥的名称。 |
keyword |
sublime_security.audit.data.request.authentication_method |
请求的身份验证方式的描述。 |
keyword |
sublime_security.audit.data.request.body |
请求正文。 |
keyword |
sublime_security.audit.data.request.id |
API 请求 ID。 |
keyword |
sublime_security.audit.data.request.ip |
请求者的 IP 地址(如果可用)。 |
ip |
sublime_security.audit.data.request.method |
HTTP 方法。 |
keyword |
sublime_security.audit.data.request.path |
URL 路径。 |
keyword |
sublime_security.audit.data.request.query |
查询参数。 |
object |
sublime_security.audit.data.request.user_agent |
请求者的用户代理(如果可用)。 |
keyword |
sublime_security.audit.id |
事件 ID。 |
keyword |
sublime_security.audit.type |
事件类型。 |
keyword |
电子邮件消息
编辑这是 email_message 数据集。
示例
一个 email_message 的示例事件如下所示
{
"@timestamp": "2024-08-02T07:40:25.135Z",
"agent": {
"ephemeral_id": "832ebf28-565e-4f38-a67e-ee5ea9f51e89",
"id": "5f3fcbb9-1a97-4ff3-857f-167af6664464",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"aws": {
"s3": {
"bucket": {
"arn": "arn:aws:s3:::elastic-package-sublime-security-bucket-33881",
"name": "elastic-package-sublime-security-bucket-33881"
},
"object": {
"key": "email-message.log"
}
}
},
"cloud": {
"region": "us-east-1"
},
"data_stream": {
"dataset": "sublime_security.email_message",
"namespace": "57022",
"type": "logs"
},
"destination": {
"domain": "example.com",
"subdomain": "example",
"top_level_domain": "com"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "5f3fcbb9-1a97-4ff3-857f-167af6664464",
"snapshot": false,
"version": "8.13.0"
},
"email": {
"attachments": [
{
"file": {
"extension": "pdf",
"hash": {
"md5": "1a2b3c",
"sha1": "4d5e6f",
"sha256": "7g8h9i"
},
"mime_type": "application/pdf",
"name": "sample_document.pdf",
"size": 102400
}
},
{
"file": {
"extension": "jpg",
"hash": {
"md5": "7h8i9j",
"sha1": "1k2l3m",
"sha256": "4n5o6p"
},
"mime_type": "image/jpeg",
"name": "image_photo.jpg",
"size": 204800
}
},
{
"file": {
"extension": "txt",
"hash": {
"md5": "1x2y3z",
"sha1": "4a5b6c",
"sha256": "7d8e9f"
},
"mime_type": "text/plain",
"name": "notes.txt",
"size": 5120
}
}
],
"bcc": {
"address": [
"[email protected]"
]
},
"cc": {
"address": [
"[email protected]"
]
},
"direction": "outbound",
"from": {
"address": [
"[email protected]"
]
},
"message_id": "2fe271830bbad5fe3a70abbe7a8c0bfe7refe3ffe",
"origination_timestamp": "2024-08-02T07:40:25.135Z",
"reply_to": {
"address": [
"[email protected]"
]
},
"subject": "Sublime-Security-Standard-Test-String",
"to": {
"address": [
"[email protected]"
]
},
"x_mailer": "MyCustomMailer"
},
"event": {
"agent_id_status": "verified",
"category": [
"email"
],
"dataset": "sublime_security.email_message",
"id": "01911208-633c-7f03-b303-e594d92cf818",
"ingested": "2024-08-28T10:59:37Z",
"kind": "event",
"original": "{\"body\":{\"plain\":{\"raw\":\"Sublime Security test message.\\n\",\"charset\":\"utf-8\",\"content_transfer_encoding\":\"base64\"},\"current_thread\":{\"text\":\"Sublime Security test message.\"},\"html\":{\"charset\":\"utf-8\",\"content_transfer_encoding\":\"base64\",\"display_text\":\"Sublime Security test message.\",\"raw\":\"<p>Sublime Security test message.</p>\",\"inner_text\":\"<p>Sublime Security test message.</p>\"},\"ips\":[{\"ip\":\"1.128.0.0\"}],\"links\":[{\"display_text\":\"Click here!\",\"mismatched\":true,\"display_url\":{\"fragment\":\"search\",\"password\":\"pass123\",\"path\":\"/test\",\"port\":80,\"query_params\":\"q=elasticsearch\",\"rewrite\":{\"encoders\":[\"base64\"],\"original\":\"demo\"},\"scheme\":\"https\",\"url\":\"https://example.com/test?q=elasticsearch#search\",\"username\":\"test\",\"domain\":{\"domain\":\"example.com\",\"punycode\":\"demo\",\"root_domain\":\"example.com\",\"subdomain\":\"example\",\"tld\":\"com\",\"valid\":true,\"sld\":\"example\"}}},{\"href_url\":{\"fragment\":\"search\",\"password\":\"pass123\",\"path\":\"/test\",\"port\":80,\"query_params\":\"q=elasticsearch\",\"rewrite\":{\"encoders\":[\"base64\"],\"original\":\"demo\"},\"scheme\":\"https\",\"url\":\"https://example.com/test?q=elasticsearch#search\",\"username\":\"test\",\"domain\":{\"domain\":\"example.com\",\"punycode\":\"demo\",\"root_domain\":\"example.com\",\"subdomain\":\"example\",\"tld\":\"com\",\"valid\":true,\"sld\":\"example\"}}}]},\"external\":{\"created_at\":\"2024-08-02T07:40:25.135939305Z\",\"message_id\":\"2fe271830bbad5fe3a70abbe7a8c0bfe7refe3ffe\",\"route_type\":\"sent\",\"spam\":false,\"spam_folder\":true,\"thread_id\":\"sample_data\"},\"attachments\":[{\"content_id\":\"abc123\",\"content_transfer_encoding\":\"base64\",\"content_type\":\"application/pdf\",\"file_extension\":\".pdf\",\"file_name\":\"sample_document.pdf\",\"file_type\":\"document\",\"md5\":\"1a2b3c\",\"raw\":\"JVBERi0xLjMKJcfs4AAQSkZjRgABAQE\",\"sha1\":\"4d5e6f\",\"sha256\":\"7g8h9i\",\"size\":102400},{\"content_id\":\"xyz456\",\"content_transfer_encoding\":\"7bit\",\"content_type\":\"image/jpeg\",\"file_extension\":\".jpg\",\"file_name\":\"image_photo.jpg\",\"file_type\":\"image\",\"md5\":\"7h8i9j\",\"raw\":\"/9j/4AAQSkZJRgABAQEJVBERi0xLjMKJd\",\"sha1\":\"1k2l3m\",\"sha256\":\"4n5o6p\",\"size\":204800},{\"content_id\":\"efg789\",\"content_transfer_encoding\":\"quoted-printable\",\"content_type\":\"text/plain\",\"file_extension\":\".txt\",\"file_name\":\"notes.txt\",\"file_type\":\"text\",\"md5\":\"1x2y3z\",\"raw\":\"SGVsbG8gdVsbG8gd29yb29ybGQhVsbG8gd29yb\",\"sha1\":\"4a5b6c\",\"sha256\":\"7d8e9f\",\"size\":5120}],\"headers\":{\"x_authenticated_domain\":{\"domain\":\"example.com\",\"punycode\":\"xn--example-d4a.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"sub\",\"tld\":\"com\",\"valid\":true},\"x_authenticated_sender\":{\"domain\":{\"domain\":\"example.com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"sub\",\"tld\":\"com\",\"valid\":true},\"email\":\"[email protected]\",\"local_part\":\"user\"},\"x_client_ip\":{\"ip\":\"1.128.0.0\"},\"x_originating_ip\":{\"ip\":\"1.128.0.0\"},\"x_secure_server_account\":\"account_value\",\"x_sender\":{\"domain\":{\"domain\":\"example.com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"sub\",\"tld\":\"com\",\"valid\":true},\"email\":\"[email protected]\",\"local_part\":\"user\"},\"return_path\":{\"domain\":{\"domain\":\"example.com\",\"punycode\":\"xn--example-d4a.com\",\"root_domain\":\"example\",\"sld\":\"example\",\"subdomain\":\"sub\",\"tld\":\"com\",\"valid\":true},\"email\":\"[email protected]\",\"local_part\":\"user\"},\"references\":[\"test1\",\"test2\"],\"auth_summary\":{\"dmarc\":{\"details\":{\"action\":\"quarantine\",\"disposition\":\"quarantine\",\"from\":{\"domain\":\"example.com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"example\",\"tld\":\"com\",\"valid\":true},\"policy\":\"reject\",\"sub_policy\":\"none\",\"verdict\":\"pass\",\"version\":\"1.0\"},\"pass\":true,\"received_hop\":1},\"spf\":{\"details\":{\"client_ip\":{\"ip\":\"1.128.0.0\"},\"description\":\"SPF record found\",\"designator\":\"pass\",\"helo\":{\"domain\":\"example.com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"example\",\"tld\":\"com\",\"valid\":true},\"server\":{\"domain\":\"mail.example.com\",\"punycode\":\"mail.example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"mail\",\"tld\":\"com\",\"valid\":true},\"verdict\":\"pass\"},\"error\":\"true\",\"pass\":true,\"received_hop\":2}},\"date\":\"2019-10-21T18:23:24Z\",\"date_original_offset\":\"-4\",\"hops\":[{\"index\":0,\"fields\":[{\"name\":\"To\",\"value\":\"[email protected]\",\"position\":0},{\"name\":\"Subject\",\"value\":\"Sublime-Security-Standard-Test-String\",\"position\":1},{\"name\":\"Date\",\"value\":\"Mon, 21 Oct 2019 14:23:24 -0400\",\"position\":2},{\"name\":\"From\",\"value\":\"Sublime Security Test <[email protected]>\",\"position\":3}],\"authentication_results\":{\"compauth\":{\"verdict\":\"pass\",\"reason\":\"reason_value\"},\"dkim\":\"pass\",\"dkim_details\":{\"algorithm\":\"rsa-sha256\",\"body_hash\":\"abcdefg\",\"domain\":\"example.com\",\"headers\":\"from, to, subject\",\"instance\":\"example.com\",\"selector\":\"abcdefg\",\"signature\":\"abcdefg\",\"type\":\"dkim\",\"version\":\"1.0\"},\"dmarc\":\"pass\",\"dmarc_details\":{\"action\":\"quarantine\",\"disposition\":\"quarantine\",\"from\":{\"domain\":\"example.com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"example\",\"tld\":\"com\",\"valid\":true},\"policy\":\"reject\",\"sub_policy\":\"none\",\"verdict\":\"pass\",\"version\":\"1.0\"},\"instance\":\"example.com\",\"server\":{\"domain\":\"mail.example.com\",\"punycode\":\"mail.example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"mail\",\"tld\":\"com\",\"valid\":true},\"spf\":\"pass\",\"spf_details\":{\"client_ip\":{\"ip\":\"1.128.0.0\"},\"description\":\"SPF record found\",\"designator\":\"pass\",\"helo\":{\"domain\":\"example.com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"example\",\"tld\":\"com\",\"valid\":true},\"server\":{\"domain\":\"mail.example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"mail\",\"tld\":\"com\",\"valid\":true},\"verdict\":\"pass\"},\"type\":\"spf\"},\"received\":{\"additional\":{\"raw\":\"Authentication successful\"},\"id\":{\"raw\":\"msg-12345\"},\"link\":{\"raw\":\"https://mail.example.com/message/12345\"},\"mailbox\":{\"raw\":\"[email protected]\"},\"protocol\":{\"raw\":\"IMAP\"},\"server\":{\"raw\":\"imap.example.com\"},\"source\":{\"raw\":\"81.2.69.144\"},\"time\":\"2019-10-21T18:23:24Z\",\"zone_offset\":\"+00:00\"},\"received_spf\":{\"client_ip\":{\"ip\":\"1.128.0.0\"},\"description\":\"SPF record found\",\"designator\":\"pass\",\"helo\":{\"domain\":\"example.com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"example\",\"tld\":\"com\",\"valid\":true},\"server\":{\"domain\":\"mail.example.com\",\"punycode\":\"mail.example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"subdomain\":\"mail\",\"tld\":\"com\",\"valid\":true},\"verdict\":\"pass\"},\"signature\":{\"algorithm\":\"rsa-sha256\",\"body_hash\":\"b9c4a3f9d93d9a38bdf8c47a8f2d2c79ec1d8b1f\",\"domain\":\"example.com\",\"headers\":\"from:to:subject:date\",\"instance\":\"123456\",\"selector\":\"default\",\"signature\":\"d2abf9d6c8f4b8d68d8f3f7b6f9d3b8e6a8c2b3a9f4b8d7b9d3b6a8f9c3b4e5f\",\"type\":\"spf\",\"version\":\"1\"}}],\"in_reply_to\":\"in_reply_to_value\",\"delivered_to\":{\"domain\":{\"domain\":\"example.com\",\"subdomain\":\"example\",\"tld\":\"com\",\"email\":\"[email protected]\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"valid\":true},\"email\":\"[email protected]\",\"local_part\":\"testing\"},\"ips\":[{\"ip\":\"1.128.0.0\"}],\"mailer\":\"MyCustomMailer\",\"message_id\":\"2fe271830bbad5fe3a70abbe7a8c0bfe7refe3ffe\",\"domains\":[{\"domain\":\"test.com\",\"subdomain\":\"test\",\"tld\":\"com\",\"punycode\":\"test.com\",\"root_domain\":\"test.com\",\"sld\":\"test\",\"valid\":true},{\"domain\":\"example.com\",\"subdomain\":\"example\",\"tld\":\"com\",\"punycode\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"valid\":true}],\"reply_to\":[{\"email\":{\"email\":\"[email protected]\",\"local_part\":\"user\",\"domain\":{\"domain\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"tld\":\"com\",\"valid\":true}}},{\"display_name\":\"Example Display Name\",\"email\":{\"domain\":{\"punycode\":\"example.com\",\"subdomain\":\"sub.example\"}}},{\"display_name\":\"Another Display Name\",\"email\":{\"domain\":{\"punycode\":\"anotherexample.com\",\"subdomain\":\"sub.anotherexample\"}}}]},\"type\":{\"outbound\":true},\"mailbox\":{\"email\":{\"email\":\"[email protected]\",\"local_part\":\"user\",\"domain\":{\"domain\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"tld\":\"com\",\"valid\":true,\"punycode\":\"xn--example-d4a.com\",\"subdomain\":\"sub\"}}},\"recipients\":{\"to\":[{\"display_name\":\"Alice Johnson\",\"email\":{\"email\":\"[email protected]\",\"local_part\":\"user\",\"domain\":{\"domain\":\"example.com\",\"root_domain\":\"example.com\",\"sld\":\"example\",\"tld\":\"com\",\"valid\":true,\"punycode\":\"xn--example-d4a.net\",\"subdomain\":\"sub\"}}}],\"bcc\":[{\"display_name\":\"John Doe\",\"email\":{\"domain\":{\"domain\":\"example.com\",\"punycode\":\"xn--example-d4a.com\",\"root_domain\":\"example\",\"sld\":\"example\",\"subdomain\":\"sub\",\"tld\":\"com\",\"valid\":true},\"email\":\"[email protected]\",\"local_part\":\"john.doe\"}}],\"cc\":[{\"display_name\":\"Jane Smith\",\"email\":{\"domain\":{\"domain\":\"example.org\",\"punycode\":\"xn--example-d4a.org\",\"root_domain\":\"example\",\"sld\":\"example\",\"subdomain\":\"sub\",\"tld\":\"org\",\"valid\":true},\"email\":\"[email protected]\",\"local_part\":\"jane.smith\"}}]},\"sender\":{\"display_name\":\"Sublime Security Test\",\"email\":{\"email\":\"[email protected]\",\"local_part\":\"testing\",\"domain\":{\"domain\":\"sublimesecurity.com\",\"root_domain\":\"sublimesecurity.com\",\"sld\":\"sublimesecurity\",\"tld\":\"com\",\"valid\":true,\"punycode\":\"xn--example-d4a.com\",\"subdomain\":\"sub\"}}},\"subject\":{\"subject\":\"Sublime-Security-Standard-Test-String\"},\"_meta\":{\"id\":\"01911208-633c-7f03-b303-e594d92cf818\",\"canonical_id\":\"2fe271830bbad5fe3a70abbe7a8c0bfe79eb208a76cde267930d19f0e8cea81c\",\"created_at\":\"2024-08-02T07:40:25.135939305Z\",\"effective_at\":\"2024-08-02T07:40:25.135939305Z\"},\"_errors\":[{\"field\":\"Mime-Version\",\"message\":\"No Mime-Version defined in headers\",\"type\":\"missing_header_field\"}]}",
"type": [
"info"
]
},
"input": {
"type": "aws-s3"
},
"log": {
"file": {
"path": "https://elastic-package-sublime-security-bucket-33881.s3.us-east-1.amazonaws.com/email-message.log"
},
"offset": 0
},
"observer": {
"product": "Sublime Security",
"vendor": "Sublime Security"
},
"related": {
"hash": [
"1a2b3c",
"7h8i9j",
"1x2y3z",
"4d5e6f",
"1k2l3m",
"4a5b6c",
"7g8h9i",
"4n5o6p",
"7d8e9f",
"abcdefg"
],
"hosts": [
"example.com",
"mail.example.com",
"test.com",
"example",
"example.org",
"sublimesecurity.com"
],
"ip": [
"1.128.0.0"
],
"user": [
"test",
"[email protected]",
"[email protected]",
"[email protected]",
"[email protected]"
]
},
"source": {
"domain": "sublimesecurity.com",
"ip": "1.128.0.0",
"subdomain": "sub",
"top_level_domain": "com"
},
"sublime_security": {
"email_message": {
"attachments": [
{
"content": {
"id": "abc123",
"transfer_encoding": "base64"
},
"file": {
"type": "document"
},
"raw": "JVBERi0xLjMKJcfs4AAQSkZjRgABAQE"
},
{
"content": {
"id": "xyz456",
"transfer_encoding": "7bit"
},
"file": {
"type": "image"
},
"raw": "/9j/4AAQSkZJRgABAQEJVBERi0xLjMKJd"
},
{
"content": {
"id": "efg789",
"transfer_encoding": "quoted-printable"
},
"file": {
"type": "text"
},
"raw": "SGVsbG8gdVsbG8gd29yb29ybGQhVsbG8gd29yb"
}
],
"body": {
"current_thread": {
"text": "Sublime Security test message."
},
"html": {
"charset": "utf-8",
"content_transfer_encoding": "base64",
"display_text": "Sublime Security test message.",
"inner_text": "<p>Sublime Security test message.</p>",
"raw": "<p>Sublime Security test message.</p>"
},
"ips": [
{
"ip": "1.128.0.0"
}
],
"links": [
{
"display_text": "Click here!",
"display_url": {
"domain": {
"domain": "example.com",
"punycode": "demo",
"root_domain": "example.com",
"sld": "example",
"subdomain": "example",
"tld": "com",
"valid": true
},
"fragment": "search",
"password": "pass123",
"path": "/test",
"port": 80,
"query_params": "q=elasticsearch",
"rewrite": {
"encoders": [
"base64"
],
"original": "demo"
},
"scheme": "https",
"url": "https://example.com/test?q=elasticsearch#search",
"username": "test"
},
"mismatched": true
},
{
"href_url": {
"domain": {
"punycode": "demo",
"root_domain": "example.com",
"sld": "example",
"valid": true
},
"rewrite": {
"encoders": [
"base64"
],
"original": "demo"
}
}
}
],
"plain": {
"charset": "utf-8",
"content_transfer_encoding": "base64",
"raw": "Sublime Security test message.\n"
}
},
"errors": [
{
"field": "Mime-Version",
"message": "No Mime-Version defined in headers",
"type": "missing_header_field"
}
],
"external": {
"message_id": "2fe271830bbad5fe3a70abbe7a8c0bfe7refe3ffe",
"route_type": "sent",
"spam": false,
"spam_folder": true,
"thread_id": "sample_data"
},
"headers": {
"auth_summary": {
"dmarc": {
"details": {
"action": "quarantine",
"disposition": "quarantine",
"from": {
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "example",
"tld": "com",
"valid": true
},
"policy": "reject",
"sub_policy": "none",
"verdict": "pass",
"version": "1.0"
},
"pass": true,
"received_hop": 1
},
"spf": {
"details": {
"client_ip": {
"ip": "1.128.0.0"
},
"description": "SPF record found",
"designator": "pass",
"helo": {
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "example",
"tld": "com",
"valid": true
},
"server": {
"domain": "mail.example.com",
"punycode": "mail.example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "mail",
"tld": "com",
"valid": true
},
"verdict": "pass"
},
"error": true,
"pass": true,
"received_hop": 2
}
},
"date": "2019-10-21T18:23:24.000Z",
"date_original_offset": "-4",
"delivered_to": {
"domain": {
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"valid": true
},
"email": "[email protected]",
"local_part": "testing"
},
"domains": [
{
"domain": "test.com",
"punycode": "test.com",
"root_domain": "test.com",
"sld": "test",
"subdomain": "test",
"tld": "com",
"valid": true
},
{
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "example",
"tld": "com",
"valid": true
}
],
"hops": [
{
"authentication_results": {
"compauth": {
"reason": "reason_value",
"verdict": "pass"
},
"dkim": "pass",
"dkim_details": {
"algorithm": "rsa-sha256",
"body_hash": "abcdefg",
"domain": "example.com",
"headers": "from, to, subject",
"instance": "example.com",
"selector": "abcdefg",
"signature": "abcdefg",
"type": "dkim",
"version": "1.0"
},
"dmarc": "pass",
"dmarc_details": {
"action": "quarantine",
"disposition": "quarantine",
"from": {
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "example",
"tld": "com",
"valid": true
},
"policy": "reject",
"sub_policy": "none",
"verdict": "pass",
"version": "1.0"
},
"instance": "example.com",
"server": {
"domain": "mail.example.com",
"punycode": "mail.example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "mail",
"tld": "com",
"valid": true
},
"spf": "pass",
"spf_details": {
"client_ip": {
"ip": "1.128.0.0"
},
"description": "SPF record found",
"designator": "pass",
"helo": {
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "example",
"tld": "com",
"valid": true
},
"server": {
"domain": "mail.example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "mail",
"tld": "com",
"valid": true
},
"verdict": "pass"
},
"type": "spf"
},
"fields": [
{
"name": "To",
"position": 0,
"to": "[email protected]",
"value": "[email protected]"
},
{
"name": "Subject",
"position": 1,
"subject": "Sublime-Security-Standard-Test-String",
"value": "Sublime-Security-Standard-Test-String"
},
{
"date": "Mon, 21 Oct 2019 14:23:24 -0400",
"name": "Date",
"position": 2,
"value": "Mon, 21 Oct 2019 14:23:24 -0400"
},
{
"from": "Sublime Security Test <[email protected]>",
"name": "From",
"position": 3,
"value": "Sublime Security Test <[email protected]>"
}
],
"index": 0,
"received": {
"additional": {
"raw": "Authentication successful"
},
"id": {
"raw": "msg-12345"
},
"link": {
"raw": "https://mail.example.com/message/12345"
},
"mailbox": {
"raw": "[email protected]"
},
"protocol": {
"raw": "IMAP"
},
"server": {
"raw": "imap.example.com"
},
"source": {
"raw": "81.2.69.144"
},
"time": "2019-10-21T18:23:24.000Z",
"zone_offset": "+00:00"
},
"received_spf": {
"client_ip": {
"ip": "1.128.0.0"
},
"description": "SPF record found",
"designator": "pass",
"helo": {
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "example",
"tld": "com",
"valid": true
},
"server": {
"domain": "mail.example.com",
"punycode": "mail.example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "mail",
"tld": "com",
"valid": true
},
"verdict": "pass"
},
"signature": {
"algorithm": "rsa-sha256",
"body_hash": "b9c4a3f9d93d9a38bdf8c47a8f2d2c79ec1d8b1f",
"domain": "example.com",
"headers": "from:to:subject:date",
"instance": "123456",
"selector": "default",
"signature": "d2abf9d6c8f4b8d68d8f3f7b6f9d3b8e6a8c2b3a9f4b8d7b9d3b6a8f9c3b4e5f",
"type": "spf",
"version": "1"
}
}
],
"in_reply_to": "in_reply_to_value",
"ips": [
{
"ip": "1.128.0.0"
}
],
"references": [
"test1",
"test2"
],
"reply_to": [
{
"email": {
"domain": {
"domain": "example.com",
"root_domain": "example.com",
"sld": "example",
"tld": "com",
"valid": true
},
"local_part": "user"
}
},
{
"display_name": "Example Display Name",
"email": {
"domain": {
"punycode": "example.com",
"subdomain": "sub.example"
}
}
},
{
"display_name": "Another Display Name",
"email": {
"domain": {
"punycode": "anotherexample.com",
"subdomain": "sub.anotherexample"
}
}
}
],
"return_path": {
"domain": {
"domain": "example.com",
"punycode": "xn--example-d4a.com",
"root_domain": "example",
"sld": "example",
"subdomain": "sub",
"tld": "com",
"valid": true
},
"email": "[email protected]",
"local_part": "user"
},
"x_authenticated_domain": {
"domain": "example.com",
"punycode": "xn--example-d4a.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "sub",
"tld": "com",
"valid": true
},
"x_authenticated_sender": {
"domain": {
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "sub",
"tld": "com",
"valid": true
},
"email": "[email protected]",
"local_part": "user"
},
"x_originating_ip": {
"ip": "1.128.0.0"
},
"x_secure_server_account": "account_value",
"x_sender": {
"domain": {
"domain": "example.com",
"punycode": "example.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "sub",
"tld": "com",
"valid": true
},
"email": "[email protected]",
"local_part": "user"
}
},
"mailbox": {
"email": {
"domain": {
"domain": "example.com",
"punycode": "xn--example-d4a.com",
"root_domain": "example.com",
"sld": "example",
"subdomain": "sub",
"tld": "com",
"valid": true
},
"local_part": "user",
"value": "[email protected]"
}
},
"meta": {
"canonical_id": "2fe271830bbad5fe3a70abbe7a8c0bfe79eb208a76cde267930d19f0e8cea81c",
"effective_at": "2024-08-02T07:40:25.135Z"
},
"recipients": {
"bcc": [
{
"display_name": "John Doe",
"email": {
"domain": {
"domain": "example.com",
"punycode": "xn--example-d4a.com",
"root_domain": "example",
"sld": "example",
"subdomain": "sub",
"tld": "com",
"valid": true
},
"local_part": "john.doe"
}
}
],
"cc": [
{
"display_name": "Jane Smith",
"email": {
"domain": {
"domain": "example.org",
"punycode": "xn--example-d4a.org",
"root_domain": "example",
"sld": "example",
"subdomain": "sub",
"tld": "org",
"valid": true
},
"local_part": "jane.smith"
}
}
],
"to": [
{
"display_name": "Alice Johnson",
"email": {
"domain": {
"domain": "example.com",
"punycode": "xn--example-d4a.net",
"root_domain": "example.com",
"sld": "example",
"subdomain": "sub",
"tld": "com",
"valid": true
},
"local_part": "user"
}
}
]
},
"sender": {
"display_name": "Sublime Security Test",
"email": {
"domain": {
"punycode": "xn--example-d4a.com",
"root_domain": "sublimesecurity.com",
"sld": "sublimesecurity",
"valid": true
},
"local_part": "testing"
}
},
"type": {
"outbound": true
}
}
},
"tags": [
"collect_sqs_logs",
"preserve_original_event",
"forwarded",
"sublime_security-email_message"
],
"url": [
{
"domain": "example.com",
"fragment": "search",
"full": "https://example.com/test?q=elasticsearch#search",
"password": "pass123",
"path": "/test",
"port": 80,
"query": "q=elasticsearch",
"scheme": "https",
"subdomain": "example",
"top_level_domain": "com",
"username": "test"
}
],
"user_agent": {
"device": {
"name": "Other"
},
"name": "Other",
"original": "MyCustomMailer"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
aws.s3.bucket.arn |
AWS S3 存储桶 ARN。 |
keyword |
aws.s3.bucket.name |
AWS S3 存储桶名称。 |
keyword |
aws.s3.object.key |
AWS S3 对象键。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
sublime_security.email_message.attachments.content.id |
从 MIME 负载中提取的 Content-ID。 |
keyword |
sublime_security.email_message.attachments.content.transfer_encoding |
从 MIME 负载中提取的 Content-Transfer-Encoding。 |
keyword |
sublime_security.email_message.attachments.content.type |
从 MIME 负载中提取的 Content-Type。 |
keyword |
sublime_security.email_message.attachments.file.extension |
来自上下文(如标头)的文件扩展名。 |
keyword |
sublime_security.email_message.attachments.file.name |
文件名。 |
keyword |
sublime_security.email_message.attachments.file.type |
通过查看文件中的 magic bytes 确定的文件类型。 |
keyword |
sublime_security.email_message.attachments.md5 |
原始内容的 MD5 哈希值。 |
keyword |
sublime_security.email_message.attachments.raw |
文件的 Base64 编码源。 |
keyword |
sublime_security.email_message.attachments.sha1 |
原始内容的 SHA1 哈希值。 |
keyword |
sublime_security.email_message.attachments.sha256 |
原始内容的 SHA256 哈希值。 |
keyword |
sublime_security.email_message.attachments.size |
文件大小(以字节为单位)。 |
long |
sublime_security.email_message.body.current_thread.text |
消息线程中最新回复/转发的文本内容。 这通常不包括转发消息和警告横幅的内容。 |
keyword |
sublime_security.email_message.body.html.charset |
text/[subtype] 的字符集。 |
keyword |
sublime_security.email_message.body.html.content_transfer_encoding |
text/[subtype] 的 Content-Transfer-Encoding。 |
keyword |
sublime_security.email_message.body.html.display_text |
HTML 文档的可视文本,删除不可见字符并将非 ASCII 字符转换为 ASCII 空格。 |
keyword |
sublime_security.email_message.body.html.inner_text |
不包含 HTML 标记的 HTML 文档的内部文本。 |
keyword |
sublime_security.email_message.body.html.raw |
正文文本类型(text/[subtype] 部分)的解码原始内容。 |
keyword |
sublime_security.email_message.body.ips.ip |
原始 IP。 |
ip |
sublime_security.email_message.body.links.display_text |
超链接的文本,如果它不是 URL。 |
keyword |
sublime_security.email_message.body.links.display_url.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.body.links.display_url.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.body.links.display_url.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.body.links.display_url.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.body.links.display_url.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.body.links.display_url.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.body.links.display_url.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.body.links.display_url.fragment |
片段标识符; href_url 中 # 后面的文本(也称为锚标记)。 |
keyword |
sublime_security.email_message.body.links.display_url.password |
域名之前指定的密码。 |
keyword |
sublime_security.email_message.body.links.display_url.path |
TLD 之后和查询参数之前的所有内容。 |
keyword |
sublime_security.email_message.body.links.display_url.port |
用于 href_url 的端口。 如果未设置显式端口,则将从协议推断端口。 |
long |
sublime_security.email_message.body.links.display_url.query_params |
href_url 的查询参数。 |
keyword |
sublime_security.email_message.body.links.display_url.rewrite.encoders |
在展开 URL 时检测到的 URL 重写编码器列表。 |
keyword |
sublime_security.email_message.body.links.display_url.rewrite.original |
没有任何展开 URL 重写的原始 URL。 |
keyword |
sublime_security.email_message.body.links.display_url.scheme |
href_url 请求的协议,例如 http。 |
keyword |
sublime_security.email_message.body.links.display_url.url |
完整 URL。 |
keyword |
sublime_security.email_message.body.links.display_url.username |
href_url 的域名之前指定的用户名字。 |
keyword |
sublime_security.email_message.body.links.href_url.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.body.links.href_url.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.body.links.href_url.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.body.links.href_url.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.body.links.href_url.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.body.links.href_url.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.body.links.href_url.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.body.links.href_url.fragment |
片段标识符; href_url 中 # 后面的文本(也称为锚标记)。 |
keyword |
sublime_security.email_message.body.links.href_url.password |
域名之前指定的密码。 |
keyword |
sublime_security.email_message.body.links.href_url.path |
TLD 之后和查询参数之前的所有内容。 |
keyword |
sublime_security.email_message.body.links.href_url.port |
用于 href_url 的端口。 如果未设置显式端口,则将从协议推断端口。 |
long |
sublime_security.email_message.body.links.href_url.query_params |
href_url 的查询参数。 |
keyword |
sublime_security.email_message.body.links.href_url.rewrite.encoders |
在展开 URL 时检测到的 URL 重写编码器列表。 |
keyword |
sublime_security.email_message.body.links.href_url.rewrite.original |
没有任何展开 URL 重写的原始 URL。 |
keyword |
sublime_security.email_message.body.links.href_url.scheme |
href_url 请求的协议,例如 http。 |
keyword |
sublime_security.email_message.body.links.href_url.url |
完整 URL。 |
keyword |
sublime_security.email_message.body.links.href_url.username |
href_url 的域名之前指定的用户名字。 |
keyword |
sublime_security.email_message.body.links.mismatched |
显示 URL 和 href URL 根域是否不匹配(即 .href_url.domain.root_domain != .display_url.domain.root_domain,其中两者都不是 null 并且是有效的域)。 |
布尔值 |
sublime_security.email_message.body.plain.charset |
text/[subtype] 的字符集。 |
keyword |
sublime_security.email_message.body.plain.content_transfer_encoding |
text/[subtype] 的 Content-Transfer-Encoding。 |
keyword |
sublime_security.email_message.body.plain.raw |
正文文本类型(text/[subtype] 部分)的解码原始内容。 |
keyword |
sublime_security.email_message.errors |
解析 MDM 时发生的非致命错误。 |
object |
sublime_security.email_message.external.created_at |
由云 API(G Suite 或 Office 365)或其他外部来源提供的消息创建时间。 这通常是外部来源收到消息的时间。 |
日期 |
sublime_security.email_message.external.message_id |
由云 API(G Suite 或 Office 365)或其他外部来源提供的消息 ID。 |
keyword |
sublime_security.email_message.external.route_type |
消息是已发送还是已接收。 |
keyword |
sublime_security.email_message.external.spam |
上游邮件网关确定该消息为垃圾邮件。 对于云 API 提供商,这将与 spam_folder 相同。 对于其他实现方法(如传输规则),如果支持,这将由消息头值(例如 X-SPAM)确定。 |
布尔值 |
sublime_security.email_message.external.spam_folder |
消息到达用户的垃圾邮件文件夹。 这仅适用于云 API(G Suite 或 Office 365)。 |
布尔值 |
sublime_security.email_message.external.thread_id |
由云 API(G Suite 或 Office 365)提供的线程/对话的唯一 ID。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.action |
指示垃圾邮件过滤器根据 DMARC 检查结果采取的操作。 有关更多信息,请参阅 https://docs.microsoft.com/zh-cn/microsoft-365/security/office-365-security/anti-spam-message-headers?view=o365-worldwide#authentication-results-message-header-fields。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.disposition |
Gmail 应用的策略。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.from.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.from.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.from.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.from.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.from.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.from.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.from.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.auth_summary.dmarc.details.policy |
组织域的策略。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.sub_policy |
组织域子域的策略。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.verdict |
描述消息的 DMARC 检查结果。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.details.version |
DMARC 版本。 |
keyword |
sublime_security.email_message.headers.auth_summary.dmarc.pass |
DMARC 检查是否通过。 |
布尔值 |
sublime_security.email_message.headers.auth_summary.dmarc.received_hop |
进行 DMARC 检查的最低跳数。 |
long |
sublime_security.email_message.headers.auth_summary.spf.details.client_ip.ip |
原始 IP。 |
ip |
sublime_security.email_message.headers.auth_summary.spf.details.description |
SPF 判定的详细描述。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.designator |
指定机构的电子邮件或域。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.helo.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.helo.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.helo.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.helo.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.helo.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.helo.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.helo.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.auth_summary.spf.details.server.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.server.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.server.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.server.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.server.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.server.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.details.server.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.auth_summary.spf.details.verdict |
SPF 的判定。 |
keyword |
sublime_security.email_message.headers.auth_summary.spf.error |
SPF 检查是否出错。 |
布尔值 |
sublime_security.email_message.headers.auth_summary.spf.pass |
SPF 检查是否通过。 |
布尔值 |
sublime_security.email_message.headers.auth_summary.spf.received_hop |
进行 SPF 检查的最低跳数。 |
long |
sublime_security.email_message.headers.date |
电子邮件发送的 UTC 日期。 |
日期 |
sublime_security.email_message.headers.date_original_offset |
发件人的 UTC 时区偏移量。 |
keyword |
sublime_security.email_message.headers.delivered_to.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.delivered_to.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.delivered_to.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.delivered_to.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.delivered_to.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.delivered_to.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.delivered_to.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.delivered_to.email |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.headers.delivered_to.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.headers.domains.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.domains.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.domains.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.domains.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.domains.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.domains.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.domains.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.hops.authentication_results.compauth.reason |
判定原因。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.compauth.verdict |
compauth 的判定。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim |
域密钥标识邮件检查的判定。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.algorithm |
签名算法。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.body_hash |
正文哈希。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.domain |
如果存在,则在 DKIM 签名中标识的域。 这是查询公钥的域。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.headers |
由该算法签名的头字段。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.instance |
此签名的实例号(如果为 ARC)。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.selector |
选择器。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.signature |
头和正文的签名。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.type |
签名类型,从字段名称派生。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dkim_details.version |
版本。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc |
基于域的消息身份验证、报告和一致性检查的判定。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.action |
指示垃圾邮件过滤器根据 DMARC 检查结果采取的操作。 有关更多信息,请参阅 https://docs.microsoft.com/zh-cn/microsoft-365/security/office-365-security/anti-spam-message-headers?view=o365-worldwide#authentication-results-message-header-fields。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.disposition |
Gmail 应用的策略。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.from.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.from.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.from.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.from.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.from.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.from.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.from.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.policy |
组织域的策略。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.sub_policy |
组织域子域的策略。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.verdict |
描述消息的 DMARC 检查结果。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.dmarc_details.version |
DMARC 版本。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.instance |
此身份验证结果的实例号(如果为 ARC)。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.server.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.server.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.server.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.server.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.server.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.server.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.server.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.hops.authentication_results.spf |
发件人策略框架的裁决结果。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.client_ip.ip |
原始 IP。 |
ip |
sublime_security.email_message.headers.hops.authentication_results.spf_details.description |
SPF 判定的详细描述。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.designator |
指定机构的电子邮件或域。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.helo.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.helo.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.helo.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.helo.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.helo.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.helo.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.helo.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.hops.authentication_results.spf_details.server.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.server.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.server.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.server.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.server.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.server.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.spf_details.server.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.hops.authentication_results.spf_details.verdict |
SPF 的判定。 |
keyword |
sublime_security.email_message.headers.hops.authentication_results.type |
身份验证结果的类型,从字段名称派生。 |
keyword |
sublime_security.email_message.headers.hops.fields |
object |
|
sublime_security.email_message.headers.hops.index |
索引指示从发件人到收件人发生跃点的顺序。 |
long |
sublime_security.email_message.headers.hops.received.additional.raw |
剩余附加子句(例如传输信息)的原始字符串。 |
keyword |
sublime_security.email_message.headers.hops.received.id.raw |
id 部分的原始字符串。 |
keyword |
sublime_security.email_message.headers.hops.received.link.raw |
via 部分的原始字符串。 |
keyword |
sublime_security.email_message.headers.hops.received.mailbox.raw |
for 部分的原始字符串。 |
keyword |
sublime_security.email_message.headers.hops.received.protocol.raw |
with 部分的原始字符串。 |
keyword |
sublime_security.email_message.headers.hops.received.server.raw |
by 部分的原始字符串。 |
keyword |
sublime_security.email_message.headers.hops.received.source.raw |
from 部分的原始字符串。 |
keyword |
sublime_security.email_message.headers.hops.received.time |
从 Received 标头解析的时间。 |
日期 |
sublime_security.email_message.headers.hops.received.zone_offset |
从 Received 标头解析的时区偏移量。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.client_ip.ip |
原始 IP。 |
ip |
sublime_security.email_message.headers.hops.received_spf.description |
SPF 判定的详细描述。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.designator |
指定机构的电子邮件或域。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.helo.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.helo.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.helo.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.helo.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.helo.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.helo.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.helo.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.hops.received_spf.server.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.server.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.server.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.server.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.server.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.server.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.hops.received_spf.server.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.hops.received_spf.verdict |
SPF 的判定。 |
keyword |
sublime_security.email_message.headers.hops.signature.algorithm |
签名算法。 |
keyword |
sublime_security.email_message.headers.hops.signature.body_hash |
正文哈希。 |
keyword |
sublime_security.email_message.headers.hops.signature.domain |
如果存在,则在 DKIM 签名中标识的域。 这是查询公钥的域。 |
keyword |
sublime_security.email_message.headers.hops.signature.headers |
由该算法签名的头字段。 |
keyword |
sublime_security.email_message.headers.hops.signature.instance |
此签名的实例号(如果为 ARC)。 |
keyword |
sublime_security.email_message.headers.hops.signature.selector |
选择器。 |
keyword |
sublime_security.email_message.headers.hops.signature.signature |
头和正文的签名。 |
keyword |
sublime_security.email_message.headers.hops.signature.type |
签名类型,从字段名称派生。 |
keyword |
sublime_security.email_message.headers.hops.signature.version |
版本。 |
keyword |
sublime_security.email_message.headers.in_reply_to |
In-Reply-To 标头值,用于标识其父消息(如果存在)。 |
keyword |
sublime_security.email_message.headers.ips.ip |
原始 IP。 |
keyword |
sublime_security.email_message.headers.mailer |
从标头提取的 X-Mailer 或 User-Agent。 |
keyword |
sublime_security.email_message.headers.message_id |
从标头提取的 Message-ID。 |
keyword |
sublime_security.email_message.headers.references |
此链中其他消息的 Message-ID。 |
keyword |
sublime_security.email_message.headers.reply_to.display_name |
显示名称。 |
keyword |
sublime_security.email_message.headers.reply_to.email.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.reply_to.email.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.reply_to.email.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.reply_to.email.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.reply_to.email.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.reply_to.email.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.reply_to.email.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.reply_to.email.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.headers.reply_to.email.value |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.headers.return_path.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.return_path.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.return_path.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.return_path.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.return_path.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.return_path.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.return_path.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.return_path.email |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.headers.return_path.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.headers.x_authenticated_domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.x_authenticated_domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.x_authenticated_domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.x_authenticated_domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.x_authenticated_domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.x_authenticated_domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.x_authenticated_domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.x_authenticated_sender.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.x_authenticated_sender.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.x_authenticated_sender.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.x_authenticated_sender.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.x_authenticated_sender.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.x_authenticated_sender.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.x_authenticated_sender.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.x_authenticated_sender.email |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.headers.x_authenticated_sender.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.headers.x_client_ip.ip |
原始 IP。 |
ip |
sublime_security.email_message.headers.x_originating_ip.ip |
原始 IP。 |
ip |
sublime_security.email_message.headers.x_secure_server_account |
X-SecureServer-Acct 标头,表示与安全服务器上发件人的电子邮件帐户关联的唯一标识符,可用于将电子邮件追溯到特定帐户或用户。 |
keyword |
sublime_security.email_message.headers.x_sender.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.headers.x_sender.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.headers.x_sender.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.headers.x_sender.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.headers.x_sender.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.headers.x_sender.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.headers.x_sender.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.headers.x_sender.email |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.headers.x_sender.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.mailbox.display_name |
显示名称。 |
keyword |
sublime_security.email_message.mailbox.email.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.mailbox.email.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.mailbox.email.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.mailbox.email.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.mailbox.email.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.mailbox.email.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.mailbox.email.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.mailbox.email.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.mailbox.email.value |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.meta.canonical_id |
一个确定性 ID,从附件、正文、主题、发件人等元数据生成,用于将相似的消息/活动分组在一起。 |
keyword |
sublime_security.email_message.meta.created_at |
数据模型的创建时间。 |
日期 |
sublime_security.email_message.meta.effective_at |
数据模型的有效时间,用于针对列表和历史函数(如发件人配置文件或 whois)进行评估。 |
日期 |
sublime_security.email_message.meta.id |
消息 ID。 |
keyword |
sublime_security.email_message.recipients.bcc.display_name |
显示名称。 |
keyword |
sublime_security.email_message.recipients.bcc.email.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.recipients.bcc.email.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.recipients.bcc.email.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.recipients.bcc.email.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.recipients.bcc.email.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.recipients.bcc.email.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.recipients.bcc.email.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.recipients.bcc.email.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.recipients.bcc.email.value |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.recipients.cc.display_name |
显示名称。 |
keyword |
sublime_security.email_message.recipients.cc.email.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.recipients.cc.email.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.recipients.cc.email.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.recipients.cc.email.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.recipients.cc.email.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.recipients.cc.email.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.recipients.cc.email.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.recipients.cc.email.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.recipients.cc.email.value |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.recipients.to.display_name |
显示名称。 |
keyword |
sublime_security.email_message.recipients.to.email.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.recipients.to.email.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.recipients.to.email.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.recipients.to.email.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.recipients.to.email.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.recipients.to.email.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.recipients.to.email.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.recipients.to.email.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.recipients.to.email.value |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.sender.display_name |
显示名称。 |
keyword |
sublime_security.email_message.sender.email.domain.domain |
完全限定域名 (FQDN)。 这可能并不总是可路由的,例如,当电子邮件地址包含一个仅为 TLD 而没有 SLD 的域时,例如 foo@WIN-bar。 |
keyword |
sublime_security.email_message.sender.email.domain.punycode |
如果域名以 xn-- 开头,则解释为 punycode。 例如,如果domain是xn—ublimesecurity-4xc.com,则punycode是śublimesecurity.com。 |
keyword |
sublime_security.email_message.sender.email.domain.root_domain |
根域,包括 TLD。 |
keyword |
sublime_security.email_message.sender.email.domain.sld |
二级域,例如,对于域名windows.net,windows。 |
keyword |
sublime_security.email_message.sender.email.domain.subdomain |
子域,例如,对于域名drive.google.com,drive。 |
keyword |
sublime_security.email_message.sender.email.domain.tld |
域的顶级域。 例如,google.com 的 TLD 是com。 |
keyword |
sublime_security.email_message.sender.email.domain.valid |
域名是否有效。 |
布尔值 |
sublime_security.email_message.sender.email.local_part |
本地部分,即 @ 之前的部分。 |
keyword |
sublime_security.email_message.sender.email.value |
完整电子邮件地址。 |
keyword |
sublime_security.email_message.subject.subject |
电子邮件的主题。 |
keyword |
sublime_security.email_message.type.inbound |
邮件由您组织外部的人员发送,至少发送给您组织内部的一位收件人。 |
布尔值 |
sublime_security.email_message.type.internal |
邮件由您组织内部的人员发送,至少发送给您组织内部的一位收件人。邮件必须通过 SPF 或 DKIM 进行身份验证才能被视为内部邮件。 |
布尔值 |
sublime_security.email_message.type.outbound |
邮件由您组织内部的人员发送,至少发送给您组织外部的一位收件人。 |
布尔值 |
消息事件
编辑这是 message_event 数据集。
示例
message_event 的示例事件如下所示
{
"@timestamp": "2024-07-12T05:15:08.221Z",
"agent": {
"ephemeral_id": "384edc61-b94b-40cf-9cc6-86d5418d35e5",
"id": "5f3fcbb9-1a97-4ff3-857f-167af6664464",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "sublime_security.message_event",
"namespace": "17638",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "5f3fcbb9-1a97-4ff3-857f-167af6664464",
"snapshot": false,
"version": "8.13.0"
},
"email": {
"from": {
"address": [
"[email protected]"
]
},
"subject": "Urgent: Wire transfer",
"to": {
"address": [
"[email protected]",
"[email protected]",
"[email protected]",
"[email protected]"
]
}
},
"event": {
"agent_id_status": "verified",
"category": [
"email"
],
"dataset": "sublime_security.message_event",
"id": "9c426680-5cdf-4283-adbd-d79ba0e52434",
"ingested": "2024-08-28T10:36:57Z",
"kind": "event",
"original": "{\"canonical_id\":\"dd97dc82731ff7e82edfccaef59826cccd271bd4423e09d1e150ade83037cb37\",\"created_at\":\"2024-07-12T05:15:08.221838Z\",\"external_id\":\"7a2dfbeb-1310-48fc-9ed9-f480608a0306\",\"forward_recipients\":[],\"forwarded_at\":null,\"id\":\"9c426680-5cdf-4283-adbd-d79ba0e52434\",\"landed_in_spam\":false,\"mailbox\":{\"email\":\"[email protected]\",\"external_id\":null,\"id\":\"433fe142-e2e5-4372-84ea-480279543a9b\"},\"message_source_id\":\"257982a1-f106-4c68-bc64-ff032914ed5f\",\"read_at\":null,\"recipients\":[{\"email\":\"[email protected]\"},{\"email\":\"[email protected]\"},{\"email\":\"[email protected]\"},{\"email\":\"[email protected]\"}],\"replied_at\":null,\"sender\":{\"display_name\":\"Bob Doe\",\"email\":\"[email protected]\"},\"subject\":\"Urgent: Wire transfer\"}",
"type": [
"info"
]
},
"input": {
"type": "cel"
},
"observer": {
"product": "Sublime Security",
"vendor": "Sublime Security"
},
"related": {
"user": [
"[email protected]",
"[email protected]",
"[email protected]",
"[email protected]",
"Bob Doe",
"[email protected]"
]
},
"source": {
"user": {
"name": "Bob Doe"
}
},
"sublime_security": {
"message_event": {
"canonical_id": "dd97dc82731ff7e82edfccaef59826cccd271bd4423e09d1e150ade83037cb37",
"created_at": "2024-07-12T05:15:08.221Z",
"external_id": "7a2dfbeb-1310-48fc-9ed9-f480608a0306",
"id": "9c426680-5cdf-4283-adbd-d79ba0e52434",
"landed_in_spam": false,
"mailbox": {
"email": "[email protected]",
"id": "433fe142-e2e5-4372-84ea-480279543a9b"
},
"message_source_id": "257982a1-f106-4c68-bc64-ff032914ed5f",
"recipients": [
{
"email": "[email protected]"
},
{
"email": "[email protected]"
},
{
"email": "[email protected]"
},
{
"email": "[email protected]"
}
],
"sender": {
"display_name": "Bob Doe",
"email": "[email protected]"
},
"subject": "Urgent: Wire transfer"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"sublime_security-message_event"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
sublime_security.message_event.canonical_id |
消息的规范 ID。 |
keyword |
sublime_security.message_event.created_at |
此消息添加到 sublime_security 的时间。 |
日期 |
sublime_security.message_event.data.flagged_rules.id |
标记规则的 ID。 |
keyword |
sublime_security.message_event.data.flagged_rules.name |
标记规则的名称。 |
keyword |
sublime_security.message_event.data.flagged_rules.severity |
标记规则的严重程度。 |
keyword |
sublime_security.message_event.data.flagged_rules.tags |
标记规则的标签列表。 |
keyword |
sublime_security.message_event.data.triggered_actions.id |
keyword |
|
sublime_security.message_event.data.triggered_actions.name |
keyword |
|
sublime_security.message_event.data.triggered_actions.type |
keyword |
|
sublime_security.message_event.external_id |
源系统(例如,Office 365 或 Google Workspace)中消息的 ID。 |
keyword |
sublime_security.message_event.forward_recipients |
此消息由收件人邮箱转发到的电子邮件地址。 |
keyword |
sublime_security.message_event.forwarded_at |
此消息由收件人邮箱转发的时间。Null 值表示尚未转发。 |
日期 |
sublime_security.message_event.id |
消息 ID。 |
keyword |
sublime_security.message_event.landed_in_spam |
消息是否已放入收件人的垃圾邮件文件夹。 |
布尔值 |
sublime_security.message_event.mailbox.email |
邮箱电子邮件地址。 |
keyword |
sublime_security.message_event.mailbox.external_id |
源系统(例如,Office 365 或 Google Workspace)中邮箱的 ID。 |
keyword |
sublime_security.message_event.mailbox.id |
邮箱 ID。 |
keyword |
sublime_security.message_event.message_source_id |
消息的消息源的 ID。 |
keyword |
sublime_security.message_event.read_at |
此消息在用户邮箱中被读取的时间。Null 值表示尚未标记为已读。 |
日期 |
sublime_security.message_event.recipients.email |
电子邮件地址。 |
keyword |
sublime_security.message_event.replied_at |
收件人邮箱回复此消息的时间。Null 值表示收件人尚未回复。 |
日期 |
sublime_security.message_event.sender.display_name |
显示名称。 |
keyword |
sublime_security.message_event.sender.email |
电子邮件地址。 |
keyword |
sublime_security.message_event.subject |
消息的主题。 |
keyword |
sublime_security.message_event.type |
keyword |