Proofpoint
Aby dokładnie monitorować wdrożenie produktu Proofpoint, należy użyć właściwości niestandardowych właściwości IBM® QRadar ® dla rozszerzenia Proofpoint.
Ważne: Aby uniknąć błędów związanych z treścią w tym rozszerzeniu treści, należy pozostawić do tej pory powiązane z nią elementy DSM. Funkcje DSM są aktualizowane w ramach automatycznych aktualizacji. Jeśli aktualizacje automatyczne nie są włączone, należy pobrać najnowszą wersję powiązanych z nią pakietów DSM z serwisu IBM Fix Central (https://www.ibm.com/support/fixcentral).
IBM Security QRadar Custom Properties for Proofpoint V1.0.0 (Właściwości niestandardowe dla produktu Proofpoint)
W poniższej tabeli przedstawiono właściwości niestandardowe w produkcie IBM Security QRadar Custom Properties for Proofpoint V1.0.0.
| Nazwa | Zoptymalizowane | Grupa przechwytywania | Wyrażenie regularne |
|---|---|---|---|
| Działanie | Tak | 1 | action = (\S +) |
| Wynik dla treści dla dorosłych | Tak | 1 | adultscore = (\d +) |
| Komenda | Tak | 1 | cmd = (\S +) |
| Kod błędu | Tak | 1 | err=" ([ ^ \"] +) |
| Rozszerzenie pliku | Tak | 1 | file = [ ^ >. \s] *. ([ ^ > \s] *) |
| Nazwa pliku | Tak | 1 | plik = (\S +) |
| Komunikat | Tak | 1 | msg=" ([ ^ "] *) |
| Wielkość komunikatu | Tak | 1 | size = (\d +) wielkość = (\d +) |
| MessageID | Tak | 1 | msgid= < (\S +) > |
| Liczba odbiorców | Nie | 1 | nrcpts = (\d +) |
| Host początkowy | Tak | 1 | z = [ ^ > @ \s] * @ ([ ^ > \s] *) |
| Nadawca_użytkownik | Tak | 1 | from= < (\S +) > |
| Wynik Phishing | Tak | 1 | phishscore = (\d +) |
| Host odbiorcy | Tak | 1 | do = [ ^ > @ \s] * @ ([ ^ > \s] *) |
| Użytkownik_odbiorcy | Tak | 1 | do= < (\S +) > |
| Wynik spamu | Nie | 1 | spamscore = (\d +) |
| Podejrzany wynik | Tak | 1 | suspectscore = (\d +) |