Proofpoint
使用 IBM Security QRadar Proofpoint 内容扩展的自定义属性来密切监控您的 Proofpoint 部署。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
IBM Security QRadar Proofpoint 的定制属性 V1.0.0
下表显示了 IBM Security QRadar Custom Properties for Proofpoint V1.0.0中的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 操作 | 是 | 1 | 操作 = (\S +) |
| 成人内容评分 | 是 | 1 | 成人核心 = (\d +) |
| 命令 | 是 | 1 | cmd = (\S +) |
| 错误代码 | 是 | 1 | err=" ([^ \"] +) |
| 文件扩展名 | 是 | 1 | file = [^>. \s] *. ([^> \s] *) |
| 文件名 | 是 | 1 | 文件 = (\S +) |
| 消息 | 是 | 1 | msg=" ([^ "] *) |
| 消息大小 | 是 | 1 | size = (\d +) size = (\d +) |
| MessageID | 是 | 1 | msgid=<(\S+)> |
| 收件人数 | 否 | 1 | nrcpts = (\d +) |
| 始发主机 | 是 | 1 | from = [^> @ \s] * @ ([^> \s] *) |
| 始发用户 | 是 | 1 | from=<(\S+)> |
| 网络钓鱼评分 | 是 | 1 | phishscore = (\d +) |
| 收件人主机 | 是 | 1 | 到 = [^> @ \s] * @ ([^> \s] *) |
| 收件人用户 | 是 | 1 | to=<(\S+)> |
| 垃圾邮件评分 | 否 | 1 | 垃圾邮件评分 = (\d +) |
| 可疑评分 | 是 | 1 | 怀疑核心 = (\d +) |