Netskope-Web-Proxy-Protokolle erfassen

Dieser Parser verarbeitet sowohl CEF- als auch nicht CEF-formatierte Netskope-Webproxy-Logs. Es werden Felder extrahiert, Datentransformationen durchgeführt (z. B. Zeitstempel konvertieren oder Felder zusammenführen), sie werden dem UDM zugeordnet und Netskope-spezifische Metadaten hinzugefügt. Der Parser verwendet bedingte Logik, um verschiedene Protokollformate und Feldverfügbarkeiten zu verarbeiten und das UDM mit relevanten Netzwerk-, Sicherheits- und Anwendungsdetails anzureichern.

Hinweise

• Sie benötigen eine Google Security Operations-Instanz.
• Sie benötigen erhöhte Zugriffsrechte für Netskope.
• Sie benötigen ein konfiguriertes Log Shipper-Modul.
• Sie benötigen einen Google SecOps-Dienstkontoschlüssel. Wenden Sie sich an das Google SecOps-Team, um ein Dienstkonto mit den folgenden Bereichen zu erhalten: https://www.googleapis.com/auth/malachite-ingestion.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profile.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Netskope-Tenant in CE konfigurieren

1. Gehen Sie zu Einstellungen > Allgemein.
2. Stellen Sie den Schalter Log Shipper auf ON.
3. Klicken Sie auf der Seite Einstellungen auf Netskope-Tenants.
4. Wenn keine Mandanten konfiguriert sind, klicken Sie auf Mandant hinzufügen.
5. Geben Sie die folgenden Werte ein:
   • Name: Geben Sie einen einprägsamen Namen für den Mandanten ein.
   • Tenant Name (Mieternname): Geben Sie den echten Namen Ihres Netskope-Mieters ein.
   • V2 API-Token: Geben Sie Ihr Netskope API-Token ein.
   • Benachrichtigungsfilter: Fügen Sie die Webproxy-Benachrichtigungen hinzu, die Sie aufnehmen möchten.
   • Anfangszeitraum: Geben Sie die Anzahl der Verlaufsdaten ein, die Sie aufnehmen möchten (in Tagen).
   • Klicken Sie auf Speichern.

Netskope CLS-Plug-in konfigurieren

1. Gehen Sie zu Einstellungen > Plug-ins.
2. Suchen Sie nach Netskope (CLS) und wählen Sie das Kästchen aus, um die Seite zum Erstellen des Plug-ins zu öffnen.
3. Geben Sie die folgenden Informationen ein:
   • Configuration Name (Konfigurationsname): Geben Sie einen einprägsamen Namen für dieses Plug-in ein.
   • Tenant: Wählen Sie in der Liste den Mandanten aus, den Sie im vorherigen Schritt erstellt haben.
   • Klicken Sie auf Weiter.
   • Aktualisieren Sie die Liste Ereignistyp nach Bedarf.
   • Anfangszeitraum: Geben Sie die Menge der Verlaufsdaten ein, die Sie aufnehmen möchten (in Stunden).
   • Klicken Sie auf Speichern.

Google SecOps-Plug-in in Netskope konfigurieren

1. Gehen Sie zu Einstellungen > Plug-ins.
2. Suche nach dem Feld Chronicle (CLS) und wähle es aus, um die Seite zum Erstellen von Plug-ins zu öffnen.
3. Geben Sie die folgenden Informationen ein:
   • Configuration Name (Konfigurationsname): Geben Sie einen Namen für dieses Plug-in ein.
   • Zuordnung: Lassen Sie die Auswahl Standard.
   • Aktivieren Sie When enabled logs will be transformed using the selected mapping file AN.
   • Klicken Sie auf Weiter.
   • Region: Wählen Sie die Region Ihrer Google SecOps-Instanz aus.
   • URL der benutzerdefinierten Region: Optionale Einstellung, die nur erforderlich ist, wenn im vorherigen Schritt Benutzerdefinierte Region ausgewählt wurde.
   • JSON-Schlüssel für Dienstkonto: Geben Sie den von Google SecOps bereitgestellten JSON-Schlüssel ein.
   • Kundennummer: Geben Sie die Kundennummer Ihres Google SecOps-Tenants ein.
   • Klicken Sie auf Speichern.

Geschäftsregel für Log Shipper für Google SecOps konfigurieren

1. Gehen Sie zu Log Shipper > Geschäftsregeln.
2. Standardmäßig gibt es eine Geschäftsregel, die alle Benachrichtigungen und Ereignisse filtert.
3. Wenn Sie eine bestimmte Art von Benachrichtigung oder Ereignis herausfiltern möchten, klicken Sie auf Neue Regel erstellen und konfigurieren Sie eine neue Geschäftsregel, indem Sie den Regelnamen und den Filter hinzufügen.
4. Klicken Sie auf Speichern.

Log Shipper-SIEM-Zuordnungen für Google SecOps konfigurieren

1. Gehen Sie zu Log Shipper > SIEM-Zuordnungen.
2. Klicken Sie auf SIEM-Zuordnung hinzufügen.
3. Geben Sie die folgenden Informationen ein:
   • Source Configuration (Quellkonfiguration): Wählen Sie das Netskope CLS-Plug-in aus.
   • Zielkonfiguration: Wählen Sie das Google SecOps-Plug-in aus.
   • Geschäftsregel: Wählen Sie die zuvor erstellte Regel aus.
   • Klicken Sie auf Speichern.

Abruf und Workflow von Ereignissen und Benachrichtigungen in Netskope prüfen

1. Klicken Sie in Netskope Cloud Exchange auf Logging.
2. Suchen Sie nach den abgerufenen Protokollen.
3. Suchen Sie unter Protokollierung mit dem Filter message contains ingested nach aufgenommenen Ereignissen und Benachrichtigungen.
4. Die aufgenommenen Protokolle werden gefiltert.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
applicationType	security_result.detection_fields[].key: „applicationType“ security_result.detection_fields[].value: applicationType	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
appcategory	security_result.category_details[]: appcategory	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
browser	security_result.detection_fields[].key: „browser“ security_result.detection_fields[].value: browser	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
c-ip	principal.asset.ip[]: c-ip principal.ip[]: c-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cci	security_result.detection_fields[].key: „cci“ security_result.detection_fields[].value: cci	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
ccl	security_result.confidence: Abgeleiteter Wert security_result.confidence_details: ccl	security_result.confidence wird anhand des Werts von ccl ermittelt: „sehr gut“ oder „hoch“ entspricht HIGH_CONFIDENCE, „mittel“ entspricht MEDIUM_CONFIDENCE, „niedrig“ oder „schlecht“ entspricht LOW_CONFIDENCE und „unbekannt“ oder „nicht definiert“ entspricht UNKNOWN_CONFIDENCE. security_result.confidence_details wird direkt von ccl zugeordnet.
clientBytes	network.sent_bytes: clientBytes	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
cs-access-method	additional.fields[].key: „accessMethod“ additional.fields[].value.string_value: cs-access-method	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app	additional.fields[].key: „x-cs-app“ additional.fields[].value.string_value: cs-app principal.application: cs-app	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-activity	additional.fields[].key: „x-cs-app-activity“ additional.fields[].value.string_value: cs-app-activity	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-category	additional.fields[].key: „x-cs-app-category“ additional.fields[].value.string_value: cs-app-category	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-cci	additional.fields[].key: „x-cs-app-cci“ additional.fields[].value.string_value: cs-app-cci	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-ccl	additional.fields[].key: „x-cs-app-ccl“ additional.fields[].value.string_value: cs-app-ccl	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-from-user	additional.fields[].key: „x-cs-app-from-user“ additional.fields[].value.string_value: cs-app-from-user principal.user.email_addresses[]: cs-app-from-user	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-instance-id	additional.fields[].key: „x-cs-app-instance-id“ additional.fields[].value.string_value: cs-app-instance-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-object-name	additional.fields[].key: „x-cs-app-object-name“ additional.fields[].value.string_value: cs-app-object-name	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-object-type	additional.fields[].key: „x-cs-app-object-type“ additional.fields[].value.string_value: cs-app-object-type	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-suite	additional.fields[].key: „x-cs-app-suite“ additional.fields[].value.string_value: cs-app-suite	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-tags	additional.fields[].key: „x-cs-app-tags“ additional.fields[].value.string_value: cs-app-tags	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-bytes	network.sent_bytes: cs-bytes	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-content-type	additional.fields[].key: „sc-content-type“ additional.fields[].value.string_value: cs-content-type	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-dns	target.asset.hostname[]: cs-dns target.hostname: cs-dns	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-host	target.asset.hostname[]: cs-host target.hostname: cs-host	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-method	network.http.method: cs-method	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-referer	network.http.referral_url: cs-referer	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri	additional.fields[].key: „cs-uri“ additional.fields[].value.string_value: cs-uri	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-path	additional.fields[].key: „x-cs-uri-path“ additional.fields[].value.string_value: cs-uri-path	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-port	additional.fields[].key: „cs-uri-port“ additional.fields[].value.string_value: cs-uri-port	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-scheme	network.application_protocol: cs-uri-scheme	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde.
cs-user-agent	network.http.parsed_user_agent: Geparschter User-Agent network.http.user_agent: cs-user-agent	network.http.parsed_user_agent wird durch Parsen des Felds cs-user-agent mit dem Filter „parseduseragent“ abgeleitet.
cs-username	principal.user.userid: cs-username	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
date	metadata.event_timestamp.seconds: Epochensekunden aus den Feldern date und time metadata.event_timestamp.nanos: 0	Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf „0“ gesetzt.
device	intermediary.hostname: device	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
dst	target.ip[]: dst	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
dst_country	target.location.country_or_region: dst_country	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_ip	target.asset.ip[]: dst_ip target.ip[]: dst_ip	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_location	target.location.city: dst_location	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_region	target.location.state: dst_region	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_zip	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
duser	target.user.email_addresses[]: duser target.user.user_display_name: duser	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
dvchost	about.hostname: dvchost target.asset.hostname[]: dvchost target.hostname: dvchost	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
event_timestamp	metadata.event_timestamp.seconds: event_timestamp	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
hostname	target.asset.hostname[]: hostname target.hostname: hostname	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
IncidentID	security_result.detection_fields[].key: „IncidentID“ security_result.detection_fields[].value: IncidentID	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
intermediary	intermediary: intermediary	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
md5	target.file.md5: md5	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
message	Verschiedene UDM-Felder	Das Feld message wird anhand des Inhalts geparst. In diesem Fall wird es als CEF-Protokoll behandelt. Andernfalls wird er entweder als durch Leerzeichen getrennter String oder als JSON-Objekt geparst. Weitere Informationen finden Sie im Abschnitt „Parsing-Logik“.
mime_type1	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
mime_type2	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
mwDetectionEngine	additional.fields[].key: „mwDetectionEngine“ additional.fields[].value.string_value: mwDetectionEngine	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
mwType	metadata.description: mwType	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
os	principal.platform: Abgeleiteter Wert	Die Plattform wird aus dem Feld os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX.
page	network.http.referral_url: page	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
port	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
referer	network.http.referral_url: referer	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
requestClientApplication	network.http.parsed_user_agent: Geparschter User-Agent network.http.user_agent: requestClientApplication	network.http.parsed_user_agent wird durch Parsen des Felds requestClientApplication mit dem Filter „parseduseragent“ abgeleitet.
request_method	network.http.method: request_method	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
request_protocol	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
rs-status	additional.fields[].key: „rs-status“ additional.fields[].value.string_value: rs-status network.http.response_code: rs-status	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
s-ip	target.asset.ip[]: s-ip target.ip[]: s-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-bytes	network.received_bytes: sc-bytes	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-content-type	additional.fields[].key: „sc-content-type“ additional.fields[].value.string_value: sc-content-type	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-status	network.http.response_code: sc-status	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
serverBytes	network.received_bytes: serverBytes	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
sha256	target.file.sha256: sha256	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
src	principal.ip[]: src	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
src_country	principal.location.country_or_region: src_country	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_ip	principal.asset.ip[]: src_ip principal.ip[]: src_ip	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_latitude	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
src_location	principal.location.city: src_location	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_longitude	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
src_region	principal.location.state: src_region	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_zip	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
suser	principal.user.user_display_name: suser	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
target_host	target.asset.hostname[]: target_host target.hostname: target_host	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
time	metadata.event_timestamp.seconds: Epochensekunden aus den Feldern date und time metadata.event_timestamp.nanos: 0	Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt.
timestamp	metadata.event_timestamp.seconds: timestamp	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
ts	metadata.event_timestamp.seconds: Epoch-Sekunden seit ts metadata.event_timestamp.nanos: 0	Der Zeitstempel wird in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt.
url	target.url: url	Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
user_agent	network.http.parsed_user_agent: Geparschter User-Agent network.http.user_agent: user_agent	network.http.parsed_user_agent wird durch Parsen des Felds user_agent mit dem Filter „parseduseragent“ abgeleitet.
user_ip	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
user_key	principal.user.email_addresses[]: user_key	Direkt aus dem entsprechenden grokkten Feld zugeordnet.
version	Nicht zugeordnet	Dieses Feld ist nicht dem UDM zugeordnet.
x-c-browser	additional.fields[].key: „x-c-browser“ additional.fields[].value.string_value: x-c-browser	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-browser-version	additional.fields[].key: „x-c-browser-version“ additional.fields[].value.string_value: x-c-browser-version	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-country	principal.location.country_or_region: x-c-country	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-device	additional.fields[].key: „x-c-device“ additional.fields[].value.string_value: x-c-device	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-latitude	principal.location.region_coordinates.latitude: x-c-latitude	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-local-time	security_result.detection_fields[].key: „x-c-local-time“ security_result.detection_fields[].value: x-c-local-time	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-location	principal.location.name: x-c-location	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-longitude	principal.location.region_coordinates.longitude: x-c-longitude	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-os	principal.platform: Abgeleiteter Wert	Die Plattform wird aus dem Feld x-c-os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX.
x-c-region	principal.location.state: x-c-region	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-zipcode	additional.fields[].key: „x-c-zipcode“ additional.fields[].value.string_value: x-c-zipcode	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-category	additional.fields[].key: „x-category“ additional.fields[].value.string_value: x-category	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-category-id	additional.fields[].key: „x-category-id“ additional.fields[].value.string_value: x-category-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-access-method	additional.fields[].key: „accessMethod“ additional.fields[].value.string_value: x-cs-access-method	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app	principal.application: x-cs-app additional.fields[].key: „x-cs-app“ additional.fields[].value.string_value: x-cs-app	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-activity	additional.fields[].key: „x-cs-app-activity“ additional.fields[].value.string_value: x-cs-app-activity	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-category	additional.fields[].key: „x-cs-app-category“ additional.fields[].value.string_value: x-cs-app-category	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-cci	additional.fields[].key: „x-cs-app-cci“ additional.fields[].value.string_value: x-cs-app-cci	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-from-user	additional.fields[].key: „x-cs-app-from-user“ additional.fields[].value.string_value: x-cs-app-from-user	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-id	additional.fields[].key: „x-cs-app-object-id“ additional.fields[].value.string_value: x-cs-app-object-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-name	additional.fields[].key: „x-cs-app-object-name“ additional.fields[].value.string_value: x-cs-app-object-name	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-type	additional.fields[].key: „x-cs-app-object-type“ additional.fields[].value.string_value: x-cs-app-object-type	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-suite	additional.fields[].key: „x-cs-app-suite“ additional.fields[].value.string_value: x-cs-app-suite	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-tags	additional.fields[].key: „x-cs-app-tags“ additional.fields[].value.string_value: x-cs-app-tags	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-to-user	additional.fields[].key: „x-cs-app-to-user“ additional.fields[].value.string_value: x-cs-app-to-user	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-dst-ip	security_result.detection_fields[].key: „x-cs-dst-ip“ security_result.detection_fields[].value: x-cs-dst-ip target.asset.ip[]: x-cs-dst-ip target.ip[]: x-cs-dst-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-dst-port	security_result.detection_fields[].key: „x-cs-dst-port“ security_result.detection_fields[].value: x-cs-dst-port target.port: x-cs-dst-port	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-http-version	security_result.detection_fields[].key: „x-cs-http-version“ security_result.detection_fields[].value: x-cs-http-version	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-page-id	additional.fields[].key: „x-cs-page-id“ additional.fields[].value.string_value: x-cs-page-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-session-id	network.session_id: x-cs-session-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-site	additional.fields[].key: „x-cs-site“ additional.fields[].value.string_value: x-cs-site	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-sni	network.tls.client.server_name: x-cs-sni	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-ip	principal.asset.ip[]: x-cs-src-ip principal.ip[]: x-cs-src-ip security_result.detection_fields[].key: „x-cs-src-ip“ security_result.detection_fields[].value: x-cs-src-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-ip-egress	principal.asset.ip[]: x-cs-src-ip-egress principal.ip[]: x-cs-src-ip-egress security_result.detection_fields[].key: „x-cs-src-ip-egress“ security_result.detection_fields[].value: x-cs-src-ip-egress	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-port	principal.port: x-cs-src-port security_result.detection_fields[].key: „x-cs-src-port“ security_result.detection_fields[].value: x-cs-src-port	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-cipher	network.tls.cipher: x-cs-ssl-cipher	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-fronting-error	security_result.detection_fields[].key: „x-cs-ssl-fronting-error“ security_result.detection_fields[].value: x-cs-ssl-fronting-error	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-handshake-error	security_result.detection_fields[].key: „x-cs-ssl-handshake-error“ security_result.detection_fields[].value: x-cs-ssl-handshake-error	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-ja3	network.tls.client.ja3: x-cs-ssl-ja3	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-version	network.tls.version: x-cs-ssl-version	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-timestamp	metadata.event_timestamp.seconds: x-cs-timestamp	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-traffic-type	additional.fields[].key: „trafficType“ additional.fields[].value.string_value: x-cs-traffic-type	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-tunnel-src-ip	security_result.detection_fields[].key: „x-cs-tunnel-src-ip“ security_result.detection_fields[].value: x-cs-tunnel-src-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-uri-path	additional.fields[].key: „x-cs-uri-path“ additional.fields[].value.string_value: x-cs-uri-path	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-url	target.url: x-cs-url	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-userip	security_result.detection_fields[].key: „x-cs-userip“ security_result.detection_fields[].value: x-cs-userip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-other-category	security_result.category_details[]: x-other-category	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-other-category-id	security_result.detection_fields[].key: „x-other-category-id“ security_result.detection_fields[].value: x-other-category-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-action	security_result.action: Abgeleiteter Wert security_result.action_details: x-policy-action	security_result.action wird durch Umwandeln von x-policy-action in Großbuchstaben abgeleitet. Wenn der Wert in Großbuchstaben „ALLOW“ oder „BLOCK“ lautet, wird er direkt verwendet. Andernfalls wird es nicht zugeordnet. security_result.action_details wird direkt von x-policy-action zugeordnet.
x-policy-dst-host	security_result.detection_fields[].key: „x-policy-dst-host“ security_result.detection_fields[].value: x-policy-dst-host	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-dst-host-source	security_result.detection_fields[].key: „x-policy-dst-host-source“ security_result.detection_fields[].value: x-policy-dst-host-source	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-dst-ip	security_result.detection_fields[].key: „x-policy-dst-ip“ security_result.detection_fields[].value: x-policy-dst-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-name	security_result.rule_name: x-policy-name	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-src-ip	security_result.detection_fields[].key: „x-policy-src-ip“ security_result.detection_fields[].value: x-policy-src-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-enddate	network.tls.server.certificate.not_after.seconds: Epoch-Sekunden seit x-r-cert-enddate	Das Datum wird in Sekunden seit der Epoche umgewandelt.
x-r-cert-expired	additional.fields[].key: „x-r-cert-expired“ additional.fields[].value.string_value: x-r-cert-expired	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-incomplete-chain	additional.fields[].key: „x-r-cert-incomplete-chain“ additional.fields[].value.string_value: x-r-cert-incomplete-chain	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-issuer-cn	network.tls.server.certificate.issuer: x-r-cert-issuer-cn	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-mismatch	additional.fields[].key: „x-r-cert-mismatch“ additional.fields[].value.string_value: x-r-cert-mismatch	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-revoked	additional.fields[].key: „x-r-cert-revoked“ additional.fields[].value.string_value: x-r-cert-revoked	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-self-signed	additional.fields[].key: „x-r-cert-self-signed“ additional.fields[].value.string_value: x-r-cert-self-signed	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-startdate	network.tls.server.certificate.not_before.seconds: Epoch-Sekunden seit x-r-cert-startdate	Das Datum wird in Sekunden seit der Epoche umgewandelt.
x-r-cert-subject-cn	network.tls.server.certificate.subject: x-r-cert-subject-cn	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-untrusted-root	additional.fields[].key: „x-r-cert-untrusted-root“ additional.fields[].value.string_value: x-r-cert-untrusted-root	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-valid	additional.fields[].key: „x-r-cert-valid“ additional.fields[].value.string_value: x-r-cert-valid	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-request-id	additional.fields[].key: „requestId“ additional.fields[].value.string_value: x-request-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-rs-file-category	additional.fields[].key: „x-rs-file-category“ additional.fields[].value.string_value: x-rs-file-category	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-rs-file-type	additional.fields[].key: „x-rs-file-type“ additional.fields[].value.string_value: x-rs-file-type	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-country	target.location.country_or_region: x-s-country	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-dp-name	additional.fields[].key: „x-s-dp-name“ additional.fields[].value.string_value: x-s-dp-name	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-latitude	target.location.region_coordinates.latitude: x-s-latitude	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-location	target.location.name: x-s-location	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-longitude	target.location.region_coordinates.longitude: x-s-longitude	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-region	target.location.state: x-s-region	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-zipcode	additional.fields[].key: „x-s-zipcode“ additional.fields[].value.string_value: x-s-zipcode	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-cipher	security_result.detection_fields[].key: „x-sr-ssl-cipher“ security_result.detection_fields[].value: x-sr-ssl-cipher	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-client-certificate-error	security_result.detection_fields[].key: „x-sr-ssl-client-certificate-error“ security_result.detection_fields[].value: x-sr-ssl-client-certificate-error	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-engine-action	security_result.detection_fields[].key: „x-sr-ssl-engine-action“ security_result.detection_fields[].value: x-sr-ssl-engine-action	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-engine-action-reason	security_result.detection_fields[].key: „x-sr-ssl-engine-action-reason“ security_result.detection_fields[].value: x-sr-ssl-engine-action-reason	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-handshake-error	security_result.detection_fields[].key: „x-sr-ssl-handshake-error“ security_result.detection_fields[].value: x-sr-ssl-handshake-error	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-ja3s	network.tls.server.ja3s: x-sr-ssl-ja3s	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-malformed-ssl	security_result.detection_fields[].key: „x-sr-ssl-malformed-ssl“ security_result.detection_fields[].value: x-sr-ssl-malformed-ssl	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-version	security_result.detection_fields[].key: „x-sr-ssl-version“ security_result.detection_fields[].value: x-sr-ssl-version	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-custom-signing-ca-error	security_result.detection_fields[].key: „x-s-custom-signing-ca-error“ security_result.detection_fields[].value: x-s-custom-signing-ca-error	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-bypass	security_result.detection_fields[].key: „SSL BYPASS“ security_result.detection_fields[].value: x-ssl-bypass oder x-ssl-bypass-reason	Wenn x-ssl-bypass „Ja“ ist und x-ssl-bypass-reason vorhanden ist, wird der Wert von x-ssl-bypass-reason verwendet. Andernfalls wird der Wert x-ssl-bypass verwendet.
x-ssl-policy-action	security_result.detection_fields[].key: „x-ssl-policy-action“ security_result.detection_fields[].value: x-ssl-policy-action	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-categories	security_result.category_details[]: x-ssl-policy-categories	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-host	security_result.detection_fields[].key: „x-ssl-policy-dst-host“ security_result.detection_fields[].value: x-ssl-policy-dst-host	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-host-source	security_result.detection_fields[].key: „x-ssl-policy-dst-host-source“ security_result.detection_fields[].value: x-ssl-policy-dst-host-source	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-ip	security_result.detection_fields[].key: „x-ssl-policy-dst-ip“ security_result.detection_fields[].value: x-ssl-policy-dst-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-name	security_result.rule_name: x-ssl-policy-name	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-src-ip	security_result.detection_fields[].key: „x-ssl-policy-src-ip“ security_result.detection_fields[].value: x-ssl-policy-src-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-dst-ip	security_result.detection_fields[].key: „x-sr-dst-ip“ security_result.detection_fields[].value: x-sr-dst-ip	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-dst-port	security_result.detection_fields[].key: „x-sr-dst-port“ security_result.detection_fields[].value: x-sr-dst-port	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-type	additional.fields[].key: „xType“ additional.fields[].value.string_value: x-type	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-transaction-id	additional.fields[].key: „transactionId“ additional.fields[].value.string_value: x-transaction-id	Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
–	metadata.vendor_name: „Netskope“	Hartcodierter Wert im Parser.
–	metadata.product_name: „Netskope Webproxy“	Legen Sie „Netskope Webproxy“ fest, falls noch nicht vorhanden.
–	metadata.log_type: „NETSKOPE_WEBPROXY“	Hartcodierter Wert im Parser.

Änderungen

2024-06-04

• Grok wurde hinzugefügt, um nicht geparste Protokolle zu verarbeiten.
• „url“ wurde „target.url“ zugeordnet.
• „appSessionId“ wurde zu „network.session_id“ zugeordnet.
• „page“ wurde „network.http.referral_url“ zugeordnet.
• „appcategory“ wurde „security_result.category_details“ zugeordnet.
• „clientBytes“ wurde in „network.sent_bytes“ umgewandelt.
• „serverBytes“ wurde in „network.received_bytes“ umgewandelt.
• „ccl“ wurde in „security_result.confidence_details“ geändert.
• „IncidentID“, „applicationType“, „browser“ und „cci“ wurden in „security_result.detection_fields“ zugeordnet.

2024-04-22

• „x-cs-app-ccl“, „x-cs-app-instance-id“, „x-cs-app-tags“, „x-cs-app-instance-name“, „x-cs-app-instance-tag“, „x-cs-app-to-user“, „x-cs-app-object-id“ und „x-cs-app-from-user“ wurden in „additional.fields“ zugeordnet.

2024-02-26

• Die Zuordnung von „cs-bytes“ wurde von „network.received_bytes“ zu „network.sent_bytes“ geändert.
• Die Zuordnung von „sc-bytes“ wurde von „network.sent_bytes“ zu „network.received_bytes“ geändert.
• „x-cs-app-object-name“ wurde „additional.fields“ zugeordnet.
• „x-cs-app-from-user“ wurde auf „principal.user.email_addresses“ zugeordnet.

2023-12-22

• Wenn der Wert „cs-dns“ „null“ ist, wurde die Zuordnung „cs-host“ von „principal.hostname“ zu „target.hostname“ geändert.
• Die Zuordnung „cs-dns“ wurde von „principal.hostname“ zu „target.hostname“ geändert.
• Wenn der Wert „sc-status“ „null“ ist, wird „rs-status“ mit „network.http.response_code“ abgeglichen.
• „x-cs-app“ wurde auf „principal.application“ zugeordnet.
• „x-cs-src-ip-egress“ wurde auf „principal.ip“ zugeordnet.

2023-12-08

• Die Prüfung „on_error“ wurde hinzugefügt, um die fehlgeschlagenen Protokolle zu parsen.
• Legen Sie „metadata.vendor_name“ auf „Netskope“ und „metadata.product_name“ auf „Netskope Webproxy“ fest.
• Vor der Zuordnung wurde eine bedingte Prüfung für „src_region“, „src_country“, „src_location“, „dst_region“, „dst_country“ und „dst_location“ hinzugefügt.

2023-10-09

• „dvchost“ wurde „target.hostname“ zugeordnet, falls „target.hostname“ nicht vorhanden ist.
• Vor der Zuordnung „requestClientApplication“ wurde eine Null-Prüfung hinzugefügt.

2023-09-12

• „x-cs-dst-ip“ wurde „target.ip“ zugeordnet.
• „x-cs-src-ip“ wurde auf „principal.ip“ zugeordnet.
• „x-cs-src-port“ wurde „principal.port“ zugeordnet.
• „x-cs-dst-port“ wurde „target.port“ zugeordnet.
• Es wurde eine on_error-Prüfung für den Datumsfilter hinzugefügt.
• Es wurden bedingte Prüfungen vor der Zuordnung von „metadata.event_type“ hinzugefügt.

2023-08-28

• „cs-uri“ wurde „additional.fields“ zugeordnet.
• „cs-uri-port“ wurde auf „additional.fields“ zugeordnet.
• „x-s-zipcode“ wurde „additional.fields“ zugeordnet.
• „x-c-zipcode“ wurde „additional.fields“ zugeordnet.
• „x-cs-site“ wurde „additional.fields“ zugeordnet.
• „x-category“ wurde „additional.fields“ zugeordnet.
• „x-sr-ssl-version“ wurde in „security_result.detection_fields“ geändert.
• „x-sr-ssl-cipher“ wurde „security_result.detection_fields“ zugeordnet.
• „x-cs-src-ip-egress“ wurde auf „security_result.detection_fields“ zugeordnet.
• „x-cs-userip“ wurde auf „security_result.detection_fields“ zugeordnet.
• „x-cs-url“ wurde „target.url“ zugeordnet.
• „x-cs-uri-path“ wurde auf „additional.fields“ zugeordnet.
• „x-cs-app-cci“ wurde auf „additional.fields“ zugeordnet.
• „x-cs-app-object-type“ wurde auf „additional.fields“ zugeordnet.
• „x-rs-file-type“ wurde auf „additional.fields“ zugeordnet.
• „x-rs-file-category“ wurde „additional.fields“ zugeordnet.

2023-08-17

• Unterstützung für das neue JSON-Protokollformat hinzugefügt.

2023-06-22

• Unterstützung für das neue Protokollformat SYSLOG+JSON hinzugefügt.

2023-05-30

• „duser“ wurde „target.user.email_addresses“ zugeordnet.
• „requestClientApplication“ wurde in „network.http.parsed_user_agent“ geändert.

2023-02-03

• „Domain“ wurde in „principal.administrative_domain“ geändert.

2023-01-09

• Es wurden bedingte Prüfungen hinzugefügt, um verschiedene „event_type“-Werte basierend auf vorhandenen erforderlichen Parametern zuzuordnen.
• Es wurden verschiedene Formate von „rt“ geparst.

2022-04-06

• Verbesserung: Zuordnungen für neue Felder hinzugefügt
• md5, mwDetectionEngine, mwProfile, mwType werden auf udm zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten