Netskope-Web-Proxy-Protokolle erfassen
Dieser Parser verarbeitet sowohl CEF- als auch nicht CEF-formatierte Netskope-Webproxy-Logs. Es werden Felder extrahiert, Datentransformationen durchgeführt (z. B. Zeitstempel konvertieren oder Felder zusammenführen), sie werden dem UDM zugeordnet und Netskope-spezifische Metadaten hinzugefügt. Der Parser verwendet bedingte Logik, um verschiedene Protokollformate und Feldverfügbarkeiten zu verarbeiten und das UDM mit relevanten Netzwerk-, Sicherheits- und Anwendungsdetails anzureichern.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie benötigen erhöhte Zugriffsrechte für Netskope.
- Sie benötigen ein konfiguriertes Log Shipper-Modul.
- Sie benötigen einen Google SecOps-Dienstkontoschlüssel. Wenden Sie sich an das Google SecOps-Team, um ein Dienstkonto mit den folgenden Bereichen zu erhalten: https://www.googleapis.com/auth/malachite-ingestion.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profile.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
Netskope-Tenant in CE konfigurieren
- Gehen Sie zu Einstellungen > Allgemein.
- Stellen Sie den Schalter Log Shipper auf ON.
- Klicken Sie auf der Seite Einstellungen auf Netskope-Tenants.
- Wenn keine Mandanten konfiguriert sind, klicken Sie auf Mandant hinzufügen.
- Geben Sie die folgenden Werte ein:
- Name: Geben Sie einen einprägsamen Namen für den Mandanten ein.
- Tenant Name (Mieternname): Geben Sie den echten Namen Ihres Netskope-Mieters ein.
- V2 API-Token: Geben Sie Ihr Netskope API-Token ein.
- Benachrichtigungsfilter: Fügen Sie die Webproxy-Benachrichtigungen hinzu, die Sie aufnehmen möchten.
- Anfangszeitraum: Geben Sie die Anzahl der Verlaufsdaten ein, die Sie aufnehmen möchten (in Tagen).
- Klicken Sie auf Speichern.
Netskope CLS-Plug-in konfigurieren
- Gehen Sie zu Einstellungen > Plug-ins.
- Suchen Sie nach Netskope (CLS) und wählen Sie das Kästchen aus, um die Seite zum Erstellen des Plug-ins zu öffnen.
- Geben Sie die folgenden Informationen ein:
- Configuration Name (Konfigurationsname): Geben Sie einen einprägsamen Namen für dieses Plug-in ein.
- Tenant: Wählen Sie in der Liste den Mandanten aus, den Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Weiter.
- Aktualisieren Sie die Liste Ereignistyp nach Bedarf.
- Anfangszeitraum: Geben Sie die Menge der Verlaufsdaten ein, die Sie aufnehmen möchten (in Stunden).
- Klicken Sie auf Speichern.
Google SecOps-Plug-in in Netskope konfigurieren
- Gehen Sie zu Einstellungen > Plug-ins.
- Suche nach dem Feld Chronicle (CLS) und wähle es aus, um die Seite zum Erstellen von Plug-ins zu öffnen.
- Geben Sie die folgenden Informationen ein:
- Configuration Name (Konfigurationsname): Geben Sie einen Namen für dieses Plug-in ein.
- Zuordnung: Lassen Sie die Auswahl Standard.
- Aktivieren Sie
When enabled logs will be transformed using the selected mapping file
AN. - Klicken Sie auf Weiter.
- Region: Wählen Sie die Region Ihrer Google SecOps-Umgebung aus.
- URL der benutzerdefinierten Region: Optionale Einstellung, die nur erforderlich ist, wenn im vorherigen Schritt Benutzerdefinierte Region ausgewählt wurde.
- JSON-Schlüssel für Dienstkonto: Geben Sie den von Google SecOps bereitgestellten JSON-Schlüssel ein.
- Kundennummer: Geben Sie die Kundennummer Ihres Google SecOps-Tenants ein.
- Klicken Sie auf Speichern.
Geschäftsregel für Log Shipper für Google SecOps konfigurieren
- Gehen Sie zu Log Shipper > Geschäftsregeln.
- Standardmäßig gibt es eine Geschäftsregel, die alle Benachrichtigungen und Ereignisse filtert.
- Wenn Sie eine bestimmte Art von Benachrichtigung oder Ereignis herausfiltern möchten, klicken Sie auf Neue Regel erstellen und konfigurieren Sie eine neue Geschäftsregel, indem Sie den Regelnamen und den Filter hinzufügen.
- Klicken Sie auf Speichern.
Log Shipper-SIEM-Zuordnungen für Google SecOps konfigurieren
- Gehen Sie zu Log Shipper > SIEM-Zuordnungen.
- Klicken Sie auf SIEM-Zuordnung hinzufügen.
- Geben Sie die folgenden Informationen ein:
- Source Configuration (Quellkonfiguration): Wählen Sie das Netskope CLS-Plug-in aus.
- Zielkonfiguration: Wählen Sie das Google SecOps-Plug-in aus.
- Geschäftsregel: Wählen Sie die zuvor erstellte Regel aus.
- Klicken Sie auf Speichern.
Abruf und Workflow von Ereignissen und Benachrichtigungen in Netskope prüfen
- Klicken Sie in Netskope Cloud Exchange auf Logging.
- Suchen Sie nach den abgerufenen Protokollen.
- Suchen Sie unter Protokollierung mit dem Filter message contains ingested nach aufgenommenen Ereignissen und Benachrichtigungen.
- Die aufgenommenen Protokolle werden gefiltert.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
applicationType |
security_result.detection_fields[].key : „applicationType“security_result.detection_fields[].value : applicationType |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
appcategory |
security_result.category_details[] : appcategory |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
browser |
security_result.detection_fields[].key : „browser“security_result.detection_fields[].value : browser |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
c-ip |
principal.asset.ip[] : c-ip principal.ip[] : c-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cci |
security_result.detection_fields[].key : „cci“security_result.detection_fields[].value : cci |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
ccl |
security_result.confidence : Abgeleiteter Wertsecurity_result.confidence_details : ccl |
security_result.confidence wird anhand des Werts von ccl ermittelt: „sehr gut“ oder „hoch“ entspricht HIGH_CONFIDENCE , „mittel“ entspricht MEDIUM_CONFIDENCE , „niedrig“ oder „schlecht“ entspricht LOW_CONFIDENCE und „unbekannt“ oder „nicht definiert“ entspricht UNKNOWN_CONFIDENCE .security_result.confidence_details wird direkt von ccl zugeordnet. |
clientBytes |
network.sent_bytes : clientBytes |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
cs-access-method |
additional.fields[].key : „accessMethod“additional.fields[].value.string_value : cs-access-method |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app |
additional.fields[].key : „x-cs-app“additional.fields[].value.string_value : cs-app principal.application : cs-app |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-activity |
additional.fields[].key : „x-cs-app-activity“additional.fields[].value.string_value : cs-app-activity |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-category |
additional.fields[].key : „x-cs-app-category“additional.fields[].value.string_value : cs-app-category |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-cci |
additional.fields[].key : „x-cs-app-cci“additional.fields[].value.string_value : cs-app-cci |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-ccl |
additional.fields[].key : „x-cs-app-ccl“additional.fields[].value.string_value : cs-app-ccl |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-from-user |
additional.fields[].key : „x-cs-app-from-user“additional.fields[].value.string_value : cs-app-from-user principal.user.email_addresses[] : cs-app-from-user |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-instance-id |
additional.fields[].key : „x-cs-app-instance-id“additional.fields[].value.string_value : cs-app-instance-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-object-name |
additional.fields[].key : „x-cs-app-object-name“additional.fields[].value.string_value : cs-app-object-name |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-object-type |
additional.fields[].key : „x-cs-app-object-type“additional.fields[].value.string_value : cs-app-object-type |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-suite |
additional.fields[].key : „x-cs-app-suite“additional.fields[].value.string_value : cs-app-suite |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-app-tags |
additional.fields[].key : „x-cs-app-tags“additional.fields[].value.string_value : cs-app-tags |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-bytes |
network.sent_bytes : cs-bytes |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-content-type |
additional.fields[].key : „sc-content-type“additional.fields[].value.string_value : cs-content-type |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-dns |
target.asset.hostname[] : cs-dns target.hostname : cs-dns |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-host |
target.asset.hostname[] : cs-host target.hostname : cs-host |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-method |
network.http.method : cs-method |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-referer |
network.http.referral_url : cs-referer |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-uri |
additional.fields[].key : „cs-uri“additional.fields[].value.string_value : cs-uri |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-uri-path |
additional.fields[].key : „x-cs-uri-path“additional.fields[].value.string_value : cs-uri-path |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-uri-port |
additional.fields[].key : „cs-uri-port“additional.fields[].value.string_value : cs-uri-port |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
cs-uri-scheme |
network.application_protocol : cs-uri-scheme |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde. |
cs-user-agent |
network.http.parsed_user_agent : Geparschter User-Agentnetwork.http.user_agent : cs-user-agent |
network.http.parsed_user_agent wird durch Parsen des Felds cs-user-agent mit dem Filter „parseduseragent“ abgeleitet. |
cs-username |
principal.user.userid : cs-username |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
date |
metadata.event_timestamp.seconds : Epochensekunden aus den Feldern date und time metadata.event_timestamp.nanos : 0 |
Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt. |
device |
intermediary.hostname : device |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
dst |
target.ip[] : dst |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
dst_country |
target.location.country_or_region : dst_country |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
dst_ip |
target.asset.ip[] : dst_ip target.ip[] : dst_ip |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
dst_location |
target.location.city : dst_location |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
dst_region |
target.location.state : dst_region |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
dst_zip |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
duser |
target.user.email_addresses[] : duser target.user.user_display_name : duser |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
dvchost |
about.hostname : dvchost target.asset.hostname[] : dvchost target.hostname : dvchost |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
event_timestamp |
metadata.event_timestamp.seconds : event_timestamp |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
hostname |
target.asset.hostname[] : hostname target.hostname : hostname |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
IncidentID |
security_result.detection_fields[].key : „IncidentID“security_result.detection_fields[].value : IncidentID |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
intermediary |
intermediary : intermediary |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
md5 |
target.file.md5 : md5 |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
message |
Verschiedene UDM-Felder | Das Feld message wird anhand des Inhalts geparst. In diesem Fall wird es als CEF-Protokoll behandelt. Andernfalls wird er entweder als durch Leerzeichen getrennter String oder als JSON-Objekt geparst. Weitere Informationen finden Sie im Abschnitt „Parsing-Logik“. |
mime_type1 |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
mime_type2 |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
mwDetectionEngine |
additional.fields[].key : „mwDetectionEngine“additional.fields[].value.string_value : mwDetectionEngine |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
mwType |
metadata.description : mwType |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
os |
principal.platform : Abgeleiteter Wert |
Die Plattform wird aus dem Feld os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX . |
page |
network.http.referral_url : page |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
port |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
referer |
network.http.referral_url : referer |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
requestClientApplication |
network.http.parsed_user_agent : Geparschter User-Agentnetwork.http.user_agent : requestClientApplication |
network.http.parsed_user_agent wird durch Parsen des Felds requestClientApplication mit dem Filter „parseduseragent“ abgeleitet. |
request_method |
network.http.method : request_method |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
request_protocol |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
rs-status |
additional.fields[].key : „rs-status“additional.fields[].value.string_value : rs-status network.http.response_code : rs-status |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
s-ip |
target.asset.ip[] : s-ip target.ip[] : s-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
sc-bytes |
network.received_bytes : sc-bytes |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
sc-content-type |
additional.fields[].key : „sc-content-type“additional.fields[].value.string_value : sc-content-type |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
sc-status |
network.http.response_code : sc-status |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
serverBytes |
network.received_bytes : serverBytes |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
sha256 |
target.file.sha256 : sha256 |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
src |
principal.ip[] : src |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
src_country |
principal.location.country_or_region : src_country |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
src_ip |
principal.asset.ip[] : src_ip principal.ip[] : src_ip |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
src_latitude |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
src_location |
principal.location.city : src_location |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
src_longitude |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
src_region |
principal.location.state : src_region |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
src_zip |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
suser |
principal.user.user_display_name : suser |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
target_host |
target.asset.hostname[] : target_host target.hostname : target_host |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
time |
metadata.event_timestamp.seconds : Epochensekunden aus den Feldern date und time metadata.event_timestamp.nanos : 0 |
Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt. |
timestamp |
metadata.event_timestamp.seconds : timestamp |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
ts |
metadata.event_timestamp.seconds : Epoch-Sekunden seit ts metadata.event_timestamp.nanos : 0 |
Der Zeitstempel wird in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt. |
url |
target.url : url |
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet. |
user_agent |
network.http.parsed_user_agent : Geparschter User-Agentnetwork.http.user_agent : user_agent |
network.http.parsed_user_agent wird durch Parsen des Felds user_agent mit dem Filter „parseduseragent“ abgeleitet. |
user_ip |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
user_key |
principal.user.email_addresses[] : user_key |
Direkt aus dem entsprechenden grokkten Feld zugeordnet. |
version |
Nicht zugeordnet | Dieses Feld ist nicht dem UDM zugeordnet. |
x-c-browser |
additional.fields[].key : „x-c-browser“additional.fields[].value.string_value : x-c-browser |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-browser-version |
additional.fields[].key : „x-c-browser-version“additional.fields[].value.string_value : x-c-browser-version |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-country |
principal.location.country_or_region : x-c-country |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-device |
additional.fields[].key : „x-c-device“additional.fields[].value.string_value : x-c-device |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-latitude |
principal.location.region_coordinates.latitude : x-c-latitude |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-local-time |
security_result.detection_fields[].key : „x-c-local-time“security_result.detection_fields[].value : x-c-local-time |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-location |
principal.location.name : x-c-location |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-longitude |
principal.location.region_coordinates.longitude : x-c-longitude |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-os |
principal.platform : Abgeleiteter Wert |
Die Plattform wird aus dem Feld x-c-os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX . |
x-c-region |
principal.location.state : x-c-region |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-c-zipcode |
additional.fields[].key : „x-c-zipcode“additional.fields[].value.string_value : x-c-zipcode |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-category |
additional.fields[].key : „x-category“additional.fields[].value.string_value : x-category |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-category-id |
additional.fields[].key : „x-category-id“additional.fields[].value.string_value : x-category-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-access-method |
additional.fields[].key : „accessMethod“additional.fields[].value.string_value : x-cs-access-method |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app |
principal.application : x-cs-app additional.fields[].key : „x-cs-app“additional.fields[].value.string_value : x-cs-app |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-activity |
additional.fields[].key : „x-cs-app-activity“additional.fields[].value.string_value : x-cs-app-activity |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-category |
additional.fields[].key : „x-cs-app-category“additional.fields[].value.string_value : x-cs-app-category |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-cci |
additional.fields[].key : „x-cs-app-cci“additional.fields[].value.string_value : x-cs-app-cci |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-from-user |
additional.fields[].key : „x-cs-app-from-user“additional.fields[].value.string_value : x-cs-app-from-user |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-object-id |
additional.fields[].key : „x-cs-app-object-id“additional.fields[].value.string_value : x-cs-app-object-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-object-name |
additional.fields[].key : „x-cs-app-object-name“additional.fields[].value.string_value : x-cs-app-object-name |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-object-type |
additional.fields[].key : „x-cs-app-object-type“additional.fields[].value.string_value : x-cs-app-object-type |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-suite |
additional.fields[].key : „x-cs-app-suite“additional.fields[].value.string_value : x-cs-app-suite |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-tags |
additional.fields[].key : „x-cs-app-tags“additional.fields[].value.string_value : x-cs-app-tags |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-app-to-user |
additional.fields[].key : „x-cs-app-to-user“additional.fields[].value.string_value : x-cs-app-to-user |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-dst-ip |
security_result.detection_fields[].key : „x-cs-dst-ip“security_result.detection_fields[].value : x-cs-dst-ip target.asset.ip[] : x-cs-dst-ip target.ip[] : x-cs-dst-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-dst-port |
security_result.detection_fields[].key : „x-cs-dst-port“security_result.detection_fields[].value : x-cs-dst-port target.port : x-cs-dst-port |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-http-version |
security_result.detection_fields[].key : „x-cs-http-version“security_result.detection_fields[].value : x-cs-http-version |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-page-id |
additional.fields[].key : „x-cs-page-id“additional.fields[].value.string_value : x-cs-page-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-session-id |
network.session_id : x-cs-session-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-site |
additional.fields[].key : „x-cs-site“additional.fields[].value.string_value : x-cs-site |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-sni |
network.tls.client.server_name : x-cs-sni |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-src-ip |
principal.asset.ip[] : x-cs-src-ip principal.ip[] : x-cs-src-ip security_result.detection_fields[].key : „x-cs-src-ip“security_result.detection_fields[].value : x-cs-src-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-src-ip-egress |
principal.asset.ip[] : x-cs-src-ip-egress principal.ip[] : x-cs-src-ip-egress security_result.detection_fields[].key : „x-cs-src-ip-egress“security_result.detection_fields[].value : x-cs-src-ip-egress |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-src-port |
principal.port : x-cs-src-port security_result.detection_fields[].key : „x-cs-src-port“security_result.detection_fields[].value : x-cs-src-port |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-ssl-cipher |
network.tls.cipher : x-cs-ssl-cipher |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-ssl-fronting-error |
security_result.detection_fields[].key : „x-cs-ssl-fronting-error“security_result.detection_fields[].value : x-cs-ssl-fronting-error |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-ssl-handshake-error |
security_result.detection_fields[].key : „x-cs-ssl-handshake-error“security_result.detection_fields[].value : x-cs-ssl-handshake-error |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-ssl-ja3 |
network.tls.client.ja3 : x-cs-ssl-ja3 |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-ssl-version |
network.tls.version : x-cs-ssl-version |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-timestamp |
metadata.event_timestamp.seconds : x-cs-timestamp |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-traffic-type |
additional.fields[].key : „trafficType“additional.fields[].value.string_value : x-cs-traffic-type |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-tunnel-src-ip |
security_result.detection_fields[].key : „x-cs-tunnel-src-ip“security_result.detection_fields[].value : x-cs-tunnel-src-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-uri-path |
additional.fields[].key : „x-cs-uri-path“additional.fields[].value.string_value : x-cs-uri-path |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-url |
target.url : x-cs-url |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-cs-userip |
security_result.detection_fields[].key : „x-cs-userip“security_result.detection_fields[].value : x-cs-userip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-other-category |
security_result.category_details[] : x-other-category |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-other-category-id |
security_result.detection_fields[].key : „x-other-category-id“security_result.detection_fields[].value : x-other-category-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-policy-action |
security_result.action : Abgeleiteter Wertsecurity_result.action_details : x-policy-action |
security_result.action wird durch Umwandeln von x-policy-action in Großbuchstaben abgeleitet. Wenn der Wert in Großbuchstaben „ALLOW“ oder „BLOCK“ lautet, wird er direkt verwendet. Andernfalls wird es nicht zugeordnet.security_result.action_details wird direkt von x-policy-action zugeordnet. |
x-policy-dst-host |
security_result.detection_fields[].key : „x-policy-dst-host“security_result.detection_fields[].value : x-policy-dst-host |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-policy-dst-host-source |
security_result.detection_fields[].key : „x-policy-dst-host-source“security_result.detection_fields[].value : x-policy-dst-host-source |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-policy-dst-ip |
security_result.detection_fields[].key : „x-policy-dst-ip“security_result.detection_fields[].value : x-policy-dst-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-policy-name |
security_result.rule_name : x-policy-name |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-policy-src-ip |
security_result.detection_fields[].key : „x-policy-src-ip“security_result.detection_fields[].value : x-policy-src-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-enddate |
network.tls.server.certificate.not_after.seconds : Epoch-Sekunden seit x-r-cert-enddate |
Das Datum wird in Sekunden seit der Epoche umgewandelt. |
x-r-cert-expired |
additional.fields[].key : „x-r-cert-expired“additional.fields[].value.string_value : x-r-cert-expired |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-incomplete-chain |
additional.fields[].key : „x-r-cert-incomplete-chain“additional.fields[].value.string_value : x-r-cert-incomplete-chain |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-issuer-cn |
network.tls.server.certificate.issuer : x-r-cert-issuer-cn |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-mismatch |
additional.fields[].key : „x-r-cert-mismatch“additional.fields[].value.string_value : x-r-cert-mismatch |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-revoked |
additional.fields[].key : „x-r-cert-revoked“additional.fields[].value.string_value : x-r-cert-revoked |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-self-signed |
additional.fields[].key : „x-r-cert-self-signed“additional.fields[].value.string_value : x-r-cert-self-signed |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-startdate |
network.tls.server.certificate.not_before.seconds : Epoch-Sekunden seit x-r-cert-startdate |
Das Datum wird in Sekunden seit der Epoche umgewandelt. |
x-r-cert-subject-cn |
network.tls.server.certificate.subject : x-r-cert-subject-cn |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-untrusted-root |
additional.fields[].key : „x-r-cert-untrusted-root“additional.fields[].value.string_value : x-r-cert-untrusted-root |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-r-cert-valid |
additional.fields[].key : „x-r-cert-valid“additional.fields[].value.string_value : x-r-cert-valid |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-request-id |
additional.fields[].key : „requestId“additional.fields[].value.string_value : x-request-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-rs-file-category |
additional.fields[].key : „x-rs-file-category“additional.fields[].value.string_value : x-rs-file-category |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-rs-file-type |
additional.fields[].key : „x-rs-file-type“additional.fields[].value.string_value : x-rs-file-type |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-country |
target.location.country_or_region : x-s-country |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-dp-name |
additional.fields[].key : „x-s-dp-name“additional.fields[].value.string_value : x-s-dp-name |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-latitude |
target.location.region_coordinates.latitude : x-s-latitude |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-location |
target.location.name : x-s-location |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-longitude |
target.location.region_coordinates.longitude : x-s-longitude |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-region |
target.location.state : x-s-region |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-zipcode |
additional.fields[].key : „x-s-zipcode“additional.fields[].value.string_value : x-s-zipcode |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-cipher |
security_result.detection_fields[].key : „x-sr-ssl-cipher“security_result.detection_fields[].value : x-sr-ssl-cipher |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-client-certificate-error |
security_result.detection_fields[].key : „x-sr-ssl-client-certificate-error“security_result.detection_fields[].value : x-sr-ssl-client-certificate-error |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-engine-action |
security_result.detection_fields[].key : „x-sr-ssl-engine-action“security_result.detection_fields[].value : x-sr-ssl-engine-action |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-engine-action-reason |
security_result.detection_fields[].key : „x-sr-ssl-engine-action-reason“security_result.detection_fields[].value : x-sr-ssl-engine-action-reason |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-handshake-error |
security_result.detection_fields[].key : „x-sr-ssl-handshake-error“security_result.detection_fields[].value : x-sr-ssl-handshake-error |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-ja3s |
network.tls.server.ja3s : x-sr-ssl-ja3s |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-malformed-ssl |
security_result.detection_fields[].key : „x-sr-ssl-malformed-ssl“security_result.detection_fields[].value : x-sr-ssl-malformed-ssl |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-ssl-version |
security_result.detection_fields[].key : „x-sr-ssl-version“security_result.detection_fields[].value : x-sr-ssl-version |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-s-custom-signing-ca-error |
security_result.detection_fields[].key : „x-s-custom-signing-ca-error“security_result.detection_fields[].value : x-s-custom-signing-ca-error |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-ssl-bypass |
security_result.detection_fields[].key : „SSL BYPASS“security_result.detection_fields[].value : x-ssl-bypass oder x-ssl-bypass-reason |
Wenn x-ssl-bypass „Ja“ ist und x-ssl-bypass-reason vorhanden ist, wird der Wert von x-ssl-bypass-reason verwendet. Andernfalls wird der Wert x-ssl-bypass verwendet. |
x-ssl-policy-action |
security_result.detection_fields[].key : „x-ssl-policy-action“security_result.detection_fields[].value : x-ssl-policy-action |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-ssl-policy-categories |
security_result.category_details[] : x-ssl-policy-categories |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-ssl-policy-dst-host |
security_result.detection_fields[].key : „x-ssl-policy-dst-host“security_result.detection_fields[].value : x-ssl-policy-dst-host |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-ssl-policy-dst-host-source |
security_result.detection_fields[].key : „x-ssl-policy-dst-host-source“security_result.detection_fields[].value : x-ssl-policy-dst-host-source |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-ssl-policy-dst-ip |
security_result.detection_fields[].key : „x-ssl-policy-dst-ip“security_result.detection_fields[].value : x-ssl-policy-dst-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-ssl-policy-name |
security_result.rule_name : x-ssl-policy-name |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-ssl-policy-src-ip |
security_result.detection_fields[].key : „x-ssl-policy-src-ip“security_result.detection_fields[].value : x-ssl-policy-src-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-dst-ip |
security_result.detection_fields[].key : „x-sr-dst-ip“security_result.detection_fields[].value : x-sr-dst-ip |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-sr-dst-port |
security_result.detection_fields[].key : „x-sr-dst-port“security_result.detection_fields[].value : x-sr-dst-port |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-type |
additional.fields[].key : „xType“additional.fields[].value.string_value : x-type |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
x-transaction-id |
additional.fields[].key : „transactionId“additional.fields[].value.string_value : x-transaction-id |
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet. |
– | metadata.vendor_name : „Netskope“ |
Hartcodierter Wert im Parser. |
– | metadata.product_name : „Netskope Webproxy“ |
Legen Sie „Netskope Webproxy“ fest, falls noch nicht vorhanden. |
– | metadata.log_type : „NETSKOPE_WEBPROXY“ |
Hartcodierter Wert im Parser. |
Änderungen
2024-06-04
- Grok wurde hinzugefügt, um nicht geparste Protokolle zu verarbeiten.
- „url“ wurde „target.url“ zugeordnet.
- „appSessionId“ wurde zu „network.session_id“ zugeordnet.
- „page“ wurde „network.http.referral_url“ zugeordnet.
- „appcategory“ wurde „security_result.category_details“ zugeordnet.
- „clientBytes“ wurde in „network.sent_bytes“ umgewandelt.
- „serverBytes“ wurde in „network.received_bytes“ umgewandelt.
- „ccl“ wurde in „security_result.confidence_details“ geändert.
- „IncidentID“, „applicationType“, „browser“ und „cci“ wurden in „security_result.detection_fields“ zugeordnet.
2024-04-22
- „x-cs-app-ccl“, „x-cs-app-instance-id“, „x-cs-app-tags“, „x-cs-app-instance-name“, „x-cs-app-instance-tag“, „x-cs-app-to-user“, „x-cs-app-object-id“ und „x-cs-app-from-user“ wurden in „additional.fields“ zugeordnet.
2024-02-26
- Die Zuordnung von „cs-bytes“ wurde von „network.received_bytes“ zu „network.sent_bytes“ geändert.
- Die Zuordnung von „sc-bytes“ wurde von „network.sent_bytes“ zu „network.received_bytes“ geändert.
- „x-cs-app-object-name“ wurde „additional.fields“ zugeordnet.
- „x-cs-app-from-user“ wurde auf „principal.user.email_addresses“ zugeordnet.
2023-12-22
- Wenn der Wert „cs-dns“ „null“ ist, wurde die Zuordnung „cs-host“ von „principal.hostname“ zu „target.hostname“ geändert.
- Die Zuordnung „cs-dns“ wurde von „principal.hostname“ zu „target.hostname“ geändert.
- Wenn der Wert „sc-status“ „null“ ist, wird „rs-status“ mit „network.http.response_code“ abgeglichen.
- „x-cs-app“ wurde auf „principal.application“ zugeordnet.
- „x-cs-src-ip-egress“ wurde auf „principal.ip“ zugeordnet.
2023-12-08
- Die Prüfung „on_error“ wurde hinzugefügt, um die fehlgeschlagenen Protokolle zu parsen.
- Legen Sie „metadata.vendor_name“ auf „Netskope“ und „metadata.product_name“ auf „Netskope Webproxy“ fest.
- Vor der Zuordnung wurde eine bedingte Prüfung für „src_region“, „src_country“, „src_location“, „dst_region“, „dst_country“ und „dst_location“ hinzugefügt.
2023-10-09
- „dvchost“ wurde „target.hostname“ zugeordnet, falls „target.hostname“ nicht vorhanden ist.
- Vor der Zuordnung „requestClientApplication“ wurde eine Null-Prüfung hinzugefügt.
2023-09-12
- „x-cs-dst-ip“ wurde „target.ip“ zugeordnet.
- „x-cs-src-ip“ wurde auf „principal.ip“ zugeordnet.
- „x-cs-src-port“ wurde „principal.port“ zugeordnet.
- „x-cs-dst-port“ wurde „target.port“ zugeordnet.
- Es wurde eine on_error-Prüfung für den Datumsfilter hinzugefügt.
- Es wurden bedingte Prüfungen vor der Zuordnung von „metadata.event_type“ hinzugefügt.
2023-08-28
- „cs-uri“ wurde „additional.fields“ zugeordnet.
- „cs-uri-port“ wurde auf „additional.fields“ zugeordnet.
- „x-s-zipcode“ wurde „additional.fields“ zugeordnet.
- „x-c-zipcode“ wurde „additional.fields“ zugeordnet.
- „x-cs-site“ wurde „additional.fields“ zugeordnet.
- „x-category“ wurde „additional.fields“ zugeordnet.
- „x-sr-ssl-version“ wurde in „security_result.detection_fields“ geändert.
- „x-sr-ssl-cipher“ wurde „security_result.detection_fields“ zugeordnet.
- „x-cs-src-ip-egress“ wurde auf „security_result.detection_fields“ zugeordnet.
- „x-cs-userip“ wurde auf „security_result.detection_fields“ zugeordnet.
- „x-cs-url“ wurde auf „target.url“ zugeordnet.
- „x-cs-uri-path“ wurde auf „additional.fields“ zugeordnet.
- „x-cs-app-cci“ wurde auf „additional.fields“ zugeordnet.
- „x-cs-app-object-type“ wurde auf „additional.fields“ zugeordnet.
- „x-rs-file-type“ wurde auf „additional.fields“ zugeordnet.
- „x-rs-file-category“ wurde auf „additional.fields“ zugeordnet.
2023-08-17
- Unterstützung für das neue JSON-Protokollformat hinzugefügt.
2023-06-22
- Unterstützung für das neue Protokollformat SYSLOG+JSON hinzugefügt.
2023-05-30
- „duser“ wurde „target.user.email_addresses“ zugeordnet.
- „requestClientApplication“ wurde in „network.http.parsed_user_agent“ geändert.
2023-02-03
- „Domain“ wurde in „principal.administrative_domain“ geändert.
2023-01-09
- Es wurden bedingte Prüfungen hinzugefügt, um verschiedene „event_type“-Werte basierend auf vorhandenen erforderlichen Parametern zuzuordnen.
- Es wurden verschiedene Formate von „rt“ geparst.
2022-04-06
- Verbesserung: Zuordnungen für neue Felder hinzugefügt
- md5, mwDetectionEngine, mwProfile, mwType werden auf udm zugeordnet.