Netskope-Web-Proxy-Protokolle erfassen

Unterstützt in:

Dieser Parser verarbeitet sowohl CEF- als auch nicht CEF-formatierte Netskope-Webproxy-Logs. Es werden Felder extrahiert, Datentransformationen durchgeführt (z. B. Zeitstempel konvertieren oder Felder zusammenführen), sie werden dem UDM zugeordnet und Netskope-spezifische Metadaten hinzugefügt. Der Parser verwendet bedingte Logik, um verschiedene Protokollformate und Feldverfügbarkeiten zu verarbeiten und das UDM mit relevanten Netzwerk-, Sicherheits- und Anwendungsdetails anzureichern.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für Netskope.
  • Sie benötigen ein konfiguriertes Log Shipper-Modul.
  • Sie benötigen einen Google SecOps-Dienstkontoschlüssel. Wenden Sie sich an das Google SecOps-Team, um ein Dienstkonto mit den folgenden Bereichen zu erhalten: https://www.googleapis.com/auth/malachite-ingestion.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Netskope-Tenant in CE konfigurieren

  1. Gehen Sie zu Einstellungen > Allgemein.
  2. Stellen Sie den Schalter Log Shipper auf ON.
  3. Klicken Sie auf der Seite Einstellungen auf Netskope-Tenants.
  4. Wenn keine Mandanten konfiguriert sind, klicken Sie auf Mandant hinzufügen.
  5. Geben Sie die folgenden Werte ein:
    • Name: Geben Sie einen einprägsamen Namen für den Mandanten ein.
    • Tenant Name (Mieternname): Geben Sie den echten Namen Ihres Netskope-Mieters ein.
    • V2 API-Token: Geben Sie Ihr Netskope API-Token ein.
    • Benachrichtigungsfilter: Fügen Sie die Webproxy-Benachrichtigungen hinzu, die Sie aufnehmen möchten.
    • Anfangszeitraum: Geben Sie die Anzahl der Verlaufsdaten ein, die Sie aufnehmen möchten (in Tagen).
    • Klicken Sie auf Speichern.

Netskope CLS-Plug-in konfigurieren

  1. Gehen Sie zu Einstellungen > Plug-ins.
  2. Suchen Sie nach Netskope (CLS) und wählen Sie das Kästchen aus, um die Seite zum Erstellen des Plug-ins zu öffnen.
  3. Geben Sie die folgenden Informationen ein:
    • Configuration Name (Konfigurationsname): Geben Sie einen einprägsamen Namen für dieses Plug-in ein.
    • Tenant: Wählen Sie in der Liste den Mandanten aus, den Sie im vorherigen Schritt erstellt haben.
    • Klicken Sie auf Weiter.
    • Aktualisieren Sie die Liste Ereignistyp nach Bedarf.
    • Anfangszeitraum: Geben Sie die Menge der Verlaufsdaten ein, die Sie aufnehmen möchten (in Stunden).
    • Klicken Sie auf Speichern.

Google SecOps-Plug-in in Netskope konfigurieren

  1. Gehen Sie zu Einstellungen > Plug-ins.
  2. Suche nach dem Feld Chronicle (CLS) und wähle es aus, um die Seite zum Erstellen von Plug-ins zu öffnen.
  3. Geben Sie die folgenden Informationen ein:
    • Configuration Name (Konfigurationsname): Geben Sie einen Namen für dieses Plug-in ein.
    • Zuordnung: Lassen Sie die Auswahl Standard.
    • Aktivieren Sie When enabled logs will be transformed using the selected mapping file AN.
    • Klicken Sie auf Weiter.
    • Region: Wählen Sie die Region Ihrer Google SecOps-Umgebung aus.
    • URL der benutzerdefinierten Region: Optionale Einstellung, die nur erforderlich ist, wenn im vorherigen Schritt Benutzerdefinierte Region ausgewählt wurde.
    • JSON-Schlüssel für Dienstkonto: Geben Sie den von Google SecOps bereitgestellten JSON-Schlüssel ein.
    • Kundennummer: Geben Sie die Kundennummer Ihres Google SecOps-Tenants ein.
    • Klicken Sie auf Speichern.

Geschäftsregel für Log Shipper für Google SecOps konfigurieren

  1. Gehen Sie zu Log Shipper > Geschäftsregeln.
  2. Standardmäßig gibt es eine Geschäftsregel, die alle Benachrichtigungen und Ereignisse filtert.
  3. Wenn Sie eine bestimmte Art von Benachrichtigung oder Ereignis herausfiltern möchten, klicken Sie auf Neue Regel erstellen und konfigurieren Sie eine neue Geschäftsregel, indem Sie den Regelnamen und den Filter hinzufügen.
  4. Klicken Sie auf Speichern.

Log Shipper-SIEM-Zuordnungen für Google SecOps konfigurieren

  1. Gehen Sie zu Log Shipper > SIEM-Zuordnungen.
  2. Klicken Sie auf SIEM-Zuordnung hinzufügen.
  3. Geben Sie die folgenden Informationen ein:
    • Source Configuration (Quellkonfiguration): Wählen Sie das Netskope CLS-Plug-in aus.
    • Zielkonfiguration: Wählen Sie das Google SecOps-Plug-in aus.
    • Geschäftsregel: Wählen Sie die zuvor erstellte Regel aus.
    • Klicken Sie auf Speichern.

Abruf und Workflow von Ereignissen und Benachrichtigungen in Netskope prüfen

  1. Klicken Sie in Netskope Cloud Exchange auf Logging.
  2. Suchen Sie nach den abgerufenen Protokollen.
  3. Suchen Sie unter Protokollierung mit dem Filter message contains ingested nach aufgenommenen Ereignissen und Benachrichtigungen.
  4. Die aufgenommenen Protokolle werden gefiltert.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
applicationType security_result.detection_fields[].key: „applicationType“
security_result.detection_fields[].value: applicationType
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
appcategory security_result.category_details[]: appcategory Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
browser security_result.detection_fields[].key: „browser“
security_result.detection_fields[].value: browser
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
c-ip principal.asset.ip[]: c-ip
principal.ip[]: c-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cci security_result.detection_fields[].key: „cci“
security_result.detection_fields[].value: cci
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
ccl security_result.confidence: Abgeleiteter Wert
security_result.confidence_details: ccl
security_result.confidence wird anhand des Werts von ccl ermittelt: „sehr gut“ oder „hoch“ entspricht HIGH_CONFIDENCE, „mittel“ entspricht MEDIUM_CONFIDENCE, „niedrig“ oder „schlecht“ entspricht LOW_CONFIDENCE und „unbekannt“ oder „nicht definiert“ entspricht UNKNOWN_CONFIDENCE.
security_result.confidence_details wird direkt von ccl zugeordnet.
clientBytes network.sent_bytes: clientBytes Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
cs-access-method additional.fields[].key: „accessMethod“
additional.fields[].value.string_value: cs-access-method
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app additional.fields[].key: „x-cs-app“
additional.fields[].value.string_value: cs-app
principal.application: cs-app
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-activity additional.fields[].key: „x-cs-app-activity“
additional.fields[].value.string_value: cs-app-activity
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-category additional.fields[].key: „x-cs-app-category“
additional.fields[].value.string_value: cs-app-category
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-cci additional.fields[].key: „x-cs-app-cci“
additional.fields[].value.string_value: cs-app-cci
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-ccl additional.fields[].key: „x-cs-app-ccl“
additional.fields[].value.string_value: cs-app-ccl
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-from-user additional.fields[].key: „x-cs-app-from-user“
additional.fields[].value.string_value: cs-app-from-user
principal.user.email_addresses[]: cs-app-from-user
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-instance-id additional.fields[].key: „x-cs-app-instance-id“
additional.fields[].value.string_value: cs-app-instance-id
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-object-name additional.fields[].key: „x-cs-app-object-name“
additional.fields[].value.string_value: cs-app-object-name
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-object-type additional.fields[].key: „x-cs-app-object-type“
additional.fields[].value.string_value: cs-app-object-type
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-suite additional.fields[].key: „x-cs-app-suite“
additional.fields[].value.string_value: cs-app-suite
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-tags additional.fields[].key: „x-cs-app-tags“
additional.fields[].value.string_value: cs-app-tags
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-bytes network.sent_bytes: cs-bytes Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-content-type additional.fields[].key: „sc-content-type“
additional.fields[].value.string_value: cs-content-type
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-dns target.asset.hostname[]: cs-dns
target.hostname: cs-dns
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-host target.asset.hostname[]: cs-host
target.hostname: cs-host
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-method network.http.method: cs-method Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-referer network.http.referral_url: cs-referer Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri additional.fields[].key: „cs-uri“
additional.fields[].value.string_value: cs-uri
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-path additional.fields[].key: „x-cs-uri-path“
additional.fields[].value.string_value: cs-uri-path
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-port additional.fields[].key: „cs-uri-port“
additional.fields[].value.string_value: cs-uri-port
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-scheme network.application_protocol: cs-uri-scheme Wird direkt aus dem entsprechenden JSON-Feld zugeordnet, nachdem es in Großbuchstaben umgewandelt wurde.
cs-user-agent network.http.parsed_user_agent: Geparschter User-Agent
network.http.user_agent: cs-user-agent
network.http.parsed_user_agent wird durch Parsen des Felds cs-user-agent mit dem Filter „parseduseragent“ abgeleitet.
cs-username principal.user.userid: cs-username Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
date metadata.event_timestamp.seconds: Epochensekunden aus den Feldern date und time
metadata.event_timestamp.nanos: 0
Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt.
device intermediary.hostname: device Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
dst target.ip[]: dst Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
dst_country target.location.country_or_region: dst_country Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_ip target.asset.ip[]: dst_ip
target.ip[]: dst_ip
Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_location target.location.city: dst_location Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_region target.location.state: dst_region Direkt aus dem entsprechenden grokkten Feld zugeordnet.
dst_zip Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
duser target.user.email_addresses[]: duser
target.user.user_display_name: duser
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
dvchost about.hostname: dvchost
target.asset.hostname[]: dvchost
target.hostname: dvchost
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
event_timestamp metadata.event_timestamp.seconds: event_timestamp Direkt aus dem entsprechenden grokkten Feld zugeordnet.
hostname target.asset.hostname[]: hostname
target.hostname: hostname
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
IncidentID security_result.detection_fields[].key: „IncidentID“
security_result.detection_fields[].value: IncidentID
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
intermediary intermediary: intermediary Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
md5 target.file.md5: md5 Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
message Verschiedene UDM-Felder Das Feld message wird anhand des Inhalts geparst. In diesem Fall wird es als CEF-Protokoll behandelt. Andernfalls wird er entweder als durch Leerzeichen getrennter String oder als JSON-Objekt geparst. Weitere Informationen finden Sie im Abschnitt „Parsing-Logik“.
mime_type1 Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
mime_type2 Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
mwDetectionEngine additional.fields[].key: „mwDetectionEngine“
additional.fields[].value.string_value: mwDetectionEngine
Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
mwType metadata.description: mwType Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
os principal.platform: Abgeleiteter Wert Die Plattform wird aus dem Feld os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX.
page network.http.referral_url: page Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
port Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
referer network.http.referral_url: referer Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
requestClientApplication network.http.parsed_user_agent: Geparschter User-Agent
network.http.user_agent: requestClientApplication
network.http.parsed_user_agent wird durch Parsen des Felds requestClientApplication mit dem Filter „parseduseragent“ abgeleitet.
request_method network.http.method: request_method Direkt aus dem entsprechenden grokkten Feld zugeordnet.
request_protocol Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
rs-status additional.fields[].key: „rs-status“
additional.fields[].value.string_value: rs-status
network.http.response_code: rs-status
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
s-ip target.asset.ip[]: s-ip
target.ip[]: s-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-bytes network.received_bytes: sc-bytes Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-content-type additional.fields[].key: „sc-content-type“
additional.fields[].value.string_value: sc-content-type
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-status network.http.response_code: sc-status Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
serverBytes network.received_bytes: serverBytes Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
sha256 target.file.sha256: sha256 Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
src principal.ip[]: src Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
src_country principal.location.country_or_region: src_country Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_ip principal.asset.ip[]: src_ip
principal.ip[]: src_ip
Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_latitude Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
src_location principal.location.city: src_location Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_longitude Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
src_region principal.location.state: src_region Direkt aus dem entsprechenden grokkten Feld zugeordnet.
src_zip Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
suser principal.user.user_display_name: suser Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
target_host target.asset.hostname[]: target_host
target.hostname: target_host
Direkt aus dem entsprechenden grokkten Feld zugeordnet.
time metadata.event_timestamp.seconds: Epochensekunden aus den Feldern date und time
metadata.event_timestamp.nanos: 0
Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt.
timestamp metadata.event_timestamp.seconds: timestamp Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
ts metadata.event_timestamp.seconds: Epoch-Sekunden seit ts
metadata.event_timestamp.nanos: 0
Der Zeitstempel wird in Epochensekunden und Nanosekunden umgewandelt. Nanosekunden sind auf 0 gesetzt.
url target.url: url Wird direkt aus dem entsprechenden CEF-Feld zugeordnet.
user_agent network.http.parsed_user_agent: Geparschter User-Agent
network.http.user_agent: user_agent
network.http.parsed_user_agent wird durch Parsen des Felds user_agent mit dem Filter „parseduseragent“ abgeleitet.
user_ip Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
user_key principal.user.email_addresses[]: user_key Direkt aus dem entsprechenden grokkten Feld zugeordnet.
version Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
x-c-browser additional.fields[].key: „x-c-browser“
additional.fields[].value.string_value: x-c-browser
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-browser-version additional.fields[].key: „x-c-browser-version“
additional.fields[].value.string_value: x-c-browser-version
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-country principal.location.country_or_region: x-c-country Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-device additional.fields[].key: „x-c-device“
additional.fields[].value.string_value: x-c-device
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-latitude principal.location.region_coordinates.latitude: x-c-latitude Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-local-time security_result.detection_fields[].key: „x-c-local-time“
security_result.detection_fields[].value: x-c-local-time
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-location principal.location.name: x-c-location Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-longitude principal.location.region_coordinates.longitude: x-c-longitude Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-os principal.platform: Abgeleiteter Wert Die Plattform wird aus dem Feld x-c-os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ MAC und „LINUX“ LINUX.
x-c-region principal.location.state: x-c-region Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-zipcode additional.fields[].key: „x-c-zipcode“
additional.fields[].value.string_value: x-c-zipcode
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-category additional.fields[].key: „x-category“
additional.fields[].value.string_value: x-category
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-category-id additional.fields[].key: „x-category-id“
additional.fields[].value.string_value: x-category-id
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-access-method additional.fields[].key: „accessMethod“
additional.fields[].value.string_value: x-cs-access-method
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app principal.application: x-cs-app
additional.fields[].key: „x-cs-app“
additional.fields[].value.string_value: x-cs-app
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-activity additional.fields[].key: „x-cs-app-activity“
additional.fields[].value.string_value: x-cs-app-activity
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-category additional.fields[].key: „x-cs-app-category“
additional.fields[].value.string_value: x-cs-app-category
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-cci additional.fields[].key: „x-cs-app-cci“
additional.fields[].value.string_value: x-cs-app-cci
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-from-user additional.fields[].key: „x-cs-app-from-user“
additional.fields[].value.string_value: x-cs-app-from-user
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-id additional.fields[].key: „x-cs-app-object-id“
additional.fields[].value.string_value: x-cs-app-object-id
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-name additional.fields[].key: „x-cs-app-object-name“
additional.fields[].value.string_value: x-cs-app-object-name
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-type additional.fields[].key: „x-cs-app-object-type“
additional.fields[].value.string_value: x-cs-app-object-type
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-suite additional.fields[].key: „x-cs-app-suite“
additional.fields[].value.string_value: x-cs-app-suite
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-tags additional.fields[].key: „x-cs-app-tags“
additional.fields[].value.string_value: x-cs-app-tags
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-to-user additional.fields[].key: „x-cs-app-to-user“
additional.fields[].value.string_value: x-cs-app-to-user
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-dst-ip security_result.detection_fields[].key: „x-cs-dst-ip“
security_result.detection_fields[].value: x-cs-dst-ip
target.asset.ip[]: x-cs-dst-ip
target.ip[]: x-cs-dst-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-dst-port security_result.detection_fields[].key: „x-cs-dst-port“
security_result.detection_fields[].value: x-cs-dst-port
target.port: x-cs-dst-port
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-http-version security_result.detection_fields[].key: „x-cs-http-version“
security_result.detection_fields[].value: x-cs-http-version
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-page-id additional.fields[].key: „x-cs-page-id“
additional.fields[].value.string_value: x-cs-page-id
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-session-id network.session_id: x-cs-session-id Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-site additional.fields[].key: „x-cs-site“
additional.fields[].value.string_value: x-cs-site
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-sni network.tls.client.server_name: x-cs-sni Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-ip principal.asset.ip[]: x-cs-src-ip
principal.ip[]: x-cs-src-ip
security_result.detection_fields[].key: „x-cs-src-ip“
security_result.detection_fields[].value: x-cs-src-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-ip-egress principal.asset.ip[]: x-cs-src-ip-egress
principal.ip[]: x-cs-src-ip-egress
security_result.detection_fields[].key: „x-cs-src-ip-egress“
security_result.detection_fields[].value: x-cs-src-ip-egress
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-port principal.port: x-cs-src-port
security_result.detection_fields[].key: „x-cs-src-port“
security_result.detection_fields[].value: x-cs-src-port
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-cipher network.tls.cipher: x-cs-ssl-cipher Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-fronting-error security_result.detection_fields[].key: „x-cs-ssl-fronting-error“
security_result.detection_fields[].value: x-cs-ssl-fronting-error
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-handshake-error security_result.detection_fields[].key: „x-cs-ssl-handshake-error“
security_result.detection_fields[].value: x-cs-ssl-handshake-error
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-ja3 network.tls.client.ja3: x-cs-ssl-ja3 Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-version network.tls.version: x-cs-ssl-version Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-timestamp metadata.event_timestamp.seconds: x-cs-timestamp Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-traffic-type additional.fields[].key: „trafficType“
additional.fields[].value.string_value: x-cs-traffic-type
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-tunnel-src-ip security_result.detection_fields[].key: „x-cs-tunnel-src-ip“
security_result.detection_fields[].value: x-cs-tunnel-src-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-uri-path additional.fields[].key: „x-cs-uri-path“
additional.fields[].value.string_value: x-cs-uri-path
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-url target.url: x-cs-url Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-userip security_result.detection_fields[].key: „x-cs-userip“
security_result.detection_fields[].value: x-cs-userip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-other-category security_result.category_details[]: x-other-category Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-other-category-id security_result.detection_fields[].key: „x-other-category-id“
security_result.detection_fields[].value: x-other-category-id
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-action security_result.action: Abgeleiteter Wert
security_result.action_details: x-policy-action
security_result.action wird durch Umwandeln von x-policy-action in Großbuchstaben abgeleitet. Wenn der Wert in Großbuchstaben „ALLOW“ oder „BLOCK“ lautet, wird er direkt verwendet. Andernfalls wird es nicht zugeordnet.
security_result.action_details wird direkt von x-policy-action zugeordnet.
x-policy-dst-host security_result.detection_fields[].key: „x-policy-dst-host“
security_result.detection_fields[].value: x-policy-dst-host
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-dst-host-source security_result.detection_fields[].key: „x-policy-dst-host-source“
security_result.detection_fields[].value: x-policy-dst-host-source
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-dst-ip security_result.detection_fields[].key: „x-policy-dst-ip“
security_result.detection_fields[].value: x-policy-dst-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-name security_result.rule_name: x-policy-name Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-src-ip security_result.detection_fields[].key: „x-policy-src-ip“
security_result.detection_fields[].value: x-policy-src-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-enddate network.tls.server.certificate.not_after.seconds: Epoch-Sekunden seit x-r-cert-enddate Das Datum wird in Sekunden seit der Epoche umgewandelt.
x-r-cert-expired additional.fields[].key: „x-r-cert-expired“
additional.fields[].value.string_value: x-r-cert-expired
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-incomplete-chain additional.fields[].key: „x-r-cert-incomplete-chain“
additional.fields[].value.string_value: x-r-cert-incomplete-chain
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-issuer-cn network.tls.server.certificate.issuer: x-r-cert-issuer-cn Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-mismatch additional.fields[].key: „x-r-cert-mismatch“
additional.fields[].value.string_value: x-r-cert-mismatch
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-revoked additional.fields[].key: „x-r-cert-revoked“
additional.fields[].value.string_value: x-r-cert-revoked
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-self-signed additional.fields[].key: „x-r-cert-self-signed“
additional.fields[].value.string_value: x-r-cert-self-signed
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-startdate network.tls.server.certificate.not_before.seconds: Epoch-Sekunden seit x-r-cert-startdate Das Datum wird in Sekunden seit der Epoche umgewandelt.
x-r-cert-subject-cn network.tls.server.certificate.subject: x-r-cert-subject-cn Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-untrusted-root additional.fields[].key: „x-r-cert-untrusted-root“
additional.fields[].value.string_value: x-r-cert-untrusted-root
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-valid additional.fields[].key: „x-r-cert-valid“
additional.fields[].value.string_value: x-r-cert-valid
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-request-id additional.fields[].key: „requestId“
additional.fields[].value.string_value: x-request-id
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-rs-file-category additional.fields[].key: „x-rs-file-category“
additional.fields[].value.string_value: x-rs-file-category
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-rs-file-type additional.fields[].key: „x-rs-file-type“
additional.fields[].value.string_value: x-rs-file-type
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-country target.location.country_or_region: x-s-country Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-dp-name additional.fields[].key: „x-s-dp-name“
additional.fields[].value.string_value: x-s-dp-name
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-latitude target.location.region_coordinates.latitude: x-s-latitude Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-location target.location.name: x-s-location Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-longitude target.location.region_coordinates.longitude: x-s-longitude Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-region target.location.state: x-s-region Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-zipcode additional.fields[].key: „x-s-zipcode“
additional.fields[].value.string_value: x-s-zipcode
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-cipher security_result.detection_fields[].key: „x-sr-ssl-cipher“
security_result.detection_fields[].value: x-sr-ssl-cipher
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: „x-sr-ssl-client-certificate-error“
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-engine-action security_result.detection_fields[].key: „x-sr-ssl-engine-action“
security_result.detection_fields[].value: x-sr-ssl-engine-action
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-engine-action-reason security_result.detection_fields[].key: „x-sr-ssl-engine-action-reason“
security_result.detection_fields[].value: x-sr-ssl-engine-action-reason
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-handshake-error security_result.detection_fields[].key: „x-sr-ssl-handshake-error“
security_result.detection_fields[].value: x-sr-ssl-handshake-error
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-ja3s network.tls.server.ja3s: x-sr-ssl-ja3s Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-malformed-ssl security_result.detection_fields[].key: „x-sr-ssl-malformed-ssl“
security_result.detection_fields[].value: x-sr-ssl-malformed-ssl
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-version security_result.detection_fields[].key: „x-sr-ssl-version“
security_result.detection_fields[].value: x-sr-ssl-version
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-custom-signing-ca-error security_result.detection_fields[].key: „x-s-custom-signing-ca-error“
security_result.detection_fields[].value: x-s-custom-signing-ca-error
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-bypass security_result.detection_fields[].key: „SSL BYPASS“
security_result.detection_fields[].value: x-ssl-bypass oder x-ssl-bypass-reason
Wenn x-ssl-bypass „Ja“ ist und x-ssl-bypass-reason vorhanden ist, wird der Wert von x-ssl-bypass-reason verwendet. Andernfalls wird der Wert x-ssl-bypass verwendet.
x-ssl-policy-action security_result.detection_fields[].key: „x-ssl-policy-action“
security_result.detection_fields[].value: x-ssl-policy-action
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-categories security_result.category_details[]: x-ssl-policy-categories Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-host security_result.detection_fields[].key: „x-ssl-policy-dst-host“
security_result.detection_fields[].value: x-ssl-policy-dst-host
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-host-source security_result.detection_fields[].key: „x-ssl-policy-dst-host-source“
security_result.detection_fields[].value: x-ssl-policy-dst-host-source
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-ip security_result.detection_fields[].key: „x-ssl-policy-dst-ip“
security_result.detection_fields[].value: x-ssl-policy-dst-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-name security_result.rule_name: x-ssl-policy-name Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-src-ip security_result.detection_fields[].key: „x-ssl-policy-src-ip“
security_result.detection_fields[].value: x-ssl-policy-src-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-dst-ip security_result.detection_fields[].key: „x-sr-dst-ip“
security_result.detection_fields[].value: x-sr-dst-ip
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-dst-port security_result.detection_fields[].key: „x-sr-dst-port“
security_result.detection_fields[].value: x-sr-dst-port
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-type additional.fields[].key: „xType“
additional.fields[].value.string_value: x-type
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-transaction-id additional.fields[].key: „transactionId“
additional.fields[].value.string_value: x-transaction-id
Wird direkt aus dem entsprechenden JSON-Feld zugeordnet.
metadata.vendor_name: „Netskope“ Hartcodierter Wert im Parser.
metadata.product_name: „Netskope Webproxy“ Legen Sie „Netskope Webproxy“ fest, falls noch nicht vorhanden.
metadata.log_type: „NETSKOPE_WEBPROXY“ Hartcodierter Wert im Parser.

Änderungen

2024-06-04

  • Grok wurde hinzugefügt, um nicht geparste Protokolle zu verarbeiten.
  • „url“ wurde „target.url“ zugeordnet.
  • „appSessionId“ wurde zu „network.session_id“ zugeordnet.
  • „page“ wurde „network.http.referral_url“ zugeordnet.
  • „appcategory“ wurde „security_result.category_details“ zugeordnet.
  • „clientBytes“ wurde in „network.sent_bytes“ umgewandelt.
  • „serverBytes“ wurde in „network.received_bytes“ umgewandelt.
  • „ccl“ wurde in „security_result.confidence_details“ geändert.
  • „IncidentID“, „applicationType“, „browser“ und „cci“ wurden in „security_result.detection_fields“ zugeordnet.

2024-04-22

  • „x-cs-app-ccl“, „x-cs-app-instance-id“, „x-cs-app-tags“, „x-cs-app-instance-name“, „x-cs-app-instance-tag“, „x-cs-app-to-user“, „x-cs-app-object-id“ und „x-cs-app-from-user“ wurden in „additional.fields“ zugeordnet.

2024-02-26

  • Die Zuordnung von „cs-bytes“ wurde von „network.received_bytes“ zu „network.sent_bytes“ geändert.
  • Die Zuordnung von „sc-bytes“ wurde von „network.sent_bytes“ zu „network.received_bytes“ geändert.
  • „x-cs-app-object-name“ wurde „additional.fields“ zugeordnet.
  • „x-cs-app-from-user“ wurde auf „principal.user.email_addresses“ zugeordnet.

2023-12-22

  • Wenn der Wert „cs-dns“ „null“ ist, wurde die Zuordnung „cs-host“ von „principal.hostname“ zu „target.hostname“ geändert.
  • Die Zuordnung „cs-dns“ wurde von „principal.hostname“ zu „target.hostname“ geändert.
  • Wenn der Wert „sc-status“ „null“ ist, wird „rs-status“ mit „network.http.response_code“ abgeglichen.
  • „x-cs-app“ wurde auf „principal.application“ zugeordnet.
  • „x-cs-src-ip-egress“ wurde auf „principal.ip“ zugeordnet.

2023-12-08

  • Die Prüfung „on_error“ wurde hinzugefügt, um die fehlgeschlagenen Protokolle zu parsen.
  • Legen Sie „metadata.vendor_name“ auf „Netskope“ und „metadata.product_name“ auf „Netskope Webproxy“ fest.
  • Vor der Zuordnung wurde eine bedingte Prüfung für „src_region“, „src_country“, „src_location“, „dst_region“, „dst_country“ und „dst_location“ hinzugefügt.

2023-10-09

  • „dvchost“ wurde „target.hostname“ zugeordnet, falls „target.hostname“ nicht vorhanden ist.
  • Vor der Zuordnung „requestClientApplication“ wurde eine Null-Prüfung hinzugefügt.

2023-09-12

  • „x-cs-dst-ip“ wurde „target.ip“ zugeordnet.
  • „x-cs-src-ip“ wurde auf „principal.ip“ zugeordnet.
  • „x-cs-src-port“ wurde „principal.port“ zugeordnet.
  • „x-cs-dst-port“ wurde „target.port“ zugeordnet.
  • Es wurde eine on_error-Prüfung für den Datumsfilter hinzugefügt.
  • Es wurden bedingte Prüfungen vor der Zuordnung von „metadata.event_type“ hinzugefügt.

2023-08-28

  • „cs-uri“ wurde „additional.fields“ zugeordnet.
  • „cs-uri-port“ wurde auf „additional.fields“ zugeordnet.
  • „x-s-zipcode“ wurde „additional.fields“ zugeordnet.
  • „x-c-zipcode“ wurde „additional.fields“ zugeordnet.
  • „x-cs-site“ wurde „additional.fields“ zugeordnet.
  • „x-category“ wurde „additional.fields“ zugeordnet.
  • „x-sr-ssl-version“ wurde in „security_result.detection_fields“ geändert.
  • „x-sr-ssl-cipher“ wurde „security_result.detection_fields“ zugeordnet.
  • „x-cs-src-ip-egress“ wurde auf „security_result.detection_fields“ zugeordnet.
  • „x-cs-userip“ wurde auf „security_result.detection_fields“ zugeordnet.
  • „x-cs-url“ wurde auf „target.url“ zugeordnet.
  • „x-cs-uri-path“ wurde auf „additional.fields“ zugeordnet.
  • „x-cs-app-cci“ wurde auf „additional.fields“ zugeordnet.
  • „x-cs-app-object-type“ wurde auf „additional.fields“ zugeordnet.
  • „x-rs-file-type“ wurde auf „additional.fields“ zugeordnet.
  • „x-rs-file-category“ wurde auf „additional.fields“ zugeordnet.

2023-08-17

  • Unterstützung für das neue JSON-Protokollformat hinzugefügt.

2023-06-22

  • Unterstützung für das neue Protokollformat SYSLOG+JSON hinzugefügt.

2023-05-30

  • „duser“ wurde „target.user.email_addresses“ zugeordnet.
  • „requestClientApplication“ wurde in „network.http.parsed_user_agent“ geändert.

2023-02-03

  • „Domain“ wurde in „principal.administrative_domain“ geändert.

2023-01-09

  • Es wurden bedingte Prüfungen hinzugefügt, um verschiedene „event_type“-Werte basierend auf vorhandenen erforderlichen Parametern zuzuordnen.
  • Es wurden verschiedene Formate von „rt“ geparst.

2022-04-06

  • Verbesserung: Zuordnungen für neue Felder hinzugefügt
  • md5, mwDetectionEngine, mwProfile, mwType werden auf udm zugeordnet.