Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log proxy web Netskope

Didukung di:

Google SecOps SIEM

Parser ini menangani log proxy web Netskope berformat CEF dan non-CEF. Alat ini mengekstrak kolom, melakukan transformasi data (misalnya, mengonversi stempel waktu atau menggabungkan kolom), memetakan kolom ke UDM, dan menambahkan metadata khusus Netskope. Parser menggunakan logika kondisional untuk menangani berbagai format log dan ketersediaan kolom, yang memperkaya UDM dengan detail jaringan, keamanan, dan aplikasi yang relevan.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda memiliki akses dengan hak istimewa ke Netskope.
Pastikan Anda memiliki modul Log Shipper yang dikonfigurasi.
Pastikan Anda memiliki kunci akun layanan Google SecOps (hubungi tim Google SecOps untuk mendapatkan akun layanan dengan cakupan berikut: https://www.googleapis.com/auth/malachite-ingestion).

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Mengonfigurasi Tenant Netskope di CE

Buka Setelan > Umum.
Alihkan tombol Log Shipper ke AKTIF
Di Setelan, buka Netskope Tenants.
Jika tidak ada tenant yang dikonfigurasi, klik Tambahkan Tenant.
Masukkan nilai berikut:
- Nama: berikan nama yang mudah diingat untuk tenant Anda.
- Tenant Name: masukkan nama asli tenant Netskope Anda.
- V2 API Token: masukkan token Netskope API Anda.
- Filter Notifikasi: tambahkan notifikasi proxy web yang ingin Anda serap.
- Rentang Awal: masukkan jumlah data historis yang ingin Anda serap (dalam hari).
- Klik Save.

Mengonfigurasi plugin CLS Netskope

Buka Setelan > Plugin.
Telusuri dan pilih kotak Netskope (CLS) untuk membuka halaman pembuatan plugin.
Masukkan detail berikut:
- Configuration Name: masukkan nama yang mudah diingat untuk plugin ini.
- Tenant: pilih tenant yang Anda buat di langkah sebelumnya dari daftar.
- Klik Berikutnya.
- Perbarui daftar Jenis Peristiwa sesuai kebutuhan.
- Rentang Awal: masukkan jumlah data historis yang ingin Anda serap (dalam jam).
- Klik Save.

Mengonfigurasi plugin Google SecOps di Netskope

Buka Setelan > Plugin.
Telusuri dan pilih kotak Chronicle (CLS) untuk membuka halaman pembuatan plugin.
Masukkan detail berikut:
- Configuration Name: masukkan nama untuk plugin ini.
- Pemetaan: biarkan pilihan default.
- Aktifkan AKTIFKAN When enabled logs will be transformed using the selected mapping file.
- Klik Berikutnya.
- Region: pilih region Google SecOps Anda.
- URL Wilayah Kustom: setelan opsional yang hanya diperlukan jika Wilayah Kustom dipilih di langkah sebelumnya.
- Kunci Akun Layanan: masukkan kunci JSON yang disediakan oleh Google SecOps.
- Customer ID: masukkan customer ID tenant Google SecOps Anda.
- Klik Save.

Mengonfigurasi Aturan Bisnis Pengirim Log untuk Google SecOps

Buka Log Shipper > Business Rules.
Secara default, ada aturan bisnis yang memfilter semua pemberitahuan dan peristiwa.
Jika Anda ingin memfilter jenis pemberitahuan atau peristiwa tertentu, klik Buat Aturan Baru dan konfigurasikan aturan bisnis baru dengan menambahkan nama dan filter aturan.
Klik Save.

Mengonfigurasi Pemetaan SIEM Pengirim Log untuk Google SecOps

Buka Log Shipper > SIEM Mappings
Klik Tambahkan Pemetaan SIEM.
Masukkan detail berikut:
- Source Configuration: pilih plugin Netskope CLS.
- Konfigurasi Tujuan: pilih plugin Google SecOps.
- Business Rule: pilih aturan yang Anda buat sebelumnya.
- Klik Save.

Memvalidasi pengambilan dan alur kerja Peristiwa dan Notifikasi di Netskope

Buka Logging di Netskope Cloud Exchange.
Telusuri log yang ditarik.
Di Logging, telusuri peristiwa & pemberitahuan yang diserap dengan filter message contains ingested.
Log yang diserap akan difilter.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`applicationType`	`security_result.detection_fields[].key`: "applicationType" `security_result.detection_fields[].value`: `applicationType`	Dipetakan langsung dari kolom CEF yang sesuai.
`appcategory`	`security_result.category_details[]`: `appcategory`	Dipetakan langsung dari kolom CEF yang sesuai.
`browser`	`security_result.detection_fields[].key`: "browser" `security_result.detection_fields[].value`: `browser`	Dipetakan langsung dari kolom CEF yang sesuai.
`c-ip`	`principal.asset.ip[]`: `c-ip` `principal.ip[]`: `c-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`cci`	`security_result.detection_fields[].key`: "cci" `security_result.detection_fields[].value`: `cci`	Dipetakan langsung dari kolom CEF yang sesuai.
`ccl`	`security_result.confidence`: Nilai turunan `security_result.confidence_details`: `ccl`	`security_result.confidence` berasal dari nilai `ccl`: "excellent" atau "high" dipetakan ke `HIGH_CONFIDENCE`, "medium" dipetakan ke `MEDIUM_CONFIDENCE`, "low" atau "poor" dipetakan ke `LOW_CONFIDENCE`, dan "unknown" atau "not_defined" dipetakan ke `UNKNOWN_CONFIDENCE`. `security_result.confidence_details` dipetakan langsung dari `ccl`.
`clientBytes`	`network.sent_bytes`: `clientBytes`	Dipetakan langsung dari kolom CEF yang sesuai.
`cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `cs-access-method`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app`	`additional.fields[].key`: "x-cs-app" `additional.fields[].value.string_value`: `cs-app` `principal.application`: `cs-app`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `cs-app-activity`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `cs-app-category`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `cs-app-cci`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-ccl`	`additional.fields[].key`: "x-cs-app-ccl" `additional.fields[].value.string_value`: `cs-app-ccl`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `cs-app-from-user` `principal.user.email_addresses[]`: `cs-app-from-user`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-instance-id`	`additional.fields[].key`: "x-cs-app-instance-id" `additional.fields[].value.string_value`: `cs-app-instance-id`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `cs-app-object-name`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `cs-app-object-type`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `cs-app-suite`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `cs-app-tags`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-bytes`	`network.sent_bytes`: `cs-bytes`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `cs-content-type`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-dns`	`target.asset.hostname[]`: `cs-dns` `target.hostname`: `cs-dns`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-host`	`target.asset.hostname[]`: `cs-host` `target.hostname`: `cs-host`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-method`	`network.http.method`: `cs-method`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-referer`	`network.http.referral_url`: `cs-referer`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-uri`	`additional.fields[].key`: "cs-uri" `additional.fields[].value.string_value`: `cs-uri`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `cs-uri-path`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-uri-port`	`additional.fields[].key`: "cs-uri-port" `additional.fields[].value.string_value`: `cs-uri-port`	Dipetakan langsung dari kolom JSON yang sesuai.
`cs-uri-scheme`	`network.application_protocol`: `cs-uri-scheme`	Dipetakan langsung dari kolom JSON yang sesuai setelah dikonversi ke huruf besar.
`cs-user-agent`	`network.http.parsed_user_agent`: Agen pengguna yang diuraikan `network.http.user_agent`: `cs-user-agent`	`network.http.parsed_user_agent` berasal dari penguraian kolom `cs-user-agent` menggunakan filter "parseduseragent".
`cs-username`	`principal.user.userid`: `cs-username`	Dipetakan langsung dari kolom JSON yang sesuai.
`date`	`metadata.event_timestamp.seconds`: Detik epoch dari kolom `date` dan `time` `metadata.event_timestamp.nanos`: 0	Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik ditetapkan ke 0.
`device`	`intermediary.hostname`: `device`	Dipetakan langsung dari kolom CEF yang sesuai.
`dst`	`target.ip[]`: `dst`	Dipetakan langsung dari kolom CEF yang sesuai.
`dst_country`	`target.location.country_or_region`: `dst_country`	Dipetakan langsung dari kolom grokked yang sesuai.
`dst_ip`	`target.asset.ip[]`: `dst_ip` `target.ip[]`: `dst_ip`	Dipetakan langsung dari kolom grokked yang sesuai.
`dst_location`	`target.location.city`: `dst_location`	Dipetakan langsung dari kolom grokked yang sesuai.
`dst_region`	`target.location.state`: `dst_region`	Dipetakan langsung dari kolom grokked yang sesuai.
`dst_zip`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`duser`	`target.user.email_addresses[]`: `duser` `target.user.user_display_name`: `duser`	Dipetakan langsung dari kolom CEF yang sesuai.
`dvchost`	`about.hostname`: `dvchost` `target.asset.hostname[]`: `dvchost` `target.hostname`: `dvchost`	Dipetakan langsung dari kolom CEF yang sesuai.
`event_timestamp`	`metadata.event_timestamp.seconds`: `event_timestamp`	Dipetakan langsung dari kolom grokked yang sesuai.
`hostname`	`target.asset.hostname[]`: `hostname` `target.hostname`: `hostname`	Dipetakan langsung dari kolom CEF yang sesuai.
`IncidentID`	`security_result.detection_fields[].key`: "IncidentID" `security_result.detection_fields[].value`: `IncidentID`	Dipetakan langsung dari kolom CEF yang sesuai.
`intermediary`	`intermediary`: `intermediary`	Dipetakan langsung dari kolom CEF yang sesuai.
`md5`	`target.file.md5`: `md5`	Dipetakan langsung dari kolom CEF yang sesuai.
`message`	Berbagai kolom UDM	Kolom `message` diuraikan berdasarkan apakah kolom tersebut berisi "CEF". Jika ya, log tersebut akan diperlakukan sebagai log CEF. Jika tidak, string akan diuraikan sebagai string yang dipisahkan spasi atau JSON. Lihat bagian "Logika Penguraian" untuk mengetahui detailnya.
`mime_type1`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`mime_type2`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`mwDetectionEngine`	`additional.fields[].key`: "mwDetectionEngine" `additional.fields[].value.string_value`: `mwDetectionEngine`	Dipetakan langsung dari kolom CEF yang sesuai.
`mwType`	`metadata.description`: `mwType`	Dipetakan langsung dari kolom CEF yang sesuai.
`os`	`principal.platform`: Nilai turunan	Platform berasal dari kolom `os`: "Windows" dipetakan ke `WINDOWS`, "MAC" dipetakan ke `MAC`, dan "LINUX" dipetakan ke `LINUX`.
`page`	`network.http.referral_url`: `page`	Dipetakan langsung dari kolom CEF yang sesuai.
`port`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`referer`	`network.http.referral_url`: `referer`	Dipetakan langsung dari kolom CEF yang sesuai.
`requestClientApplication`	`network.http.parsed_user_agent`: Agen pengguna yang diuraikan `network.http.user_agent`: `requestClientApplication`	`network.http.parsed_user_agent` berasal dari penguraian kolom `requestClientApplication` menggunakan filter "parseduseragent".
`request_method`	`network.http.method`: `request_method`	Dipetakan langsung dari kolom grokked yang sesuai.
`request_protocol`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`rs-status`	`additional.fields[].key`: "rs-status" `additional.fields[].value.string_value`: `rs-status` `network.http.response_code`: `rs-status`	Dipetakan langsung dari kolom JSON yang sesuai.
`s-ip`	`target.asset.ip[]`: `s-ip` `target.ip[]`: `s-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`sc-bytes`	`network.received_bytes`: `sc-bytes`	Dipetakan langsung dari kolom JSON yang sesuai.
`sc-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `sc-content-type`	Dipetakan langsung dari kolom JSON yang sesuai.
`sc-status`	`network.http.response_code`: `sc-status`	Dipetakan langsung dari kolom JSON yang sesuai.
`serverBytes`	`network.received_bytes`: `serverBytes`	Dipetakan langsung dari kolom CEF yang sesuai.
`sha256`	`target.file.sha256`: `sha256`	Dipetakan langsung dari kolom CEF yang sesuai.
`src`	`principal.ip[]`: `src`	Dipetakan langsung dari kolom CEF yang sesuai.
`src_country`	`principal.location.country_or_region`: `src_country`	Dipetakan langsung dari kolom grokked yang sesuai.
`src_ip`	`principal.asset.ip[]`: `src_ip` `principal.ip[]`: `src_ip`	Dipetakan langsung dari kolom grokked yang sesuai.
`src_latitude`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`src_location`	`principal.location.city`: `src_location`	Dipetakan langsung dari kolom grokked yang sesuai.
`src_longitude`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`src_region`	`principal.location.state`: `src_region`	Dipetakan langsung dari kolom grokked yang sesuai.
`src_zip`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`suser`	`principal.user.user_display_name`: `suser`	Dipetakan langsung dari kolom CEF yang sesuai.
`target_host`	`target.asset.hostname[]`: `target_host` `target.hostname`: `target_host`	Dipetakan langsung dari kolom grokked yang sesuai.
`time`	`metadata.event_timestamp.seconds`: Detik epoch dari kolom `date` dan `time` `metadata.event_timestamp.nanos`: 0	Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik ditetapkan ke 0.
`timestamp`	`metadata.event_timestamp.seconds`: `timestamp`	Dipetakan langsung dari kolom CEF yang sesuai.
`ts`	`metadata.event_timestamp.seconds`: Detik epoch dari `ts` `metadata.event_timestamp.nanos`: 0	Stempel waktu dikonversi menjadi detik dan nanodetik epoch. Nanodetik ditetapkan ke 0.
`url`	`target.url`: `url`	Dipetakan langsung dari kolom CEF yang sesuai.
`user_agent`	`network.http.parsed_user_agent`: Agen pengguna yang diuraikan `network.http.user_agent`: `user_agent`	`network.http.parsed_user_agent` berasal dari penguraian kolom `user_agent` menggunakan filter "parseduseragent".
`user_ip`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`user_key`	`principal.user.email_addresses[]`: `user_key`	Dipetakan langsung dari kolom grokked yang sesuai.
`version`	Tidak dipetakan	Kolom ini tidak dipetakan ke UDM.
`x-c-browser`	`additional.fields[].key`: "x-c-browser" `additional.fields[].value.string_value`: `x-c-browser`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-browser-version`	`additional.fields[].key`: "x-c-browser-version" `additional.fields[].value.string_value`: `x-c-browser-version`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-country`	`principal.location.country_or_region`: `x-c-country`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-device`	`additional.fields[].key`: "x-c-device" `additional.fields[].value.string_value`: `x-c-device`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-latitude`	`principal.location.region_coordinates.latitude`: `x-c-latitude`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-local-time`	`security_result.detection_fields[].key`: "x-c-local-time" `security_result.detection_fields[].value`: `x-c-local-time`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-location`	`principal.location.name`: `x-c-location`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-longitude`	`principal.location.region_coordinates.longitude`: `x-c-longitude`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-os`	`principal.platform`: Nilai turunan	Platform berasal dari kolom `x-c-os`: "Windows" dipetakan ke `WINDOWS`, "MAC" dipetakan ke `MAC`, dan "LINUX" dipetakan ke `LINUX`.
`x-c-region`	`principal.location.state`: `x-c-region`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-c-zipcode`	`additional.fields[].key`: "x-c-zipcode" `additional.fields[].value.string_value`: `x-c-zipcode`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-category`	`additional.fields[].key`: "x-category" `additional.fields[].value.string_value`: `x-category`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-category-id`	`additional.fields[].key`: "x-category-id" `additional.fields[].value.string_value`: `x-category-id`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `x-cs-access-method`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app`	`principal.application`: `x-cs-app` `additional.fields[].key`: "x-cs-app" `additional.fields[].value.string_value`: `x-cs-app`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `x-cs-app-activity`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `x-cs-app-category`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `x-cs-app-cci`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `x-cs-app-from-user`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-object-id`	`additional.fields[].key`: "x-cs-app-object-id" `additional.fields[].value.string_value`: `x-cs-app-object-id`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `x-cs-app-object-name`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `x-cs-app-object-type`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `x-cs-app-suite`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `x-cs-app-tags`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-app-to-user`	`additional.fields[].key`: "x-cs-app-to-user" `additional.fields[].value.string_value`: `x-cs-app-to-user`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-dst-ip`	`security_result.detection_fields[].key`: "x-cs-dst-ip" `security_result.detection_fields[].value`: `x-cs-dst-ip` `target.asset.ip[]`: `x-cs-dst-ip` `target.ip[]`: `x-cs-dst-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-dst-port`	`security_result.detection_fields[].key`: "x-cs-dst-port" `security_result.detection_fields[].value`: `x-cs-dst-port` `target.port`: `x-cs-dst-port`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-http-version`	`security_result.detection_fields[].key`: "x-cs-http-version" `security_result.detection_fields[].value`: `x-cs-http-version`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-page-id`	`additional.fields[].key`: "x-cs-page-id" `additional.fields[].value.string_value`: `x-cs-page-id`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-session-id`	`network.session_id`: `x-cs-session-id`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-site`	`additional.fields[].key`: "x-cs-site" `additional.fields[].value.string_value`: `x-cs-site`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-sni`	`network.tls.client.server_name`: `x-cs-sni`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-src-ip`	`principal.asset.ip[]`: `x-cs-src-ip` `principal.ip[]`: `x-cs-src-ip` `security_result.detection_fields[].key`: "x-cs-src-ip" `security_result.detection_fields[].value`: `x-cs-src-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-src-ip-egress`	`principal.asset.ip[]`: `x-cs-src-ip-egress` `principal.ip[]`: `x-cs-src-ip-egress` `security_result.detection_fields[].key`: "x-cs-src-ip-egress" `security_result.detection_fields[].value`: `x-cs-src-ip-egress`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-src-port`	`principal.port`: `x-cs-src-port` `security_result.detection_fields[].key`: "x-cs-src-port" `security_result.detection_fields[].value`: `x-cs-src-port`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-ssl-cipher`	`network.tls.cipher`: `x-cs-ssl-cipher`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-ssl-fronting-error`	`security_result.detection_fields[].key`: "x-cs-ssl-fronting-error" `security_result.detection_fields[].value`: `x-cs-ssl-fronting-error`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-cs-ssl-handshake-error" `security_result.detection_fields[].value`: `x-cs-ssl-handshake-error`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-ssl-ja3`	`network.tls.client.ja3`: `x-cs-ssl-ja3`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-ssl-version`	`network.tls.version`: `x-cs-ssl-version`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-timestamp`	`metadata.event_timestamp.seconds`: `x-cs-timestamp`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-traffic-type`	`additional.fields[].key`: "trafficType" `additional.fields[].value.string_value`: `x-cs-traffic-type`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-tunnel-src-ip`	`security_result.detection_fields[].key`: "x-cs-tunnel-src-ip" `security_result.detection_fields[].value`: `x-cs-tunnel-src-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `x-cs-uri-path`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-url`	`target.url`: `x-cs-url`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-cs-userip`	`security_result.detection_fields[].key`: "x-cs-userip" `security_result.detection_fields[].value`: `x-cs-userip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-other-category`	`security_result.category_details[]`: `x-other-category`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-other-category-id`	`security_result.detection_fields[].key`: "x-other-category-id" `security_result.detection_fields[].value`: `x-other-category-id`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-policy-action`	`security_result.action`: Nilai turunan `security_result.action_details`: `x-policy-action`	`security_result.action` berasal dari konversi `x-policy-action` ke huruf besar. Jika nilai huruf besar adalah "ALLOW" atau "BLOCK", nilai tersebut akan digunakan secara langsung. Jika tidak, tidak akan dipetakan. `security_result.action_details` dipetakan langsung dari `x-policy-action`.
`x-policy-dst-host`	`security_result.detection_fields[].key`: "x-policy-dst-host" `security_result.detection_fields[].value`: `x-policy-dst-host`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-policy-dst-host-source" `security_result.detection_fields[].value`: `x-policy-dst-host-source`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-policy-dst-ip`	`security_result.detection_fields[].key`: "x-policy-dst-ip" `security_result.detection_fields[].value`: `x-policy-dst-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-policy-name`	`security_result.rule_name`: `x-policy-name`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-policy-src-ip`	`security_result.detection_fields[].key`: "x-policy-src-ip" `security_result.detection_fields[].value`: `x-policy-src-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-enddate`	`network.tls.server.certificate.not_after.seconds`: Detik epoch dari `x-r-cert-enddate`	Tanggal dikonversi ke detik epoch.
`x-r-cert-expired`	`additional.fields[].key`: "x-r-cert-expired" `additional.fields[].value.string_value`: `x-r-cert-expired`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-incomplete-chain`	`additional.fields[].key`: "x-r-cert-incomplete-chain" `additional.fields[].value.string_value`: `x-r-cert-incomplete-chain`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-issuer-cn`	`network.tls.server.certificate.issuer`: `x-r-cert-issuer-cn`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-mismatch`	`additional.fields[].key`: "x-r-cert-mismatch" `additional.fields[].value.string_value`: `x-r-cert-mismatch`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-revoked`	`additional.fields[].key`: "x-r-cert-revoked" `additional.fields[].value.string_value`: `x-r-cert-revoked`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-self-signed`	`additional.fields[].key`: "x-r-cert-self-signed" `additional.fields[].value.string_value`: `x-r-cert-self-signed`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-startdate`	`network.tls.server.certificate.not_before.seconds`: Detik epoch dari `x-r-cert-startdate`	Tanggal dikonversi ke detik epoch.
`x-r-cert-subject-cn`	`network.tls.server.certificate.subject`: `x-r-cert-subject-cn`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-untrusted-root`	`additional.fields[].key`: "x-r-cert-untrusted-root" `additional.fields[].value.string_value`: `x-r-cert-untrusted-root`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-r-cert-valid`	`additional.fields[].key`: "x-r-cert-valid" `additional.fields[].value.string_value`: `x-r-cert-valid`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-request-id`	`additional.fields[].key`: "requestId" `additional.fields[].value.string_value`: `x-request-id`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-rs-file-category`	`additional.fields[].key`: "x-rs-file-category" `additional.fields[].value.string_value`: `x-rs-file-category`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-rs-file-type`	`additional.fields[].key`: "x-rs-file-type" `additional.fields[].value.string_value`: `x-rs-file-type`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-country`	`target.location.country_or_region`: `x-s-country`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-dp-name`	`additional.fields[].key`: "x-s-dp-name" `additional.fields[].value.string_value`: `x-s-dp-name`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-latitude`	`target.location.region_coordinates.latitude`: `x-s-latitude`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-location`	`target.location.name`: `x-s-location`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-longitude`	`target.location.region_coordinates.longitude`: `x-s-longitude`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-region`	`target.location.state`: `x-s-region`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-zipcode`	`additional.fields[].key`: "x-s-zipcode" `additional.fields[].value.string_value`: `x-s-zipcode`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-cipher`	`security_result.detection_fields[].key`: "x-sr-ssl-cipher" `security_result.detection_fields[].value`: `x-sr-ssl-cipher`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-client-certificate-error`	`security_result.detection_fields[].key`: "x-sr-ssl-client-certificate-error" `security_result.detection_fields[].value`: `x-sr-ssl-client-certificate-error`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-engine-action`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-engine-action-reason`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action-reason" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action-reason`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-sr-ssl-handshake-error" `security_result.detection_fields[].value`: `x-sr-ssl-handshake-error`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-ja3s`	`network.tls.server.ja3s`: `x-sr-ssl-ja3s`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-malformed-ssl`	`security_result.detection_fields[].key`: "x-sr-ssl-malformed-ssl" `security_result.detection_fields[].value`: `x-sr-ssl-malformed-ssl`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-ssl-version`	`security_result.detection_fields[].key`: "x-sr-ssl-version" `security_result.detection_fields[].value`: `x-sr-ssl-version`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-s-custom-signing-ca-error`	`security_result.detection_fields[].key`: "x-s-custom-signing-ca-error" `security_result.detection_fields[].value`: `x-s-custom-signing-ca-error`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-ssl-bypass`	`security_result.detection_fields[].key`: "SSL BYPASS" `security_result.detection_fields[].value`: `x-ssl-bypass` atau `x-ssl-bypass-reason`	Jika `x-ssl-bypass` adalah "Ya" dan `x-ssl-bypass-reason` ada, nilai `x-ssl-bypass-reason` akan digunakan. Jika tidak, nilai `x-ssl-bypass` akan digunakan.
`x-ssl-policy-action`	`security_result.detection_fields[].key`: "x-ssl-policy-action" `security_result.detection_fields[].value`: `x-ssl-policy-action`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-ssl-policy-categories`	`security_result.category_details[]`: `x-ssl-policy-categories`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-ssl-policy-dst-host`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-ssl-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host-source" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host-source`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-ssl-policy-dst-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-ip" `security_result.detection_fields[].value`: `x-ssl-policy-dst-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-ssl-policy-name`	`security_result.rule_name`: `x-ssl-policy-name`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-ssl-policy-src-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-src-ip" `security_result.detection_fields[].value`: `x-ssl-policy-src-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-dst-ip`	`security_result.detection_fields[].key`: "x-sr-dst-ip" `security_result.detection_fields[].value`: `x-sr-dst-ip`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-sr-dst-port`	`security_result.detection_fields[].key`: "x-sr-dst-port" `security_result.detection_fields[].value`: `x-sr-dst-port`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-type`	`additional.fields[].key`: "xType" `additional.fields[].value.string_value`: `x-type`	Dipetakan langsung dari kolom JSON yang sesuai.
`x-transaction-id`	`additional.fields[].key`: "transactionId" `additional.fields[].value.string_value`: `x-transaction-id`	Dipetakan langsung dari kolom JSON yang sesuai.
T/A	`metadata.vendor_name`: "Netskope"	Nilai hardcode dalam parser.
T/A	`metadata.product_name`: "Netskope Webproxy"	Tetapkan ke "Netskope Webproxy" jika belum ada.
T/A	`metadata.log_type`: "NETSKOPE_WEBPROXY"	Nilai hardcode dalam parser.

Perubahan

2024-06-04

Menambahkan Grok untuk menangani log yang tidak diuraikan.
Memetakan "url" ke "target.url".
Memetakan "appSessionId" ke "network.session_id".
Memetakan "page" ke "network.http.referral_url".
Memetakan "appcategory" ke "security_result.category_details".
Memetakan "clientBytes" ke "network.sent_bytes".
Memetakan "serverBytes" ke "network.received_bytes".
Memetakan "ccl" ke "security_result.confidence_details".
Memetakan "IncidentID", "applicationType", "browser", dan "cci" ke "security_result.detection_fields".

2024-04-22

Memetakan "x-cs-app-ccl","x-cs-app-instance-id","x-cs-app-tags" ,"x-cs-app-instance-name" ,"x-cs-app-instance-tag", "x-cs-app-to-user","x-cs-app-object-id" dan "x-cs-app-from-user" ke "additional.fields".

2024-02-26

Mengubah pemetaan "cs-bytes" dari "network.received_bytes" menjadi "network.sent_bytes".
Mengubah pemetaan "sc-bytes" dari "network.sent_bytes" menjadi "network.received_bytes".
Memetakan "x-cs-app-object-name" ke "additional.fields".
Memetakan "x-cs-app-from-user" ke "principal.user.email_addresses".

2023-12-22

Jika nilai "cs-dns" adalah "null", ubah pemetaan "cs-host" dari "principal.hostname" menjadi "target.hostname".
Mengubah pemetaan "cs-dns" dari "principal.hostname" menjadi "target.hostname".
Jika nilai "sc-status" adalah "null", pemeta "rs-status" ke "network.http.response_code".
Memetakan "x-cs-app" ke "principal.application".
Memetakan "x-cs-src-ip-egress" ke "principal.ip".

2023-12-08

Menambahkan pemeriksaan on_error untuk mengurai log yang gagal.
Tetapkan "metadata.vendor_name" ke "Netskope" dan "metadata.product_name" ke "Netskope Webproxy".
Menambahkan pemeriksaan bersyarat untuk "src_region", "src_country", "src_location", "dst_region", "dst_country", "dst_location" sebelum pemetaan.

2023-10-09

Memetakan "dvchost" ke "target.hostname" jika "target.hostname" tidak ada.
Menambahkan pemeriksaan null sebelum pemetaan "requestClientApplication".

2023-09-12

Memetakan "x-cs-dst-ip" ke "target.ip".
Memetakan "x-cs-src-ip" ke "principal.ip".
Memetakan "x-cs-src-port" ke "principal.port".
Memetakan "x-cs-dst-port" ke "target.port".
Menambahkan pemeriksaan on_error untuk filter tanggal.
Menambahkan pemeriksaan bersyarat sebelum memetakan "metadata.event_type".

2023-08-28

Memetakan "cs-uri" ke "additional.fields".
Memetakan "cs-uri-port" ke "additional.fields".
Memetakan "x-s-zipcode" ke "additional.fields".
Memetakan "x-c-zipcode" ke "additional.fields".
Memetakan "x-cs-site" ke "additional.fields".
Memetakan "x-category" ke "additional.fields".
Memetakan "x-sr-ssl-version" ke "security_result.detection_fields".
Memetakan "x-sr-ssl-cipher" ke "security_result.detection_fields".
Memetakan "x-cs-src-ip-egress" ke "security_result.detection_fields".
Memetakan "x-cs-userip" ke "security_result.detection_fields".
Memetakan "x-cs-url" ke "target.url".
Memetakan "x-cs-uri-path" ke "additional.fields".
Memetakan "x-cs-app-cci" ke "additional.fields".
Memetakan "x-cs-app-object-type" ke "additional.fields".
Memetakan "x-rs-file-type" ke "additional.fields".
Memetakan "x-rs-file-category" ke "additional.fields".

2023-08-17

Menambahkan dukungan untuk format log jenis JSON baru.

2023-06-22

Menambahkan dukungan untuk format log jenis SYSLOG+JSON baru.

2023-05-30

Memetakan "duser" ke "target.user.email_addresses".
Memetakan "requestClientApplication" ke "network.http.parsed_user_agent".

2023-02-03

Memetakan "Domain" ke "principal.administrative_domain".

2023-01-09

Menambahkan pemeriksaan bersyarat untuk memetakan berbagai event_type berdasarkan parameter yang diperlukan.
Mengurai berbagai format "rt".

2022-04-06

Peningkatan-Pemetaan yang ditambahkan untuk kolom baru
md5, mwDetectionEngine, mwProfile, mwType dipetakan ke udm.