Mengumpulkan log proxy web Netskope
Parser ini menangani log proxy web Netskope berformat CEF dan non-CEF. Alat ini mengekstrak kolom, melakukan transformasi data (misalnya, mengonversi stempel waktu atau menggabungkan kolom), memetakan kolom ke UDM, dan menambahkan metadata khusus Netskope. Parser menggunakan logika kondisional untuk menangani berbagai format log dan ketersediaan kolom, yang memperkaya UDM dengan detail jaringan, keamanan, dan aplikasi yang relevan.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda memiliki akses dengan hak istimewa ke Netskope.
- Pastikan Anda memiliki modul Log Shipper yang dikonfigurasi.
- Pastikan Anda memiliki kunci akun layanan Google SecOps (hubungi tim Google SecOps untuk mendapatkan akun layanan dengan cakupan berikut: https://www.googleapis.com/auth/malachite-ingestion).
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Mengonfigurasi Tenant Netskope di CE
- Buka Setelan > Umum.
- Alihkan tombol Log Shipper ke AKTIF
- Di Setelan, buka Netskope Tenants.
- Jika tidak ada tenant yang dikonfigurasi, klik Tambahkan Tenant.
- Masukkan nilai berikut:
- Nama: berikan nama yang mudah diingat untuk tenant Anda.
- Tenant Name: masukkan nama asli tenant Netskope Anda.
- V2 API Token: masukkan token Netskope API Anda.
- Filter Notifikasi: tambahkan notifikasi proxy web yang ingin Anda serap.
- Rentang Awal: masukkan jumlah data historis yang ingin Anda serap (dalam hari).
- Klik Save.
Mengonfigurasi plugin CLS Netskope
- Buka Setelan > Plugin.
- Telusuri dan pilih kotak Netskope (CLS) untuk membuka halaman pembuatan plugin.
- Masukkan detail berikut:
- Configuration Name: masukkan nama yang mudah diingat untuk plugin ini.
- Tenant: pilih tenant yang Anda buat di langkah sebelumnya dari daftar.
- Klik Berikutnya.
- Perbarui daftar Jenis Peristiwa sesuai kebutuhan.
- Rentang Awal: masukkan jumlah data historis yang ingin Anda serap (dalam jam).
- Klik Save.
Mengonfigurasi plugin Google SecOps di Netskope
- Buka Setelan > Plugin.
- Telusuri dan pilih kotak Chronicle (CLS) untuk membuka halaman pembuatan plugin.
- Masukkan detail berikut:
- Configuration Name: masukkan nama untuk plugin ini.
- Pemetaan: biarkan pilihan default.
- Aktifkan AKTIFKAN
When enabled logs will be transformed using the selected mapping file
. - Klik Berikutnya.
- Region: pilih region Google SecOps Anda.
- URL Wilayah Kustom: setelan opsional yang hanya diperlukan jika Wilayah Kustom dipilih di langkah sebelumnya.
- Kunci Akun Layanan: masukkan kunci JSON yang disediakan oleh Google SecOps.
- Customer ID: masukkan customer ID tenant Google SecOps Anda.
- Klik Save.
Mengonfigurasi Aturan Bisnis Pengirim Log untuk Google SecOps
- Buka Log Shipper > Business Rules.
- Secara default, ada aturan bisnis yang memfilter semua pemberitahuan dan peristiwa.
- Jika Anda ingin memfilter jenis pemberitahuan atau peristiwa tertentu, klik Buat Aturan Baru dan konfigurasikan aturan bisnis baru dengan menambahkan nama dan filter aturan.
- Klik Save.
Mengonfigurasi Pemetaan SIEM Pengirim Log untuk Google SecOps
- Buka Log Shipper > SIEM Mappings
- Klik Tambahkan Pemetaan SIEM.
- Masukkan detail berikut:
- Source Configuration: pilih plugin Netskope CLS.
- Konfigurasi Tujuan: pilih plugin Google SecOps.
- Business Rule: pilih aturan yang Anda buat sebelumnya.
- Klik Save.
Memvalidasi pengambilan dan alur kerja Peristiwa dan Notifikasi di Netskope
- Buka Logging di Netskope Cloud Exchange.
- Telusuri log yang ditarik.
- Di Logging, telusuri peristiwa & pemberitahuan yang diserap dengan filter message contains ingested.
- Log yang diserap akan difilter.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
applicationType |
security_result.detection_fields[].key : "applicationType"security_result.detection_fields[].value : applicationType |
Dipetakan langsung dari kolom CEF yang sesuai. |
appcategory |
security_result.category_details[] : appcategory |
Dipetakan langsung dari kolom CEF yang sesuai. |
browser |
security_result.detection_fields[].key : "browser"security_result.detection_fields[].value : browser |
Dipetakan langsung dari kolom CEF yang sesuai. |
c-ip |
principal.asset.ip[] : c-ip principal.ip[] : c-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
cci |
security_result.detection_fields[].key : "cci"security_result.detection_fields[].value : cci |
Dipetakan langsung dari kolom CEF yang sesuai. |
ccl |
security_result.confidence : Nilai turunansecurity_result.confidence_details : ccl |
security_result.confidence berasal dari nilai ccl : "excellent" atau "high" dipetakan ke HIGH_CONFIDENCE , "medium" dipetakan ke MEDIUM_CONFIDENCE , "low" atau "poor" dipetakan ke LOW_CONFIDENCE , dan "unknown" atau "not_defined" dipetakan ke UNKNOWN_CONFIDENCE .security_result.confidence_details dipetakan langsung dari ccl . |
clientBytes |
network.sent_bytes : clientBytes |
Dipetakan langsung dari kolom CEF yang sesuai. |
cs-access-method |
additional.fields[].key : "accessMethod"additional.fields[].value.string_value : cs-access-method |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app |
additional.fields[].key : "x-cs-app"additional.fields[].value.string_value : cs-app principal.application : cs-app |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-activity |
additional.fields[].key : "x-cs-app-activity"additional.fields[].value.string_value : cs-app-activity |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-category |
additional.fields[].key : "x-cs-app-category"additional.fields[].value.string_value : cs-app-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-cci |
additional.fields[].key : "x-cs-app-cci"additional.fields[].value.string_value : cs-app-cci |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-ccl |
additional.fields[].key : "x-cs-app-ccl"additional.fields[].value.string_value : cs-app-ccl |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-from-user |
additional.fields[].key : "x-cs-app-from-user"additional.fields[].value.string_value : cs-app-from-user principal.user.email_addresses[] : cs-app-from-user |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-instance-id |
additional.fields[].key : "x-cs-app-instance-id"additional.fields[].value.string_value : cs-app-instance-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-object-name |
additional.fields[].key : "x-cs-app-object-name"additional.fields[].value.string_value : cs-app-object-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-object-type |
additional.fields[].key : "x-cs-app-object-type"additional.fields[].value.string_value : cs-app-object-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-suite |
additional.fields[].key : "x-cs-app-suite"additional.fields[].value.string_value : cs-app-suite |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-tags |
additional.fields[].key : "x-cs-app-tags"additional.fields[].value.string_value : cs-app-tags |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-bytes |
network.sent_bytes : cs-bytes |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-content-type |
additional.fields[].key : "sc-content-type"additional.fields[].value.string_value : cs-content-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-dns |
target.asset.hostname[] : cs-dns target.hostname : cs-dns |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-host |
target.asset.hostname[] : cs-host target.hostname : cs-host |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-method |
network.http.method : cs-method |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-referer |
network.http.referral_url : cs-referer |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri |
additional.fields[].key : "cs-uri"additional.fields[].value.string_value : cs-uri |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri-path |
additional.fields[].key : "x-cs-uri-path"additional.fields[].value.string_value : cs-uri-path |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri-port |
additional.fields[].key : "cs-uri-port"additional.fields[].value.string_value : cs-uri-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri-scheme |
network.application_protocol : cs-uri-scheme |
Dipetakan langsung dari kolom JSON yang sesuai setelah dikonversi ke huruf besar. |
cs-user-agent |
network.http.parsed_user_agent : Agen pengguna yang diuraikannetwork.http.user_agent : cs-user-agent |
network.http.parsed_user_agent berasal dari penguraian kolom cs-user-agent menggunakan filter "parseduseragent". |
cs-username |
principal.user.userid : cs-username |
Dipetakan langsung dari kolom JSON yang sesuai. |
date |
metadata.event_timestamp.seconds : Detik epoch dari kolom date dan time metadata.event_timestamp.nanos : 0 |
Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik ditetapkan ke 0. |
device |
intermediary.hostname : device |
Dipetakan langsung dari kolom CEF yang sesuai. |
dst |
target.ip[] : dst |
Dipetakan langsung dari kolom CEF yang sesuai. |
dst_country |
target.location.country_or_region : dst_country |
Dipetakan langsung dari kolom grokked yang sesuai. |
dst_ip |
target.asset.ip[] : dst_ip target.ip[] : dst_ip |
Dipetakan langsung dari kolom grokked yang sesuai. |
dst_location |
target.location.city : dst_location |
Dipetakan langsung dari kolom grokked yang sesuai. |
dst_region |
target.location.state : dst_region |
Dipetakan langsung dari kolom grokked yang sesuai. |
dst_zip |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
duser |
target.user.email_addresses[] : duser target.user.user_display_name : duser |
Dipetakan langsung dari kolom CEF yang sesuai. |
dvchost |
about.hostname : dvchost target.asset.hostname[] : dvchost target.hostname : dvchost |
Dipetakan langsung dari kolom CEF yang sesuai. |
event_timestamp |
metadata.event_timestamp.seconds : event_timestamp |
Dipetakan langsung dari kolom grokked yang sesuai. |
hostname |
target.asset.hostname[] : hostname target.hostname : hostname |
Dipetakan langsung dari kolom CEF yang sesuai. |
IncidentID |
security_result.detection_fields[].key : "IncidentID"security_result.detection_fields[].value : IncidentID |
Dipetakan langsung dari kolom CEF yang sesuai. |
intermediary |
intermediary : intermediary |
Dipetakan langsung dari kolom CEF yang sesuai. |
md5 |
target.file.md5 : md5 |
Dipetakan langsung dari kolom CEF yang sesuai. |
message |
Berbagai kolom UDM | Kolom message diuraikan berdasarkan apakah kolom tersebut berisi "CEF". Jika ya, log tersebut akan diperlakukan sebagai log CEF. Jika tidak, string akan diuraikan sebagai string yang dipisahkan spasi atau JSON. Lihat bagian "Logika Penguraian" untuk mengetahui detailnya. |
mime_type1 |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
mime_type2 |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
mwDetectionEngine |
additional.fields[].key : "mwDetectionEngine"additional.fields[].value.string_value : mwDetectionEngine |
Dipetakan langsung dari kolom CEF yang sesuai. |
mwType |
metadata.description : mwType |
Dipetakan langsung dari kolom CEF yang sesuai. |
os |
principal.platform : Nilai turunan |
Platform berasal dari kolom os : "Windows" dipetakan ke WINDOWS , "MAC" dipetakan ke MAC , dan "LINUX" dipetakan ke LINUX . |
page |
network.http.referral_url : page |
Dipetakan langsung dari kolom CEF yang sesuai. |
port |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
referer |
network.http.referral_url : referer |
Dipetakan langsung dari kolom CEF yang sesuai. |
requestClientApplication |
network.http.parsed_user_agent : Agen pengguna yang diuraikannetwork.http.user_agent : requestClientApplication |
network.http.parsed_user_agent berasal dari penguraian kolom requestClientApplication menggunakan filter "parseduseragent". |
request_method |
network.http.method : request_method |
Dipetakan langsung dari kolom grokked yang sesuai. |
request_protocol |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
rs-status |
additional.fields[].key : "rs-status"additional.fields[].value.string_value : rs-status network.http.response_code : rs-status |
Dipetakan langsung dari kolom JSON yang sesuai. |
s-ip |
target.asset.ip[] : s-ip target.ip[] : s-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
sc-bytes |
network.received_bytes : sc-bytes |
Dipetakan langsung dari kolom JSON yang sesuai. |
sc-content-type |
additional.fields[].key : "sc-content-type"additional.fields[].value.string_value : sc-content-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
sc-status |
network.http.response_code : sc-status |
Dipetakan langsung dari kolom JSON yang sesuai. |
serverBytes |
network.received_bytes : serverBytes |
Dipetakan langsung dari kolom CEF yang sesuai. |
sha256 |
target.file.sha256 : sha256 |
Dipetakan langsung dari kolom CEF yang sesuai. |
src |
principal.ip[] : src |
Dipetakan langsung dari kolom CEF yang sesuai. |
src_country |
principal.location.country_or_region : src_country |
Dipetakan langsung dari kolom grokked yang sesuai. |
src_ip |
principal.asset.ip[] : src_ip principal.ip[] : src_ip |
Dipetakan langsung dari kolom grokked yang sesuai. |
src_latitude |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
src_location |
principal.location.city : src_location |
Dipetakan langsung dari kolom grokked yang sesuai. |
src_longitude |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
src_region |
principal.location.state : src_region |
Dipetakan langsung dari kolom grokked yang sesuai. |
src_zip |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
suser |
principal.user.user_display_name : suser |
Dipetakan langsung dari kolom CEF yang sesuai. |
target_host |
target.asset.hostname[] : target_host target.hostname : target_host |
Dipetakan langsung dari kolom grokked yang sesuai. |
time |
metadata.event_timestamp.seconds : Detik epoch dari kolom date dan time metadata.event_timestamp.nanos : 0 |
Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik ditetapkan ke 0. |
timestamp |
metadata.event_timestamp.seconds : timestamp |
Dipetakan langsung dari kolom CEF yang sesuai. |
ts |
metadata.event_timestamp.seconds : Detik epoch dari ts metadata.event_timestamp.nanos : 0 |
Stempel waktu dikonversi menjadi detik dan nanodetik epoch. Nanodetik ditetapkan ke 0. |
url |
target.url : url |
Dipetakan langsung dari kolom CEF yang sesuai. |
user_agent |
network.http.parsed_user_agent : Agen pengguna yang diuraikannetwork.http.user_agent : user_agent |
network.http.parsed_user_agent berasal dari penguraian kolom user_agent menggunakan filter "parseduseragent". |
user_ip |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
user_key |
principal.user.email_addresses[] : user_key |
Dipetakan langsung dari kolom grokked yang sesuai. |
version |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
x-c-browser |
additional.fields[].key : "x-c-browser"additional.fields[].value.string_value : x-c-browser |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-browser-version |
additional.fields[].key : "x-c-browser-version"additional.fields[].value.string_value : x-c-browser-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-country |
principal.location.country_or_region : x-c-country |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-device |
additional.fields[].key : "x-c-device"additional.fields[].value.string_value : x-c-device |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-latitude |
principal.location.region_coordinates.latitude : x-c-latitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-local-time |
security_result.detection_fields[].key : "x-c-local-time"security_result.detection_fields[].value : x-c-local-time |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-location |
principal.location.name : x-c-location |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-longitude |
principal.location.region_coordinates.longitude : x-c-longitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-os |
principal.platform : Nilai turunan |
Platform berasal dari kolom x-c-os : "Windows" dipetakan ke WINDOWS , "MAC" dipetakan ke MAC , dan "LINUX" dipetakan ke LINUX . |
x-c-region |
principal.location.state : x-c-region |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-zipcode |
additional.fields[].key : "x-c-zipcode"additional.fields[].value.string_value : x-c-zipcode |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-category |
additional.fields[].key : "x-category"additional.fields[].value.string_value : x-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-category-id |
additional.fields[].key : "x-category-id"additional.fields[].value.string_value : x-category-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-access-method |
additional.fields[].key : "accessMethod"additional.fields[].value.string_value : x-cs-access-method |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app |
principal.application : x-cs-app additional.fields[].key : "x-cs-app"additional.fields[].value.string_value : x-cs-app |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-activity |
additional.fields[].key : "x-cs-app-activity"additional.fields[].value.string_value : x-cs-app-activity |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-category |
additional.fields[].key : "x-cs-app-category"additional.fields[].value.string_value : x-cs-app-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-cci |
additional.fields[].key : "x-cs-app-cci"additional.fields[].value.string_value : x-cs-app-cci |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-from-user |
additional.fields[].key : "x-cs-app-from-user"additional.fields[].value.string_value : x-cs-app-from-user |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-object-id |
additional.fields[].key : "x-cs-app-object-id"additional.fields[].value.string_value : x-cs-app-object-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-object-name |
additional.fields[].key : "x-cs-app-object-name"additional.fields[].value.string_value : x-cs-app-object-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-object-type |
additional.fields[].key : "x-cs-app-object-type"additional.fields[].value.string_value : x-cs-app-object-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-suite |
additional.fields[].key : "x-cs-app-suite"additional.fields[].value.string_value : x-cs-app-suite |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-tags |
additional.fields[].key : "x-cs-app-tags"additional.fields[].value.string_value : x-cs-app-tags |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-to-user |
additional.fields[].key : "x-cs-app-to-user"additional.fields[].value.string_value : x-cs-app-to-user |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-dst-ip |
security_result.detection_fields[].key : "x-cs-dst-ip"security_result.detection_fields[].value : x-cs-dst-ip target.asset.ip[] : x-cs-dst-ip target.ip[] : x-cs-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-dst-port |
security_result.detection_fields[].key : "x-cs-dst-port"security_result.detection_fields[].value : x-cs-dst-port target.port : x-cs-dst-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-http-version |
security_result.detection_fields[].key : "x-cs-http-version"security_result.detection_fields[].value : x-cs-http-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-page-id |
additional.fields[].key : "x-cs-page-id"additional.fields[].value.string_value : x-cs-page-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-session-id |
network.session_id : x-cs-session-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-site |
additional.fields[].key : "x-cs-site"additional.fields[].value.string_value : x-cs-site |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-sni |
network.tls.client.server_name : x-cs-sni |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-src-ip |
principal.asset.ip[] : x-cs-src-ip principal.ip[] : x-cs-src-ip security_result.detection_fields[].key : "x-cs-src-ip"security_result.detection_fields[].value : x-cs-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-src-ip-egress |
principal.asset.ip[] : x-cs-src-ip-egress principal.ip[] : x-cs-src-ip-egress security_result.detection_fields[].key : "x-cs-src-ip-egress"security_result.detection_fields[].value : x-cs-src-ip-egress |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-src-port |
principal.port : x-cs-src-port security_result.detection_fields[].key : "x-cs-src-port"security_result.detection_fields[].value : x-cs-src-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-cipher |
network.tls.cipher : x-cs-ssl-cipher |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-fronting-error |
security_result.detection_fields[].key : "x-cs-ssl-fronting-error"security_result.detection_fields[].value : x-cs-ssl-fronting-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-handshake-error |
security_result.detection_fields[].key : "x-cs-ssl-handshake-error"security_result.detection_fields[].value : x-cs-ssl-handshake-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-ja3 |
network.tls.client.ja3 : x-cs-ssl-ja3 |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-version |
network.tls.version : x-cs-ssl-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-timestamp |
metadata.event_timestamp.seconds : x-cs-timestamp |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-traffic-type |
additional.fields[].key : "trafficType"additional.fields[].value.string_value : x-cs-traffic-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-tunnel-src-ip |
security_result.detection_fields[].key : "x-cs-tunnel-src-ip"security_result.detection_fields[].value : x-cs-tunnel-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-uri-path |
additional.fields[].key : "x-cs-uri-path"additional.fields[].value.string_value : x-cs-uri-path |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-url |
target.url : x-cs-url |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-userip |
security_result.detection_fields[].key : "x-cs-userip"security_result.detection_fields[].value : x-cs-userip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-other-category |
security_result.category_details[] : x-other-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-other-category-id |
security_result.detection_fields[].key : "x-other-category-id"security_result.detection_fields[].value : x-other-category-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-action |
security_result.action : Nilai turunansecurity_result.action_details : x-policy-action |
security_result.action berasal dari konversi x-policy-action ke huruf besar. Jika nilai huruf besar adalah "ALLOW" atau "BLOCK", nilai tersebut akan digunakan secara langsung. Jika tidak, tidak akan dipetakan.security_result.action_details dipetakan langsung dari x-policy-action . |
x-policy-dst-host |
security_result.detection_fields[].key : "x-policy-dst-host"security_result.detection_fields[].value : x-policy-dst-host |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-dst-host-source |
security_result.detection_fields[].key : "x-policy-dst-host-source"security_result.detection_fields[].value : x-policy-dst-host-source |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-dst-ip |
security_result.detection_fields[].key : "x-policy-dst-ip"security_result.detection_fields[].value : x-policy-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-name |
security_result.rule_name : x-policy-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-src-ip |
security_result.detection_fields[].key : "x-policy-src-ip"security_result.detection_fields[].value : x-policy-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-enddate |
network.tls.server.certificate.not_after.seconds : Detik epoch dari x-r-cert-enddate |
Tanggal dikonversi ke detik epoch. |
x-r-cert-expired |
additional.fields[].key : "x-r-cert-expired"additional.fields[].value.string_value : x-r-cert-expired |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-incomplete-chain |
additional.fields[].key : "x-r-cert-incomplete-chain"additional.fields[].value.string_value : x-r-cert-incomplete-chain |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-issuer-cn |
network.tls.server.certificate.issuer : x-r-cert-issuer-cn |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-mismatch |
additional.fields[].key : "x-r-cert-mismatch"additional.fields[].value.string_value : x-r-cert-mismatch |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-revoked |
additional.fields[].key : "x-r-cert-revoked"additional.fields[].value.string_value : x-r-cert-revoked |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-self-signed |
additional.fields[].key : "x-r-cert-self-signed"additional.fields[].value.string_value : x-r-cert-self-signed |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-startdate |
network.tls.server.certificate.not_before.seconds : Detik epoch dari x-r-cert-startdate |
Tanggal dikonversi ke detik epoch. |
x-r-cert-subject-cn |
network.tls.server.certificate.subject : x-r-cert-subject-cn |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-untrusted-root |
additional.fields[].key : "x-r-cert-untrusted-root"additional.fields[].value.string_value : x-r-cert-untrusted-root |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-valid |
additional.fields[].key : "x-r-cert-valid"additional.fields[].value.string_value : x-r-cert-valid |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-request-id |
additional.fields[].key : "requestId"additional.fields[].value.string_value : x-request-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-rs-file-category |
additional.fields[].key : "x-rs-file-category"additional.fields[].value.string_value : x-rs-file-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-rs-file-type |
additional.fields[].key : "x-rs-file-type"additional.fields[].value.string_value : x-rs-file-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-country |
target.location.country_or_region : x-s-country |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-dp-name |
additional.fields[].key : "x-s-dp-name"additional.fields[].value.string_value : x-s-dp-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-latitude |
target.location.region_coordinates.latitude : x-s-latitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-location |
target.location.name : x-s-location |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-longitude |
target.location.region_coordinates.longitude : x-s-longitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-region |
target.location.state : x-s-region |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-zipcode |
additional.fields[].key : "x-s-zipcode"additional.fields[].value.string_value : x-s-zipcode |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-cipher |
security_result.detection_fields[].key : "x-sr-ssl-cipher"security_result.detection_fields[].value : x-sr-ssl-cipher |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-client-certificate-error |
security_result.detection_fields[].key : "x-sr-ssl-client-certificate-error"security_result.detection_fields[].value : x-sr-ssl-client-certificate-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-engine-action |
security_result.detection_fields[].key : "x-sr-ssl-engine-action"security_result.detection_fields[].value : x-sr-ssl-engine-action |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-engine-action-reason |
security_result.detection_fields[].key : "x-sr-ssl-engine-action-reason"security_result.detection_fields[].value : x-sr-ssl-engine-action-reason |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-handshake-error |
security_result.detection_fields[].key : "x-sr-ssl-handshake-error"security_result.detection_fields[].value : x-sr-ssl-handshake-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-ja3s |
network.tls.server.ja3s : x-sr-ssl-ja3s |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-malformed-ssl |
security_result.detection_fields[].key : "x-sr-ssl-malformed-ssl"security_result.detection_fields[].value : x-sr-ssl-malformed-ssl |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-version |
security_result.detection_fields[].key : "x-sr-ssl-version"security_result.detection_fields[].value : x-sr-ssl-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-custom-signing-ca-error |
security_result.detection_fields[].key : "x-s-custom-signing-ca-error"security_result.detection_fields[].value : x-s-custom-signing-ca-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-bypass |
security_result.detection_fields[].key : "SSL BYPASS"security_result.detection_fields[].value : x-ssl-bypass atau x-ssl-bypass-reason |
Jika x-ssl-bypass adalah "Ya" dan x-ssl-bypass-reason ada, nilai x-ssl-bypass-reason akan digunakan. Jika tidak, nilai x-ssl-bypass akan digunakan. |
x-ssl-policy-action |
security_result.detection_fields[].key : "x-ssl-policy-action"security_result.detection_fields[].value : x-ssl-policy-action |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-categories |
security_result.category_details[] : x-ssl-policy-categories |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-dst-host |
security_result.detection_fields[].key : "x-ssl-policy-dst-host"security_result.detection_fields[].value : x-ssl-policy-dst-host |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-dst-host-source |
security_result.detection_fields[].key : "x-ssl-policy-dst-host-source"security_result.detection_fields[].value : x-ssl-policy-dst-host-source |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-dst-ip |
security_result.detection_fields[].key : "x-ssl-policy-dst-ip"security_result.detection_fields[].value : x-ssl-policy-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-name |
security_result.rule_name : x-ssl-policy-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-src-ip |
security_result.detection_fields[].key : "x-ssl-policy-src-ip"security_result.detection_fields[].value : x-ssl-policy-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-dst-ip |
security_result.detection_fields[].key : "x-sr-dst-ip"security_result.detection_fields[].value : x-sr-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-dst-port |
security_result.detection_fields[].key : "x-sr-dst-port"security_result.detection_fields[].value : x-sr-dst-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-type |
additional.fields[].key : "xType"additional.fields[].value.string_value : x-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-transaction-id |
additional.fields[].key : "transactionId"additional.fields[].value.string_value : x-transaction-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
T/A | metadata.vendor_name : "Netskope" |
Nilai hardcode dalam parser. |
T/A | metadata.product_name : "Netskope Webproxy" |
Tetapkan ke "Netskope Webproxy" jika belum ada. |
T/A | metadata.log_type : "NETSKOPE_WEBPROXY" |
Nilai hardcode dalam parser. |
Perubahan
2024-06-04
- Menambahkan Grok untuk menangani log yang tidak diuraikan.
- Memetakan "url" ke "target.url".
- Memetakan "appSessionId" ke "network.session_id".
- Memetakan "page" ke "network.http.referral_url".
- Memetakan "appcategory" ke "security_result.category_details".
- Memetakan "clientBytes" ke "network.sent_bytes".
- Memetakan "serverBytes" ke "network.received_bytes".
- Memetakan "ccl" ke "security_result.confidence_details".
- Memetakan "IncidentID", "applicationType", "browser", dan "cci" ke "security_result.detection_fields".
2024-04-22
- Memetakan "x-cs-app-ccl","x-cs-app-instance-id","x-cs-app-tags" ,"x-cs-app-instance-name" ,"x-cs-app-instance-tag", "x-cs-app-to-user","x-cs-app-object-id" dan "x-cs-app-from-user" ke "additional.fields".
2024-02-26
- Mengubah pemetaan "cs-bytes" dari "network.received_bytes" menjadi "network.sent_bytes".
- Mengubah pemetaan "sc-bytes" dari "network.sent_bytes" menjadi "network.received_bytes".
- Memetakan "x-cs-app-object-name" ke "additional.fields".
- Memetakan "x-cs-app-from-user" ke "principal.user.email_addresses".
2023-12-22
- Jika nilai "cs-dns" adalah "null", ubah pemetaan "cs-host" dari "principal.hostname" menjadi "target.hostname".
- Mengubah pemetaan "cs-dns" dari "principal.hostname" menjadi "target.hostname".
- Jika nilai "sc-status" adalah "null", pemeta "rs-status" ke "network.http.response_code".
- Memetakan "x-cs-app" ke "principal.application".
- Memetakan "x-cs-src-ip-egress" ke "principal.ip".
2023-12-08
- Menambahkan pemeriksaan on_error untuk mengurai log yang gagal.
- Tetapkan "metadata.vendor_name" ke "Netskope" dan "metadata.product_name" ke "Netskope Webproxy".
- Menambahkan pemeriksaan bersyarat untuk "src_region", "src_country", "src_location", "dst_region", "dst_country", "dst_location" sebelum pemetaan.
2023-10-09
- Memetakan "dvchost" ke "target.hostname" jika "target.hostname" tidak ada.
- Menambahkan pemeriksaan null sebelum pemetaan "requestClientApplication".
2023-09-12
- Memetakan "x-cs-dst-ip" ke "target.ip".
- Memetakan "x-cs-src-ip" ke "principal.ip".
- Memetakan "x-cs-src-port" ke "principal.port".
- Memetakan "x-cs-dst-port" ke "target.port".
- Menambahkan pemeriksaan on_error untuk filter tanggal.
- Menambahkan pemeriksaan bersyarat sebelum memetakan "metadata.event_type".
2023-08-28
- Memetakan "cs-uri" ke "additional.fields".
- Memetakan "cs-uri-port" ke "additional.fields".
- Memetakan "x-s-zipcode" ke "additional.fields".
- Memetakan "x-c-zipcode" ke "additional.fields".
- Memetakan "x-cs-site" ke "additional.fields".
- Memetakan "x-category" ke "additional.fields".
- Memetakan "x-sr-ssl-version" ke "security_result.detection_fields".
- Memetakan "x-sr-ssl-cipher" ke "security_result.detection_fields".
- Memetakan "x-cs-src-ip-egress" ke "security_result.detection_fields".
- Memetakan "x-cs-userip" ke "security_result.detection_fields".
- Memetakan "x-cs-url" ke "target.url".
- Memetakan "x-cs-uri-path" ke "additional.fields".
- Memetakan "x-cs-app-cci" ke "additional.fields".
- Memetakan "x-cs-app-object-type" ke "additional.fields".
- Memetakan "x-rs-file-type" ke "additional.fields".
- Memetakan "x-rs-file-category" ke "additional.fields".
2023-08-17
- Menambahkan dukungan untuk format log jenis JSON baru.
2023-06-22
- Menambahkan dukungan untuk format log jenis SYSLOG+JSON baru.
2023-05-30
- Memetakan "duser" ke "target.user.email_addresses".
- Memetakan "requestClientApplication" ke "network.http.parsed_user_agent".
2023-02-03
- Memetakan "Domain" ke "principal.administrative_domain".
2023-01-09
- Menambahkan pemeriksaan bersyarat untuk memetakan berbagai event_type berdasarkan parameter yang diperlukan.
- Mengurai berbagai format "rt".
2022-04-06
- Peningkatan-Pemetaan yang ditambahkan untuk kolom baru
- md5, mwDetectionEngine, mwProfile, mwType dipetakan ke udm.