Mengumpulkan log proxy web Netskope

Didukung di:

Parser ini menangani log proxy web Netskope berformat CEF dan non-CEF. Alat ini mengekstrak kolom, melakukan transformasi data (misalnya, mengonversi stempel waktu atau menggabungkan kolom), memetakan kolom ke UDM, dan menambahkan metadata khusus Netskope. Parser menggunakan logika kondisional untuk menangani berbagai format log dan ketersediaan kolom, yang memperkaya UDM dengan detail jaringan, keamanan, dan aplikasi yang relevan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Netskope.
  • Pastikan Anda memiliki modul Log Shipper yang dikonfigurasi.
  • Pastikan Anda memiliki kunci akun layanan Google SecOps (hubungi tim Google SecOps untuk mendapatkan akun layanan dengan cakupan berikut: https://www.googleapis.com/auth/malachite-ingestion).

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Mengonfigurasi Tenant Netskope di CE

  1. Buka Setelan > Umum.
  2. Alihkan tombol Log Shipper ke AKTIF
  3. Di Setelan, buka Netskope Tenants.
  4. Jika tidak ada tenant yang dikonfigurasi, klik Tambahkan Tenant.
  5. Masukkan nilai berikut:
    • Nama: berikan nama yang mudah diingat untuk tenant Anda.
    • Tenant Name: masukkan nama asli tenant Netskope Anda.
    • V2 API Token: masukkan token Netskope API Anda.
    • Filter Notifikasi: tambahkan notifikasi proxy web yang ingin Anda serap.
    • Rentang Awal: masukkan jumlah data historis yang ingin Anda serap (dalam hari).
    • Klik Save.

Mengonfigurasi plugin CLS Netskope

  1. Buka Setelan > Plugin.
  2. Telusuri dan pilih kotak Netskope (CLS) untuk membuka halaman pembuatan plugin.
  3. Masukkan detail berikut:
    • Configuration Name: masukkan nama yang mudah diingat untuk plugin ini.
    • Tenant: pilih tenant yang Anda buat di langkah sebelumnya dari daftar.
    • Klik Berikutnya.
    • Perbarui daftar Jenis Peristiwa sesuai kebutuhan.
    • Rentang Awal: masukkan jumlah data historis yang ingin Anda serap (dalam jam).
    • Klik Save.

Mengonfigurasi plugin Google SecOps di Netskope

  1. Buka Setelan > Plugin.
  2. Telusuri dan pilih kotak Chronicle (CLS) untuk membuka halaman pembuatan plugin.
  3. Masukkan detail berikut:
    • Configuration Name: masukkan nama untuk plugin ini.
    • Pemetaan: biarkan pilihan default.
    • Aktifkan AKTIFKAN When enabled logs will be transformed using the selected mapping file.
    • Klik Berikutnya.
    • Region: pilih region Google SecOps Anda.
    • URL Wilayah Kustom: setelan opsional yang hanya diperlukan jika Wilayah Kustom dipilih di langkah sebelumnya.
    • Kunci Akun Layanan: masukkan kunci JSON yang disediakan oleh Google SecOps.
    • Customer ID: masukkan customer ID tenant Google SecOps Anda.
    • Klik Save.

Mengonfigurasi Aturan Bisnis Pengirim Log untuk Google SecOps

  1. Buka Log Shipper > Business Rules.
  2. Secara default, ada aturan bisnis yang memfilter semua pemberitahuan dan peristiwa.
  3. Jika Anda ingin memfilter jenis pemberitahuan atau peristiwa tertentu, klik Buat Aturan Baru dan konfigurasikan aturan bisnis baru dengan menambahkan nama dan filter aturan.
  4. Klik Save.

Mengonfigurasi Pemetaan SIEM Pengirim Log untuk Google SecOps

  1. Buka Log Shipper > SIEM Mappings
  2. Klik Tambahkan Pemetaan SIEM.
  3. Masukkan detail berikut:
    • Source Configuration: pilih plugin Netskope CLS.
    • Konfigurasi Tujuan: pilih plugin Google SecOps.
    • Business Rule: pilih aturan yang Anda buat sebelumnya.
    • Klik Save.

Memvalidasi pengambilan dan alur kerja Peristiwa dan Notifikasi di Netskope

  1. Buka Logging di Netskope Cloud Exchange.
  2. Telusuri log yang ditarik.
  3. Di Logging, telusuri peristiwa & pemberitahuan yang diserap dengan filter message contains ingested.
  4. Log yang diserap akan difilter.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
applicationType security_result.detection_fields[].key: "applicationType"
security_result.detection_fields[].value: applicationType
Dipetakan langsung dari kolom CEF yang sesuai.
appcategory security_result.category_details[]: appcategory Dipetakan langsung dari kolom CEF yang sesuai.
browser security_result.detection_fields[].key: "browser"
security_result.detection_fields[].value: browser
Dipetakan langsung dari kolom CEF yang sesuai.
c-ip principal.asset.ip[]: c-ip
principal.ip[]: c-ip
Dipetakan langsung dari kolom JSON yang sesuai.
cci security_result.detection_fields[].key: "cci"
security_result.detection_fields[].value: cci
Dipetakan langsung dari kolom CEF yang sesuai.
ccl security_result.confidence: Nilai turunan
security_result.confidence_details: ccl
security_result.confidence berasal dari nilai ccl: "excellent" atau "high" dipetakan ke HIGH_CONFIDENCE, "medium" dipetakan ke MEDIUM_CONFIDENCE, "low" atau "poor" dipetakan ke LOW_CONFIDENCE, dan "unknown" atau "not_defined" dipetakan ke UNKNOWN_CONFIDENCE.
security_result.confidence_details dipetakan langsung dari ccl.
clientBytes network.sent_bytes: clientBytes Dipetakan langsung dari kolom CEF yang sesuai.
cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: cs-access-method
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: cs-app
principal.application: cs-app
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: cs-app-activity
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: cs-app-category
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: cs-app-cci
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-ccl additional.fields[].key: "x-cs-app-ccl"
additional.fields[].value.string_value: cs-app-ccl
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: cs-app-from-user
principal.user.email_addresses[]: cs-app-from-user
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-instance-id additional.fields[].key: "x-cs-app-instance-id"
additional.fields[].value.string_value: cs-app-instance-id
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: cs-app-object-name
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: cs-app-object-type
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: cs-app-suite
Dipetakan langsung dari kolom JSON yang sesuai.
cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: cs-app-tags
Dipetakan langsung dari kolom JSON yang sesuai.
cs-bytes network.sent_bytes: cs-bytes Dipetakan langsung dari kolom JSON yang sesuai.
cs-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: cs-content-type
Dipetakan langsung dari kolom JSON yang sesuai.
cs-dns target.asset.hostname[]: cs-dns
target.hostname: cs-dns
Dipetakan langsung dari kolom JSON yang sesuai.
cs-host target.asset.hostname[]: cs-host
target.hostname: cs-host
Dipetakan langsung dari kolom JSON yang sesuai.
cs-method network.http.method: cs-method Dipetakan langsung dari kolom JSON yang sesuai.
cs-referer network.http.referral_url: cs-referer Dipetakan langsung dari kolom JSON yang sesuai.
cs-uri additional.fields[].key: "cs-uri"
additional.fields[].value.string_value: cs-uri
Dipetakan langsung dari kolom JSON yang sesuai.
cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: cs-uri-path
Dipetakan langsung dari kolom JSON yang sesuai.
cs-uri-port additional.fields[].key: "cs-uri-port"
additional.fields[].value.string_value: cs-uri-port
Dipetakan langsung dari kolom JSON yang sesuai.
cs-uri-scheme network.application_protocol: cs-uri-scheme Dipetakan langsung dari kolom JSON yang sesuai setelah dikonversi ke huruf besar.
cs-user-agent network.http.parsed_user_agent: Agen pengguna yang diuraikan
network.http.user_agent: cs-user-agent
network.http.parsed_user_agent berasal dari penguraian kolom cs-user-agent menggunakan filter "parseduseragent".
cs-username principal.user.userid: cs-username Dipetakan langsung dari kolom JSON yang sesuai.
date metadata.event_timestamp.seconds: Detik epoch dari kolom date dan time
metadata.event_timestamp.nanos: 0
Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik ditetapkan ke 0.
device intermediary.hostname: device Dipetakan langsung dari kolom CEF yang sesuai.
dst target.ip[]: dst Dipetakan langsung dari kolom CEF yang sesuai.
dst_country target.location.country_or_region: dst_country Dipetakan langsung dari kolom grokked yang sesuai.
dst_ip target.asset.ip[]: dst_ip
target.ip[]: dst_ip
Dipetakan langsung dari kolom grokked yang sesuai.
dst_location target.location.city: dst_location Dipetakan langsung dari kolom grokked yang sesuai.
dst_region target.location.state: dst_region Dipetakan langsung dari kolom grokked yang sesuai.
dst_zip Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
duser target.user.email_addresses[]: duser
target.user.user_display_name: duser
Dipetakan langsung dari kolom CEF yang sesuai.
dvchost about.hostname: dvchost
target.asset.hostname[]: dvchost
target.hostname: dvchost
Dipetakan langsung dari kolom CEF yang sesuai.
event_timestamp metadata.event_timestamp.seconds: event_timestamp Dipetakan langsung dari kolom grokked yang sesuai.
hostname target.asset.hostname[]: hostname
target.hostname: hostname
Dipetakan langsung dari kolom CEF yang sesuai.
IncidentID security_result.detection_fields[].key: "IncidentID"
security_result.detection_fields[].value: IncidentID
Dipetakan langsung dari kolom CEF yang sesuai.
intermediary intermediary: intermediary Dipetakan langsung dari kolom CEF yang sesuai.
md5 target.file.md5: md5 Dipetakan langsung dari kolom CEF yang sesuai.
message Berbagai kolom UDM Kolom message diuraikan berdasarkan apakah kolom tersebut berisi "CEF". Jika ya, log tersebut akan diperlakukan sebagai log CEF. Jika tidak, string akan diuraikan sebagai string yang dipisahkan spasi atau JSON. Lihat bagian "Logika Penguraian" untuk mengetahui detailnya.
mime_type1 Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
mime_type2 Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
mwDetectionEngine additional.fields[].key: "mwDetectionEngine"
additional.fields[].value.string_value: mwDetectionEngine
Dipetakan langsung dari kolom CEF yang sesuai.
mwType metadata.description: mwType Dipetakan langsung dari kolom CEF yang sesuai.
os principal.platform: Nilai turunan Platform berasal dari kolom os: "Windows" dipetakan ke WINDOWS, "MAC" dipetakan ke MAC, dan "LINUX" dipetakan ke LINUX.
page network.http.referral_url: page Dipetakan langsung dari kolom CEF yang sesuai.
port Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
referer network.http.referral_url: referer Dipetakan langsung dari kolom CEF yang sesuai.
requestClientApplication network.http.parsed_user_agent: Agen pengguna yang diuraikan
network.http.user_agent: requestClientApplication
network.http.parsed_user_agent berasal dari penguraian kolom requestClientApplication menggunakan filter "parseduseragent".
request_method network.http.method: request_method Dipetakan langsung dari kolom grokked yang sesuai.
request_protocol Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
rs-status additional.fields[].key: "rs-status"
additional.fields[].value.string_value: rs-status
network.http.response_code: rs-status
Dipetakan langsung dari kolom JSON yang sesuai.
s-ip target.asset.ip[]: s-ip
target.ip[]: s-ip
Dipetakan langsung dari kolom JSON yang sesuai.
sc-bytes network.received_bytes: sc-bytes Dipetakan langsung dari kolom JSON yang sesuai.
sc-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: sc-content-type
Dipetakan langsung dari kolom JSON yang sesuai.
sc-status network.http.response_code: sc-status Dipetakan langsung dari kolom JSON yang sesuai.
serverBytes network.received_bytes: serverBytes Dipetakan langsung dari kolom CEF yang sesuai.
sha256 target.file.sha256: sha256 Dipetakan langsung dari kolom CEF yang sesuai.
src principal.ip[]: src Dipetakan langsung dari kolom CEF yang sesuai.
src_country principal.location.country_or_region: src_country Dipetakan langsung dari kolom grokked yang sesuai.
src_ip principal.asset.ip[]: src_ip
principal.ip[]: src_ip
Dipetakan langsung dari kolom grokked yang sesuai.
src_latitude Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
src_location principal.location.city: src_location Dipetakan langsung dari kolom grokked yang sesuai.
src_longitude Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
src_region principal.location.state: src_region Dipetakan langsung dari kolom grokked yang sesuai.
src_zip Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
suser principal.user.user_display_name: suser Dipetakan langsung dari kolom CEF yang sesuai.
target_host target.asset.hostname[]: target_host
target.hostname: target_host
Dipetakan langsung dari kolom grokked yang sesuai.
time metadata.event_timestamp.seconds: Detik epoch dari kolom date dan time
metadata.event_timestamp.nanos: 0
Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik ditetapkan ke 0.
timestamp metadata.event_timestamp.seconds: timestamp Dipetakan langsung dari kolom CEF yang sesuai.
ts metadata.event_timestamp.seconds: Detik epoch dari ts
metadata.event_timestamp.nanos: 0
Stempel waktu dikonversi menjadi detik dan nanodetik epoch. Nanodetik ditetapkan ke 0.
url target.url: url Dipetakan langsung dari kolom CEF yang sesuai.
user_agent network.http.parsed_user_agent: Agen pengguna yang diuraikan
network.http.user_agent: user_agent
network.http.parsed_user_agent berasal dari penguraian kolom user_agent menggunakan filter "parseduseragent".
user_ip Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
user_key principal.user.email_addresses[]: user_key Dipetakan langsung dari kolom grokked yang sesuai.
version Tidak dipetakan Kolom ini tidak dipetakan ke UDM.
x-c-browser additional.fields[].key: "x-c-browser"
additional.fields[].value.string_value: x-c-browser
Dipetakan langsung dari kolom JSON yang sesuai.
x-c-browser-version additional.fields[].key: "x-c-browser-version"
additional.fields[].value.string_value: x-c-browser-version
Dipetakan langsung dari kolom JSON yang sesuai.
x-c-country principal.location.country_or_region: x-c-country Dipetakan langsung dari kolom JSON yang sesuai.
x-c-device additional.fields[].key: "x-c-device"
additional.fields[].value.string_value: x-c-device
Dipetakan langsung dari kolom JSON yang sesuai.
x-c-latitude principal.location.region_coordinates.latitude: x-c-latitude Dipetakan langsung dari kolom JSON yang sesuai.
x-c-local-time security_result.detection_fields[].key: "x-c-local-time"
security_result.detection_fields[].value: x-c-local-time
Dipetakan langsung dari kolom JSON yang sesuai.
x-c-location principal.location.name: x-c-location Dipetakan langsung dari kolom JSON yang sesuai.
x-c-longitude principal.location.region_coordinates.longitude: x-c-longitude Dipetakan langsung dari kolom JSON yang sesuai.
x-c-os principal.platform: Nilai turunan Platform berasal dari kolom x-c-os: "Windows" dipetakan ke WINDOWS, "MAC" dipetakan ke MAC, dan "LINUX" dipetakan ke LINUX.
x-c-region principal.location.state: x-c-region Dipetakan langsung dari kolom JSON yang sesuai.
x-c-zipcode additional.fields[].key: "x-c-zipcode"
additional.fields[].value.string_value: x-c-zipcode
Dipetakan langsung dari kolom JSON yang sesuai.
x-category additional.fields[].key: "x-category"
additional.fields[].value.string_value: x-category
Dipetakan langsung dari kolom JSON yang sesuai.
x-category-id additional.fields[].key: "x-category-id"
additional.fields[].value.string_value: x-category-id
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: x-cs-access-method
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app principal.application: x-cs-app
additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: x-cs-app
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: x-cs-app-activity
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: x-cs-app-category
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: x-cs-app-cci
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: x-cs-app-from-user
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-object-id additional.fields[].key: "x-cs-app-object-id"
additional.fields[].value.string_value: x-cs-app-object-id
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: x-cs-app-object-name
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: x-cs-app-object-type
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: x-cs-app-suite
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: x-cs-app-tags
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-app-to-user additional.fields[].key: "x-cs-app-to-user"
additional.fields[].value.string_value: x-cs-app-to-user
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-dst-ip security_result.detection_fields[].key: "x-cs-dst-ip"
security_result.detection_fields[].value: x-cs-dst-ip
target.asset.ip[]: x-cs-dst-ip
target.ip[]: x-cs-dst-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-dst-port security_result.detection_fields[].key: "x-cs-dst-port"
security_result.detection_fields[].value: x-cs-dst-port
target.port: x-cs-dst-port
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-http-version security_result.detection_fields[].key: "x-cs-http-version"
security_result.detection_fields[].value: x-cs-http-version
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-page-id additional.fields[].key: "x-cs-page-id"
additional.fields[].value.string_value: x-cs-page-id
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-session-id network.session_id: x-cs-session-id Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-site additional.fields[].key: "x-cs-site"
additional.fields[].value.string_value: x-cs-site
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-sni network.tls.client.server_name: x-cs-sni Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-src-ip principal.asset.ip[]: x-cs-src-ip
principal.ip[]: x-cs-src-ip
security_result.detection_fields[].key: "x-cs-src-ip"
security_result.detection_fields[].value: x-cs-src-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-src-ip-egress principal.asset.ip[]: x-cs-src-ip-egress
principal.ip[]: x-cs-src-ip-egress
security_result.detection_fields[].key: "x-cs-src-ip-egress"
security_result.detection_fields[].value: x-cs-src-ip-egress
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-src-port principal.port: x-cs-src-port
security_result.detection_fields[].key: "x-cs-src-port"
security_result.detection_fields[].value: x-cs-src-port
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-ssl-cipher network.tls.cipher: x-cs-ssl-cipher Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-ssl-fronting-error security_result.detection_fields[].key: "x-cs-ssl-fronting-error"
security_result.detection_fields[].value: x-cs-ssl-fronting-error
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-ssl-handshake-error security_result.detection_fields[].key: "x-cs-ssl-handshake-error"
security_result.detection_fields[].value: x-cs-ssl-handshake-error
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-ssl-ja3 network.tls.client.ja3: x-cs-ssl-ja3 Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-ssl-version network.tls.version: x-cs-ssl-version Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-timestamp metadata.event_timestamp.seconds: x-cs-timestamp Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-traffic-type additional.fields[].key: "trafficType"
additional.fields[].value.string_value: x-cs-traffic-type
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-tunnel-src-ip security_result.detection_fields[].key: "x-cs-tunnel-src-ip"
security_result.detection_fields[].value: x-cs-tunnel-src-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: x-cs-uri-path
Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-url target.url: x-cs-url Dipetakan langsung dari kolom JSON yang sesuai.
x-cs-userip security_result.detection_fields[].key: "x-cs-userip"
security_result.detection_fields[].value: x-cs-userip
Dipetakan langsung dari kolom JSON yang sesuai.
x-other-category security_result.category_details[]: x-other-category Dipetakan langsung dari kolom JSON yang sesuai.
x-other-category-id security_result.detection_fields[].key: "x-other-category-id"
security_result.detection_fields[].value: x-other-category-id
Dipetakan langsung dari kolom JSON yang sesuai.
x-policy-action security_result.action: Nilai turunan
security_result.action_details: x-policy-action
security_result.action berasal dari konversi x-policy-action ke huruf besar. Jika nilai huruf besar adalah "ALLOW" atau "BLOCK", nilai tersebut akan digunakan secara langsung. Jika tidak, tidak akan dipetakan.
security_result.action_details dipetakan langsung dari x-policy-action.
x-policy-dst-host security_result.detection_fields[].key: "x-policy-dst-host"
security_result.detection_fields[].value: x-policy-dst-host
Dipetakan langsung dari kolom JSON yang sesuai.
x-policy-dst-host-source security_result.detection_fields[].key: "x-policy-dst-host-source"
security_result.detection_fields[].value: x-policy-dst-host-source
Dipetakan langsung dari kolom JSON yang sesuai.
x-policy-dst-ip security_result.detection_fields[].key: "x-policy-dst-ip"
security_result.detection_fields[].value: x-policy-dst-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-policy-name security_result.rule_name: x-policy-name Dipetakan langsung dari kolom JSON yang sesuai.
x-policy-src-ip security_result.detection_fields[].key: "x-policy-src-ip"
security_result.detection_fields[].value: x-policy-src-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-enddate network.tls.server.certificate.not_after.seconds: Detik epoch dari x-r-cert-enddate Tanggal dikonversi ke detik epoch.
x-r-cert-expired additional.fields[].key: "x-r-cert-expired"
additional.fields[].value.string_value: x-r-cert-expired
Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-incomplete-chain additional.fields[].key: "x-r-cert-incomplete-chain"
additional.fields[].value.string_value: x-r-cert-incomplete-chain
Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-issuer-cn network.tls.server.certificate.issuer: x-r-cert-issuer-cn Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-mismatch additional.fields[].key: "x-r-cert-mismatch"
additional.fields[].value.string_value: x-r-cert-mismatch
Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-revoked additional.fields[].key: "x-r-cert-revoked"
additional.fields[].value.string_value: x-r-cert-revoked
Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-self-signed additional.fields[].key: "x-r-cert-self-signed"
additional.fields[].value.string_value: x-r-cert-self-signed
Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-startdate network.tls.server.certificate.not_before.seconds: Detik epoch dari x-r-cert-startdate Tanggal dikonversi ke detik epoch.
x-r-cert-subject-cn network.tls.server.certificate.subject: x-r-cert-subject-cn Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-untrusted-root additional.fields[].key: "x-r-cert-untrusted-root"
additional.fields[].value.string_value: x-r-cert-untrusted-root
Dipetakan langsung dari kolom JSON yang sesuai.
x-r-cert-valid additional.fields[].key: "x-r-cert-valid"
additional.fields[].value.string_value: x-r-cert-valid
Dipetakan langsung dari kolom JSON yang sesuai.
x-request-id additional.fields[].key: "requestId"
additional.fields[].value.string_value: x-request-id
Dipetakan langsung dari kolom JSON yang sesuai.
x-rs-file-category additional.fields[].key: "x-rs-file-category"
additional.fields[].value.string_value: x-rs-file-category
Dipetakan langsung dari kolom JSON yang sesuai.
x-rs-file-type additional.fields[].key: "x-rs-file-type"
additional.fields[].value.string_value: x-rs-file-type
Dipetakan langsung dari kolom JSON yang sesuai.
x-s-country target.location.country_or_region: x-s-country Dipetakan langsung dari kolom JSON yang sesuai.
x-s-dp-name additional.fields[].key: "x-s-dp-name"
additional.fields[].value.string_value: x-s-dp-name
Dipetakan langsung dari kolom JSON yang sesuai.
x-s-latitude target.location.region_coordinates.latitude: x-s-latitude Dipetakan langsung dari kolom JSON yang sesuai.
x-s-location target.location.name: x-s-location Dipetakan langsung dari kolom JSON yang sesuai.
x-s-longitude target.location.region_coordinates.longitude: x-s-longitude Dipetakan langsung dari kolom JSON yang sesuai.
x-s-region target.location.state: x-s-region Dipetakan langsung dari kolom JSON yang sesuai.
x-s-zipcode additional.fields[].key: "x-s-zipcode"
additional.fields[].value.string_value: x-s-zipcode
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-cipher security_result.detection_fields[].key: "x-sr-ssl-cipher"
security_result.detection_fields[].value: x-sr-ssl-cipher
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-engine-action security_result.detection_fields[].key: "x-sr-ssl-engine-action"
security_result.detection_fields[].value: x-sr-ssl-engine-action
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-engine-action-reason security_result.detection_fields[].key: "x-sr-ssl-engine-action-reason"
security_result.detection_fields[].value: x-sr-ssl-engine-action-reason
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-handshake-error security_result.detection_fields[].key: "x-sr-ssl-handshake-error"
security_result.detection_fields[].value: x-sr-ssl-handshake-error
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-ja3s network.tls.server.ja3s: x-sr-ssl-ja3s Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-malformed-ssl security_result.detection_fields[].key: "x-sr-ssl-malformed-ssl"
security_result.detection_fields[].value: x-sr-ssl-malformed-ssl
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-ssl-version security_result.detection_fields[].key: "x-sr-ssl-version"
security_result.detection_fields[].value: x-sr-ssl-version
Dipetakan langsung dari kolom JSON yang sesuai.
x-s-custom-signing-ca-error security_result.detection_fields[].key: "x-s-custom-signing-ca-error"
security_result.detection_fields[].value: x-s-custom-signing-ca-error
Dipetakan langsung dari kolom JSON yang sesuai.
x-ssl-bypass security_result.detection_fields[].key: "SSL BYPASS"
security_result.detection_fields[].value: x-ssl-bypass atau x-ssl-bypass-reason
Jika x-ssl-bypass adalah "Ya" dan x-ssl-bypass-reason ada, nilai x-ssl-bypass-reason akan digunakan. Jika tidak, nilai x-ssl-bypass akan digunakan.
x-ssl-policy-action security_result.detection_fields[].key: "x-ssl-policy-action"
security_result.detection_fields[].value: x-ssl-policy-action
Dipetakan langsung dari kolom JSON yang sesuai.
x-ssl-policy-categories security_result.category_details[]: x-ssl-policy-categories Dipetakan langsung dari kolom JSON yang sesuai.
x-ssl-policy-dst-host security_result.detection_fields[].key: "x-ssl-policy-dst-host"
security_result.detection_fields[].value: x-ssl-policy-dst-host
Dipetakan langsung dari kolom JSON yang sesuai.
x-ssl-policy-dst-host-source security_result.detection_fields[].key: "x-ssl-policy-dst-host-source"
security_result.detection_fields[].value: x-ssl-policy-dst-host-source
Dipetakan langsung dari kolom JSON yang sesuai.
x-ssl-policy-dst-ip security_result.detection_fields[].key: "x-ssl-policy-dst-ip"
security_result.detection_fields[].value: x-ssl-policy-dst-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-ssl-policy-name security_result.rule_name: x-ssl-policy-name Dipetakan langsung dari kolom JSON yang sesuai.
x-ssl-policy-src-ip security_result.detection_fields[].key: "x-ssl-policy-src-ip"
security_result.detection_fields[].value: x-ssl-policy-src-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-dst-ip security_result.detection_fields[].key: "x-sr-dst-ip"
security_result.detection_fields[].value: x-sr-dst-ip
Dipetakan langsung dari kolom JSON yang sesuai.
x-sr-dst-port security_result.detection_fields[].key: "x-sr-dst-port"
security_result.detection_fields[].value: x-sr-dst-port
Dipetakan langsung dari kolom JSON yang sesuai.
x-type additional.fields[].key: "xType"
additional.fields[].value.string_value: x-type
Dipetakan langsung dari kolom JSON yang sesuai.
x-transaction-id additional.fields[].key: "transactionId"
additional.fields[].value.string_value: x-transaction-id
Dipetakan langsung dari kolom JSON yang sesuai.
T/A metadata.vendor_name: "Netskope" Nilai hardcode dalam parser.
T/A metadata.product_name: "Netskope Webproxy" Tetapkan ke "Netskope Webproxy" jika belum ada.
T/A metadata.log_type: "NETSKOPE_WEBPROXY" Nilai hardcode dalam parser.

Perubahan

2024-06-04

  • Menambahkan Grok untuk menangani log yang tidak diuraikan.
  • Memetakan "url" ke "target.url".
  • Memetakan "appSessionId" ke "network.session_id".
  • Memetakan "page" ke "network.http.referral_url".
  • Memetakan "appcategory" ke "security_result.category_details".
  • Memetakan "clientBytes" ke "network.sent_bytes".
  • Memetakan "serverBytes" ke "network.received_bytes".
  • Memetakan "ccl" ke "security_result.confidence_details".
  • Memetakan "IncidentID", "applicationType", "browser", dan "cci" ke "security_result.detection_fields".

2024-04-22

  • Memetakan "x-cs-app-ccl","x-cs-app-instance-id","x-cs-app-tags" ,"x-cs-app-instance-name" ,"x-cs-app-instance-tag", "x-cs-app-to-user","x-cs-app-object-id" dan "x-cs-app-from-user" ke "additional.fields".

2024-02-26

  • Mengubah pemetaan "cs-bytes" dari "network.received_bytes" menjadi "network.sent_bytes".
  • Mengubah pemetaan "sc-bytes" dari "network.sent_bytes" menjadi "network.received_bytes".
  • Memetakan "x-cs-app-object-name" ke "additional.fields".
  • Memetakan "x-cs-app-from-user" ke "principal.user.email_addresses".

2023-12-22

  • Jika nilai "cs-dns" adalah "null", ubah pemetaan "cs-host" dari "principal.hostname" menjadi "target.hostname".
  • Mengubah pemetaan "cs-dns" dari "principal.hostname" menjadi "target.hostname".
  • Jika nilai "sc-status" adalah "null", pemeta "rs-status" ke "network.http.response_code".
  • Memetakan "x-cs-app" ke "principal.application".
  • Memetakan "x-cs-src-ip-egress" ke "principal.ip".

2023-12-08

  • Menambahkan pemeriksaan on_error untuk mengurai log yang gagal.
  • Tetapkan "metadata.vendor_name" ke "Netskope" dan "metadata.product_name" ke "Netskope Webproxy".
  • Menambahkan pemeriksaan bersyarat untuk "src_region", "src_country", "src_location", "dst_region", "dst_country", "dst_location" sebelum pemetaan.

2023-10-09

  • Memetakan "dvchost" ke "target.hostname" jika "target.hostname" tidak ada.
  • Menambahkan pemeriksaan null sebelum pemetaan "requestClientApplication".

2023-09-12

  • Memetakan "x-cs-dst-ip" ke "target.ip".
  • Memetakan "x-cs-src-ip" ke "principal.ip".
  • Memetakan "x-cs-src-port" ke "principal.port".
  • Memetakan "x-cs-dst-port" ke "target.port".
  • Menambahkan pemeriksaan on_error untuk filter tanggal.
  • Menambahkan pemeriksaan bersyarat sebelum memetakan "metadata.event_type".

2023-08-28

  • Memetakan "cs-uri" ke "additional.fields".
  • Memetakan "cs-uri-port" ke "additional.fields".
  • Memetakan "x-s-zipcode" ke "additional.fields".
  • Memetakan "x-c-zipcode" ke "additional.fields".
  • Memetakan "x-cs-site" ke "additional.fields".
  • Memetakan "x-category" ke "additional.fields".
  • Memetakan "x-sr-ssl-version" ke "security_result.detection_fields".
  • Memetakan "x-sr-ssl-cipher" ke "security_result.detection_fields".
  • Memetakan "x-cs-src-ip-egress" ke "security_result.detection_fields".
  • Memetakan "x-cs-userip" ke "security_result.detection_fields".
  • Memetakan "x-cs-url" ke "target.url".
  • Memetakan "x-cs-uri-path" ke "additional.fields".
  • Memetakan "x-cs-app-cci" ke "additional.fields".
  • Memetakan "x-cs-app-object-type" ke "additional.fields".
  • Memetakan "x-rs-file-type" ke "additional.fields".
  • Memetakan "x-rs-file-category" ke "additional.fields".

2023-08-17

  • Menambahkan dukungan untuk format log jenis JSON baru.

2023-06-22

  • Menambahkan dukungan untuk format log jenis SYSLOG+JSON baru.

2023-05-30

  • Memetakan "duser" ke "target.user.email_addresses".
  • Memetakan "requestClientApplication" ke "network.http.parsed_user_agent".

2023-02-03

  • Memetakan "Domain" ke "principal.administrative_domain".

2023-01-09

  • Menambahkan pemeriksaan bersyarat untuk memetakan berbagai event_type berdasarkan parameter yang diperlukan.
  • Mengurai berbagai format "rt".

2022-04-06

  • Peningkatan-Pemetaan yang ditambahkan untuk kolom baru
  • md5, mwDetectionEngine, mwProfile, mwType dipetakan ke udm.