Netskope ウェブプロキシ ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、CEF 形式と CEF 以外の形式の Netskope ウェブ プロキシ ログの両方を処理します。フィールドを抽出し、データ変換(タイムスタンプの変換やフィールドの統合など)を行い、UDM にマッピングし、Netskope 固有のメタデータを追加します。パーサーは条件付きロジックを使用して、さまざまなログ形式とフィールドの可用性を処理し、関連するネットワーク、セキュリティ、アプリケーションの詳細を UDM に追加します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Netskope に対する特権アクセス権があることを確認します。
- Log Shipper モジュールが構成されていることを確認します。
- Google SecOps サービス アカウント キーがあることを確認します(Google SecOps チームに連絡して、次のスコープ(https://www.googleapis.com/auth/malachite-ingestion)を持つサービス アカウントを取得します)。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細] セクションから [お客様 ID] をコピーして保存します。
CE で Netskope テナントを構成する
- [設定] > [全般] に移動します。
- [配送業者を記録] スイッチを [オン] に切り替えます。
- [設定] で [Netskope テナント] に移動します。
- テナントが構成されていない場合は、[テナントを追加] をクリックします。
- 次の値を入力します。
- 名前: テナントにわかりやすい名前を指定します。
- テナント名: Netskope テナントの本名を入力します。
- V2 API トークン: Netskope API トークンを入力します。
- アラート フィルタ: 取り込むウェブ プロキシ アラートを追加します。
- Initial Range: 取り込む過去データの量(日数)を入力します。
- [保存] をクリックします。
Netskope CLS プラグインを構成する
- [設定] > [プラグイン] に移動します。
- [Netskope (CLS)] ボックスを検索して選択し、プラグイン作成ページを開きます。
- 次の詳細情報を入力します。
- Configuration Name: このプラグインにわかりやすい名前を入力します。
- テナント: 前の手順で作成したテナントをリストから選択します。
- [次へ] をクリックします。
- 必要に応じて [イベントタイプ] リストを更新します。
- 初期範囲: 取り込む過去データの量(時間単位)を入力します。
- [保存] をクリックします。
Netskope で Google SecOps プラグインを構成する
- [設定] > [プラグイン] に移動します。
- [Chronicle(CLS)] ボックスを検索して選択し、プラグイン作成ページを開きます。
- 次の詳細情報を入力します。
- Configuration Name: このプラグインの名前を入力します。
- マッピング: [デフォルト] のままにします。
When enabled logs will be transformed using the selected mapping file
をオンに切り替えます。- [次へ] をクリックします。
- リージョン: Google SecOps のリージョンを選択します。
- カスタム リージョン URL: 省略可能な設定です。前の手順で [カスタム リージョン] を選択した場合にのみ必要です。
- サービス アカウント キー: Google SecOps から提供された JSON キーを入力します。
- お客様 ID: Google SecOps テナントのお客様 ID を入力します。
- [保存] をクリックします。
Google SecOps 用にログ シッパーのビジネスルールを構成する
- [Log Shipper] > [ビジネスルール] に移動します。
- デフォルトでは、すべてのアラートやイベントをフィルタするビジネスルールが設定されています。
- 特定の種類のアラートやイベントを除外するには、[新しいルールを作成] をクリックし、ルール名とフィルタを追加して新しいビジネスルールを構成します。
- [保存] をクリックします。
Google SecOps 用に Log Shipper の SIEM マッピングを構成する
- [Log Shipper] > [SIEM マッピング] に移動します。
- [SIEM マッピングを追加] をクリックします。
- 次の詳細情報を入力します。
- ソース構成: Netskope CLS プラグインを選択します。
- 宛先の構成: Google SecOps プラグインを選択します。
- ビジネスルール: 前に作成したルールを選択します。
- [保存] をクリックします。
Netskope でイベントとアラートの取得とワークフローを検証する
- Netskope Cloud Exchange の [Logging] に移動します。
- プルされたログを検索します。
- Logging で、message contains ingested というフィルタを使用して、取り込まれたイベントとアラートを検索します。
- 取り込まれたログはフィルタされます。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
applicationType |
security_result.detection_fields[].key : "applicationType"security_result.detection_fields[].value : applicationType |
対応する CEF フィールドから直接マッピングされます。 |
appcategory |
security_result.category_details[] : appcategory |
対応する CEF フィールドから直接マッピングされます。 |
browser |
security_result.detection_fields[].key : "browser"security_result.detection_fields[].value : browser |
対応する CEF フィールドから直接マッピングされます。 |
c-ip |
principal.asset.ip[] : c-ip principal.ip[] : c-ip |
対応する JSON フィールドから直接マッピングされます。 |
cci |
security_result.detection_fields[].key : "cci"security_result.detection_fields[].value : cci |
対応する CEF フィールドから直接マッピングされます。 |
ccl |
security_result.confidence : 派生値security_result.confidence_details : ccl |
security_result.confidence は ccl の値に基づいて導出されます。「excellent」または「high」は HIGH_CONFIDENCE に、「medium」は MEDIUM_CONFIDENCE に、「low」または「poor」は LOW_CONFIDENCE に、「unknown」または「not_defined」は UNKNOWN_CONFIDENCE にマッピングされます。security_result.confidence_details は ccl から直接マッピングされます。 |
clientBytes |
network.sent_bytes : clientBytes |
対応する CEF フィールドから直接マッピングされます。 |
cs-access-method |
additional.fields[].key : "accessMethod"additional.fields[].value.string_value : cs-access-method |
対応する JSON フィールドから直接マッピングされます。 |
cs-app |
additional.fields[].key : "x-cs-app"additional.fields[].value.string_value : cs-app principal.application : cs-app |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-activity |
additional.fields[].key : "x-cs-app-activity"additional.fields[].value.string_value : cs-app-activity |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-category |
additional.fields[].key : "x-cs-app-category"additional.fields[].value.string_value : cs-app-category |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-cci |
additional.fields[].key : "x-cs-app-cci"additional.fields[].value.string_value : cs-app-cci |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-ccl |
additional.fields[].key : "x-cs-app-ccl"additional.fields[].value.string_value : cs-app-ccl |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-from-user |
additional.fields[].key : "x-cs-app-from-user"additional.fields[].value.string_value : cs-app-from-user principal.user.email_addresses[] : cs-app-from-user |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-instance-id |
additional.fields[].key : "x-cs-app-instance-id"additional.fields[].value.string_value : cs-app-instance-id |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-object-name |
additional.fields[].key : "x-cs-app-object-name"additional.fields[].value.string_value : cs-app-object-name |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-object-type |
additional.fields[].key : "x-cs-app-object-type"additional.fields[].value.string_value : cs-app-object-type |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-suite |
additional.fields[].key : "x-cs-app-suite"additional.fields[].value.string_value : cs-app-suite |
対応する JSON フィールドから直接マッピングされます。 |
cs-app-tags |
additional.fields[].key : "x-cs-app-tags"additional.fields[].value.string_value : cs-app-tags |
対応する JSON フィールドから直接マッピングされます。 |
cs-bytes |
network.sent_bytes : cs-bytes |
対応する JSON フィールドから直接マッピングされます。 |
cs-content-type |
additional.fields[].key : "sc-content-type"additional.fields[].value.string_value : cs-content-type |
対応する JSON フィールドから直接マッピングされます。 |
cs-dns |
target.asset.hostname[] : cs-dns target.hostname : cs-dns |
対応する JSON フィールドから直接マッピングされます。 |
cs-host |
target.asset.hostname[] : cs-host target.hostname : cs-host |
対応する JSON フィールドから直接マッピングされます。 |
cs-method |
network.http.method : cs-method |
対応する JSON フィールドから直接マッピングされます。 |
cs-referer |
network.http.referral_url : cs-referer |
対応する JSON フィールドから直接マッピングされます。 |
cs-uri |
additional.fields[].key : "cs-uri"additional.fields[].value.string_value : cs-uri |
対応する JSON フィールドから直接マッピングされます。 |
cs-uri-path |
additional.fields[].key : "x-cs-uri-path"additional.fields[].value.string_value : cs-uri-path |
対応する JSON フィールドから直接マッピングされます。 |
cs-uri-port |
additional.fields[].key : "cs-uri-port"additional.fields[].value.string_value : cs-uri-port |
対応する JSON フィールドから直接マッピングされます。 |
cs-uri-scheme |
network.application_protocol : cs-uri-scheme |
大文字に変換した後、対応する JSON フィールドから直接マッピングされます。 |
cs-user-agent |
network.http.parsed_user_agent : 解析されたユーザー エージェントnetwork.http.user_agent : cs-user-agent |
network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して cs-user-agent フィールドを解析することで得られます。 |
cs-username |
principal.user.userid : cs-username |
対応する JSON フィールドから直接マッピングされます。 |
date |
metadata.event_timestamp.seconds : date フィールドと time フィールドのエポック秒数metadata.event_timestamp.nanos : 0 |
日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。 |
device |
intermediary.hostname : device |
対応する CEF フィールドから直接マッピングされます。 |
dst |
target.ip[] : dst |
対応する CEF フィールドから直接マッピングされます。 |
dst_country |
target.location.country_or_region : dst_country |
対応する grokked フィールドから直接マッピングされます。 |
dst_ip |
target.asset.ip[] : dst_ip target.ip[] : dst_ip |
対応する grokked フィールドから直接マッピングされます。 |
dst_location |
target.location.city : dst_location |
対応する grokked フィールドから直接マッピングされます。 |
dst_region |
target.location.state : dst_region |
対応する grokked フィールドから直接マッピングされます。 |
dst_zip |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
duser |
target.user.email_addresses[] : duser target.user.user_display_name : duser |
対応する CEF フィールドから直接マッピングされます。 |
dvchost |
about.hostname : dvchost target.asset.hostname[] : dvchost target.hostname : dvchost |
対応する CEF フィールドから直接マッピングされます。 |
event_timestamp |
metadata.event_timestamp.seconds : event_timestamp |
対応する grokked フィールドから直接マッピングされます。 |
hostname |
target.asset.hostname[] : hostname target.hostname : hostname |
対応する CEF フィールドから直接マッピングされます。 |
IncidentID |
security_result.detection_fields[].key : "IncidentID"security_result.detection_fields[].value : IncidentID |
対応する CEF フィールドから直接マッピングされます。 |
intermediary |
intermediary : intermediary |
対応する CEF フィールドから直接マッピングされます。 |
md5 |
target.file.md5 : md5 |
対応する CEF フィールドから直接マッピングされます。 |
message |
さまざまな UDM フィールド | message フィールドは、「CEF」が含まれているかどうかに基づいて解析されます。含まれている場合は、CEF ログとして扱われます。それ以外の場合は、スペース区切りの文字列または JSON として解析されます。詳細については、解析ロジックをご覧ください。 |
mime_type1 |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
mime_type2 |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
mwDetectionEngine |
additional.fields[].key : "mwDetectionEngine"additional.fields[].value.string_value : mwDetectionEngine |
対応する CEF フィールドから直接マッピングされます。 |
mwType |
metadata.description : mwType |
対応する CEF フィールドから直接マッピングされます。 |
os |
principal.platform : 派生値 |
プラットフォームは os フィールドから取得されます。「Windows」は WINDOWS に、「MAC」は MAC に、「LINUX」は LINUX にマッピングされます。 |
page |
network.http.referral_url : page |
対応する CEF フィールドから直接マッピングされます。 |
port |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
referer |
network.http.referral_url : referer |
対応する CEF フィールドから直接マッピングされます。 |
requestClientApplication |
network.http.parsed_user_agent : 解析されたユーザー エージェントnetwork.http.user_agent : requestClientApplication |
network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して requestClientApplication フィールドを解析することで得られます。 |
request_method |
network.http.method : request_method |
対応する grokked フィールドから直接マッピングされます。 |
request_protocol |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
rs-status |
additional.fields[].key : "rs-status"additional.fields[].value.string_value : rs-status network.http.response_code : rs-status |
対応する JSON フィールドから直接マッピングされます。 |
s-ip |
target.asset.ip[] : s-ip target.ip[] : s-ip |
対応する JSON フィールドから直接マッピングされます。 |
sc-bytes |
network.received_bytes : sc-bytes |
対応する JSON フィールドから直接マッピングされます。 |
sc-content-type |
additional.fields[].key : "sc-content-type"additional.fields[].value.string_value : sc-content-type |
対応する JSON フィールドから直接マッピングされます。 |
sc-status |
network.http.response_code : sc-status |
対応する JSON フィールドから直接マッピングされます。 |
serverBytes |
network.received_bytes : serverBytes |
対応する CEF フィールドから直接マッピングされます。 |
sha256 |
target.file.sha256 : sha256 |
対応する CEF フィールドから直接マッピングされます。 |
src |
principal.ip[] : src |
対応する CEF フィールドから直接マッピングされます。 |
src_country |
principal.location.country_or_region : src_country |
対応する grokked フィールドから直接マッピングされます。 |
src_ip |
principal.asset.ip[] : src_ip principal.ip[] : src_ip |
対応する grokked フィールドから直接マッピングされます。 |
src_latitude |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
src_location |
principal.location.city : src_location |
対応する grokked フィールドから直接マッピングされます。 |
src_longitude |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
src_region |
principal.location.state : src_region |
対応する grokked フィールドから直接マッピングされます。 |
src_zip |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
suser |
principal.user.user_display_name : suser |
対応する CEF フィールドから直接マッピングされます。 |
target_host |
target.asset.hostname[] : target_host target.hostname : target_host |
対応する grokked フィールドから直接マッピングされます。 |
time |
metadata.event_timestamp.seconds : date フィールドと time フィールドのエポック秒数metadata.event_timestamp.nanos : 0 |
日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。 |
timestamp |
metadata.event_timestamp.seconds : timestamp |
対応する CEF フィールドから直接マッピングされます。 |
ts |
metadata.event_timestamp.seconds : ts からのエポック秒metadata.event_timestamp.nanos : 0 |
タイムスタンプは、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。 |
url |
target.url : url |
対応する CEF フィールドから直接マッピングされます。 |
user_agent |
network.http.parsed_user_agent : 解析されたユーザー エージェントnetwork.http.user_agent : user_agent |
network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して user_agent フィールドを解析することで得られます。 |
user_ip |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
user_key |
principal.user.email_addresses[] : user_key |
対応する grokked フィールドから直接マッピングされます。 |
version |
マッピングされていません | このフィールドは UDM にマッピングされていません。 |
x-c-browser |
additional.fields[].key : "x-c-browser"additional.fields[].value.string_value : x-c-browser |
対応する JSON フィールドから直接マッピングされます。 |
x-c-browser-version |
additional.fields[].key : "x-c-browser-version"additional.fields[].value.string_value : x-c-browser-version |
対応する JSON フィールドから直接マッピングされます。 |
x-c-country |
principal.location.country_or_region : x-c-country |
対応する JSON フィールドから直接マッピングされます。 |
x-c-device |
additional.fields[].key : "x-c-device"additional.fields[].value.string_value : x-c-device |
対応する JSON フィールドから直接マッピングされます。 |
x-c-latitude |
principal.location.region_coordinates.latitude : x-c-latitude |
対応する JSON フィールドから直接マッピングされます。 |
x-c-local-time |
security_result.detection_fields[].key : "x-c-local-time"security_result.detection_fields[].value : x-c-local-time |
対応する JSON フィールドから直接マッピングされます。 |
x-c-location |
principal.location.name : x-c-location |
対応する JSON フィールドから直接マッピングされます。 |
x-c-longitude |
principal.location.region_coordinates.longitude : x-c-longitude |
対応する JSON フィールドから直接マッピングされます。 |
x-c-os |
principal.platform : 派生値 |
プラットフォームは x-c-os フィールドから取得されます。「Windows」は WINDOWS に、「MAC」は MAC に、「LINUX」は LINUX にマッピングされます。 |
x-c-region |
principal.location.state : x-c-region |
対応する JSON フィールドから直接マッピングされます。 |
x-c-zipcode |
additional.fields[].key : "x-c-zipcode"additional.fields[].value.string_value : x-c-zipcode |
対応する JSON フィールドから直接マッピングされます。 |
x-category |
additional.fields[].key : "x-category"additional.fields[].value.string_value : x-category |
対応する JSON フィールドから直接マッピングされます。 |
x-category-id |
additional.fields[].key : "x-category-id"additional.fields[].value.string_value : x-category-id |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-access-method |
additional.fields[].key : "accessMethod"additional.fields[].value.string_value : x-cs-access-method |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app |
principal.application : x-cs-app additional.fields[].key : "x-cs-app"additional.fields[].value.string_value : x-cs-app |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-activity |
additional.fields[].key : "x-cs-app-activity"additional.fields[].value.string_value : x-cs-app-activity |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-category |
additional.fields[].key : "x-cs-app-category"additional.fields[].value.string_value : x-cs-app-category |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-cci |
additional.fields[].key : "x-cs-app-cci"additional.fields[].value.string_value : x-cs-app-cci |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-from-user |
additional.fields[].key : "x-cs-app-from-user"additional.fields[].value.string_value : x-cs-app-from-user |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-object-id |
additional.fields[].key : "x-cs-app-object-id"additional.fields[].value.string_value : x-cs-app-object-id |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-object-name |
additional.fields[].key : "x-cs-app-object-name"additional.fields[].value.string_value : x-cs-app-object-name |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-object-type |
additional.fields[].key : "x-cs-app-object-type"additional.fields[].value.string_value : x-cs-app-object-type |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-suite |
additional.fields[].key : "x-cs-app-suite"additional.fields[].value.string_value : x-cs-app-suite |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-tags |
additional.fields[].key : "x-cs-app-tags"additional.fields[].value.string_value : x-cs-app-tags |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-app-to-user |
additional.fields[].key : "x-cs-app-to-user"additional.fields[].value.string_value : x-cs-app-to-user |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-dst-ip |
security_result.detection_fields[].key : "x-cs-dst-ip"security_result.detection_fields[].value : x-cs-dst-ip target.asset.ip[] : x-cs-dst-ip target.ip[] : x-cs-dst-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-dst-port |
security_result.detection_fields[].key : "x-cs-dst-port"security_result.detection_fields[].value : x-cs-dst-port target.port : x-cs-dst-port |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-http-version |
security_result.detection_fields[].key : "x-cs-http-version"security_result.detection_fields[].value : x-cs-http-version |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-page-id |
additional.fields[].key : "x-cs-page-id"additional.fields[].value.string_value : x-cs-page-id |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-session-id |
network.session_id : x-cs-session-id |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-site |
additional.fields[].key : "x-cs-site"additional.fields[].value.string_value : x-cs-site |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-sni |
network.tls.client.server_name : x-cs-sni |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-src-ip |
principal.asset.ip[] : x-cs-src-ip principal.ip[] : x-cs-src-ip security_result.detection_fields[].key : "x-cs-src-ip"security_result.detection_fields[].value : x-cs-src-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-src-ip-egress |
principal.asset.ip[] : x-cs-src-ip-egress principal.ip[] : x-cs-src-ip-egress security_result.detection_fields[].key : "x-cs-src-ip-egress"security_result.detection_fields[].value : x-cs-src-ip-egress |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-src-port |
principal.port : x-cs-src-port security_result.detection_fields[].key : "x-cs-src-port"security_result.detection_fields[].value : x-cs-src-port |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-ssl-cipher |
network.tls.cipher : x-cs-ssl-cipher |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-ssl-fronting-error |
security_result.detection_fields[].key : "x-cs-ssl-fronting-error"security_result.detection_fields[].value : x-cs-ssl-fronting-error |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-ssl-handshake-error |
security_result.detection_fields[].key : "x-cs-ssl-handshake-error"security_result.detection_fields[].value : x-cs-ssl-handshake-error |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-ssl-ja3 |
network.tls.client.ja3 : x-cs-ssl-ja3 |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-ssl-version |
network.tls.version : x-cs-ssl-version |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-timestamp |
metadata.event_timestamp.seconds : x-cs-timestamp |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-traffic-type |
additional.fields[].key : "trafficType"additional.fields[].value.string_value : x-cs-traffic-type |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-tunnel-src-ip |
security_result.detection_fields[].key : "x-cs-tunnel-src-ip"security_result.detection_fields[].value : x-cs-tunnel-src-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-uri-path |
additional.fields[].key : "x-cs-uri-path"additional.fields[].value.string_value : x-cs-uri-path |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-url |
target.url : x-cs-url |
対応する JSON フィールドから直接マッピングされます。 |
x-cs-userip |
security_result.detection_fields[].key : "x-cs-userip"security_result.detection_fields[].value : x-cs-userip |
対応する JSON フィールドから直接マッピングされます。 |
x-other-category |
security_result.category_details[] : x-other-category |
対応する JSON フィールドから直接マッピングされます。 |
x-other-category-id |
security_result.detection_fields[].key : "x-other-category-id"security_result.detection_fields[].value : x-other-category-id |
対応する JSON フィールドから直接マッピングされます。 |
x-policy-action |
security_result.action : 派生値security_result.action_details : x-policy-action |
security_result.action は、x-policy-action を大文字に変換することで得られます。大文字の値が「ALLOW」または「BLOCK」の場合は、そのまま使用されます。それ以外の場合は、マッピングされません。security_result.action_details は x-policy-action から直接マッピングされます。 |
x-policy-dst-host |
security_result.detection_fields[].key : "x-policy-dst-host"security_result.detection_fields[].value : x-policy-dst-host |
対応する JSON フィールドから直接マッピングされます。 |
x-policy-dst-host-source |
security_result.detection_fields[].key : "x-policy-dst-host-source"security_result.detection_fields[].value : x-policy-dst-host-source |
対応する JSON フィールドから直接マッピングされます。 |
x-policy-dst-ip |
security_result.detection_fields[].key : "x-policy-dst-ip"security_result.detection_fields[].value : x-policy-dst-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-policy-name |
security_result.rule_name : x-policy-name |
対応する JSON フィールドから直接マッピングされます。 |
x-policy-src-ip |
security_result.detection_fields[].key : "x-policy-src-ip"security_result.detection_fields[].value : x-policy-src-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-enddate |
network.tls.server.certificate.not_after.seconds : x-r-cert-enddate からのエポック秒数 |
日付はエポック秒に変換されます。 |
x-r-cert-expired |
additional.fields[].key : "x-r-cert-expired"additional.fields[].value.string_value : x-r-cert-expired |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-incomplete-chain |
additional.fields[].key : "x-r-cert-incomplete-chain"additional.fields[].value.string_value : x-r-cert-incomplete-chain |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-issuer-cn |
network.tls.server.certificate.issuer : x-r-cert-issuer-cn |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-mismatch |
additional.fields[].key : "x-r-cert-mismatch"additional.fields[].value.string_value : x-r-cert-mismatch |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-revoked |
additional.fields[].key : "x-r-cert-revoked"additional.fields[].value.string_value : x-r-cert-revoked |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-self-signed |
additional.fields[].key : "x-r-cert-self-signed"additional.fields[].value.string_value : x-r-cert-self-signed |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-startdate |
network.tls.server.certificate.not_before.seconds : x-r-cert-startdate からのエポック秒数 |
日付はエポック秒に変換されます。 |
x-r-cert-subject-cn |
network.tls.server.certificate.subject : x-r-cert-subject-cn |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-untrusted-root |
additional.fields[].key : "x-r-cert-untrusted-root"additional.fields[].value.string_value : x-r-cert-untrusted-root |
対応する JSON フィールドから直接マッピングされます。 |
x-r-cert-valid |
additional.fields[].key : "x-r-cert-valid"additional.fields[].value.string_value : x-r-cert-valid |
対応する JSON フィールドから直接マッピングされます。 |
x-request-id |
additional.fields[].key : "requestId"additional.fields[].value.string_value : x-request-id |
対応する JSON フィールドから直接マッピングされます。 |
x-rs-file-category |
additional.fields[].key : "x-rs-file-category"additional.fields[].value.string_value : x-rs-file-category |
対応する JSON フィールドから直接マッピングされます。 |
x-rs-file-type |
additional.fields[].key : "x-rs-file-type"additional.fields[].value.string_value : x-rs-file-type |
対応する JSON フィールドから直接マッピングされます。 |
x-s-country |
target.location.country_or_region : x-s-country |
対応する JSON フィールドから直接マッピングされます。 |
x-s-dp-name |
additional.fields[].key : "x-s-dp-name"additional.fields[].value.string_value : x-s-dp-name |
対応する JSON フィールドから直接マッピングされます。 |
x-s-latitude |
target.location.region_coordinates.latitude : x-s-latitude |
対応する JSON フィールドから直接マッピングされます。 |
x-s-location |
target.location.name : x-s-location |
対応する JSON フィールドから直接マッピングされます。 |
x-s-longitude |
target.location.region_coordinates.longitude : x-s-longitude |
対応する JSON フィールドから直接マッピングされます。 |
x-s-region |
target.location.state : x-s-region |
対応する JSON フィールドから直接マッピングされます。 |
x-s-zipcode |
additional.fields[].key : "x-s-zipcode"additional.fields[].value.string_value : x-s-zipcode |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-cipher |
security_result.detection_fields[].key : "x-sr-ssl-cipher"security_result.detection_fields[].value : x-sr-ssl-cipher |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-client-certificate-error |
security_result.detection_fields[].key : "x-sr-ssl-client-certificate-error"security_result.detection_fields[].value : x-sr-ssl-client-certificate-error |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-engine-action |
security_result.detection_fields[].key : "x-sr-ssl-engine-action"security_result.detection_fields[].value : x-sr-ssl-engine-action |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-engine-action-reason |
security_result.detection_fields[].key : "x-sr-ssl-engine-action-reason"security_result.detection_fields[].value : x-sr-ssl-engine-action-reason |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-handshake-error |
security_result.detection_fields[].key : "x-sr-ssl-handshake-error"security_result.detection_fields[].value : x-sr-ssl-handshake-error |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-ja3s |
network.tls.server.ja3s : x-sr-ssl-ja3s |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-malformed-ssl |
security_result.detection_fields[].key : "x-sr-ssl-malformed-ssl"security_result.detection_fields[].value : x-sr-ssl-malformed-ssl |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-ssl-version |
security_result.detection_fields[].key : "x-sr-ssl-version"security_result.detection_fields[].value : x-sr-ssl-version |
対応する JSON フィールドから直接マッピングされます。 |
x-s-custom-signing-ca-error |
security_result.detection_fields[].key : "x-s-custom-signing-ca-error"security_result.detection_fields[].value : x-s-custom-signing-ca-error |
対応する JSON フィールドから直接マッピングされます。 |
x-ssl-bypass |
security_result.detection_fields[].key : 「SSL BYPASS」security_result.detection_fields[].value : x-ssl-bypass または x-ssl-bypass-reason |
x-ssl-bypass が「Yes」で、x-ssl-bypass-reason が存在する場合は、x-ssl-bypass-reason の値が使用されます。それ以外の場合は、x-ssl-bypass の値が使用されます。 |
x-ssl-policy-action |
security_result.detection_fields[].key : "x-ssl-policy-action"security_result.detection_fields[].value : x-ssl-policy-action |
対応する JSON フィールドから直接マッピングされます。 |
x-ssl-policy-categories |
security_result.category_details[] : x-ssl-policy-categories |
対応する JSON フィールドから直接マッピングされます。 |
x-ssl-policy-dst-host |
security_result.detection_fields[].key : "x-ssl-policy-dst-host"security_result.detection_fields[].value : x-ssl-policy-dst-host |
対応する JSON フィールドから直接マッピングされます。 |
x-ssl-policy-dst-host-source |
security_result.detection_fields[].key : "x-ssl-policy-dst-host-source"security_result.detection_fields[].value : x-ssl-policy-dst-host-source |
対応する JSON フィールドから直接マッピングされます。 |
x-ssl-policy-dst-ip |
security_result.detection_fields[].key : "x-ssl-policy-dst-ip"security_result.detection_fields[].value : x-ssl-policy-dst-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-ssl-policy-name |
security_result.rule_name : x-ssl-policy-name |
対応する JSON フィールドから直接マッピングされます。 |
x-ssl-policy-src-ip |
security_result.detection_fields[].key : "x-ssl-policy-src-ip"security_result.detection_fields[].value : x-ssl-policy-src-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-dst-ip |
security_result.detection_fields[].key : "x-sr-dst-ip"security_result.detection_fields[].value : x-sr-dst-ip |
対応する JSON フィールドから直接マッピングされます。 |
x-sr-dst-port |
security_result.detection_fields[].key : x-sr-dst-portsecurity_result.detection_fields[].value : x-sr-dst-port |
対応する JSON フィールドから直接マッピングされます。 |
x-type |
additional.fields[].key : "xType"additional.fields[].value.string_value : x-type |
対応する JSON フィールドから直接マッピングされます。 |
x-transaction-id |
additional.fields[].key : "transactionId"additional.fields[].value.string_value : x-transaction-id |
対応する JSON フィールドから直接マッピングされます。 |
なし | metadata.vendor_name : 「Netskope」 |
パーサーにハードコードされた値。 |
なし | metadata.product_name : 「Netskope Webproxy」 |
まだ存在しない場合は、「Netskope Webproxy」に設定します。 |
なし | metadata.log_type : "NETSKOPE_WEBPROXY" |
パーサーにハードコードされた値。 |
変更点
2024-06-04
- 未解析ログを処理するための Grok を追加しました。
- 「url」を「target.url」にマッピングしました。
- 「appSessionId」を「network.session_id」にマッピングしました。
- 「page」を「network.http.referral_url」にマッピングしました。
- 「appcategory」を「security_result.category_details」にマッピングしました。
- 「clientBytes」を「network.sent_bytes」にマッピングしました。
- 「serverBytes」を「network.received_bytes」にマッピングしました。
- 「ccl」を「security_result.confidence_details」にマッピングしました。
- 「IncidentID」、「applicationType」、「browser」、「cci」を「security_result.detection_fields」にマッピングしました。
2024-04-22
- 「x-cs-app-ccl」、「x-cs-app-instance-id」、「x-cs-app-tags」、「x-cs-app-instance-name」、「x-cs-app-instance-tag」、「x-cs-app-to-user」、「x-cs-app-object-id」、「x-cs-app-from-user」を「additional.fields」にマッピングしました。
2024-02-26
- 「cs-bytes」のマッピングを「network.received_bytes」から「network.sent_bytes」に変更しました。
- 「sc-bytes」のマッピングを「network.sent_bytes」から「network.received_bytes」に変更しました。
- 「x-cs-app-object-name」を「additional.fields」にマッピングしました。
- 「x-cs-app-from-user」を「principal.user.email_addresses」にマッピングしました。
2023-12-22
- 「cs-dns」の値が「null」の場合、「cs-host」のマッピングを「principal.hostname」から「target.hostname」に変更しました。
- 「cs-dns」のマッピングを「principal.hostname」から「target.hostname」に変更しました。
- 「sc-status」の値が「null」の場合、「rs-status」を「network.http.response_code」にマッピングしました。
- 「x-cs-app」を「principal.application」にマッピングしました。
- 「x-cs-src-ip-egress」を「principal.ip」にマッピングしました。
2023-12-08
- 失敗したログを解析するための on_error チェックを追加しました。
- 「metadata.vendor_name」を「Netskope」に、「metadata.product_name」を「Netskope Webproxy」に設定します。
- マッピング前に「src_region」、「src_country」、「src_location」、「dst_region」、「dst_country」、「dst_location」の条件付きチェックを追加しました。
2023-10-09
- 「target.hostname」が存在しない場合、「dvchost」を「target.hostname」にマッピングしました。
- 「requestClientApplication」のマッピング前に null チェックを追加しました。
2023-09-12
- 「x-cs-dst-ip」を「target.ip」にマッピングしました。
- 「x-cs-src-ip」を「principal.ip」にマッピングしました。
- 「x-cs-src-port」を「principal.port」にマッピングしました。
- 「x-cs-dst-port」を「target.port」にマッピングしました。
- 日付フィルタの on_error チェックを追加しました。
- 「metadata.event_type」のマッピング前に条件付きチェックを追加しました。
2023-08-28
- 「cs-uri」を「additional.fields」にマッピングしました。
- 「cs-uri-port」を「additional.fields」にマッピングしました。
- 「x-s-zipcode」を「additional.fields」にマッピングしました。
- 「x-c-zipcode」を「additional.fields」にマッピングしました。
- 「x-cs-site」を「additional.fields」にマッピングしました。
- 「x-category」を「additional.fields」にマッピングしました。
- 「x-sr-ssl-version」を「security_result.detection_fields」にマッピングしました。
- 「x-sr-ssl-cipher」を「security_result.detection_fields」にマッピングしました。
- 「x-cs-src-ip-egress」を「security_result.detection_fields」にマッピングしました。
- 「x-cs-userip」を「security_result.detection_fields」にマッピングしました。
- 「x-cs-url」を「target.url」にマッピングしました。
- 「x-cs-uri-path」を「additional.fields」にマッピングしました。
- 「x-cs-app-cci」を「additional.fields」にマッピングしました。
- 「x-cs-app-object-type」を「additional.fields」にマッピングしました。
- 「x-rs-file-type」を「additional.fields」にマッピングしました。
- 「x-rs-file-category」を「additional.fields」にマッピングしました。
2023-08-17
- 新しい JSON タイプのログ形式のサポートを追加しました。
2023-06-22
- 新しい SYSLOG+JSON タイプのログ形式のサポートを追加しました。
2023-05-30
- 「duser」を「target.user.email_addresses」にマッピングしました。
- 「requestClientApplication」を「network.http.parsed_user_agent」にマッピングしました。
2023-02-03
- 「Domain」を「principal.administrative_domain」にマッピングしました。
2023-01-09
- 必須パラメータに基づいて異なる event_type をマッピングするための条件付きチェックを追加しました。
- さまざまな形式の「rt」を解析。
2022-04-06
- 機能拡張 - 新しいフィールドのマッピングを追加しました
- md5、mwDetectionEngine、mwProfile、mwType を udm にマッピング。