このページは Cloud Translation API によって翻訳されました。

Netskope ウェブプロキシログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは、CEF 形式と CEF 以外の形式の Netskope ウェブプロキシログの両方を処理します。フィールドを抽出し、データ変換（タイムスタンプの変換やフィールドの統合など）を行い、UDM にマッピングし、Netskope 固有のメタデータを追加します。パーサーは条件付きロジックを使用して、さまざまなログ形式とフィールドの可用性を処理し、関連するネットワーク、セキュリティ、アプリケーションの詳細を UDM に追加します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Netskope に対する特権アクセス権があることを確認します。
Log Shipper モジュールが構成されていることを確認します。
Google SecOps サービスアカウントキーがあることを確認します（Google SecOps チームに連絡して、次のスコープ（https://www.googleapis.com/auth/malachite-ingestion）を持つサービスアカウントを取得します）。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

CE で Netskope テナントを構成する

[設定] > [全般] に移動します。
[配送業者を記録] スイッチを [オン] に切り替えます。
[設定] で [Netskope テナント] に移動します。
テナントが構成されていない場合は、[テナントを追加] をクリックします。
次の値を入力します。
- 名前: テナントにわかりやすい名前を指定します。
- テナント名: Netskope テナントの本名を入力します。
- V2 API トークン: Netskope API トークンを入力します。
- アラートフィルタ: 取り込むウェブプロキシアラートを追加します。
- Initial Range: 取り込む過去データの量（日数）を入力します。
- [保存] をクリックします。

Netskope CLS プラグインを構成する

[設定] > [プラグイン] に移動します。
[Netskope (CLS)] ボックスを検索して選択し、プラグイン作成ページを開きます。
次の詳細情報を入力します。
- Configuration Name: このプラグインにわかりやすい名前を入力します。
- テナント: 前の手順で作成したテナントをリストから選択します。
- [次へ] をクリックします。
- 必要に応じて [イベントタイプ] リストを更新します。
- 初期範囲: 取り込む過去データの量（時間単位）を入力します。
- [保存] をクリックします。

Netskope で Google SecOps プラグインを構成する

[設定] > [プラグイン] に移動します。
[Chronicle（CLS）] ボックスを検索して選択し、プラグイン作成ページを開きます。
次の詳細情報を入力します。
- Configuration Name: このプラグインの名前を入力します。
- マッピング: [デフォルト] のままにします。
- When enabled logs will be transformed using the selected mapping file をオンに切り替えます。
- [次へ] をクリックします。
- リージョン: Google SecOps のリージョンを選択します。
- カスタムリージョン URL: 省略可能な設定です。前の手順で [カスタムリージョン] を選択した場合にのみ必要です。
- サービスアカウントキー: Google SecOps から提供された JSON キーを入力します。
- お客様 ID: Google SecOps テナントのお客様 ID を入力します。
- [保存] をクリックします。

Google SecOps 用にログシッパーのビジネスルールを構成する

[Log Shipper] > [ビジネスルール] に移動します。
デフォルトでは、すべてのアラートやイベントをフィルタするビジネスルールが設定されています。
特定の種類のアラートやイベントを除外するには、[新しいルールを作成] をクリックし、ルール名とフィルタを追加して新しいビジネスルールを構成します。
[保存] をクリックします。

Google SecOps 用に Log Shipper の SIEM マッピングを構成する

[Log Shipper] > [SIEM マッピング] に移動します。
[SIEM マッピングを追加] をクリックします。
次の詳細情報を入力します。
- ソース構成: Netskope CLS プラグインを選択します。
- 宛先の構成: Google SecOps プラグインを選択します。
- ビジネスルール: 前に作成したルールを選択します。
- [保存] をクリックします。

Netskope でイベントとアラートの取得とワークフローを検証する

Netskope Cloud Exchange の [Logging] に移動します。
プルされたログを検索します。
Logging で、message contains ingested というフィルタを使用して、取り込まれたイベントとアラートを検索します。
取り込まれたログはフィルタされます。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`applicationType`	`security_result.detection_fields[].key`: "applicationType" `security_result.detection_fields[].value`: `applicationType`	対応する CEF フィールドから直接マッピングされます。
`appcategory`	`security_result.category_details[]`: `appcategory`	対応する CEF フィールドから直接マッピングされます。
`browser`	`security_result.detection_fields[].key`: "browser" `security_result.detection_fields[].value`: `browser`	対応する CEF フィールドから直接マッピングされます。
`c-ip`	`principal.asset.ip[]`: `c-ip` `principal.ip[]`: `c-ip`	対応する JSON フィールドから直接マッピングされます。
`cci`	`security_result.detection_fields[].key`: "cci" `security_result.detection_fields[].value`: `cci`	対応する CEF フィールドから直接マッピングされます。
`ccl`	`security_result.confidence`: 派生値 `security_result.confidence_details`: `ccl`	`security_result.confidence` は `ccl` の値に基づいて導出されます。「excellent」または「high」は `HIGH_CONFIDENCE` に、「medium」は `MEDIUM_CONFIDENCE` に、「low」または「poor」は `LOW_CONFIDENCE` に、「unknown」または「not_defined」は `UNKNOWN_CONFIDENCE` にマッピングされます。 `security_result.confidence_details` は `ccl` から直接マッピングされます。
`clientBytes`	`network.sent_bytes`: `clientBytes`	対応する CEF フィールドから直接マッピングされます。
`cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `cs-access-method`	対応する JSON フィールドから直接マッピングされます。
`cs-app`	`additional.fields[].key`: "x-cs-app" `additional.fields[].value.string_value`: `cs-app` `principal.application`: `cs-app`	対応する JSON フィールドから直接マッピングされます。
`cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `cs-app-activity`	対応する JSON フィールドから直接マッピングされます。
`cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `cs-app-category`	対応する JSON フィールドから直接マッピングされます。
`cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `cs-app-cci`	対応する JSON フィールドから直接マッピングされます。
`cs-app-ccl`	`additional.fields[].key`: "x-cs-app-ccl" `additional.fields[].value.string_value`: `cs-app-ccl`	対応する JSON フィールドから直接マッピングされます。
`cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `cs-app-from-user` `principal.user.email_addresses[]`: `cs-app-from-user`	対応する JSON フィールドから直接マッピングされます。
`cs-app-instance-id`	`additional.fields[].key`: "x-cs-app-instance-id" `additional.fields[].value.string_value`: `cs-app-instance-id`	対応する JSON フィールドから直接マッピングされます。
`cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `cs-app-object-name`	対応する JSON フィールドから直接マッピングされます。
`cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `cs-app-object-type`	対応する JSON フィールドから直接マッピングされます。
`cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `cs-app-suite`	対応する JSON フィールドから直接マッピングされます。
`cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `cs-app-tags`	対応する JSON フィールドから直接マッピングされます。
`cs-bytes`	`network.sent_bytes`: `cs-bytes`	対応する JSON フィールドから直接マッピングされます。
`cs-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `cs-content-type`	対応する JSON フィールドから直接マッピングされます。
`cs-dns`	`target.asset.hostname[]`: `cs-dns` `target.hostname`: `cs-dns`	対応する JSON フィールドから直接マッピングされます。
`cs-host`	`target.asset.hostname[]`: `cs-host` `target.hostname`: `cs-host`	対応する JSON フィールドから直接マッピングされます。
`cs-method`	`network.http.method`: `cs-method`	対応する JSON フィールドから直接マッピングされます。
`cs-referer`	`network.http.referral_url`: `cs-referer`	対応する JSON フィールドから直接マッピングされます。
`cs-uri`	`additional.fields[].key`: "cs-uri" `additional.fields[].value.string_value`: `cs-uri`	対応する JSON フィールドから直接マッピングされます。
`cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `cs-uri-path`	対応する JSON フィールドから直接マッピングされます。
`cs-uri-port`	`additional.fields[].key`: "cs-uri-port" `additional.fields[].value.string_value`: `cs-uri-port`	対応する JSON フィールドから直接マッピングされます。
`cs-uri-scheme`	`network.application_protocol`: `cs-uri-scheme`	大文字に変換した後、対応する JSON フィールドから直接マッピングされます。
`cs-user-agent`	`network.http.parsed_user_agent`: 解析されたユーザーエージェント `network.http.user_agent`: `cs-user-agent`	`network.http.parsed_user_agent` は、「parseduseragent」フィルタを使用して `cs-user-agent` フィールドを解析することで得られます。
`cs-username`	`principal.user.userid`: `cs-username`	対応する JSON フィールドから直接マッピングされます。
`date`	`metadata.event_timestamp.seconds`: `date` フィールドと `time` フィールドのエポック秒数 `metadata.event_timestamp.nanos`: 0	日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。
`device`	`intermediary.hostname`: `device`	対応する CEF フィールドから直接マッピングされます。
`dst`	`target.ip[]`: `dst`	対応する CEF フィールドから直接マッピングされます。
`dst_country`	`target.location.country_or_region`: `dst_country`	対応する grokked フィールドから直接マッピングされます。
`dst_ip`	`target.asset.ip[]`: `dst_ip` `target.ip[]`: `dst_ip`	対応する grokked フィールドから直接マッピングされます。
`dst_location`	`target.location.city`: `dst_location`	対応する grokked フィールドから直接マッピングされます。
`dst_region`	`target.location.state`: `dst_region`	対応する grokked フィールドから直接マッピングされます。
`dst_zip`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`duser`	`target.user.email_addresses[]`: `duser` `target.user.user_display_name`: `duser`	対応する CEF フィールドから直接マッピングされます。
`dvchost`	`about.hostname`: `dvchost` `target.asset.hostname[]`: `dvchost` `target.hostname`: `dvchost`	対応する CEF フィールドから直接マッピングされます。
`event_timestamp`	`metadata.event_timestamp.seconds`: `event_timestamp`	対応する grokked フィールドから直接マッピングされます。
`hostname`	`target.asset.hostname[]`: `hostname` `target.hostname`: `hostname`	対応する CEF フィールドから直接マッピングされます。
`IncidentID`	`security_result.detection_fields[].key`: "IncidentID" `security_result.detection_fields[].value`: `IncidentID`	対応する CEF フィールドから直接マッピングされます。
`intermediary`	`intermediary`: `intermediary`	対応する CEF フィールドから直接マッピングされます。
`md5`	`target.file.md5`: `md5`	対応する CEF フィールドから直接マッピングされます。
`message`	さまざまな UDM フィールド	`message` フィールドは、「CEF」が含まれているかどうかに基づいて解析されます。含まれている場合は、CEF ログとして扱われます。それ以外の場合は、スペース区切りの文字列または JSON として解析されます。詳細については、解析ロジックをご覧ください。
`mime_type1`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`mime_type2`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`mwDetectionEngine`	`additional.fields[].key`: "mwDetectionEngine" `additional.fields[].value.string_value`: `mwDetectionEngine`	対応する CEF フィールドから直接マッピングされます。
`mwType`	`metadata.description`: `mwType`	対応する CEF フィールドから直接マッピングされます。
`os`	`principal.platform`: 派生値	プラットフォームは `os` フィールドから取得されます。「Windows」は `WINDOWS` に、「MAC」は `MAC` に、「LINUX」は `LINUX` にマッピングされます。
`page`	`network.http.referral_url`: `page`	対応する CEF フィールドから直接マッピングされます。
`port`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`referer`	`network.http.referral_url`: `referer`	対応する CEF フィールドから直接マッピングされます。
`requestClientApplication`	`network.http.parsed_user_agent`: 解析されたユーザーエージェント `network.http.user_agent`: `requestClientApplication`	`network.http.parsed_user_agent` は、「parseduseragent」フィルタを使用して `requestClientApplication` フィールドを解析することで得られます。
`request_method`	`network.http.method`: `request_method`	対応する grokked フィールドから直接マッピングされます。
`request_protocol`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`rs-status`	`additional.fields[].key`: "rs-status" `additional.fields[].value.string_value`: `rs-status` `network.http.response_code`: `rs-status`	対応する JSON フィールドから直接マッピングされます。
`s-ip`	`target.asset.ip[]`: `s-ip` `target.ip[]`: `s-ip`	対応する JSON フィールドから直接マッピングされます。
`sc-bytes`	`network.received_bytes`: `sc-bytes`	対応する JSON フィールドから直接マッピングされます。
`sc-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `sc-content-type`	対応する JSON フィールドから直接マッピングされます。
`sc-status`	`network.http.response_code`: `sc-status`	対応する JSON フィールドから直接マッピングされます。
`serverBytes`	`network.received_bytes`: `serverBytes`	対応する CEF フィールドから直接マッピングされます。
`sha256`	`target.file.sha256`: `sha256`	対応する CEF フィールドから直接マッピングされます。
`src`	`principal.ip[]`: `src`	対応する CEF フィールドから直接マッピングされます。
`src_country`	`principal.location.country_or_region`: `src_country`	対応する grokked フィールドから直接マッピングされます。
`src_ip`	`principal.asset.ip[]`: `src_ip` `principal.ip[]`: `src_ip`	対応する grokked フィールドから直接マッピングされます。
`src_latitude`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`src_location`	`principal.location.city`: `src_location`	対応する grokked フィールドから直接マッピングされます。
`src_longitude`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`src_region`	`principal.location.state`: `src_region`	対応する grokked フィールドから直接マッピングされます。
`src_zip`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`suser`	`principal.user.user_display_name`: `suser`	対応する CEF フィールドから直接マッピングされます。
`target_host`	`target.asset.hostname[]`: `target_host` `target.hostname`: `target_host`	対応する grokked フィールドから直接マッピングされます。
`time`	`metadata.event_timestamp.seconds`: `date` フィールドと `time` フィールドのエポック秒数 `metadata.event_timestamp.nanos`: 0	日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。
`timestamp`	`metadata.event_timestamp.seconds`: `timestamp`	対応する CEF フィールドから直接マッピングされます。
`ts`	`metadata.event_timestamp.seconds`: `ts` からのエポック秒 `metadata.event_timestamp.nanos`: 0	タイムスタンプは、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。
`url`	`target.url`: `url`	対応する CEF フィールドから直接マッピングされます。
`user_agent`	`network.http.parsed_user_agent`: 解析されたユーザーエージェント `network.http.user_agent`: `user_agent`	`network.http.parsed_user_agent` は、「parseduseragent」フィルタを使用して `user_agent` フィールドを解析することで得られます。
`user_ip`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`user_key`	`principal.user.email_addresses[]`: `user_key`	対応する grokked フィールドから直接マッピングされます。
`version`	マッピングされていません	このフィールドは UDM にマッピングされていません。
`x-c-browser`	`additional.fields[].key`: "x-c-browser" `additional.fields[].value.string_value`: `x-c-browser`	対応する JSON フィールドから直接マッピングされます。
`x-c-browser-version`	`additional.fields[].key`: "x-c-browser-version" `additional.fields[].value.string_value`: `x-c-browser-version`	対応する JSON フィールドから直接マッピングされます。
`x-c-country`	`principal.location.country_or_region`: `x-c-country`	対応する JSON フィールドから直接マッピングされます。
`x-c-device`	`additional.fields[].key`: "x-c-device" `additional.fields[].value.string_value`: `x-c-device`	対応する JSON フィールドから直接マッピングされます。
`x-c-latitude`	`principal.location.region_coordinates.latitude`: `x-c-latitude`	対応する JSON フィールドから直接マッピングされます。
`x-c-local-time`	`security_result.detection_fields[].key`: "x-c-local-time" `security_result.detection_fields[].value`: `x-c-local-time`	対応する JSON フィールドから直接マッピングされます。
`x-c-location`	`principal.location.name`: `x-c-location`	対応する JSON フィールドから直接マッピングされます。
`x-c-longitude`	`principal.location.region_coordinates.longitude`: `x-c-longitude`	対応する JSON フィールドから直接マッピングされます。
`x-c-os`	`principal.platform`: 派生値	プラットフォームは `x-c-os` フィールドから取得されます。「Windows」は `WINDOWS` に、「MAC」は `MAC` に、「LINUX」は `LINUX` にマッピングされます。
`x-c-region`	`principal.location.state`: `x-c-region`	対応する JSON フィールドから直接マッピングされます。
`x-c-zipcode`	`additional.fields[].key`: "x-c-zipcode" `additional.fields[].value.string_value`: `x-c-zipcode`	対応する JSON フィールドから直接マッピングされます。
`x-category`	`additional.fields[].key`: "x-category" `additional.fields[].value.string_value`: `x-category`	対応する JSON フィールドから直接マッピングされます。
`x-category-id`	`additional.fields[].key`: "x-category-id" `additional.fields[].value.string_value`: `x-category-id`	対応する JSON フィールドから直接マッピングされます。
`x-cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `x-cs-access-method`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app`	`principal.application`: `x-cs-app` `additional.fields[].key`: "x-cs-app" `additional.fields[].value.string_value`: `x-cs-app`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `x-cs-app-activity`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `x-cs-app-category`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `x-cs-app-cci`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `x-cs-app-from-user`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-object-id`	`additional.fields[].key`: "x-cs-app-object-id" `additional.fields[].value.string_value`: `x-cs-app-object-id`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `x-cs-app-object-name`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `x-cs-app-object-type`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `x-cs-app-suite`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `x-cs-app-tags`	対応する JSON フィールドから直接マッピングされます。
`x-cs-app-to-user`	`additional.fields[].key`: "x-cs-app-to-user" `additional.fields[].value.string_value`: `x-cs-app-to-user`	対応する JSON フィールドから直接マッピングされます。
`x-cs-dst-ip`	`security_result.detection_fields[].key`: "x-cs-dst-ip" `security_result.detection_fields[].value`: `x-cs-dst-ip` `target.asset.ip[]`: `x-cs-dst-ip` `target.ip[]`: `x-cs-dst-ip`	対応する JSON フィールドから直接マッピングされます。
`x-cs-dst-port`	`security_result.detection_fields[].key`: "x-cs-dst-port" `security_result.detection_fields[].value`: `x-cs-dst-port` `target.port`: `x-cs-dst-port`	対応する JSON フィールドから直接マッピングされます。
`x-cs-http-version`	`security_result.detection_fields[].key`: "x-cs-http-version" `security_result.detection_fields[].value`: `x-cs-http-version`	対応する JSON フィールドから直接マッピングされます。
`x-cs-page-id`	`additional.fields[].key`: "x-cs-page-id" `additional.fields[].value.string_value`: `x-cs-page-id`	対応する JSON フィールドから直接マッピングされます。
`x-cs-session-id`	`network.session_id`: `x-cs-session-id`	対応する JSON フィールドから直接マッピングされます。
`x-cs-site`	`additional.fields[].key`: "x-cs-site" `additional.fields[].value.string_value`: `x-cs-site`	対応する JSON フィールドから直接マッピングされます。
`x-cs-sni`	`network.tls.client.server_name`: `x-cs-sni`	対応する JSON フィールドから直接マッピングされます。
`x-cs-src-ip`	`principal.asset.ip[]`: `x-cs-src-ip` `principal.ip[]`: `x-cs-src-ip` `security_result.detection_fields[].key`: "x-cs-src-ip" `security_result.detection_fields[].value`: `x-cs-src-ip`	対応する JSON フィールドから直接マッピングされます。
`x-cs-src-ip-egress`	`principal.asset.ip[]`: `x-cs-src-ip-egress` `principal.ip[]`: `x-cs-src-ip-egress` `security_result.detection_fields[].key`: "x-cs-src-ip-egress" `security_result.detection_fields[].value`: `x-cs-src-ip-egress`	対応する JSON フィールドから直接マッピングされます。
`x-cs-src-port`	`principal.port`: `x-cs-src-port` `security_result.detection_fields[].key`: "x-cs-src-port" `security_result.detection_fields[].value`: `x-cs-src-port`	対応する JSON フィールドから直接マッピングされます。
`x-cs-ssl-cipher`	`network.tls.cipher`: `x-cs-ssl-cipher`	対応する JSON フィールドから直接マッピングされます。
`x-cs-ssl-fronting-error`	`security_result.detection_fields[].key`: "x-cs-ssl-fronting-error" `security_result.detection_fields[].value`: `x-cs-ssl-fronting-error`	対応する JSON フィールドから直接マッピングされます。
`x-cs-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-cs-ssl-handshake-error" `security_result.detection_fields[].value`: `x-cs-ssl-handshake-error`	対応する JSON フィールドから直接マッピングされます。
`x-cs-ssl-ja3`	`network.tls.client.ja3`: `x-cs-ssl-ja3`	対応する JSON フィールドから直接マッピングされます。
`x-cs-ssl-version`	`network.tls.version`: `x-cs-ssl-version`	対応する JSON フィールドから直接マッピングされます。
`x-cs-timestamp`	`metadata.event_timestamp.seconds`: `x-cs-timestamp`	対応する JSON フィールドから直接マッピングされます。
`x-cs-traffic-type`	`additional.fields[].key`: "trafficType" `additional.fields[].value.string_value`: `x-cs-traffic-type`	対応する JSON フィールドから直接マッピングされます。
`x-cs-tunnel-src-ip`	`security_result.detection_fields[].key`: "x-cs-tunnel-src-ip" `security_result.detection_fields[].value`: `x-cs-tunnel-src-ip`	対応する JSON フィールドから直接マッピングされます。
`x-cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `x-cs-uri-path`	対応する JSON フィールドから直接マッピングされます。
`x-cs-url`	`target.url`: `x-cs-url`	対応する JSON フィールドから直接マッピングされます。
`x-cs-userip`	`security_result.detection_fields[].key`: "x-cs-userip" `security_result.detection_fields[].value`: `x-cs-userip`	対応する JSON フィールドから直接マッピングされます。
`x-other-category`	`security_result.category_details[]`: `x-other-category`	対応する JSON フィールドから直接マッピングされます。
`x-other-category-id`	`security_result.detection_fields[].key`: "x-other-category-id" `security_result.detection_fields[].value`: `x-other-category-id`	対応する JSON フィールドから直接マッピングされます。
`x-policy-action`	`security_result.action`: 派生値 `security_result.action_details`: `x-policy-action`	`security_result.action` は、`x-policy-action` を大文字に変換することで得られます。大文字の値が「ALLOW」または「BLOCK」の場合は、そのまま使用されます。それ以外の場合は、マッピングされません。 `security_result.action_details` は `x-policy-action` から直接マッピングされます。
`x-policy-dst-host`	`security_result.detection_fields[].key`: "x-policy-dst-host" `security_result.detection_fields[].value`: `x-policy-dst-host`	対応する JSON フィールドから直接マッピングされます。
`x-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-policy-dst-host-source" `security_result.detection_fields[].value`: `x-policy-dst-host-source`	対応する JSON フィールドから直接マッピングされます。
`x-policy-dst-ip`	`security_result.detection_fields[].key`: "x-policy-dst-ip" `security_result.detection_fields[].value`: `x-policy-dst-ip`	対応する JSON フィールドから直接マッピングされます。
`x-policy-name`	`security_result.rule_name`: `x-policy-name`	対応する JSON フィールドから直接マッピングされます。
`x-policy-src-ip`	`security_result.detection_fields[].key`: "x-policy-src-ip" `security_result.detection_fields[].value`: `x-policy-src-ip`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-enddate`	`network.tls.server.certificate.not_after.seconds`: `x-r-cert-enddate` からのエポック秒数	日付はエポック秒に変換されます。
`x-r-cert-expired`	`additional.fields[].key`: "x-r-cert-expired" `additional.fields[].value.string_value`: `x-r-cert-expired`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-incomplete-chain`	`additional.fields[].key`: "x-r-cert-incomplete-chain" `additional.fields[].value.string_value`: `x-r-cert-incomplete-chain`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-issuer-cn`	`network.tls.server.certificate.issuer`: `x-r-cert-issuer-cn`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-mismatch`	`additional.fields[].key`: "x-r-cert-mismatch" `additional.fields[].value.string_value`: `x-r-cert-mismatch`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-revoked`	`additional.fields[].key`: "x-r-cert-revoked" `additional.fields[].value.string_value`: `x-r-cert-revoked`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-self-signed`	`additional.fields[].key`: "x-r-cert-self-signed" `additional.fields[].value.string_value`: `x-r-cert-self-signed`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-startdate`	`network.tls.server.certificate.not_before.seconds`: `x-r-cert-startdate` からのエポック秒数	日付はエポック秒に変換されます。
`x-r-cert-subject-cn`	`network.tls.server.certificate.subject`: `x-r-cert-subject-cn`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-untrusted-root`	`additional.fields[].key`: "x-r-cert-untrusted-root" `additional.fields[].value.string_value`: `x-r-cert-untrusted-root`	対応する JSON フィールドから直接マッピングされます。
`x-r-cert-valid`	`additional.fields[].key`: "x-r-cert-valid" `additional.fields[].value.string_value`: `x-r-cert-valid`	対応する JSON フィールドから直接マッピングされます。
`x-request-id`	`additional.fields[].key`: "requestId" `additional.fields[].value.string_value`: `x-request-id`	対応する JSON フィールドから直接マッピングされます。
`x-rs-file-category`	`additional.fields[].key`: "x-rs-file-category" `additional.fields[].value.string_value`: `x-rs-file-category`	対応する JSON フィールドから直接マッピングされます。
`x-rs-file-type`	`additional.fields[].key`: "x-rs-file-type" `additional.fields[].value.string_value`: `x-rs-file-type`	対応する JSON フィールドから直接マッピングされます。
`x-s-country`	`target.location.country_or_region`: `x-s-country`	対応する JSON フィールドから直接マッピングされます。
`x-s-dp-name`	`additional.fields[].key`: "x-s-dp-name" `additional.fields[].value.string_value`: `x-s-dp-name`	対応する JSON フィールドから直接マッピングされます。
`x-s-latitude`	`target.location.region_coordinates.latitude`: `x-s-latitude`	対応する JSON フィールドから直接マッピングされます。
`x-s-location`	`target.location.name`: `x-s-location`	対応する JSON フィールドから直接マッピングされます。
`x-s-longitude`	`target.location.region_coordinates.longitude`: `x-s-longitude`	対応する JSON フィールドから直接マッピングされます。
`x-s-region`	`target.location.state`: `x-s-region`	対応する JSON フィールドから直接マッピングされます。
`x-s-zipcode`	`additional.fields[].key`: "x-s-zipcode" `additional.fields[].value.string_value`: `x-s-zipcode`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-cipher`	`security_result.detection_fields[].key`: "x-sr-ssl-cipher" `security_result.detection_fields[].value`: `x-sr-ssl-cipher`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-client-certificate-error`	`security_result.detection_fields[].key`: "x-sr-ssl-client-certificate-error" `security_result.detection_fields[].value`: `x-sr-ssl-client-certificate-error`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-engine-action`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-engine-action-reason`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action-reason" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action-reason`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-sr-ssl-handshake-error" `security_result.detection_fields[].value`: `x-sr-ssl-handshake-error`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-ja3s`	`network.tls.server.ja3s`: `x-sr-ssl-ja3s`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-malformed-ssl`	`security_result.detection_fields[].key`: "x-sr-ssl-malformed-ssl" `security_result.detection_fields[].value`: `x-sr-ssl-malformed-ssl`	対応する JSON フィールドから直接マッピングされます。
`x-sr-ssl-version`	`security_result.detection_fields[].key`: "x-sr-ssl-version" `security_result.detection_fields[].value`: `x-sr-ssl-version`	対応する JSON フィールドから直接マッピングされます。
`x-s-custom-signing-ca-error`	`security_result.detection_fields[].key`: "x-s-custom-signing-ca-error" `security_result.detection_fields[].value`: `x-s-custom-signing-ca-error`	対応する JSON フィールドから直接マッピングされます。
`x-ssl-bypass`	`security_result.detection_fields[].key`: 「SSL BYPASS」 `security_result.detection_fields[].value`: `x-ssl-bypass` または `x-ssl-bypass-reason`	`x-ssl-bypass` が「Yes」で、`x-ssl-bypass-reason` が存在する場合は、`x-ssl-bypass-reason` の値が使用されます。それ以外の場合は、`x-ssl-bypass` の値が使用されます。
`x-ssl-policy-action`	`security_result.detection_fields[].key`: "x-ssl-policy-action" `security_result.detection_fields[].value`: `x-ssl-policy-action`	対応する JSON フィールドから直接マッピングされます。
`x-ssl-policy-categories`	`security_result.category_details[]`: `x-ssl-policy-categories`	対応する JSON フィールドから直接マッピングされます。
`x-ssl-policy-dst-host`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host`	対応する JSON フィールドから直接マッピングされます。
`x-ssl-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host-source" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host-source`	対応する JSON フィールドから直接マッピングされます。
`x-ssl-policy-dst-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-ip" `security_result.detection_fields[].value`: `x-ssl-policy-dst-ip`	対応する JSON フィールドから直接マッピングされます。
`x-ssl-policy-name`	`security_result.rule_name`: `x-ssl-policy-name`	対応する JSON フィールドから直接マッピングされます。
`x-ssl-policy-src-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-src-ip" `security_result.detection_fields[].value`: `x-ssl-policy-src-ip`	対応する JSON フィールドから直接マッピングされます。
`x-sr-dst-ip`	`security_result.detection_fields[].key`: "x-sr-dst-ip" `security_result.detection_fields[].value`: `x-sr-dst-ip`	対応する JSON フィールドから直接マッピングされます。
`x-sr-dst-port`	`security_result.detection_fields[].key`: x-sr-dst-port `security_result.detection_fields[].value`: `x-sr-dst-port`	対応する JSON フィールドから直接マッピングされます。
`x-type`	`additional.fields[].key`: "xType" `additional.fields[].value.string_value`: `x-type`	対応する JSON フィールドから直接マッピングされます。
`x-transaction-id`	`additional.fields[].key`: "transactionId" `additional.fields[].value.string_value`: `x-transaction-id`	対応する JSON フィールドから直接マッピングされます。
なし	`metadata.vendor_name`: 「Netskope」	パーサーにハードコードされた値。
なし	`metadata.product_name`: 「Netskope Webproxy」	まだ存在しない場合は、「Netskope Webproxy」に設定します。
なし	`metadata.log_type`: "NETSKOPE_WEBPROXY"	パーサーにハードコードされた値。

変更点

2024-06-04

未解析ログを処理するための Grok を追加しました。
「url」を「target.url」にマッピングしました。
「appSessionId」を「network.session_id」にマッピングしました。
「page」を「network.http.referral_url」にマッピングしました。
「appcategory」を「security_result.category_details」にマッピングしました。
「clientBytes」を「network.sent_bytes」にマッピングしました。
「serverBytes」を「network.received_bytes」にマッピングしました。
「ccl」を「security_result.confidence_details」にマッピングしました。
「IncidentID」、「applicationType」、「browser」、「cci」を「security_result.detection_fields」にマッピングしました。

2024-04-22

「x-cs-app-ccl」、「x-cs-app-instance-id」、「x-cs-app-tags」、「x-cs-app-instance-name」、「x-cs-app-instance-tag」、「x-cs-app-to-user」、「x-cs-app-object-id」、「x-cs-app-from-user」を「additional.fields」にマッピングしました。

2024-02-26

「cs-bytes」のマッピングを「network.received_bytes」から「network.sent_bytes」に変更しました。
「sc-bytes」のマッピングを「network.sent_bytes」から「network.received_bytes」に変更しました。
「x-cs-app-object-name」を「additional.fields」にマッピングしました。
「x-cs-app-from-user」を「principal.user.email_addresses」にマッピングしました。

2023-12-22

「cs-dns」の値が「null」の場合、「cs-host」のマッピングを「principal.hostname」から「target.hostname」に変更しました。
「cs-dns」のマッピングを「principal.hostname」から「target.hostname」に変更しました。
「sc-status」の値が「null」の場合、「rs-status」を「network.http.response_code」にマッピングしました。
「x-cs-app」を「principal.application」にマッピングしました。
「x-cs-src-ip-egress」を「principal.ip」にマッピングしました。

2023-12-08

失敗したログを解析するための on_error チェックを追加しました。
「metadata.vendor_name」を「Netskope」に、「metadata.product_name」を「Netskope Webproxy」に設定します。
マッピング前に「src_region」、「src_country」、「src_location」、「dst_region」、「dst_country」、「dst_location」の条件付きチェックを追加しました。

2023-10-09

「target.hostname」が存在しない場合、「dvchost」を「target.hostname」にマッピングしました。
「requestClientApplication」のマッピング前に null チェックを追加しました。

2023-09-12

「x-cs-dst-ip」を「target.ip」にマッピングしました。
「x-cs-src-ip」を「principal.ip」にマッピングしました。
「x-cs-src-port」を「principal.port」にマッピングしました。
「x-cs-dst-port」を「target.port」にマッピングしました。
日付フィルタの on_error チェックを追加しました。
「metadata.event_type」のマッピング前に条件付きチェックを追加しました。

2023-08-28

「cs-uri」を「additional.fields」にマッピングしました。
「cs-uri-port」を「additional.fields」にマッピングしました。
「x-s-zipcode」を「additional.fields」にマッピングしました。
「x-c-zipcode」を「additional.fields」にマッピングしました。
「x-cs-site」を「additional.fields」にマッピングしました。
「x-category」を「additional.fields」にマッピングしました。
「x-sr-ssl-version」を「security_result.detection_fields」にマッピングしました。
「x-sr-ssl-cipher」を「security_result.detection_fields」にマッピングしました。
「x-cs-src-ip-egress」を「security_result.detection_fields」にマッピングしました。
「x-cs-userip」を「security_result.detection_fields」にマッピングしました。
「x-cs-url」を「target.url」にマッピングしました。
「x-cs-uri-path」を「additional.fields」にマッピングしました。
「x-cs-app-cci」を「additional.fields」にマッピングしました。
「x-cs-app-object-type」を「additional.fields」にマッピングしました。
「x-rs-file-type」を「additional.fields」にマッピングしました。
「x-rs-file-category」を「additional.fields」にマッピングしました。

2023-08-17

新しい JSON タイプのログ形式のサポートを追加しました。

2023-06-22

新しい SYSLOG+JSON タイプのログ形式のサポートを追加しました。

2023-05-30

「duser」を「target.user.email_addresses」にマッピングしました。
「requestClientApplication」を「network.http.parsed_user_agent」にマッピングしました。

2023-02-03

「Domain」を「principal.administrative_domain」にマッピングしました。

2023-01-09

必須パラメータに基づいて異なる event_type をマッピングするための条件付きチェックを追加しました。
さまざまな形式の「rt」を解析。

2022-04-06

機能拡張 - 新しいフィールドのマッピングを追加しました
md5、mwDetectionEngine、mwProfile、mwType を udm にマッピング。