收集 Netskope Web 代理日志
支持的平台:
Google SecOps
SIEM
此解析器可处理 CEF 和非 CEF 格式的 Netskope Web 代理日志。它会提取字段、执行数据转换(例如转换时间戳或合并字段)、将其映射到 UDM,并添加 Netskope 专用元数据。解析器使用条件逻辑来处理不同的日志格式和字段可用性,通过相关的网络、安全和应用详细信息丰富 UDM。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您拥有对 Netskope 的超级用户访问权限。
- 确保您已配置 Log Shipper 模块。
- 确保您拥有 Google SecOps 服务账号密钥(请与 Google SecOps 团队联系,获取具有以下权限范围的服务账号:https://www.googleapis.com/auth/malachite-ingestion)。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
在 CE 中配置 Netskope 租户
- 依次前往设置 > 常规。
- 将日志发送器开关切换为开启
- 在设置中,前往 Netskope 租户。
- 如果未配置任何租户,请点击添加租户。
- 输入以下值:
- 名称:为租户提供一个简单易记的名称。
- 租户名称:输入 Netskope 租户的真实名称。
- V2 API 令牌:输入您的 Netskope API 令牌。
- 提醒过滤条件:添加您要提取的 Web 代理提醒。
- 初始范围:输入要提取的历史数据量(以天为单位)。
- 点击保存。
配置 Netskope CLS 插件
- 依次前往设置 > 插件。
- 搜索并选择 Netskope (CLS) 复选框,以打开插件创建页面。
- 输入以下详细信息:
- Configuration Name(配置名称):为此插件输入一个简单易记的名称。
- 租户:从列表中选择您在上一步中创建的租户。
- 点击下一步。
- 根据需要更新事件类型列表。
- 初始范围:输入要提取的历史数据量(以小时为单位)。
- 点击保存。
在 Netskope 中配置 Google SecOps 插件
- 依次前往设置 > 插件。
- 搜索并选择 Chronicle (CLS) 复选框,以打开插件创建页面。
- 输入以下详细信息:
- Configuration Name(配置名称):输入此插件的名称。
- 映射:保留默认选项。
- 将
When enabled logs will be transformed using the selected mapping file
切换为开启。 - 点击下一步。
- 区域:选择 Google SecOps 所在的区域。
- 自定义区域网址:这是一个可选设置,只有在上一步中选择了自定义区域时才需要。
- 服务账号密钥:输入 Google SecOps 提供的 JSON 密钥。
- 客户 ID:输入您的 Google SecOps 租户的客户 ID。
- 点击保存。
为 Google SecOps 配置日志发送器业务规则
- 依次前往日志发送方 > 业务规则。
- 默认情况下,系统会有一个业务规则来过滤所有提醒和事件。
- 如果您想滤除任何特定类型的提醒或事件,请点击创建新规则,然后通过添加规则名称和过滤条件来配置新的业务规则。
- 点击保存。
为 Google SecOps 配置日志发送器 SIEM 映射
- 依次前往 Log Shipper > SIEM 映射
- 点击添加 SIEM 映射。
- 输入以下详细信息:
- 来源配置:选择 Netskope CLS 插件。
- 目标配置:选择 Google SecOps 插件。
- 业务规则:选择您之前创建的规则。
- 点击保存。
验证 Netskope 中事件和提醒的提取和工作流
- 前往 Netskope Cloud Exchange 中的日志记录。
- 搜索拉取的日志。
- 在 Logging 中,使用过滤条件 message contains ingested 搜索提取的事件和提醒。
- 系统会过滤提取的日志。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
applicationType |
security_result.detection_fields[].key :“applicationType”security_result.detection_fields[].value :applicationType |
直接从相应的 CEF 字段映射。 |
appcategory |
security_result.category_details[] :appcategory |
直接从相应的 CEF 字段映射。 |
browser |
security_result.detection_fields[].key :“浏览器”security_result.detection_fields[].value :browser |
直接从相应的 CEF 字段映射。 |
c-ip |
principal.asset.ip[] :c-ip principal.ip[] :c-ip |
直接从相应的 JSON 字段映射。 |
cci |
security_result.detection_fields[].key :“cci”security_result.detection_fields[].value :cci |
直接从相应的 CEF 字段映射。 |
ccl |
security_result.confidence :派生值security_result.confidence_details :ccl |
security_result.confidence 是根据 ccl 的值派生的:“极佳”或“高”映射到 HIGH_CONFIDENCE 、“中等”映射到 MEDIUM_CONFIDENCE 、“低”或“差”映射到 LOW_CONFIDENCE ,而“未知”或“not_defined”映射到 UNKNOWN_CONFIDENCE 。security_result.confidence_details 是从 ccl 直接映射的。 |
clientBytes |
network.sent_bytes :clientBytes |
直接从相应的 CEF 字段映射。 |
cs-access-method |
additional.fields[].key :“accessMethod”additional.fields[].value.string_value :cs-access-method |
直接从相应的 JSON 字段映射。 |
cs-app |
additional.fields[].key :“x-cs-app”additional.fields[].value.string_value :cs-app principal.application :cs-app |
直接从相应的 JSON 字段映射。 |
cs-app-activity |
additional.fields[].key :“x-cs-app-activity”additional.fields[].value.string_value :cs-app-activity |
直接从相应的 JSON 字段映射。 |
cs-app-category |
additional.fields[].key :“x-cs-app-category”additional.fields[].value.string_value :cs-app-category |
直接从相应的 JSON 字段映射。 |
cs-app-cci |
additional.fields[].key :“x-cs-app-cci”additional.fields[].value.string_value :cs-app-cci |
直接从相应的 JSON 字段映射。 |
cs-app-ccl |
additional.fields[].key :“x-cs-app-ccl”additional.fields[].value.string_value :cs-app-ccl |
直接从相应的 JSON 字段映射。 |
cs-app-from-user |
additional.fields[].key :“x-cs-app-from-user”additional.fields[].value.string_value :cs-app-from-user principal.user.email_addresses[] :cs-app-from-user |
直接从相应的 JSON 字段映射。 |
cs-app-instance-id |
additional.fields[].key :“x-cs-app-instance-id”additional.fields[].value.string_value :cs-app-instance-id |
直接从相应的 JSON 字段映射。 |
cs-app-object-name |
additional.fields[].key :“x-cs-app-object-name”additional.fields[].value.string_value :cs-app-object-name |
直接从相应的 JSON 字段映射。 |
cs-app-object-type |
additional.fields[].key :“x-cs-app-object-type”additional.fields[].value.string_value :cs-app-object-type |
直接从相应的 JSON 字段映射。 |
cs-app-suite |
additional.fields[].key :“x-cs-app-suite”additional.fields[].value.string_value :cs-app-suite |
直接从相应的 JSON 字段映射。 |
cs-app-tags |
additional.fields[].key :“x-cs-app-tags”additional.fields[].value.string_value :cs-app-tags |
直接从相应的 JSON 字段映射。 |
cs-bytes |
network.sent_bytes :cs-bytes |
直接从相应的 JSON 字段映射。 |
cs-content-type |
additional.fields[].key :“sc-content-type”additional.fields[].value.string_value :cs-content-type |
直接从相应的 JSON 字段映射。 |
cs-dns |
target.asset.hostname[] :cs-dns target.hostname :cs-dns |
直接从相应的 JSON 字段映射。 |
cs-host |
target.asset.hostname[] :cs-host target.hostname :cs-host |
直接从相应的 JSON 字段映射。 |
cs-method |
network.http.method :cs-method |
直接从相应的 JSON 字段映射。 |
cs-referer |
network.http.referral_url :cs-referer |
直接从相应的 JSON 字段映射。 |
cs-uri |
additional.fields[].key :“cs-uri”additional.fields[].value.string_value :cs-uri |
直接从相应的 JSON 字段映射。 |
cs-uri-path |
additional.fields[].key :“x-cs-uri-path”additional.fields[].value.string_value :cs-uri-path |
直接从相应的 JSON 字段映射。 |
cs-uri-port |
additional.fields[].key :“cs-uri-port”additional.fields[].value.string_value :cs-uri-port |
直接从相应的 JSON 字段映射。 |
cs-uri-scheme |
network.application_protocol :cs-uri-scheme |
转换为大写后,直接从相应的 JSON 字段映射。 |
cs-user-agent |
network.http.parsed_user_agent :解析后的用户代理network.http.user_agent :cs-user-agent |
network.http.parsed_user_agent 是通过使用“parseduseragent”过滤器解析 cs-user-agent 字段派生的。 |
cs-username |
principal.user.userid :cs-username |
直接从相应的 JSON 字段映射。 |
date |
metadata.event_timestamp.seconds :date 和 time 字段中的从公元纪年开始计算的秒数metadata.event_timestamp.nanos :0 |
系统会将日期和时间组合起来,并转换为从公元纪年开始计算的秒数和纳秒数。纳秒设置为 0。 |
device |
intermediary.hostname :device |
直接从相应的 CEF 字段映射。 |
dst |
target.ip[] :dst |
直接从相应的 CEF 字段映射。 |
dst_country |
target.location.country_or_region :dst_country |
直接从相应的 grokked 字段映射。 |
dst_ip |
target.asset.ip[] :dst_ip target.ip[] :dst_ip |
直接从相应的 grokked 字段映射。 |
dst_location |
target.location.city :dst_location |
直接从相应的 grokked 字段映射。 |
dst_region |
target.location.state :dst_region |
直接从相应的 grokked 字段映射。 |
dst_zip |
未映射 | 此字段未映射到 UDM。 |
duser |
target.user.email_addresses[] :duser target.user.user_display_name :duser |
直接从相应的 CEF 字段映射。 |
dvchost |
about.hostname :dvchost target.asset.hostname[] :dvchost target.hostname :dvchost |
直接从相应的 CEF 字段映射。 |
event_timestamp |
metadata.event_timestamp.seconds :event_timestamp |
直接从相应的 grokked 字段映射。 |
hostname |
target.asset.hostname[] :hostname target.hostname :hostname |
直接从相应的 CEF 字段映射。 |
IncidentID |
security_result.detection_fields[].key :“IncidentID”security_result.detection_fields[].value :IncidentID |
直接从相应的 CEF 字段映射。 |
intermediary |
intermediary :intermediary |
直接从相应的 CEF 字段映射。 |
md5 |
target.file.md5 :md5 |
直接从相应的 CEF 字段映射。 |
message |
各种 UDM 字段 | 系统会根据 message 字段是否包含“CEF”来对其进行解析。如果是,则会被视为 CEF 日志。否则,它会解析为空格分隔的字符串或 JSON。如需了解详情,请参阅“解析逻辑”部分。 |
mime_type1 |
未映射 | 此字段未映射到 UDM。 |
mime_type2 |
未映射 | 此字段未映射到 UDM。 |
mwDetectionEngine |
additional.fields[].key :“mwDetectionEngine”additional.fields[].value.string_value :mwDetectionEngine |
直接从相应的 CEF 字段映射。 |
mwType |
metadata.description :mwType |
直接从相应的 CEF 字段映射。 |
os |
principal.platform :派生值 |
平台派生自 os 字段:“Windows”映射到 WINDOWS 、“MAC”映射到 MAC ,而“LINUX”映射到 LINUX 。 |
page |
network.http.referral_url :page |
直接从相应的 CEF 字段映射。 |
port |
未映射 | 此字段未映射到 UDM。 |
referer |
network.http.referral_url :referer |
直接从相应的 CEF 字段映射。 |
requestClientApplication |
network.http.parsed_user_agent :解析后的用户代理network.http.user_agent :requestClientApplication |
network.http.parsed_user_agent 是通过使用“parseduseragent”过滤器解析 requestClientApplication 字段派生的。 |
request_method |
network.http.method :request_method |
直接从相应的 grokked 字段映射。 |
request_protocol |
未映射 | 此字段未映射到 UDM。 |
rs-status |
additional.fields[].key :“rs-status”additional.fields[].value.string_value :rs-status network.http.response_code :rs-status |
直接从相应的 JSON 字段映射。 |
s-ip |
target.asset.ip[] :s-ip target.ip[] :s-ip |
直接从相应的 JSON 字段映射。 |
sc-bytes |
network.received_bytes :sc-bytes |
直接从相应的 JSON 字段映射。 |
sc-content-type |
additional.fields[].key :“sc-content-type”additional.fields[].value.string_value :sc-content-type |
直接从相应的 JSON 字段映射。 |
sc-status |
network.http.response_code :sc-status |
直接从相应的 JSON 字段映射。 |
serverBytes |
network.received_bytes :serverBytes |
直接从相应的 CEF 字段映射。 |
sha256 |
target.file.sha256 :sha256 |
直接从相应的 CEF 字段映射。 |
src |
principal.ip[] :src |
直接从相应的 CEF 字段映射。 |
src_country |
principal.location.country_or_region :src_country |
直接从相应的 grokked 字段映射。 |
src_ip |
principal.asset.ip[] :src_ip principal.ip[] :src_ip |
直接从相应的 grokked 字段映射。 |
src_latitude |
未映射 | 此字段未映射到 UDM。 |
src_location |
principal.location.city :src_location |
直接从相应的 grokked 字段映射。 |
src_longitude |
未映射 | 此字段未映射到 UDM。 |
src_region |
principal.location.state :src_region |
直接从相应的 grokked 字段映射。 |
src_zip |
未映射 | 此字段未映射到 UDM。 |
suser |
principal.user.user_display_name :suser |
直接从相应的 CEF 字段映射。 |
target_host |
target.asset.hostname[] :target_host target.hostname :target_host |
直接从相应的 grokked 字段映射。 |
time |
metadata.event_timestamp.seconds :date 和 time 字段中的从公元纪年开始计算的秒数metadata.event_timestamp.nanos :0 |
系统会将日期和时间组合起来,并转换为从公元纪年开始计算的秒数和纳秒数。纳秒设置为 0。 |
timestamp |
metadata.event_timestamp.seconds :timestamp |
直接从相应的 CEF 字段映射。 |
ts |
metadata.event_timestamp.seconds :自 ts metadata.event_timestamp.nanos 起的从公元纪年开始计算的秒数:0 |
时间戳会转换为公元纪年秒数和纳秒数。纳秒设置为 0。 |
url |
target.url :url |
直接从相应的 CEF 字段映射。 |
user_agent |
network.http.parsed_user_agent :解析后的用户代理network.http.user_agent :user_agent |
network.http.parsed_user_agent 是通过使用“parseduseragent”过滤器解析 user_agent 字段派生的。 |
user_ip |
未映射 | 此字段未映射到 UDM。 |
user_key |
principal.user.email_addresses[] :user_key |
直接从相应的 grokked 字段映射。 |
version |
未映射 | 此字段未映射到 UDM。 |
x-c-browser |
additional.fields[].key :“x-c-browser”additional.fields[].value.string_value :x-c-browser |
直接从相应的 JSON 字段映射。 |
x-c-browser-version |
additional.fields[].key :“x-c-browser-version”additional.fields[].value.string_value :x-c-browser-version |
直接从相应的 JSON 字段映射。 |
x-c-country |
principal.location.country_or_region :x-c-country |
直接从相应的 JSON 字段映射。 |
x-c-device |
additional.fields[].key :“x-c-device”additional.fields[].value.string_value :x-c-device |
直接从相应的 JSON 字段映射。 |
x-c-latitude |
principal.location.region_coordinates.latitude :x-c-latitude |
直接从相应的 JSON 字段映射。 |
x-c-local-time |
security_result.detection_fields[].key :“x-c-local-time”security_result.detection_fields[].value :x-c-local-time |
直接从相应的 JSON 字段映射。 |
x-c-location |
principal.location.name :x-c-location |
直接从相应的 JSON 字段映射。 |
x-c-longitude |
principal.location.region_coordinates.longitude :x-c-longitude |
直接从相应的 JSON 字段映射。 |
x-c-os |
principal.platform :派生值 |
平台派生自 x-c-os 字段:“Windows”映射到 WINDOWS 、“MAC”映射到 MAC ,而“LINUX”映射到 LINUX 。 |
x-c-region |
principal.location.state :x-c-region |
直接从相应的 JSON 字段映射。 |
x-c-zipcode |
additional.fields[].key :“x-c-zipcode”additional.fields[].value.string_value :x-c-zipcode |
直接从相应的 JSON 字段映射。 |
x-category |
additional.fields[].key :“x-category”additional.fields[].value.string_value :x-category |
直接从相应的 JSON 字段映射。 |
x-category-id |
additional.fields[].key :“x-category-id”additional.fields[].value.string_value :x-category-id |
直接从相应的 JSON 字段映射。 |
x-cs-access-method |
additional.fields[].key :“accessMethod”additional.fields[].value.string_value :x-cs-access-method |
直接从相应的 JSON 字段映射。 |
x-cs-app |
principal.application :x-cs-app additional.fields[].key :“x-cs-app”additional.fields[].value.string_value :x-cs-app |
直接从相应的 JSON 字段映射。 |
x-cs-app-activity |
additional.fields[].key :“x-cs-app-activity”additional.fields[].value.string_value :x-cs-app-activity |
直接从相应的 JSON 字段映射。 |
x-cs-app-category |
additional.fields[].key :“x-cs-app-category”additional.fields[].value.string_value :x-cs-app-category |
直接从相应的 JSON 字段映射。 |
x-cs-app-cci |
additional.fields[].key :“x-cs-app-cci”additional.fields[].value.string_value :x-cs-app-cci |
直接从相应的 JSON 字段映射。 |
x-cs-app-from-user |
additional.fields[].key :“x-cs-app-from-user”additional.fields[].value.string_value :x-cs-app-from-user |
直接从相应的 JSON 字段映射。 |
x-cs-app-object-id |
additional.fields[].key :“x-cs-app-object-id”additional.fields[].value.string_value :x-cs-app-object-id |
直接从相应的 JSON 字段映射。 |
x-cs-app-object-name |
additional.fields[].key :“x-cs-app-object-name”additional.fields[].value.string_value :x-cs-app-object-name |
直接从相应的 JSON 字段映射。 |
x-cs-app-object-type |
additional.fields[].key :“x-cs-app-object-type”additional.fields[].value.string_value :x-cs-app-object-type |
直接从相应的 JSON 字段映射。 |
x-cs-app-suite |
additional.fields[].key :“x-cs-app-suite”additional.fields[].value.string_value :x-cs-app-suite |
直接从相应的 JSON 字段映射。 |
x-cs-app-tags |
additional.fields[].key :“x-cs-app-tags”additional.fields[].value.string_value :x-cs-app-tags |
直接从相应的 JSON 字段映射。 |
x-cs-app-to-user |
additional.fields[].key :“x-cs-app-to-user”additional.fields[].value.string_value :x-cs-app-to-user |
直接从相应的 JSON 字段映射。 |
x-cs-dst-ip |
security_result.detection_fields[].key :"x-cs-dst-ip"security_result.detection_fields[].value :x-cs-dst-ip target.asset.ip[] :x-cs-dst-ip target.ip[] :x-cs-dst-ip |
直接从相应的 JSON 字段映射。 |
x-cs-dst-port |
security_result.detection_fields[].key :"x-cs-dst-port"security_result.detection_fields[].value :x-cs-dst-port target.port :x-cs-dst-port |
直接从相应的 JSON 字段映射。 |
x-cs-http-version |
security_result.detection_fields[].key :“x-cs-http-version”security_result.detection_fields[].value :x-cs-http-version |
直接从相应的 JSON 字段映射。 |
x-cs-page-id |
additional.fields[].key :“x-cs-page-id”additional.fields[].value.string_value :x-cs-page-id |
直接从相应的 JSON 字段映射。 |
x-cs-session-id |
network.session_id :x-cs-session-id |
直接从相应的 JSON 字段映射。 |
x-cs-site |
additional.fields[].key :“x-cs-site”additional.fields[].value.string_value :x-cs-site |
直接从相应的 JSON 字段映射。 |
x-cs-sni |
network.tls.client.server_name :x-cs-sni |
直接从相应的 JSON 字段映射。 |
x-cs-src-ip |
principal.asset.ip[] :x-cs-src-ip principal.ip[] :x-cs-src-ip security_result.detection_fields[].key :"x-cs-src-ip"security_result.detection_fields[].value :x-cs-src-ip |
直接从相应的 JSON 字段映射。 |
x-cs-src-ip-egress |
principal.asset.ip[] :x-cs-src-ip-egress principal.ip[] :x-cs-src-ip-egress security_result.detection_fields[].key :"x-cs-src-ip-egress"security_result.detection_fields[].value :x-cs-src-ip-egress |
直接从相应的 JSON 字段映射。 |
x-cs-src-port |
principal.port :x-cs-src-port security_result.detection_fields[].key :“x-cs-src-port”security_result.detection_fields[].value :x-cs-src-port |
直接从相应的 JSON 字段映射。 |
x-cs-ssl-cipher |
network.tls.cipher :x-cs-ssl-cipher |
直接从相应的 JSON 字段映射。 |
x-cs-ssl-fronting-error |
security_result.detection_fields[].key :“x-cs-ssl-fronting-error”security_result.detection_fields[].value :x-cs-ssl-fronting-error |
直接从相应的 JSON 字段映射。 |
x-cs-ssl-handshake-error |
security_result.detection_fields[].key :“x-cs-ssl-handshake-error”security_result.detection_fields[].value :x-cs-ssl-handshake-error |
直接从相应的 JSON 字段映射。 |
x-cs-ssl-ja3 |
network.tls.client.ja3 :x-cs-ssl-ja3 |
直接从相应的 JSON 字段映射。 |
x-cs-ssl-version |
network.tls.version :x-cs-ssl-version |
直接从相应的 JSON 字段映射。 |
x-cs-timestamp |
metadata.event_timestamp.seconds :x-cs-timestamp |
直接从相应的 JSON 字段映射。 |
x-cs-traffic-type |
additional.fields[].key :“trafficType”additional.fields[].value.string_value :x-cs-traffic-type |
直接从相应的 JSON 字段映射。 |
x-cs-tunnel-src-ip |
security_result.detection_fields[].key :“x-cs-tunnel-src-ip”security_result.detection_fields[].value :x-cs-tunnel-src-ip |
直接从相应的 JSON 字段映射。 |
x-cs-uri-path |
additional.fields[].key :“x-cs-uri-path”additional.fields[].value.string_value :x-cs-uri-path |
直接从相应的 JSON 字段映射。 |
x-cs-url |
target.url :x-cs-url |
直接从相应的 JSON 字段映射。 |
x-cs-userip |
security_result.detection_fields[].key :“x-cs-userip”security_result.detection_fields[].value :x-cs-userip |
直接从相应的 JSON 字段映射。 |
x-other-category |
security_result.category_details[] :x-other-category |
直接从相应的 JSON 字段映射。 |
x-other-category-id |
security_result.detection_fields[].key :“x-other-category-id”security_result.detection_fields[].value :x-other-category-id |
直接从相应的 JSON 字段映射。 |
x-policy-action |
security_result.action :派生值security_result.action_details :x-policy-action |
security_result.action 是通过将 x-policy-action 转换为大写字符串派生而来。如果大写值为“ALLOW”或“BLOCK”,则直接使用该值。否则,系统不会进行映射。security_result.action_details 是从 x-policy-action 直接映射的。 |
x-policy-dst-host |
security_result.detection_fields[].key :“x-policy-dst-host”security_result.detection_fields[].value :x-policy-dst-host |
直接从相应的 JSON 字段映射。 |
x-policy-dst-host-source |
security_result.detection_fields[].key :“x-policy-dst-host-source”security_result.detection_fields[].value :x-policy-dst-host-source |
直接从相应的 JSON 字段映射。 |
x-policy-dst-ip |
security_result.detection_fields[].key :“x-policy-dst-ip”security_result.detection_fields[].value :x-policy-dst-ip |
直接从相应的 JSON 字段映射。 |
x-policy-name |
security_result.rule_name :x-policy-name |
直接从相应的 JSON 字段映射。 |
x-policy-src-ip |
security_result.detection_fields[].key :“x-policy-src-ip”security_result.detection_fields[].value :x-policy-src-ip |
直接从相应的 JSON 字段映射。 |
x-r-cert-enddate |
network.tls.server.certificate.not_after.seconds :自 x-r-cert-enddate 以来的从公元纪年开始计算的秒数 |
系统会将日期转换为自公元纪年以来的秒数。 |
x-r-cert-expired |
additional.fields[].key :“x-r-cert-expired”additional.fields[].value.string_value :x-r-cert-expired |
直接从相应的 JSON 字段映射。 |
x-r-cert-incomplete-chain |
additional.fields[].key :“x-r-cert-incomplete-chain”additional.fields[].value.string_value :x-r-cert-incomplete-chain |
直接从相应的 JSON 字段映射。 |
x-r-cert-issuer-cn |
network.tls.server.certificate.issuer :x-r-cert-issuer-cn |
直接从相应的 JSON 字段映射。 |
x-r-cert-mismatch |
additional.fields[].key :“x-r-cert-mismatch”additional.fields[].value.string_value :x-r-cert-mismatch |
直接从相应的 JSON 字段映射。 |
x-r-cert-revoked |
additional.fields[].key :“x-r-cert-revoked”additional.fields[].value.string_value :x-r-cert-revoked |
直接从相应的 JSON 字段映射。 |
x-r-cert-self-signed |
additional.fields[].key :“x-r-cert-self-signed”additional.fields[].value.string_value :x-r-cert-self-signed |
直接从相应的 JSON 字段映射。 |
x-r-cert-startdate |
network.tls.server.certificate.not_before.seconds :自 x-r-cert-startdate 以来的从公元纪年开始计算的秒数 |
系统会将日期转换为自公元纪年以来的秒数。 |
x-r-cert-subject-cn |
network.tls.server.certificate.subject :x-r-cert-subject-cn |
直接从相应的 JSON 字段映射。 |
x-r-cert-untrusted-root |
additional.fields[].key :“x-r-cert-untrusted-root”additional.fields[].value.string_value :x-r-cert-untrusted-root |
直接从相应的 JSON 字段映射。 |
x-r-cert-valid |
additional.fields[].key :“x-r-cert-valid”additional.fields[].value.string_value :x-r-cert-valid |
直接从相应的 JSON 字段映射。 |
x-request-id |
additional.fields[].key :“requestId”additional.fields[].value.string_value :x-request-id |
直接从相应的 JSON 字段映射。 |
x-rs-file-category |
additional.fields[].key :“x-rs-file-category”additional.fields[].value.string_value :x-rs-file-category |
直接从相应的 JSON 字段映射。 |
x-rs-file-type |
additional.fields[].key :"x-rs-file-type"additional.fields[].value.string_value :x-rs-file-type |
直接从相应的 JSON 字段映射。 |
x-s-country |
target.location.country_or_region :x-s-country |
直接从相应的 JSON 字段映射。 |
x-s-dp-name |
additional.fields[].key :“x-s-dp-name”additional.fields[].value.string_value :x-s-dp-name |
直接从相应的 JSON 字段映射。 |
x-s-latitude |
target.location.region_coordinates.latitude :x-s-latitude |
直接从相应的 JSON 字段映射。 |
x-s-location |
target.location.name :x-s-location |
直接从相应的 JSON 字段映射。 |
x-s-longitude |
target.location.region_coordinates.longitude :x-s-longitude |
直接从相应的 JSON 字段映射。 |
x-s-region |
target.location.state :x-s-region |
直接从相应的 JSON 字段映射。 |
x-s-zipcode |
additional.fields[].key :“x-s-zipcode”additional.fields[].value.string_value :x-s-zipcode |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-cipher |
security_result.detection_fields[].key :“x-sr-ssl-cipher”security_result.detection_fields[].value :x-sr-ssl-cipher |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-client-certificate-error |
security_result.detection_fields[].key : "x-sr-ssl-client-certificate-error"security_result.detection_fields[].value : x-sr-ssl-client-certificate-error |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-engine-action |
security_result.detection_fields[].key :“x-sr-ssl-engine-action”security_result.detection_fields[].value :x-sr-ssl-engine-action |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-engine-action-reason |
security_result.detection_fields[].key :“x-sr-ssl-engine-action-reason”security_result.detection_fields[].value :x-sr-ssl-engine-action-reason |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-handshake-error |
security_result.detection_fields[].key :“x-sr-ssl-handshake-error”security_result.detection_fields[].value :x-sr-ssl-handshake-error |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-ja3s |
network.tls.server.ja3s :x-sr-ssl-ja3s |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-malformed-ssl |
security_result.detection_fields[].key :“x-sr-ssl-malformed-ssl”security_result.detection_fields[].value :x-sr-ssl-malformed-ssl |
直接从相应的 JSON 字段映射。 |
x-sr-ssl-version |
security_result.detection_fields[].key :“x-sr-ssl-version”security_result.detection_fields[].value :x-sr-ssl-version |
直接从相应的 JSON 字段映射。 |
x-s-custom-signing-ca-error |
security_result.detection_fields[].key :“x-s-custom-signing-ca-error”security_result.detection_fields[].value :x-s-custom-signing-ca-error |
直接从相应的 JSON 字段映射。 |
x-ssl-bypass |
security_result.detection_fields[].key :“SSL BYPASS”security_result.detection_fields[].value :x-ssl-bypass 或 x-ssl-bypass-reason |
如果 x-ssl-bypass 为“是”,且存在 x-ssl-bypass-reason ,则使用 x-ssl-bypass-reason 的值。否则,系统会使用 x-ssl-bypass 的值。 |
x-ssl-policy-action |
security_result.detection_fields[].key :“x-ssl-policy-action”security_result.detection_fields[].value :x-ssl-policy-action |
直接从相应的 JSON 字段映射。 |
x-ssl-policy-categories |
security_result.category_details[] :x-ssl-policy-categories |
直接从相应的 JSON 字段映射。 |
x-ssl-policy-dst-host |
security_result.detection_fields[].key :“x-ssl-policy-dst-host”security_result.detection_fields[].value :x-ssl-policy-dst-host |
直接从相应的 JSON 字段映射。 |
x-ssl-policy-dst-host-source |
security_result.detection_fields[].key :"x-ssl-policy-dst-host-source"security_result.detection_fields[].value :x-ssl-policy-dst-host-source |
直接从相应的 JSON 字段映射。 |
x-ssl-policy-dst-ip |
security_result.detection_fields[].key :“x-ssl-policy-dst-ip”security_result.detection_fields[].value :x-ssl-policy-dst-ip |
直接从相应的 JSON 字段映射。 |
x-ssl-policy-name |
security_result.rule_name :x-ssl-policy-name |
直接从相应的 JSON 字段映射。 |
x-ssl-policy-src-ip |
security_result.detection_fields[].key :“x-ssl-policy-src-ip”security_result.detection_fields[].value :x-ssl-policy-src-ip |
直接从相应的 JSON 字段映射。 |
x-sr-dst-ip |
security_result.detection_fields[].key :“x-sr-dst-ip”security_result.detection_fields[].value :x-sr-dst-ip |
直接从相应的 JSON 字段映射。 |
x-sr-dst-port |
security_result.detection_fields[].key :“x-sr-dst-port”security_result.detection_fields[].value :x-sr-dst-port |
直接从相应的 JSON 字段映射。 |
x-type |
additional.fields[].key :“xType”additional.fields[].value.string_value :x-type |
直接从相应的 JSON 字段映射。 |
x-transaction-id |
additional.fields[].key :“transactionId”additional.fields[].value.string_value :x-transaction-id |
直接从相应的 JSON 字段映射。 |
不适用 | metadata.vendor_name :“Netskope” |
解析器中的硬编码值。 |
不适用 | metadata.product_name :“Netskope Webproxy” |
如果不存在,请将其设置为“Netskope Webproxy”。 |
不适用 | metadata.log_type :“NETSKOPE_WEBPROXY” |
解析器中的硬编码值。 |
更改
2024-06-04
- 添加了 Grok 来处理未解析的日志。
- 将“url”映射到“target.url”。
- 将“appSessionId”映射到“network.session_id”。
- 将“页面”映射到“network.http.referral_url”。
- 将“appcategory”映射到“security_result.category_details”。
- 将“clientBytes”映射到“network.sent_bytes”。
- 将“serverBytes”映射到“network.received_bytes”。
- 将“ccl”映射到“security_result.confidence_details”。
- 将“IncidentID”“applicationType”“browser”和“cci”映射到“security_result.detection_fields”。
2024-04-22
- 将“x-cs-app-ccl”“x-cs-app-instance-id”“x-cs-app-tags”“x-cs-app-instance-name”“x-cs-app-instance-tag”“x-cs-app-to-user”“x-cs-app-object-id”和“x-cs-app-from-user”映射到“additional.fields”。
2024-02-26
- 将“cs-bytes”的映射从“network.received_bytes”更改为“network.sent_bytes”。
- 将“sc-bytes”的映射从“network.sent_bytes”更改为“network.received_bytes”。
- 将“x-cs-app-object-name”映射到“additional.fields”。
- 将“x-cs-app-from-user”映射到“principal.user.email_addresses”。
2023-12-22
- 如果“cs-dns”值为“null”,则将“cs-host”映射从“principal.hostname”更改为“target.hostname”。
- 将“cs-dns”映射从“principal.hostname”更改为“target.hostname”。
- 如果“sc-status”值为“null”,则将“rs-status”映射到“network.http.response_code”。
- 将“x-cs-app”映射到“principal.application”。
- 将“x-cs-src-ip-egress”映射到“principal.ip”。
2023-12-08
- 添加了 on_error 检查以解析失败的日志。
- 将“metadata.vendor_name”设置为“Netskope”,将“metadata.product_name”设置为“Netskope Webproxy”。
- 在映射之前,为“src_region”“src_country”“src_location”“dst_region”“dst_country”“dst_location”添加了条件检查。
2023-10-09
- 如果不存在“target.hostname”,则将“dvchost”映射到“target.hostname”。
- 在映射“requestClientApplication”之前添加了 null 检查。
2023-09-12
- 将“x-cs-dst-ip”映射到“target.ip”。
- 将“x-cs-src-ip”映射到“principal.ip”。
- 将“x-cs-src-port”映射到“principal.port”。
- 将“x-cs-dst-port”映射到“target.port”。
- 为日期过滤器添加了 on_error 检查。
- 在映射“metadata.event_type”之前添加了条件检查。
2023-08-28
- 将“cs-uri”映射到“additional.fields”。
- 将“cs-uri-port”映射到“additional.fields”。
- 将“x-s-zipcode”映射到“additional.fields”。
- 将“x-c-zipcode”映射到“additional.fields”。
- 将“x-cs-site”映射到“additional.fields”。
- 将“x-category”映射到“additional.fields”。
- 将“x-sr-ssl-version”映射到“security_result.detection_fields”。
- 将“x-sr-ssl-cipher”映射到“security_result.detection_fields”。
- 将“x-cs-src-ip-egress”映射到“security_result.detection_fields”。
- 将“x-cs-userip”映射到“security_result.detection_fields”。
- 将“x-cs-url”映射到“target.url”。
- 将“x-cs-uri-path”映射到“additional.fields”。
- 将“x-cs-app-cci”映射到“additional.fields”。
- 将“x-cs-app-object-type”映射到“additional.fields”。
- 将“x-rs-file-type”映射到“additional.fields”。
- 将“x-rs-file-category”映射到“additional.fields”。
2023-08-17
- 添加了对新 JSON 类型日志格式的支持。
2023-06-22
- 添加了对新的 SYSLOG+JSON 类型日志格式的支持。
2023-05-30
- 将“duser”映射到“target.user.email_addresses”。
- 将“requestClientApplication”映射到“network.http.parsed_user_agent”。
2023-02-03
- 将“网域”映射到“principal.administrative_domain”。
2023-01-09
- 添加了基于存在的必需参数映射不同 event_type 的条件检查。
- 解析了不同格式的“rt”。
2022-04-06
- 增强功能 - 添加了新字段的映射
- md5、mwDetectionEngine、mwProfile、mwType 已映射到 udm。