此页面由 Cloud Translation API 翻译。

收集 Netskope Web 代理日志

支持的平台：

Google SecOps SIEM

此解析器可处理 CEF 和非 CEF 格式的 Netskope Web 代理日志。它会提取字段、执行数据转换（例如转换时间戳或合并字段）、将其映射到 UDM，并添加 Netskope 专用元数据。解析器使用条件逻辑来处理不同的日志格式和字段可用性，通过相关的网络、安全和应用详细信息丰富 UDM。

准备工作

确保您有一个 Google Security Operations 实例。
确保您拥有对 Netskope 的超级用户访问权限。
确保您已配置 Log Shipper 模块。
确保您拥有 Google SecOps 服务账号密钥（请与 Google SecOps 团队联系，获取具有以下权限范围的服务账号：https://www.googleapis.com/auth/malachite-ingestion）。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

在 CE 中配置 Netskope 租户

依次前往设置 > 常规。
将日志发送器开关切换为开启
在设置中，前往 Netskope 租户。
如果未配置任何租户，请点击添加租户。
输入以下值：
- 名称：为租户提供一个简单易记的名称。
- 租户名称：输入 Netskope 租户的真实名称。
- V2 API 令牌：输入您的 Netskope API 令牌。
- 提醒过滤条件：添加您要提取的 Web 代理提醒。
- 初始范围：输入要提取的历史数据量（以天为单位）。
- 点击保存。

配置 Netskope CLS 插件

依次前往设置 > 插件。
搜索并选择 Netskope (CLS) 复选框，以打开插件创建页面。
输入以下详细信息：
- Configuration Name（配置名称）：为此插件输入一个简单易记的名称。
- 租户：从列表中选择您在上一步中创建的租户。
- 点击下一步。
- 根据需要更新事件类型列表。
- 初始范围：输入要提取的历史数据量（以小时为单位）。
- 点击保存。

在 Netskope 中配置 Google SecOps 插件

依次前往设置 > 插件。
搜索并选择 Chronicle (CLS) 复选框，以打开插件创建页面。
输入以下详细信息：
- Configuration Name（配置名称）：输入此插件的名称。
- 映射：保留默认选项。
- 将 When enabled logs will be transformed using the selected mapping file 切换为开启。
- 点击下一步。
- 区域：选择 Google SecOps 所在的区域。
- 自定义区域网址：这是一个可选设置，只有在上一步中选择了自定义区域时才需要。
- 服务账号密钥：输入 Google SecOps 提供的 JSON 密钥。
- 客户 ID：输入您的 Google SecOps 租户的客户 ID。
- 点击保存。

为 Google SecOps 配置日志发送器业务规则

依次前往日志发送方 > 业务规则。
默认情况下，系统会有一个业务规则来过滤所有提醒和事件。
如果您想滤除任何特定类型的提醒或事件，请点击创建新规则，然后通过添加规则名称和过滤条件来配置新的业务规则。
点击保存。

为 Google SecOps 配置日志发送器 SIEM 映射

依次前往 Log Shipper > SIEM 映射
点击添加 SIEM 映射。
输入以下详细信息：
- 来源配置：选择 Netskope CLS 插件。
- 目标配置：选择 Google SecOps 插件。
- 业务规则：选择您之前创建的规则。
- 点击保存。

验证 Netskope 中事件和提醒的提取和工作流

前往 Netskope Cloud Exchange 中的日志记录。
搜索拉取的日志。
在 Logging 中，使用过滤条件 message contains ingested 搜索提取的事件和提醒。
系统会过滤提取的日志。

UDM 映射表

日志字段	UDM 映射	逻辑
`applicationType`	`security_result.detection_fields[].key`：“applicationType” `security_result.detection_fields[].value`：`applicationType`	直接从相应的 CEF 字段映射。
`appcategory`	`security_result.category_details[]`：`appcategory`	直接从相应的 CEF 字段映射。
`browser`	`security_result.detection_fields[].key`：“浏览器” `security_result.detection_fields[].value`：`browser`	直接从相应的 CEF 字段映射。
`c-ip`	`principal.asset.ip[]`：`c-ip` `principal.ip[]`：`c-ip`	直接从相应的 JSON 字段映射。
`cci`	`security_result.detection_fields[].key`：“cci” `security_result.detection_fields[].value`：`cci`	直接从相应的 CEF 字段映射。
`ccl`	`security_result.confidence`：派生值 `security_result.confidence_details`：`ccl`	`security_result.confidence` 是根据 `ccl` 的值派生的：“极佳”或“高”映射到 `HIGH_CONFIDENCE`、“中等”映射到 `MEDIUM_CONFIDENCE`、“低”或“差”映射到 `LOW_CONFIDENCE`，而“未知”或“not_defined”映射到 `UNKNOWN_CONFIDENCE`。 `security_result.confidence_details` 是从 `ccl` 直接映射的。
`clientBytes`	`network.sent_bytes`：`clientBytes`	直接从相应的 CEF 字段映射。
`cs-access-method`	`additional.fields[].key`：“accessMethod” `additional.fields[].value.string_value`：`cs-access-method`	直接从相应的 JSON 字段映射。
`cs-app`	`additional.fields[].key`：“x-cs-app” `additional.fields[].value.string_value`：`cs-app` `principal.application`：`cs-app`	直接从相应的 JSON 字段映射。
`cs-app-activity`	`additional.fields[].key`：“x-cs-app-activity” `additional.fields[].value.string_value`：`cs-app-activity`	直接从相应的 JSON 字段映射。
`cs-app-category`	`additional.fields[].key`：“x-cs-app-category” `additional.fields[].value.string_value`：`cs-app-category`	直接从相应的 JSON 字段映射。
`cs-app-cci`	`additional.fields[].key`：“x-cs-app-cci” `additional.fields[].value.string_value`：`cs-app-cci`	直接从相应的 JSON 字段映射。
`cs-app-ccl`	`additional.fields[].key`：“x-cs-app-ccl” `additional.fields[].value.string_value`：`cs-app-ccl`	直接从相应的 JSON 字段映射。
`cs-app-from-user`	`additional.fields[].key`：“x-cs-app-from-user” `additional.fields[].value.string_value`：`cs-app-from-user` `principal.user.email_addresses[]`：`cs-app-from-user`	直接从相应的 JSON 字段映射。
`cs-app-instance-id`	`additional.fields[].key`：“x-cs-app-instance-id” `additional.fields[].value.string_value`：`cs-app-instance-id`	直接从相应的 JSON 字段映射。
`cs-app-object-name`	`additional.fields[].key`：“x-cs-app-object-name” `additional.fields[].value.string_value`：`cs-app-object-name`	直接从相应的 JSON 字段映射。
`cs-app-object-type`	`additional.fields[].key`：“x-cs-app-object-type” `additional.fields[].value.string_value`：`cs-app-object-type`	直接从相应的 JSON 字段映射。
`cs-app-suite`	`additional.fields[].key`：“x-cs-app-suite” `additional.fields[].value.string_value`：`cs-app-suite`	直接从相应的 JSON 字段映射。
`cs-app-tags`	`additional.fields[].key`：“x-cs-app-tags” `additional.fields[].value.string_value`：`cs-app-tags`	直接从相应的 JSON 字段映射。
`cs-bytes`	`network.sent_bytes`：`cs-bytes`	直接从相应的 JSON 字段映射。
`cs-content-type`	`additional.fields[].key`：“sc-content-type” `additional.fields[].value.string_value`：`cs-content-type`	直接从相应的 JSON 字段映射。
`cs-dns`	`target.asset.hostname[]`：`cs-dns` `target.hostname`：`cs-dns`	直接从相应的 JSON 字段映射。
`cs-host`	`target.asset.hostname[]`：`cs-host` `target.hostname`：`cs-host`	直接从相应的 JSON 字段映射。
`cs-method`	`network.http.method`：`cs-method`	直接从相应的 JSON 字段映射。
`cs-referer`	`network.http.referral_url`：`cs-referer`	直接从相应的 JSON 字段映射。
`cs-uri`	`additional.fields[].key`：“cs-uri” `additional.fields[].value.string_value`：`cs-uri`	直接从相应的 JSON 字段映射。
`cs-uri-path`	`additional.fields[].key`：“x-cs-uri-path” `additional.fields[].value.string_value`：`cs-uri-path`	直接从相应的 JSON 字段映射。
`cs-uri-port`	`additional.fields[].key`：“cs-uri-port” `additional.fields[].value.string_value`：`cs-uri-port`	直接从相应的 JSON 字段映射。
`cs-uri-scheme`	`network.application_protocol`：`cs-uri-scheme`	转换为大写后，直接从相应的 JSON 字段映射。
`cs-user-agent`	`network.http.parsed_user_agent`：解析后的用户代理 `network.http.user_agent`：`cs-user-agent`	`network.http.parsed_user_agent` 是通过使用“parseduseragent”过滤器解析 `cs-user-agent` 字段派生的。
`cs-username`	`principal.user.userid`：`cs-username`	直接从相应的 JSON 字段映射。
`date`	`metadata.event_timestamp.seconds`：`date` 和 `time` 字段中的从公元纪年开始计算的秒数 `metadata.event_timestamp.nanos`：0	系统会将日期和时间组合起来，并转换为从公元纪年开始计算的秒数和纳秒数。纳秒设置为 0。
`device`	`intermediary.hostname`：`device`	直接从相应的 CEF 字段映射。
`dst`	`target.ip[]`：`dst`	直接从相应的 CEF 字段映射。
`dst_country`	`target.location.country_or_region`：`dst_country`	直接从相应的 grokked 字段映射。
`dst_ip`	`target.asset.ip[]`：`dst_ip` `target.ip[]`：`dst_ip`	直接从相应的 grokked 字段映射。
`dst_location`	`target.location.city`：`dst_location`	直接从相应的 grokked 字段映射。
`dst_region`	`target.location.state`：`dst_region`	直接从相应的 grokked 字段映射。
`dst_zip`	未映射	此字段未映射到 UDM。
`duser`	`target.user.email_addresses[]`：`duser` `target.user.user_display_name`：`duser`	直接从相应的 CEF 字段映射。
`dvchost`	`about.hostname`：`dvchost` `target.asset.hostname[]`：`dvchost` `target.hostname`：`dvchost`	直接从相应的 CEF 字段映射。
`event_timestamp`	`metadata.event_timestamp.seconds`：`event_timestamp`	直接从相应的 grokked 字段映射。
`hostname`	`target.asset.hostname[]`：`hostname` `target.hostname`：`hostname`	直接从相应的 CEF 字段映射。
`IncidentID`	`security_result.detection_fields[].key`：“IncidentID” `security_result.detection_fields[].value`：`IncidentID`	直接从相应的 CEF 字段映射。
`intermediary`	`intermediary`：`intermediary`	直接从相应的 CEF 字段映射。
`md5`	`target.file.md5`：`md5`	直接从相应的 CEF 字段映射。
`message`	各种 UDM 字段	系统会根据 `message` 字段是否包含“CEF”来对其进行解析。如果是，则会被视为 CEF 日志。否则，它会解析为空格分隔的字符串或 JSON。如需了解详情，请参阅“解析逻辑”部分。
`mime_type1`	未映射	此字段未映射到 UDM。
`mime_type2`	未映射	此字段未映射到 UDM。
`mwDetectionEngine`	`additional.fields[].key`：“mwDetectionEngine” `additional.fields[].value.string_value`：`mwDetectionEngine`	直接从相应的 CEF 字段映射。
`mwType`	`metadata.description`：`mwType`	直接从相应的 CEF 字段映射。
`os`	`principal.platform`：派生值	平台派生自 `os` 字段：“Windows”映射到 `WINDOWS`、“MAC”映射到 `MAC`，而“LINUX”映射到 `LINUX`。
`page`	`network.http.referral_url`：`page`	直接从相应的 CEF 字段映射。
`port`	未映射	此字段未映射到 UDM。
`referer`	`network.http.referral_url`：`referer`	直接从相应的 CEF 字段映射。
`requestClientApplication`	`network.http.parsed_user_agent`：解析后的用户代理 `network.http.user_agent`：`requestClientApplication`	`network.http.parsed_user_agent` 是通过使用“parseduseragent”过滤器解析 `requestClientApplication` 字段派生的。
`request_method`	`network.http.method`：`request_method`	直接从相应的 grokked 字段映射。
`request_protocol`	未映射	此字段未映射到 UDM。
`rs-status`	`additional.fields[].key`：“rs-status” `additional.fields[].value.string_value`：`rs-status` `network.http.response_code`：`rs-status`	直接从相应的 JSON 字段映射。
`s-ip`	`target.asset.ip[]`：`s-ip` `target.ip[]`：`s-ip`	直接从相应的 JSON 字段映射。
`sc-bytes`	`network.received_bytes`：`sc-bytes`	直接从相应的 JSON 字段映射。
`sc-content-type`	`additional.fields[].key`：“sc-content-type” `additional.fields[].value.string_value`：`sc-content-type`	直接从相应的 JSON 字段映射。
`sc-status`	`network.http.response_code`：`sc-status`	直接从相应的 JSON 字段映射。
`serverBytes`	`network.received_bytes`：`serverBytes`	直接从相应的 CEF 字段映射。
`sha256`	`target.file.sha256`：`sha256`	直接从相应的 CEF 字段映射。
`src`	`principal.ip[]`：`src`	直接从相应的 CEF 字段映射。
`src_country`	`principal.location.country_or_region`：`src_country`	直接从相应的 grokked 字段映射。
`src_ip`	`principal.asset.ip[]`：`src_ip` `principal.ip[]`：`src_ip`	直接从相应的 grokked 字段映射。
`src_latitude`	未映射	此字段未映射到 UDM。
`src_location`	`principal.location.city`：`src_location`	直接从相应的 grokked 字段映射。
`src_longitude`	未映射	此字段未映射到 UDM。
`src_region`	`principal.location.state`：`src_region`	直接从相应的 grokked 字段映射。
`src_zip`	未映射	此字段未映射到 UDM。
`suser`	`principal.user.user_display_name`：`suser`	直接从相应的 CEF 字段映射。
`target_host`	`target.asset.hostname[]`：`target_host` `target.hostname`：`target_host`	直接从相应的 grokked 字段映射。
`time`	`metadata.event_timestamp.seconds`：`date` 和 `time` 字段中的从公元纪年开始计算的秒数 `metadata.event_timestamp.nanos`：0	系统会将日期和时间组合起来，并转换为从公元纪年开始计算的秒数和纳秒数。纳秒设置为 0。
`timestamp`	`metadata.event_timestamp.seconds`：`timestamp`	直接从相应的 CEF 字段映射。
`ts`	`metadata.event_timestamp.seconds`：自 `ts` `metadata.event_timestamp.nanos` 起的从公元纪年开始计算的秒数：0	时间戳会转换为公元纪年秒数和纳秒数。纳秒设置为 0。
`url`	`target.url`：`url`	直接从相应的 CEF 字段映射。
`user_agent`	`network.http.parsed_user_agent`：解析后的用户代理 `network.http.user_agent`：`user_agent`	`network.http.parsed_user_agent` 是通过使用“parseduseragent”过滤器解析 `user_agent` 字段派生的。
`user_ip`	未映射	此字段未映射到 UDM。
`user_key`	`principal.user.email_addresses[]`：`user_key`	直接从相应的 grokked 字段映射。
`version`	未映射	此字段未映射到 UDM。
`x-c-browser`	`additional.fields[].key`：“x-c-browser” `additional.fields[].value.string_value`：`x-c-browser`	直接从相应的 JSON 字段映射。
`x-c-browser-version`	`additional.fields[].key`：“x-c-browser-version” `additional.fields[].value.string_value`：`x-c-browser-version`	直接从相应的 JSON 字段映射。
`x-c-country`	`principal.location.country_or_region`：`x-c-country`	直接从相应的 JSON 字段映射。
`x-c-device`	`additional.fields[].key`：“x-c-device” `additional.fields[].value.string_value`：`x-c-device`	直接从相应的 JSON 字段映射。
`x-c-latitude`	`principal.location.region_coordinates.latitude`：`x-c-latitude`	直接从相应的 JSON 字段映射。
`x-c-local-time`	`security_result.detection_fields[].key`：“x-c-local-time” `security_result.detection_fields[].value`：`x-c-local-time`	直接从相应的 JSON 字段映射。
`x-c-location`	`principal.location.name`：`x-c-location`	直接从相应的 JSON 字段映射。
`x-c-longitude`	`principal.location.region_coordinates.longitude`：`x-c-longitude`	直接从相应的 JSON 字段映射。
`x-c-os`	`principal.platform`：派生值	平台派生自 `x-c-os` 字段：“Windows”映射到 `WINDOWS`、“MAC”映射到 `MAC`，而“LINUX”映射到 `LINUX`。
`x-c-region`	`principal.location.state`：`x-c-region`	直接从相应的 JSON 字段映射。
`x-c-zipcode`	`additional.fields[].key`：“x-c-zipcode” `additional.fields[].value.string_value`：`x-c-zipcode`	直接从相应的 JSON 字段映射。
`x-category`	`additional.fields[].key`：“x-category” `additional.fields[].value.string_value`：`x-category`	直接从相应的 JSON 字段映射。
`x-category-id`	`additional.fields[].key`：“x-category-id” `additional.fields[].value.string_value`：`x-category-id`	直接从相应的 JSON 字段映射。
`x-cs-access-method`	`additional.fields[].key`：“accessMethod” `additional.fields[].value.string_value`：`x-cs-access-method`	直接从相应的 JSON 字段映射。
`x-cs-app`	`principal.application`：`x-cs-app` `additional.fields[].key`：“x-cs-app” `additional.fields[].value.string_value`：`x-cs-app`	直接从相应的 JSON 字段映射。
`x-cs-app-activity`	`additional.fields[].key`：“x-cs-app-activity” `additional.fields[].value.string_value`：`x-cs-app-activity`	直接从相应的 JSON 字段映射。
`x-cs-app-category`	`additional.fields[].key`：“x-cs-app-category” `additional.fields[].value.string_value`：`x-cs-app-category`	直接从相应的 JSON 字段映射。
`x-cs-app-cci`	`additional.fields[].key`：“x-cs-app-cci” `additional.fields[].value.string_value`：`x-cs-app-cci`	直接从相应的 JSON 字段映射。
`x-cs-app-from-user`	`additional.fields[].key`：“x-cs-app-from-user” `additional.fields[].value.string_value`：`x-cs-app-from-user`	直接从相应的 JSON 字段映射。
`x-cs-app-object-id`	`additional.fields[].key`：“x-cs-app-object-id” `additional.fields[].value.string_value`：`x-cs-app-object-id`	直接从相应的 JSON 字段映射。
`x-cs-app-object-name`	`additional.fields[].key`：“x-cs-app-object-name” `additional.fields[].value.string_value`：`x-cs-app-object-name`	直接从相应的 JSON 字段映射。
`x-cs-app-object-type`	`additional.fields[].key`：“x-cs-app-object-type” `additional.fields[].value.string_value`：`x-cs-app-object-type`	直接从相应的 JSON 字段映射。
`x-cs-app-suite`	`additional.fields[].key`：“x-cs-app-suite” `additional.fields[].value.string_value`：`x-cs-app-suite`	直接从相应的 JSON 字段映射。
`x-cs-app-tags`	`additional.fields[].key`：“x-cs-app-tags” `additional.fields[].value.string_value`：`x-cs-app-tags`	直接从相应的 JSON 字段映射。
`x-cs-app-to-user`	`additional.fields[].key`：“x-cs-app-to-user” `additional.fields[].value.string_value`：`x-cs-app-to-user`	直接从相应的 JSON 字段映射。
`x-cs-dst-ip`	`security_result.detection_fields[].key`："x-cs-dst-ip" `security_result.detection_fields[].value`：`x-cs-dst-ip` `target.asset.ip[]`：`x-cs-dst-ip` `target.ip[]`：`x-cs-dst-ip`	直接从相应的 JSON 字段映射。
`x-cs-dst-port`	`security_result.detection_fields[].key`："x-cs-dst-port" `security_result.detection_fields[].value`：`x-cs-dst-port` `target.port`：`x-cs-dst-port`	直接从相应的 JSON 字段映射。
`x-cs-http-version`	`security_result.detection_fields[].key`：“x-cs-http-version” `security_result.detection_fields[].value`：`x-cs-http-version`	直接从相应的 JSON 字段映射。
`x-cs-page-id`	`additional.fields[].key`：“x-cs-page-id” `additional.fields[].value.string_value`：`x-cs-page-id`	直接从相应的 JSON 字段映射。
`x-cs-session-id`	`network.session_id`：`x-cs-session-id`	直接从相应的 JSON 字段映射。
`x-cs-site`	`additional.fields[].key`：“x-cs-site” `additional.fields[].value.string_value`：`x-cs-site`	直接从相应的 JSON 字段映射。
`x-cs-sni`	`network.tls.client.server_name`：`x-cs-sni`	直接从相应的 JSON 字段映射。
`x-cs-src-ip`	`principal.asset.ip[]`：`x-cs-src-ip` `principal.ip[]`：`x-cs-src-ip` `security_result.detection_fields[].key`："x-cs-src-ip" `security_result.detection_fields[].value`：`x-cs-src-ip`	直接从相应的 JSON 字段映射。
`x-cs-src-ip-egress`	`principal.asset.ip[]`：`x-cs-src-ip-egress` `principal.ip[]`：`x-cs-src-ip-egress` `security_result.detection_fields[].key`："x-cs-src-ip-egress" `security_result.detection_fields[].value`：`x-cs-src-ip-egress`	直接从相应的 JSON 字段映射。
`x-cs-src-port`	`principal.port`：`x-cs-src-port` `security_result.detection_fields[].key`：“x-cs-src-port” `security_result.detection_fields[].value`：`x-cs-src-port`	直接从相应的 JSON 字段映射。
`x-cs-ssl-cipher`	`network.tls.cipher`：`x-cs-ssl-cipher`	直接从相应的 JSON 字段映射。
`x-cs-ssl-fronting-error`	`security_result.detection_fields[].key`：“x-cs-ssl-fronting-error” `security_result.detection_fields[].value`：`x-cs-ssl-fronting-error`	直接从相应的 JSON 字段映射。
`x-cs-ssl-handshake-error`	`security_result.detection_fields[].key`：“x-cs-ssl-handshake-error” `security_result.detection_fields[].value`：`x-cs-ssl-handshake-error`	直接从相应的 JSON 字段映射。
`x-cs-ssl-ja3`	`network.tls.client.ja3`：`x-cs-ssl-ja3`	直接从相应的 JSON 字段映射。
`x-cs-ssl-version`	`network.tls.version`：`x-cs-ssl-version`	直接从相应的 JSON 字段映射。
`x-cs-timestamp`	`metadata.event_timestamp.seconds`：`x-cs-timestamp`	直接从相应的 JSON 字段映射。
`x-cs-traffic-type`	`additional.fields[].key`：“trafficType” `additional.fields[].value.string_value`：`x-cs-traffic-type`	直接从相应的 JSON 字段映射。
`x-cs-tunnel-src-ip`	`security_result.detection_fields[].key`：“x-cs-tunnel-src-ip” `security_result.detection_fields[].value`：`x-cs-tunnel-src-ip`	直接从相应的 JSON 字段映射。
`x-cs-uri-path`	`additional.fields[].key`：“x-cs-uri-path” `additional.fields[].value.string_value`：`x-cs-uri-path`	直接从相应的 JSON 字段映射。
`x-cs-url`	`target.url`：`x-cs-url`	直接从相应的 JSON 字段映射。
`x-cs-userip`	`security_result.detection_fields[].key`：“x-cs-userip” `security_result.detection_fields[].value`：`x-cs-userip`	直接从相应的 JSON 字段映射。
`x-other-category`	`security_result.category_details[]`：`x-other-category`	直接从相应的 JSON 字段映射。
`x-other-category-id`	`security_result.detection_fields[].key`：“x-other-category-id” `security_result.detection_fields[].value`：`x-other-category-id`	直接从相应的 JSON 字段映射。
`x-policy-action`	`security_result.action`：派生值 `security_result.action_details`：`x-policy-action`	`security_result.action` 是通过将 `x-policy-action` 转换为大写字符串派生而来。如果大写值为“ALLOW”或“BLOCK”，则直接使用该值。否则，系统不会进行映射。 `security_result.action_details` 是从 `x-policy-action` 直接映射的。
`x-policy-dst-host`	`security_result.detection_fields[].key`：“x-policy-dst-host” `security_result.detection_fields[].value`：`x-policy-dst-host`	直接从相应的 JSON 字段映射。
`x-policy-dst-host-source`	`security_result.detection_fields[].key`：“x-policy-dst-host-source” `security_result.detection_fields[].value`：`x-policy-dst-host-source`	直接从相应的 JSON 字段映射。
`x-policy-dst-ip`	`security_result.detection_fields[].key`：“x-policy-dst-ip” `security_result.detection_fields[].value`：`x-policy-dst-ip`	直接从相应的 JSON 字段映射。
`x-policy-name`	`security_result.rule_name`：`x-policy-name`	直接从相应的 JSON 字段映射。
`x-policy-src-ip`	`security_result.detection_fields[].key`：“x-policy-src-ip” `security_result.detection_fields[].value`：`x-policy-src-ip`	直接从相应的 JSON 字段映射。
`x-r-cert-enddate`	`network.tls.server.certificate.not_after.seconds`：自 `x-r-cert-enddate` 以来的从公元纪年开始计算的秒数	系统会将日期转换为自公元纪年以来的秒数。
`x-r-cert-expired`	`additional.fields[].key`：“x-r-cert-expired” `additional.fields[].value.string_value`：`x-r-cert-expired`	直接从相应的 JSON 字段映射。
`x-r-cert-incomplete-chain`	`additional.fields[].key`：“x-r-cert-incomplete-chain” `additional.fields[].value.string_value`：`x-r-cert-incomplete-chain`	直接从相应的 JSON 字段映射。
`x-r-cert-issuer-cn`	`network.tls.server.certificate.issuer`：`x-r-cert-issuer-cn`	直接从相应的 JSON 字段映射。
`x-r-cert-mismatch`	`additional.fields[].key`：“x-r-cert-mismatch” `additional.fields[].value.string_value`：`x-r-cert-mismatch`	直接从相应的 JSON 字段映射。
`x-r-cert-revoked`	`additional.fields[].key`：“x-r-cert-revoked” `additional.fields[].value.string_value`：`x-r-cert-revoked`	直接从相应的 JSON 字段映射。
`x-r-cert-self-signed`	`additional.fields[].key`：“x-r-cert-self-signed” `additional.fields[].value.string_value`：`x-r-cert-self-signed`	直接从相应的 JSON 字段映射。
`x-r-cert-startdate`	`network.tls.server.certificate.not_before.seconds`：自 `x-r-cert-startdate` 以来的从公元纪年开始计算的秒数	系统会将日期转换为自公元纪年以来的秒数。
`x-r-cert-subject-cn`	`network.tls.server.certificate.subject`：`x-r-cert-subject-cn`	直接从相应的 JSON 字段映射。
`x-r-cert-untrusted-root`	`additional.fields[].key`：“x-r-cert-untrusted-root” `additional.fields[].value.string_value`：`x-r-cert-untrusted-root`	直接从相应的 JSON 字段映射。
`x-r-cert-valid`	`additional.fields[].key`：“x-r-cert-valid” `additional.fields[].value.string_value`：`x-r-cert-valid`	直接从相应的 JSON 字段映射。
`x-request-id`	`additional.fields[].key`：“requestId” `additional.fields[].value.string_value`：`x-request-id`	直接从相应的 JSON 字段映射。
`x-rs-file-category`	`additional.fields[].key`：“x-rs-file-category” `additional.fields[].value.string_value`：`x-rs-file-category`	直接从相应的 JSON 字段映射。
`x-rs-file-type`	`additional.fields[].key`："x-rs-file-type" `additional.fields[].value.string_value`：`x-rs-file-type`	直接从相应的 JSON 字段映射。
`x-s-country`	`target.location.country_or_region`：`x-s-country`	直接从相应的 JSON 字段映射。
`x-s-dp-name`	`additional.fields[].key`：“x-s-dp-name” `additional.fields[].value.string_value`：`x-s-dp-name`	直接从相应的 JSON 字段映射。
`x-s-latitude`	`target.location.region_coordinates.latitude`：`x-s-latitude`	直接从相应的 JSON 字段映射。
`x-s-location`	`target.location.name`：`x-s-location`	直接从相应的 JSON 字段映射。
`x-s-longitude`	`target.location.region_coordinates.longitude`：`x-s-longitude`	直接从相应的 JSON 字段映射。
`x-s-region`	`target.location.state`：`x-s-region`	直接从相应的 JSON 字段映射。
`x-s-zipcode`	`additional.fields[].key`：“x-s-zipcode” `additional.fields[].value.string_value`：`x-s-zipcode`	直接从相应的 JSON 字段映射。
`x-sr-ssl-cipher`	`security_result.detection_fields[].key`：“x-sr-ssl-cipher” `security_result.detection_fields[].value`：`x-sr-ssl-cipher`	直接从相应的 JSON 字段映射。
`x-sr-ssl-client-certificate-error`	`security_result.detection_fields[].key`: "x-sr-ssl-client-certificate-error" `security_result.detection_fields[].value`: `x-sr-ssl-client-certificate-error`	直接从相应的 JSON 字段映射。
`x-sr-ssl-engine-action`	`security_result.detection_fields[].key`：“x-sr-ssl-engine-action” `security_result.detection_fields[].value`：`x-sr-ssl-engine-action`	直接从相应的 JSON 字段映射。
`x-sr-ssl-engine-action-reason`	`security_result.detection_fields[].key`：“x-sr-ssl-engine-action-reason” `security_result.detection_fields[].value`：`x-sr-ssl-engine-action-reason`	直接从相应的 JSON 字段映射。
`x-sr-ssl-handshake-error`	`security_result.detection_fields[].key`：“x-sr-ssl-handshake-error” `security_result.detection_fields[].value`：`x-sr-ssl-handshake-error`	直接从相应的 JSON 字段映射。
`x-sr-ssl-ja3s`	`network.tls.server.ja3s`：`x-sr-ssl-ja3s`	直接从相应的 JSON 字段映射。
`x-sr-ssl-malformed-ssl`	`security_result.detection_fields[].key`：“x-sr-ssl-malformed-ssl” `security_result.detection_fields[].value`：`x-sr-ssl-malformed-ssl`	直接从相应的 JSON 字段映射。
`x-sr-ssl-version`	`security_result.detection_fields[].key`：“x-sr-ssl-version” `security_result.detection_fields[].value`：`x-sr-ssl-version`	直接从相应的 JSON 字段映射。
`x-s-custom-signing-ca-error`	`security_result.detection_fields[].key`：“x-s-custom-signing-ca-error” `security_result.detection_fields[].value`：`x-s-custom-signing-ca-error`	直接从相应的 JSON 字段映射。
`x-ssl-bypass`	`security_result.detection_fields[].key`：“SSL BYPASS” `security_result.detection_fields[].value`：`x-ssl-bypass` 或 `x-ssl-bypass-reason`	如果 `x-ssl-bypass` 为“是”，且存在 `x-ssl-bypass-reason`，则使用 `x-ssl-bypass-reason` 的值。否则，系统会使用 `x-ssl-bypass` 的值。
`x-ssl-policy-action`	`security_result.detection_fields[].key`：“x-ssl-policy-action” `security_result.detection_fields[].value`：`x-ssl-policy-action`	直接从相应的 JSON 字段映射。
`x-ssl-policy-categories`	`security_result.category_details[]`：`x-ssl-policy-categories`	直接从相应的 JSON 字段映射。
`x-ssl-policy-dst-host`	`security_result.detection_fields[].key`：“x-ssl-policy-dst-host” `security_result.detection_fields[].value`：`x-ssl-policy-dst-host`	直接从相应的 JSON 字段映射。
`x-ssl-policy-dst-host-source`	`security_result.detection_fields[].key`：“x-ssl-policy-dst-host-source” `security_result.detection_fields[].value`：`x-ssl-policy-dst-host-source`	直接从相应的 JSON 字段映射。
`x-ssl-policy-dst-ip`	`security_result.detection_fields[].key`："x-ssl-policy-dst-ip" `security_result.detection_fields[].value`：`x-ssl-policy-dst-ip`	直接从相应的 JSON 字段映射。
`x-ssl-policy-name`	`security_result.rule_name`：`x-ssl-policy-name`	直接从相应的 JSON 字段映射。
`x-ssl-policy-src-ip`	`security_result.detection_fields[].key`：“x-ssl-policy-src-ip” `security_result.detection_fields[].value`：`x-ssl-policy-src-ip`	直接从相应的 JSON 字段映射。
`x-sr-dst-ip`	`security_result.detection_fields[].key`：“x-sr-dst-ip” `security_result.detection_fields[].value`：`x-sr-dst-ip`	直接从相应的 JSON 字段映射。
`x-sr-dst-port`	`security_result.detection_fields[].key`：“x-sr-dst-port” `security_result.detection_fields[].value`：`x-sr-dst-port`	直接从相应的 JSON 字段映射。
`x-type`	`additional.fields[].key`：“xType” `additional.fields[].value.string_value`：`x-type`	直接从相应的 JSON 字段映射。
`x-transaction-id`	`additional.fields[].key`：“transactionId” `additional.fields[].value.string_value`：`x-transaction-id`	直接从相应的 JSON 字段映射。
不适用	`metadata.vendor_name`：“Netskope”	解析器中的硬编码值。
不适用	`metadata.product_name`：“Netskope Webproxy”	如果不存在，请将其设置为“Netskope Webproxy”。
不适用	`metadata.log_type`：“NETSKOPE_WEBPROXY”	解析器中的硬编码值。

变化

2024-06-04

添加了 Grok 来处理未解析的日志。
将“url”映射到“target.url”。
将“appSessionId”映射到“network.session_id”。
将“页面”映射到“network.http.referral_url”。
将“appcategory”映射到“security_result.category_details”。
将“clientBytes”映射到“network.sent_bytes”。
将“serverBytes”映射到“network.received_bytes”。
将“ccl”映射到“security_result.confidence_details”。
将“IncidentID”“applicationType”“browser”和“cci”映射到“security_result.detection_fields”。

2024-04-22

将“x-cs-app-ccl”“x-cs-app-instance-id”“x-cs-app-tags”“x-cs-app-instance-name”“x-cs-app-instance-tag”“x-cs-app-to-user”“x-cs-app-object-id”和“x-cs-app-from-user”映射到“additional.fields”。

2024-02-26

将“cs-bytes”的映射从“network.received_bytes”更改为“network.sent_bytes”。
将“sc-bytes”的映射从“network.sent_bytes”更改为“network.received_bytes”。
将“x-cs-app-object-name”映射到“additional.fields”。
将“x-cs-app-from-user”映射到“principal.user.email_addresses”。

2023-12-22

如果“cs-dns”值为“null”，则将“cs-host”映射从“principal.hostname”更改为“target.hostname”。
将“cs-dns”映射从“principal.hostname”更改为“target.hostname”。
如果“sc-status”值为“null”，则将“rs-status”映射到“network.http.response_code”。
将“x-cs-app”映射到“principal.application”。
将“x-cs-src-ip-egress”映射到“principal.ip”。

2023-12-08

添加了 on_error 检查以解析失败的日志。
将“metadata.vendor_name”设置为“Netskope”，将“metadata.product_name”设置为“Netskope Webproxy”。
在映射之前，为“src_region”“src_country”“src_location”“dst_region”“dst_country”“dst_location”添加了条件检查。

2023-10-09

如果不存在“target.hostname”，则将“dvchost”映射到“target.hostname”。
在映射“requestClientApplication”之前添加了 null 检查。

2023-09-12

将“x-cs-dst-ip”映射到“target.ip”。
将“x-cs-src-ip”映射到“principal.ip”。
将“x-cs-src-port”映射到“principal.port”。
将“x-cs-dst-port”映射到“target.port”。
为日期过滤器添加了 on_error 检查。
在映射“metadata.event_type”之前添加了条件检查。

2023-08-28

将“cs-uri”映射到“additional.fields”。
将“cs-uri-port”映射到“additional.fields”。
将“x-s-zipcode”映射到“additional.fields”。
将“x-c-zipcode”映射到“additional.fields”。
将“x-cs-site”映射到“additional.fields”。
将“x-category”映射到“additional.fields”。
将“x-sr-ssl-version”映射到“security_result.detection_fields”。
将“x-sr-ssl-cipher”映射到“security_result.detection_fields”。
将“x-cs-src-ip-egress”映射到“security_result.detection_fields”。
将“x-cs-userip”映射到“security_result.detection_fields”。
将“x-cs-url”映射到“target.url”。
将“x-cs-uri-path”映射到“additional.fields”。
将“x-cs-app-cci”映射到“additional.fields”。
将“x-cs-app-object-type”映射到“additional.fields”。
将“x-rs-file-type”映射到“additional.fields”。
将“x-rs-file-category”映射到“additional.fields”。

2023-08-17

添加了对新 JSON 类型日志格式的支持。

2023-06-22

添加了对新的 SYSLOG+JSON 类型日志格式的支持。

2023-05-30

将“duser”映射到“target.user.email_addresses”。
将“requestClientApplication”映射到“network.http.parsed_user_agent”。

2023-02-03

将“网域”映射到“principal.administrative_domain”。

2023-01-09

添加了基于存在的必需参数映射不同 event_type 的条件检查。
解析了不同格式的“rt”。

2022-04-06

增强功能 - 添加了新字段的映射
md5、mwDetectionEngine、mwProfile、mwType 已映射到 udm。