收集 Netskope Web 代理日志

支持的平台:

此解析器可处理 CEF 和非 CEF 格式的 Netskope Web 代理日志。它会提取字段、执行数据转换(例如转换时间戳或合并字段)、将其映射到 UDM,并添加 Netskope 专用元数据。解析器使用条件逻辑来处理不同的日志格式和字段可用性,通过相关的网络、安全和应用详细信息丰富 UDM。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您拥有对 Netskope 的超级用户访问权限。
  • 确保您已配置 Log Shipper 模块。
  • 确保您拥有 Google SecOps 服务账号密钥(请与 Google SecOps 团队联系,获取具有以下权限范围的服务账号:https://www.googleapis.com/auth/malachite-ingestion)。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

在 CE 中配置 Netskope 租户

  1. 依次前往设置 > 常规
  2. 日志发送器开关切换为开启
  3. 设置中,前往 Netskope 租户
  4. 如果未配置任何租户,请点击添加租户
  5. 输入以下值:
    • 名称:为租户提供一个简单易记的名称。
    • 租户名称:输入 Netskope 租户的真实名称。
    • V2 API 令牌:输入您的 Netskope API 令牌。
    • 提醒过滤条件:添加您要提取的 Web 代理提醒。
    • 初始范围:输入要提取的历史数据量(以天为单位)。
    • 点击保存

配置 Netskope CLS 插件

  1. 依次前往设置 > 插件
  2. 搜索并选择 Netskope (CLS) 复选框,以打开插件创建页面。
  3. 输入以下详细信息:
    • Configuration Name(配置名称):为此插件输入一个简单易记的名称。
    • 租户:从列表中选择您在上一步中创建的租户。
    • 点击下一步
    • 根据需要更新事件类型列表。
    • 初始范围:输入要提取的历史数据量(以小时为单位)。
    • 点击保存

在 Netskope 中配置 Google SecOps 插件

  1. 依次前往设置 > 插件
  2. 搜索并选择 Chronicle (CLS) 复选框,以打开插件创建页面。
  3. 输入以下详细信息:
    • Configuration Name(配置名称):输入此插件的名称。
    • 映射:保留默认选项。
    • When enabled logs will be transformed using the selected mapping file 切换为开启
    • 点击下一步
    • 区域:选择 Google SecOps 所在的区域。
    • 自定义区域网址:这是一个可选设置,只有在上一步中选择了自定义区域时才需要。
    • 服务账号密钥:输入 Google SecOps 提供的 JSON 密钥。
    • 客户 ID:输入您的 Google SecOps 租户的客户 ID。
    • 点击保存

为 Google SecOps 配置日志发送器业务规则

  1. 依次前往日志发送方 > 业务规则
  2. 默认情况下,系统会有一个业务规则来过滤所有提醒和事件。
  3. 如果您想滤除任何特定类型的提醒或事件,请点击创建新规则,然后通过添加规则名称和过滤条件来配置新的业务规则。
  4. 点击保存

为 Google SecOps 配置日志发送器 SIEM 映射

  1. 依次前往 Log Shipper > SIEM 映射
  2. 点击添加 SIEM 映射
  3. 输入以下详细信息:
    • 来源配置:选择 Netskope CLS 插件。
    • 目标配置:选择 Google SecOps 插件。
    • 业务规则:选择您之前创建的规则。
    • 点击保存

验证 Netskope 中事件和提醒的提取和工作流

  1. 前往 Netskope Cloud Exchange 中的日志记录
  2. 搜索拉取的日志。
  3. Logging 中,使用过滤条件 message contains ingested 搜索提取的事件和提醒。
  4. 系统会过滤提取的日志。

UDM 映射表

日志字段 UDM 映射 逻辑
applicationType security_result.detection_fields[].key:“applicationType”
security_result.detection_fields[].valueapplicationType
直接从相应的 CEF 字段映射。
appcategory security_result.category_details[]appcategory 直接从相应的 CEF 字段映射。
browser security_result.detection_fields[].key:“浏览器”
security_result.detection_fields[].valuebrowser
直接从相应的 CEF 字段映射。
c-ip principal.asset.ip[]c-ip
principal.ip[]c-ip
直接从相应的 JSON 字段映射。
cci security_result.detection_fields[].key:“cci”
security_result.detection_fields[].valuecci
直接从相应的 CEF 字段映射。
ccl security_result.confidence:派生值
security_result.confidence_detailsccl
security_result.confidence 是根据 ccl 的值派生的:“极佳”或“高”映射到 HIGH_CONFIDENCE、“中等”映射到 MEDIUM_CONFIDENCE、“低”或“差”映射到 LOW_CONFIDENCE,而“未知”或“not_defined”映射到 UNKNOWN_CONFIDENCE
security_result.confidence_details 是从 ccl 直接映射的。
clientBytes network.sent_bytesclientBytes 直接从相应的 CEF 字段映射。
cs-access-method additional.fields[].key:“accessMethod”
additional.fields[].value.string_valuecs-access-method
直接从相应的 JSON 字段映射。
cs-app additional.fields[].key:“x-cs-app”
additional.fields[].value.string_valuecs-app
principal.applicationcs-app
直接从相应的 JSON 字段映射。
cs-app-activity additional.fields[].key:“x-cs-app-activity”
additional.fields[].value.string_valuecs-app-activity
直接从相应的 JSON 字段映射。
cs-app-category additional.fields[].key:“x-cs-app-category”
additional.fields[].value.string_valuecs-app-category
直接从相应的 JSON 字段映射。
cs-app-cci additional.fields[].key:“x-cs-app-cci”
additional.fields[].value.string_valuecs-app-cci
直接从相应的 JSON 字段映射。
cs-app-ccl additional.fields[].key:“x-cs-app-ccl”
additional.fields[].value.string_valuecs-app-ccl
直接从相应的 JSON 字段映射。
cs-app-from-user additional.fields[].key:“x-cs-app-from-user”
additional.fields[].value.string_valuecs-app-from-user
principal.user.email_addresses[]cs-app-from-user
直接从相应的 JSON 字段映射。
cs-app-instance-id additional.fields[].key:“x-cs-app-instance-id”
additional.fields[].value.string_valuecs-app-instance-id
直接从相应的 JSON 字段映射。
cs-app-object-name additional.fields[].key:“x-cs-app-object-name”
additional.fields[].value.string_valuecs-app-object-name
直接从相应的 JSON 字段映射。
cs-app-object-type additional.fields[].key:“x-cs-app-object-type”
additional.fields[].value.string_valuecs-app-object-type
直接从相应的 JSON 字段映射。
cs-app-suite additional.fields[].key:“x-cs-app-suite”
additional.fields[].value.string_valuecs-app-suite
直接从相应的 JSON 字段映射。
cs-app-tags additional.fields[].key:“x-cs-app-tags”
additional.fields[].value.string_valuecs-app-tags
直接从相应的 JSON 字段映射。
cs-bytes network.sent_bytescs-bytes 直接从相应的 JSON 字段映射。
cs-content-type additional.fields[].key:“sc-content-type”
additional.fields[].value.string_valuecs-content-type
直接从相应的 JSON 字段映射。
cs-dns target.asset.hostname[]cs-dns
target.hostnamecs-dns
直接从相应的 JSON 字段映射。
cs-host target.asset.hostname[]cs-host
target.hostnamecs-host
直接从相应的 JSON 字段映射。
cs-method network.http.methodcs-method 直接从相应的 JSON 字段映射。
cs-referer network.http.referral_urlcs-referer 直接从相应的 JSON 字段映射。
cs-uri additional.fields[].key:“cs-uri”
additional.fields[].value.string_valuecs-uri
直接从相应的 JSON 字段映射。
cs-uri-path additional.fields[].key:“x-cs-uri-path”
additional.fields[].value.string_valuecs-uri-path
直接从相应的 JSON 字段映射。
cs-uri-port additional.fields[].key:“cs-uri-port”
additional.fields[].value.string_valuecs-uri-port
直接从相应的 JSON 字段映射。
cs-uri-scheme network.application_protocolcs-uri-scheme 转换为大写后,直接从相应的 JSON 字段映射。
cs-user-agent network.http.parsed_user_agent:解析后的用户代理
network.http.user_agentcs-user-agent
network.http.parsed_user_agent 是通过使用“parseduseragent”过滤器解析 cs-user-agent 字段派生的。
cs-username principal.user.useridcs-username 直接从相应的 JSON 字段映射。
date metadata.event_timestamp.secondsdatetime 字段中的从公元纪年开始计算的秒数
metadata.event_timestamp.nanos:0
系统会将日期和时间组合起来,并转换为从公元纪年开始计算的秒数和纳秒数。纳秒设置为 0。
device intermediary.hostnamedevice 直接从相应的 CEF 字段映射。
dst target.ip[]dst 直接从相应的 CEF 字段映射。
dst_country target.location.country_or_regiondst_country 直接从相应的 grokked 字段映射。
dst_ip target.asset.ip[]dst_ip
target.ip[]dst_ip
直接从相应的 grokked 字段映射。
dst_location target.location.citydst_location 直接从相应的 grokked 字段映射。
dst_region target.location.statedst_region 直接从相应的 grokked 字段映射。
dst_zip 未映射 此字段未映射到 UDM。
duser target.user.email_addresses[]duser
target.user.user_display_nameduser
直接从相应的 CEF 字段映射。
dvchost about.hostnamedvchost
target.asset.hostname[]dvchost
target.hostnamedvchost
直接从相应的 CEF 字段映射。
event_timestamp metadata.event_timestamp.secondsevent_timestamp 直接从相应的 grokked 字段映射。
hostname target.asset.hostname[]hostname
target.hostnamehostname
直接从相应的 CEF 字段映射。
IncidentID security_result.detection_fields[].key:“IncidentID”
security_result.detection_fields[].valueIncidentID
直接从相应的 CEF 字段映射。
intermediary intermediaryintermediary 直接从相应的 CEF 字段映射。
md5 target.file.md5md5 直接从相应的 CEF 字段映射。
message 各种 UDM 字段 系统会根据 message 字段是否包含“CEF”来对其进行解析。如果是,则会被视为 CEF 日志。否则,它会解析为空格分隔的字符串或 JSON。如需了解详情,请参阅“解析逻辑”部分。
mime_type1 未映射 此字段未映射到 UDM。
mime_type2 未映射 此字段未映射到 UDM。
mwDetectionEngine additional.fields[].key:“mwDetectionEngine”
additional.fields[].value.string_valuemwDetectionEngine
直接从相应的 CEF 字段映射。
mwType metadata.descriptionmwType 直接从相应的 CEF 字段映射。
os principal.platform:派生值 平台派生自 os 字段:“Windows”映射到 WINDOWS、“MAC”映射到 MAC,而“LINUX”映射到 LINUX
page network.http.referral_urlpage 直接从相应的 CEF 字段映射。
port 未映射 此字段未映射到 UDM。
referer network.http.referral_urlreferer 直接从相应的 CEF 字段映射。
requestClientApplication network.http.parsed_user_agent:解析后的用户代理
network.http.user_agentrequestClientApplication
network.http.parsed_user_agent 是通过使用“parseduseragent”过滤器解析 requestClientApplication 字段派生的。
request_method network.http.methodrequest_method 直接从相应的 grokked 字段映射。
request_protocol 未映射 此字段未映射到 UDM。
rs-status additional.fields[].key:“rs-status”
additional.fields[].value.string_valuers-status
network.http.response_coders-status
直接从相应的 JSON 字段映射。
s-ip target.asset.ip[]s-ip
target.ip[]s-ip
直接从相应的 JSON 字段映射。
sc-bytes network.received_bytessc-bytes 直接从相应的 JSON 字段映射。
sc-content-type additional.fields[].key:“sc-content-type”
additional.fields[].value.string_valuesc-content-type
直接从相应的 JSON 字段映射。
sc-status network.http.response_codesc-status 直接从相应的 JSON 字段映射。
serverBytes network.received_bytesserverBytes 直接从相应的 CEF 字段映射。
sha256 target.file.sha256sha256 直接从相应的 CEF 字段映射。
src principal.ip[]src 直接从相应的 CEF 字段映射。
src_country principal.location.country_or_regionsrc_country 直接从相应的 grokked 字段映射。
src_ip principal.asset.ip[]src_ip
principal.ip[]src_ip
直接从相应的 grokked 字段映射。
src_latitude 未映射 此字段未映射到 UDM。
src_location principal.location.citysrc_location 直接从相应的 grokked 字段映射。
src_longitude 未映射 此字段未映射到 UDM。
src_region principal.location.statesrc_region 直接从相应的 grokked 字段映射。
src_zip 未映射 此字段未映射到 UDM。
suser principal.user.user_display_namesuser 直接从相应的 CEF 字段映射。
target_host target.asset.hostname[]target_host
target.hostnametarget_host
直接从相应的 grokked 字段映射。
time metadata.event_timestamp.secondsdatetime 字段中的从公元纪年开始计算的秒数
metadata.event_timestamp.nanos:0
系统会将日期和时间组合起来,并转换为从公元纪年开始计算的秒数和纳秒数。纳秒设置为 0。
timestamp metadata.event_timestamp.secondstimestamp 直接从相应的 CEF 字段映射。
ts metadata.event_timestamp.seconds:自 ts
metadata.event_timestamp.nanos 起的从公元纪年开始计算的秒数:0
时间戳会转换为公元纪年秒数和纳秒数。纳秒设置为 0。
url target.urlurl 直接从相应的 CEF 字段映射。
user_agent network.http.parsed_user_agent:解析后的用户代理
network.http.user_agentuser_agent
network.http.parsed_user_agent 是通过使用“parseduseragent”过滤器解析 user_agent 字段派生的。
user_ip 未映射 此字段未映射到 UDM。
user_key principal.user.email_addresses[]user_key 直接从相应的 grokked 字段映射。
version 未映射 此字段未映射到 UDM。
x-c-browser additional.fields[].key:“x-c-browser”
additional.fields[].value.string_valuex-c-browser
直接从相应的 JSON 字段映射。
x-c-browser-version additional.fields[].key:“x-c-browser-version”
additional.fields[].value.string_valuex-c-browser-version
直接从相应的 JSON 字段映射。
x-c-country principal.location.country_or_regionx-c-country 直接从相应的 JSON 字段映射。
x-c-device additional.fields[].key:“x-c-device”
additional.fields[].value.string_valuex-c-device
直接从相应的 JSON 字段映射。
x-c-latitude principal.location.region_coordinates.latitudex-c-latitude 直接从相应的 JSON 字段映射。
x-c-local-time security_result.detection_fields[].key:“x-c-local-time”
security_result.detection_fields[].valuex-c-local-time
直接从相应的 JSON 字段映射。
x-c-location principal.location.namex-c-location 直接从相应的 JSON 字段映射。
x-c-longitude principal.location.region_coordinates.longitudex-c-longitude 直接从相应的 JSON 字段映射。
x-c-os principal.platform:派生值 平台派生自 x-c-os 字段:“Windows”映射到 WINDOWS、“MAC”映射到 MAC,而“LINUX”映射到 LINUX
x-c-region principal.location.statex-c-region 直接从相应的 JSON 字段映射。
x-c-zipcode additional.fields[].key:“x-c-zipcode”
additional.fields[].value.string_valuex-c-zipcode
直接从相应的 JSON 字段映射。
x-category additional.fields[].key:“x-category”
additional.fields[].value.string_valuex-category
直接从相应的 JSON 字段映射。
x-category-id additional.fields[].key:“x-category-id”
additional.fields[].value.string_valuex-category-id
直接从相应的 JSON 字段映射。
x-cs-access-method additional.fields[].key:“accessMethod”
additional.fields[].value.string_valuex-cs-access-method
直接从相应的 JSON 字段映射。
x-cs-app principal.applicationx-cs-app
additional.fields[].key:“x-cs-app”
additional.fields[].value.string_valuex-cs-app
直接从相应的 JSON 字段映射。
x-cs-app-activity additional.fields[].key:“x-cs-app-activity”
additional.fields[].value.string_valuex-cs-app-activity
直接从相应的 JSON 字段映射。
x-cs-app-category additional.fields[].key:“x-cs-app-category”
additional.fields[].value.string_valuex-cs-app-category
直接从相应的 JSON 字段映射。
x-cs-app-cci additional.fields[].key:“x-cs-app-cci”
additional.fields[].value.string_valuex-cs-app-cci
直接从相应的 JSON 字段映射。
x-cs-app-from-user additional.fields[].key:“x-cs-app-from-user”
additional.fields[].value.string_valuex-cs-app-from-user
直接从相应的 JSON 字段映射。
x-cs-app-object-id additional.fields[].key:“x-cs-app-object-id”
additional.fields[].value.string_valuex-cs-app-object-id
直接从相应的 JSON 字段映射。
x-cs-app-object-name additional.fields[].key:“x-cs-app-object-name”
additional.fields[].value.string_valuex-cs-app-object-name
直接从相应的 JSON 字段映射。
x-cs-app-object-type additional.fields[].key:“x-cs-app-object-type”
additional.fields[].value.string_valuex-cs-app-object-type
直接从相应的 JSON 字段映射。
x-cs-app-suite additional.fields[].key:“x-cs-app-suite”
additional.fields[].value.string_valuex-cs-app-suite
直接从相应的 JSON 字段映射。
x-cs-app-tags additional.fields[].key:“x-cs-app-tags”
additional.fields[].value.string_valuex-cs-app-tags
直接从相应的 JSON 字段映射。
x-cs-app-to-user additional.fields[].key:“x-cs-app-to-user”
additional.fields[].value.string_valuex-cs-app-to-user
直接从相应的 JSON 字段映射。
x-cs-dst-ip security_result.detection_fields[].key:"x-cs-dst-ip"
security_result.detection_fields[].valuex-cs-dst-ip
target.asset.ip[]x-cs-dst-ip
target.ip[]x-cs-dst-ip
直接从相应的 JSON 字段映射。
x-cs-dst-port security_result.detection_fields[].key:"x-cs-dst-port"
security_result.detection_fields[].valuex-cs-dst-port
target.portx-cs-dst-port
直接从相应的 JSON 字段映射。
x-cs-http-version security_result.detection_fields[].key:“x-cs-http-version”
security_result.detection_fields[].valuex-cs-http-version
直接从相应的 JSON 字段映射。
x-cs-page-id additional.fields[].key:“x-cs-page-id”
additional.fields[].value.string_valuex-cs-page-id
直接从相应的 JSON 字段映射。
x-cs-session-id network.session_idx-cs-session-id 直接从相应的 JSON 字段映射。
x-cs-site additional.fields[].key:“x-cs-site”
additional.fields[].value.string_valuex-cs-site
直接从相应的 JSON 字段映射。
x-cs-sni network.tls.client.server_namex-cs-sni 直接从相应的 JSON 字段映射。
x-cs-src-ip principal.asset.ip[]x-cs-src-ip
principal.ip[]x-cs-src-ip
security_result.detection_fields[].key:"x-cs-src-ip"
security_result.detection_fields[].valuex-cs-src-ip
直接从相应的 JSON 字段映射。
x-cs-src-ip-egress principal.asset.ip[]x-cs-src-ip-egress
principal.ip[]x-cs-src-ip-egress
security_result.detection_fields[].key:"x-cs-src-ip-egress"
security_result.detection_fields[].valuex-cs-src-ip-egress
直接从相应的 JSON 字段映射。
x-cs-src-port principal.portx-cs-src-port
security_result.detection_fields[].key:“x-cs-src-port”
security_result.detection_fields[].valuex-cs-src-port
直接从相应的 JSON 字段映射。
x-cs-ssl-cipher network.tls.cipherx-cs-ssl-cipher 直接从相应的 JSON 字段映射。
x-cs-ssl-fronting-error security_result.detection_fields[].key:“x-cs-ssl-fronting-error”
security_result.detection_fields[].valuex-cs-ssl-fronting-error
直接从相应的 JSON 字段映射。
x-cs-ssl-handshake-error security_result.detection_fields[].key:“x-cs-ssl-handshake-error”
security_result.detection_fields[].valuex-cs-ssl-handshake-error
直接从相应的 JSON 字段映射。
x-cs-ssl-ja3 network.tls.client.ja3x-cs-ssl-ja3 直接从相应的 JSON 字段映射。
x-cs-ssl-version network.tls.versionx-cs-ssl-version 直接从相应的 JSON 字段映射。
x-cs-timestamp metadata.event_timestamp.secondsx-cs-timestamp 直接从相应的 JSON 字段映射。
x-cs-traffic-type additional.fields[].key:“trafficType”
additional.fields[].value.string_valuex-cs-traffic-type
直接从相应的 JSON 字段映射。
x-cs-tunnel-src-ip security_result.detection_fields[].key:“x-cs-tunnel-src-ip”
security_result.detection_fields[].valuex-cs-tunnel-src-ip
直接从相应的 JSON 字段映射。
x-cs-uri-path additional.fields[].key:“x-cs-uri-path”
additional.fields[].value.string_valuex-cs-uri-path
直接从相应的 JSON 字段映射。
x-cs-url target.urlx-cs-url 直接从相应的 JSON 字段映射。
x-cs-userip security_result.detection_fields[].key:“x-cs-userip”
security_result.detection_fields[].valuex-cs-userip
直接从相应的 JSON 字段映射。
x-other-category security_result.category_details[]x-other-category 直接从相应的 JSON 字段映射。
x-other-category-id security_result.detection_fields[].key:“x-other-category-id”
security_result.detection_fields[].valuex-other-category-id
直接从相应的 JSON 字段映射。
x-policy-action security_result.action:派生值
security_result.action_detailsx-policy-action
security_result.action 是通过将 x-policy-action 转换为大写字符串派生而来。如果大写值为“ALLOW”或“BLOCK”,则直接使用该值。否则,系统不会进行映射。
security_result.action_details 是从 x-policy-action 直接映射的。
x-policy-dst-host security_result.detection_fields[].key:“x-policy-dst-host”
security_result.detection_fields[].valuex-policy-dst-host
直接从相应的 JSON 字段映射。
x-policy-dst-host-source security_result.detection_fields[].key:“x-policy-dst-host-source”
security_result.detection_fields[].valuex-policy-dst-host-source
直接从相应的 JSON 字段映射。
x-policy-dst-ip security_result.detection_fields[].key:“x-policy-dst-ip”
security_result.detection_fields[].valuex-policy-dst-ip
直接从相应的 JSON 字段映射。
x-policy-name security_result.rule_namex-policy-name 直接从相应的 JSON 字段映射。
x-policy-src-ip security_result.detection_fields[].key:“x-policy-src-ip”
security_result.detection_fields[].valuex-policy-src-ip
直接从相应的 JSON 字段映射。
x-r-cert-enddate network.tls.server.certificate.not_after.seconds:自 x-r-cert-enddate 以来的从公元纪年开始计算的秒数 系统会将日期转换为自公元纪年以来的秒数。
x-r-cert-expired additional.fields[].key:“x-r-cert-expired”
additional.fields[].value.string_valuex-r-cert-expired
直接从相应的 JSON 字段映射。
x-r-cert-incomplete-chain additional.fields[].key:“x-r-cert-incomplete-chain”
additional.fields[].value.string_valuex-r-cert-incomplete-chain
直接从相应的 JSON 字段映射。
x-r-cert-issuer-cn network.tls.server.certificate.issuerx-r-cert-issuer-cn 直接从相应的 JSON 字段映射。
x-r-cert-mismatch additional.fields[].key:“x-r-cert-mismatch”
additional.fields[].value.string_valuex-r-cert-mismatch
直接从相应的 JSON 字段映射。
x-r-cert-revoked additional.fields[].key:“x-r-cert-revoked”
additional.fields[].value.string_valuex-r-cert-revoked
直接从相应的 JSON 字段映射。
x-r-cert-self-signed additional.fields[].key:“x-r-cert-self-signed”
additional.fields[].value.string_valuex-r-cert-self-signed
直接从相应的 JSON 字段映射。
x-r-cert-startdate network.tls.server.certificate.not_before.seconds:自 x-r-cert-startdate 以来的从公元纪年开始计算的秒数 系统会将日期转换为自公元纪年以来的秒数。
x-r-cert-subject-cn network.tls.server.certificate.subjectx-r-cert-subject-cn 直接从相应的 JSON 字段映射。
x-r-cert-untrusted-root additional.fields[].key:“x-r-cert-untrusted-root”
additional.fields[].value.string_valuex-r-cert-untrusted-root
直接从相应的 JSON 字段映射。
x-r-cert-valid additional.fields[].key:“x-r-cert-valid”
additional.fields[].value.string_valuex-r-cert-valid
直接从相应的 JSON 字段映射。
x-request-id additional.fields[].key:“requestId”
additional.fields[].value.string_valuex-request-id
直接从相应的 JSON 字段映射。
x-rs-file-category additional.fields[].key:“x-rs-file-category”
additional.fields[].value.string_valuex-rs-file-category
直接从相应的 JSON 字段映射。
x-rs-file-type additional.fields[].key:"x-rs-file-type"
additional.fields[].value.string_valuex-rs-file-type
直接从相应的 JSON 字段映射。
x-s-country target.location.country_or_regionx-s-country 直接从相应的 JSON 字段映射。
x-s-dp-name additional.fields[].key:“x-s-dp-name”
additional.fields[].value.string_valuex-s-dp-name
直接从相应的 JSON 字段映射。
x-s-latitude target.location.region_coordinates.latitudex-s-latitude 直接从相应的 JSON 字段映射。
x-s-location target.location.namex-s-location 直接从相应的 JSON 字段映射。
x-s-longitude target.location.region_coordinates.longitudex-s-longitude 直接从相应的 JSON 字段映射。
x-s-region target.location.statex-s-region 直接从相应的 JSON 字段映射。
x-s-zipcode additional.fields[].key:“x-s-zipcode”
additional.fields[].value.string_valuex-s-zipcode
直接从相应的 JSON 字段映射。
x-sr-ssl-cipher security_result.detection_fields[].key:“x-sr-ssl-cipher”
security_result.detection_fields[].valuex-sr-ssl-cipher
直接从相应的 JSON 字段映射。
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error
直接从相应的 JSON 字段映射。
x-sr-ssl-engine-action security_result.detection_fields[].key:“x-sr-ssl-engine-action”
security_result.detection_fields[].valuex-sr-ssl-engine-action
直接从相应的 JSON 字段映射。
x-sr-ssl-engine-action-reason security_result.detection_fields[].key:“x-sr-ssl-engine-action-reason”
security_result.detection_fields[].valuex-sr-ssl-engine-action-reason
直接从相应的 JSON 字段映射。
x-sr-ssl-handshake-error security_result.detection_fields[].key:“x-sr-ssl-handshake-error”
security_result.detection_fields[].valuex-sr-ssl-handshake-error
直接从相应的 JSON 字段映射。
x-sr-ssl-ja3s network.tls.server.ja3sx-sr-ssl-ja3s 直接从相应的 JSON 字段映射。
x-sr-ssl-malformed-ssl security_result.detection_fields[].key:“x-sr-ssl-malformed-ssl”
security_result.detection_fields[].valuex-sr-ssl-malformed-ssl
直接从相应的 JSON 字段映射。
x-sr-ssl-version security_result.detection_fields[].key:“x-sr-ssl-version”
security_result.detection_fields[].valuex-sr-ssl-version
直接从相应的 JSON 字段映射。
x-s-custom-signing-ca-error security_result.detection_fields[].key:“x-s-custom-signing-ca-error”
security_result.detection_fields[].valuex-s-custom-signing-ca-error
直接从相应的 JSON 字段映射。
x-ssl-bypass security_result.detection_fields[].key:“SSL BYPASS”
security_result.detection_fields[].valuex-ssl-bypassx-ssl-bypass-reason
如果 x-ssl-bypass 为“是”,且存在 x-ssl-bypass-reason,则使用 x-ssl-bypass-reason 的值。否则,系统会使用 x-ssl-bypass 的值。
x-ssl-policy-action security_result.detection_fields[].key:“x-ssl-policy-action”
security_result.detection_fields[].valuex-ssl-policy-action
直接从相应的 JSON 字段映射。
x-ssl-policy-categories security_result.category_details[]x-ssl-policy-categories 直接从相应的 JSON 字段映射。
x-ssl-policy-dst-host security_result.detection_fields[].key:“x-ssl-policy-dst-host”
security_result.detection_fields[].valuex-ssl-policy-dst-host
直接从相应的 JSON 字段映射。
x-ssl-policy-dst-host-source security_result.detection_fields[].key:"x-ssl-policy-dst-host-source"
security_result.detection_fields[].valuex-ssl-policy-dst-host-source
直接从相应的 JSON 字段映射。
x-ssl-policy-dst-ip security_result.detection_fields[].key:“x-ssl-policy-dst-ip”
security_result.detection_fields[].valuex-ssl-policy-dst-ip
直接从相应的 JSON 字段映射。
x-ssl-policy-name security_result.rule_namex-ssl-policy-name 直接从相应的 JSON 字段映射。
x-ssl-policy-src-ip security_result.detection_fields[].key:“x-ssl-policy-src-ip”
security_result.detection_fields[].valuex-ssl-policy-src-ip
直接从相应的 JSON 字段映射。
x-sr-dst-ip security_result.detection_fields[].key:“x-sr-dst-ip”
security_result.detection_fields[].valuex-sr-dst-ip
直接从相应的 JSON 字段映射。
x-sr-dst-port security_result.detection_fields[].key:“x-sr-dst-port”
security_result.detection_fields[].valuex-sr-dst-port
直接从相应的 JSON 字段映射。
x-type additional.fields[].key:“xType”
additional.fields[].value.string_valuex-type
直接从相应的 JSON 字段映射。
x-transaction-id additional.fields[].key:“transactionId”
additional.fields[].value.string_valuex-transaction-id
直接从相应的 JSON 字段映射。
不适用 metadata.vendor_name:“Netskope” 解析器中的硬编码值。
不适用 metadata.product_name:“Netskope Webproxy” 如果不存在,请将其设置为“Netskope Webproxy”。
不适用 metadata.log_type:“NETSKOPE_WEBPROXY” 解析器中的硬编码值。

更改

2024-06-04

  • 添加了 Grok 来处理未解析的日志。
  • 将“url”映射到“target.url”。
  • 将“appSessionId”映射到“network.session_id”。
  • 将“页面”映射到“network.http.referral_url”。
  • 将“appcategory”映射到“security_result.category_details”。
  • 将“clientBytes”映射到“network.sent_bytes”。
  • 将“serverBytes”映射到“network.received_bytes”。
  • 将“ccl”映射到“security_result.confidence_details”。
  • 将“IncidentID”“applicationType”“browser”和“cci”映射到“security_result.detection_fields”。

2024-04-22

  • 将“x-cs-app-ccl”“x-cs-app-instance-id”“x-cs-app-tags”“x-cs-app-instance-name”“x-cs-app-instance-tag”“x-cs-app-to-user”“x-cs-app-object-id”和“x-cs-app-from-user”映射到“additional.fields”。

2024-02-26

  • 将“cs-bytes”的映射从“network.received_bytes”更改为“network.sent_bytes”。
  • 将“sc-bytes”的映射从“network.sent_bytes”更改为“network.received_bytes”。
  • 将“x-cs-app-object-name”映射到“additional.fields”。
  • 将“x-cs-app-from-user”映射到“principal.user.email_addresses”。

2023-12-22

  • 如果“cs-dns”值为“null”,则将“cs-host”映射从“principal.hostname”更改为“target.hostname”。
  • 将“cs-dns”映射从“principal.hostname”更改为“target.hostname”。
  • 如果“sc-status”值为“null”,则将“rs-status”映射到“network.http.response_code”。
  • 将“x-cs-app”映射到“principal.application”。
  • 将“x-cs-src-ip-egress”映射到“principal.ip”。

2023-12-08

  • 添加了 on_error 检查以解析失败的日志。
  • 将“metadata.vendor_name”设置为“Netskope”,将“metadata.product_name”设置为“Netskope Webproxy”。
  • 在映射之前,为“src_region”“src_country”“src_location”“dst_region”“dst_country”“dst_location”添加了条件检查。

2023-10-09

  • 如果不存在“target.hostname”,则将“dvchost”映射到“target.hostname”。
  • 在映射“requestClientApplication”之前添加了 null 检查。

2023-09-12

  • 将“x-cs-dst-ip”映射到“target.ip”。
  • 将“x-cs-src-ip”映射到“principal.ip”。
  • 将“x-cs-src-port”映射到“principal.port”。
  • 将“x-cs-dst-port”映射到“target.port”。
  • 为日期过滤器添加了 on_error 检查。
  • 在映射“metadata.event_type”之前添加了条件检查。

2023-08-28

  • 将“cs-uri”映射到“additional.fields”。
  • 将“cs-uri-port”映射到“additional.fields”。
  • 将“x-s-zipcode”映射到“additional.fields”。
  • 将“x-c-zipcode”映射到“additional.fields”。
  • 将“x-cs-site”映射到“additional.fields”。
  • 将“x-category”映射到“additional.fields”。
  • 将“x-sr-ssl-version”映射到“security_result.detection_fields”。
  • 将“x-sr-ssl-cipher”映射到“security_result.detection_fields”。
  • 将“x-cs-src-ip-egress”映射到“security_result.detection_fields”。
  • 将“x-cs-userip”映射到“security_result.detection_fields”。
  • 将“x-cs-url”映射到“target.url”。
  • 将“x-cs-uri-path”映射到“additional.fields”。
  • 将“x-cs-app-cci”映射到“additional.fields”。
  • 将“x-cs-app-object-type”映射到“additional.fields”。
  • 将“x-rs-file-type”映射到“additional.fields”。
  • 将“x-rs-file-category”映射到“additional.fields”。

2023-08-17

  • 添加了对新 JSON 类型日志格式的支持。

2023-06-22

  • 添加了对新的 SYSLOG+JSON 类型日志格式的支持。

2023-05-30

  • 将“duser”映射到“target.user.email_addresses”。
  • 将“requestClientApplication”映射到“network.http.parsed_user_agent”。

2023-02-03

  • 将“网域”映射到“principal.administrative_domain”。

2023-01-09

  • 添加了基于存在的必需参数映射不同 event_type 的条件检查。
  • 解析了不同格式的“rt”。

2022-04-06

  • 增强功能 - 添加了新字段的映射
  • md5、mwDetectionEngine、mwProfile、mwType 已映射到 udm。