BLUECOAT_WEBPROXY 변경 로그

날짜 변경사항
2023-12-19 개선사항 -
- 'originating_ip'의 매핑이 'principal.ip'에 추가되었습니다.
2023-12-13 버그 수정:
- 'cs-host'의 매핑이 'principal.hostname'에서 'target.hostname'으로 변경되었습니다.
- 'principal.hostname'에 매핑되기 전에 'c_ip_host'에 null 확인을 추가했습니다.
- 's-supplier-ip'가 'intermediary.ip'에 매핑되었습니다.
- 's-source-ip'가 'intermediary.ip'에 매핑되었습니다.
- 'cs-uri-port'가 'target.port'에 매핑되었습니다.
- 'x-bluecoat-application-name'이 'target.application'에 매핑되었습니다.
- 'x-rs-certificate-validate-status'가 'network.tls.server.certificate.subject'에 매핑되었습니다.
- 'x-sr-vpop-country-code'가 'principal.location.country_or_region'에 매핑되었습니다.
- 'cs-icap-status'가 'security_result.description'에 매핑되었습니다.
- 'x-rs-ocsp-error', 'x-cs-ocsp-error', 'cs-icap-error-details', 'rs-icap-error-details', 'risk-groups', 'x-rs-certificate-hostname-threat-risk', 'cs-X-Requested-With', 'x-rs-connection-negotiated-ssl-version', 'x-cs-connection-negotiated-cipher-size', 'x-rs-connection-negotiated-cipher-size', 'x-rs-connection-negotiated-cipher', 'x-bluecoat-reference-id', 'x-bluecoat-placeholder', 'wf_id', 'verdict', 'x-cloud-rs', 'x-symc-dei-via', 'x-sc-connection-issuer-keyring', 'x-client-security-posture-risk-score', 's-supplier-failures', 'x-data-leak-detected', 'x-virus-id', 'x-rs-certificate-observed-errors', 'x-rs-connection-negotiated-cipher-strength'가 'security_result.detection_fields'에 매핑되었습니다.
- 주 구성원 및 대상 세부정보가 있는 경우 'metadata.event_type'을 'NETWORK_CONNECTION'으로 설정합니다.
2023-11-27 개선사항 -
- JSON 로그에 대한 지원이 추가되었습니다.
- '_network.http.response_code'를 'network.http.response_code'에 매핑하기 위한 on_error가 추가되었습니다.
- 'date_time', 'rs_status', 'c_ip_host', 'r_port', 'json_message', 'r_dns'를 null로 초기화했습니다.
- 'rs_status'가 'network.http.response_code'에 매핑되기 전에 null 확인을 추가했습니다.
- 날짜 패턴을 매칭하기 전에 'date_time'에 null 확인을 추가했습니다.
- 'x-sr-vpop-ip'가 'principal.ip'에 매핑되었습니다.
- 'cs-userdn'이 'principal.user.userid'에 매핑되었습니다.
- 'x-client-agent-type'이 'principal.application'에 매핑되었습니다.
- 'x-client-agent-sw'가 'principal.asset.software'에 매핑되었습니다.
- 'x-sr-vpop-country'가 'principal.location.country_or_region'에 매핑되었습니다.
- 'x-client-device-id'가 'principal.resource.product_object_id'에 매핑되었습니다.
- 'application-name'이 'target.applcation'에 매핑되었습니다.
- 'rs_content_type'이 'target.file.mime_type'에 매핑되었습니다.
- 'sc_status'가 'network.http.response_code'에 매핑되었습니다.
- 'x-bluecoat-appliance-name'이 'intermediary.application'에 매핑되었습니다.
- 's-supplier-country'가 'intermediary.location.country_or_region'에 매핑되었습니다.
2023-11-13 개선사항 -
- 'rs_server'가 'security_result.about.labels'에 매핑되었습니다.
- 'c_uri_path_query'가 'target.file.full_path'에 매핑되었습니다.
- 'time_taken'이 'network.session_duration.nanos'에 매핑되었습니다.
- 'target_url'을 완료하기 위해 'target_hostname'이 추가되었습니다.
- 'cs_threat_risk'가 'security_result.risk_score'에 매핑되었습니다.
2023-10-01 개선사항 -
- '로그 업로드 실패'가 포함된 로그 삭제가 삭제되었습니다.
- 'metadata.event_type'을 'NETWORK_CONNECTION'에 매핑하기 전에 'ip_target'에 대한 확인이 추가되었습니다. 'ip_target'이 '-'인 경우 'metadata.event_type'이 'STATUS_UPDATE'에 매핑됩니다.
- Grok 패턴 대신 CSV 추출을 사용하여 로그가 파싱됩니다.
2023-08-18 개선사항 -
- 새 형식의 syslog 로그를 파싱하기 위한 Grok 패턴이 추가되었습니다.
- 'x_cs_connection_negotiated_cipher'가 'network.tls.cipher'에 매핑되었습니다.
- 'x_rs_certificate_hostname'이 'network.tls.client.server_name'에 매핑되었습니다.
- 'x_rs_certificate_validate_status'가 'network.tls.server.certificate.subject'에 매핑되었습니다.
- 's_icap_status'가 'security_result.description'에 매핑되었습니다.
- 'x_cs_connection_negotiated_ssl_version'이 'network.tls.version'에 매핑되었습니다.
2023-06-25 개선사항 - 파싱되지 않은 로그를 파싱하는 Grok 패턴을 추가했습니다.
- 'metadata.event_type'이 'GENERIC_EVENT'에서 가능한 경우 더 구체적인 값으로 변경되었습니다.
2023-04-27 - 'cs(User-Agent)'가 'network.http.user_agent'에 매핑되었습니다.
- 'cs-uri-scheme'이 'network.ip_protocol'에 매핑되었습니다.
- 일부 필드의 'on_error' 문에 null 확인이 추가되었습니다.
- 'dst_user'가 'target.user.userid'에 매핑됩니다.
- 'session_id'가 'network.session_id'에 매핑됩니다.
- 인증 로그 유형에 대한 새로운 Grok 패턴이 추가되었습니다.
2022-09-28 개선사항 - 고객별 파서가 기본값으로 마이그레이션되었습니다.
- 로그에 존재하지 않을 수 있는 필드 값을 바꾸는 동안 'on_error' 문이 추가되었습니다.
- 가능한 경우 'metadata.event_type'을 'GENERIC_EVENT'에서 'NETWORK_CONNECTION'으로 업데이트했습니다.
- 'target.ip' 또는 'target.hostname'의 값이 존재하지 않도록 'metadata.event_type'을 'STATUS_UPDATE' 또는 'STATUS_UNCATEGORIZED'로 매핑하기 전에 조건 확인을 추가했습니다. 그렇지 않을 경우 오류가 발생할 수 있습니다.
2022-08-23 개선사항 -
- 'sc_status'가 'network.http.response_code'에 매핑되었습니다.
- 'rule_name'이 'security_result.rule_name'에 매핑되었습니다.
- 'cs_method'가 'network.http.method'에 매핑되었습니다.
- 'application_protocol'이 'network.application_protocol'에 매핑되었습니다.
- 'communication_type'이 'security_result.rule_name'에 매핑되었습니다.
- 'rule_name'이 'security_result.about.labels'에 매핑되었습니다.
- 'cs_host', 'hostname', 'cs_method', 'cs_uri_scheme', 'cs_username', 'sc_bytes', 'username'에 대한 null 확인이 추가되었습니다.
- Drop 문이 삭제되었습니다.
2022-05-25 개선사항 - PingSSOWAF syslog의 GROK 추출이 추가되었습니다.
2022-04-20 개선사항 - 부적절한 JSON 형식의 로그가 삭제되었습니다.
- 이러한 로그를 처리하기 위해 on_error 조건부 확인이 추가되었습니다.