Diese Seite wurde von der Cloud Translation API übersetzt.

Blue Coat ProxySG-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Blue Coat ProxySG-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser verarbeitet Blue Coat-Webproxy-Logs und unterstützt die Formate SYSLOG+JSON und SYSLOG+KV. Dabei werden eine Reihe von bedingten Prüfungen und Grok-Mustern verwendet, um das Logformat zu identifizieren, relevante Felder zu extrahieren und sie dem Unified Data Model (UDM) zuzuordnen. Außerdem werden verschiedene Logstrukturen und Grenzfälle berücksichtigt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
Privilegierter Zugriff auf Blue Coat ProxySG

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

Bindlane-Agent so konfigurieren, dass Syslog aufgenommen und an Google SecOps gesendet wird

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in Blue Coat ProxySG konfigurieren

Melden Sie sich in der Blue Coat ProxySG-Verwaltungskonsole an.
Klicken Sie auf Wartung > Ereignisprotokollierung > Syslog.
Klicken Sie auf Neu.
Geben Sie die folgenden Konfigurationsdetails an:
- Loghost: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Klicken Sie auf OK.
Klicken Sie das Kästchen Syslog aktivieren an.
Wählen Sie Stufe aus.
Aktivieren Sie das Kästchen Verbose (Ausführlich).
Klicken Sie auf Übernehmen.

Benutzerdefinierten Client in Blue Coat ProxySG konfigurieren

Gehen Sie zu Konfiguration > Zugriffsprotokollierung > Protokolle > Upload-Client.
Wählen Sie in der Liste „Log“ Streaming aus.
Wählen Sie in der Liste „Clienttyp“ die Option Benutzerdefinierter Client aus.
Klicken Sie auf Einstellungen.
Wählen Sie in der Liste Einstellungen den primären oder alternativen benutzerdefinierten Server aus, um ihn zu konfigurieren.
Geben Sie die folgenden Konfigurationsdetails an:
- Host: Geben Sie den Hostnamen oder die IP-Adresse des Uploadziels ein.
- Port: Auf 514 festlegen.
- Sichere Verbindungen (SSL) verwenden: Auf Aus eingestellt.
- Klicken Sie auf OK.
- Klicken Sie auf Übernehmen, um zum Tab Upload-Client zurückzukehren.
Führen Sie für jedes Logformat, das Sie für Haupt-, IM- und Streaming-Logs verwenden möchten, die folgenden Schritte aus:
- Wählen Sie das Log aus.
- Weisen Sie den Upload-Client als Benutzerdefinierten Client zu.
- Wählen Sie <No Encryption> und <No Signing> aus.
- Speichern Sie die Protokolldatei als Textdatei.
- Klicken Sie auf Upload Schedule (Upload-Zeitplan) > Upload Type (Upload-Typ).
- Wählen Sie für Zugriffslog hochladen die Option Kontinuierlich aus, um die Zugriffslogs zu streamen.
- Klicken Sie auf OK.
Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`@timestamp`	`metadata.event_timestamp`	Der Zeitstempel des Ereignisses, wie er von der Blue Coat-Appliance aufgezeichnet wurde. Aus den JSON-Daten geparst.
`application-name`	`target.application`	Der Name der Anwendung, die mit dem Netzwerk-Traffic verknüpft ist. Aus den JSON-Daten geparst.
`c-ip`	`principal.asset.ip` `principal.ip`	IP-Adresse des Clients. Aus den JSON-Daten geparst.
`c_ip`	`principal.ip` `principal.asset.ip`	IP-Adresse des Clients. Aus verschiedenen Logformaten geparst.
`c_ip_host`	`principal.hostname` `principal.asset.hostname`	Client-Hostname, falls verfügbar. Aus den JSON-Daten geparst.
`cs-auth-group`	`principal_user_group_identifiers`	Gruppe für die Clientauthentifizierung. Aus den JSON-Daten geparst.
`cs-bytes`	`network.sent_bytes`	Anzahl der vom Client gesendeten Bytes. Aus den JSON-Daten geparst.
`cs-categories`	`security_result.category_details`	Kategorien, die der Webanfrage von der Blue Coat-Appliance zugewiesen wurden. Aus den JSON-Daten geparst.
`cs-host`	`target_hostname`	Der vom Client angeforderte Hostname. Aus den JSON-Daten geparst.
`cs-icap-error-details`	`security_result.detection_fields`	ICAP-Fehlerdetails von der Clientseite. Aus den JSON-Daten geparst, Schlüssel ist „cs-icap-error-details“.
`cs-icap-status`	`security_result.description`	ICAP-Status von der Clientseite. Aus den JSON-Daten geparst.
`cs-method`	`network.http.method`	In der Anfrage verwendete HTTP-Methode. Aus den JSON-Daten geparst.
`cs-threat-risk`	`security_result.risk_score`	Von der Blue Coat-Appliance zugewiesener Risikowert für Bedrohungen. Aus den JSON-Daten geparst.
`cs-uri-extension`	`cs_uri_extension`	Die Erweiterung des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-path`	`_uri_path`	Pfad des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-port`	`cs_uri_port`	Der Port des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-query`	`_uri_query`	Der Abfragestring des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-scheme`	`_uri_scheme`	Das Schema der angeforderten URI (z.B. „http“ oder „https“). Aus den JSON-Daten geparst.
`cs-userdn`	`principal_user_userid`	Nutzername des Kunden. Aus den JSON-Daten geparst.
`cs-version`	`cs_version`	Vom Client verwendete HTTP-Version. Aus den JSON-Daten geparst.
`cs(Referer)`	`network.http.referral_url`	Verweis-URL Aus den JSON-Daten geparst.
`cs(User-Agent)`	`network.http.user_agent`	User-Agent-String. Aus den JSON-Daten geparst.
`cs(X-Requested-With)`	`security_result.detection_fields`	Wert des X-Requested-With-Headers. Aus den JSON-Daten geparst, der Schlüssel ist „cs-X-Requested-With“.
`cs_auth_group`	`principal_user_group_identifiers`	Gruppe für die Clientauthentifizierung. Aus verschiedenen Logformaten geparst.
`cs_bytes`	`network.sent_bytes`	Anzahl der vom Client gesendeten Bytes. Aus verschiedenen Logformaten geparst.
`cs_categories`	`security_result.category_details`	Kategorien, die der Webanfrage zugewiesen sind. Aus verschiedenen Logformaten geparst.
`cs_host`	`target_hostname`	Der vom Client angeforderte Hostname. Aus verschiedenen Logformaten geparst.
`cs_method`	`network.http.method`	In der Anfrage verwendete HTTP-Methode. Aus verschiedenen Logformaten geparst.
`cs_referer`	`network.http.referral_url`	Verweis-URL Aus verschiedenen Logformaten geparst.
`cs_threat_risk`	`security_result.risk_score`	Von der Blue Coat-Appliance zugewiesener Risikowert für Bedrohungen. Aus dem KV-Logformat geparst.
`cs_uri`	`target.url`	Vollständiger angeforderter URI. Aus dem KV-Logformat geparst.
`cs_uri_extension`	`cs_uri_extension`	Die Erweiterung des angeforderten URI. Aus dem KV-Logformat geparst.
`cs_uri_path`	`_uri_path`	Pfad des angeforderten URI. Aus verschiedenen Logformaten geparst.
`cs_uri_port`	`target_port`	Der Port des angeforderten URI. Aus verschiedenen Logformaten geparst.
`cs_uri_query`	`_uri_query`	Der Abfragestring des angeforderten URI. Aus verschiedenen Logformaten geparst.
`cs_uri_scheme`	`_uri_scheme`	Das Schema der angeforderten URI (z.B. „http“ oder „https“). Aus verschiedenen Logformaten geparst.
`cs_user`	`principal_user_userid`	Nutzername des Kunden. Aus dem allgemeinen Logformat geparst.
`cs_user_agent`	`network.http.user_agent`	User-Agent-String. Aus verschiedenen Logformaten geparst.
`cs_username`	`principal_user_userid`	Nutzername des Kunden. Aus verschiedenen Logformaten geparst.
`cs_x_forwarded_for`	`_intermediary.ip`	X-Forwarded-For-Headerwert. Aus dem allgemeinen Logformat geparst.
`deviceHostname`	`_intermediary.hostname`	Hostname der Blue Coat-Appliance. Aus dem KV-Logformat geparst.
`dst`	`ip_target`	IP-Adresse des Ziels. Aus dem KV-Logformat geparst.
`dst_ip`	`ip_target`	IP-Adresse des Ziels. Aus dem SSL-Logformat geparst.
`dst_user`	`target.user.userid`	Zielnutzer-ID. Wird aus dem Proxy-Reverse-Logformat geparst.
`dstport`	`target_port`	Zielport. Aus dem KV-Logformat geparst.
`dstport`	`target.port`	Zielport. Aus dem SSL-Logformat geparst.
`exception-id`	`_block_reason`	Ausnahme-ID, die auf eine blockierte Anfrage hinweist. Aus dem KV-Logformat geparst.
`filter-category`	`_categories`	Kategorie des Filters, der das Ereignis ausgelöst hat. Aus dem KV-Logformat geparst.
`filter-result`	`_policy_action`	Ergebnis des auf die Anfrage angewendeten Filters. Aus dem KV-Logformat geparst.
`hostname`	`principal.hostname` `principal.asset.hostname`	Hostname des Geräts, das das Log generiert. Aus den SSL- und allgemeinen Logformaten geparst.
`isolation-url`	`isolation-url`	URL im Zusammenhang mit der Isolation, falls zutreffend. Aus den JSON-Daten geparst.
`ma-detonated`	`ma-detonated`	Status der Malware-Analyse. Aus den JSON-Daten geparst.
`page-views`	`page-views`	Anzahl der Seitenaufrufe. Aus den JSON-Daten geparst.
`r-ip`	`ip_target`	Remote-IP-Adresse. Aus den JSON-Daten geparst.
`r-supplier-country`	`r-supplier-country`	Land des ausländischen Lieferanten. Aus den JSON-Daten geparst.
`r_dns`	`target_hostname`	DNS-Name des Remote-Servers. Aus den JSON-Daten geparst.
`r_ip`	`ip_target`	Remote-IP-Adresse. Aus verschiedenen Logformaten geparst.
`r_port`	`target_port`	Remote-Port. Aus den JSON-Daten geparst.
`risk-groups`	`security_result.detection_fields`	Mit dem Ereignis verbundene Risikogruppen. Aus den JSON-Daten geparst, Schlüssel ist „risk-groups“.
`rs-icap-error-details`	`security_result.detection_fields`	ICAP-Fehlerdetails von der Serverseite. Aus den JSON-Daten geparst, Schlüssel ist „rs-icap-error-details“.
`rs-icap-status`	`rs-icap-status`	ICAP-Status von der Seite des Remoteservers. Aus den JSON-Daten geparst.
`rs(Content-Type)`	`target.file.mime_type`	Der Content-Type der Antwort vom Remoteserver. Aus dem KV-Logformat geparst.
`rs_content_type`	`target.file.mime_type`	Der Content-Type der Antwort vom Remoteserver. Aus verschiedenen Logformaten geparst.
`rs_server`	`rs_server`	Informationen zum Remoteserver. Aus den JSON-Daten geparst.
`rs_status`	`_network.http.response_code`	Antwortstatuscode vom Remoteserver. Aus den JSON-Daten geparst.
`r_supplier_country`	`intermediary.location.country_or_region`	Land des ausländischen Lieferanten. Aus dem allgemeinen Logformat geparst.
`r_supplier_ip`	`intermediary.ip`	IP-Adresse des Remote-Anbieters. Aus dem allgemeinen Logformat geparst.
`s-action`	`_metadata.product_event_type`	Vom Proxy ergriffene Maßnahme. Aus dem KV-Logformat geparst.
`s-ip`	`_intermediary.ip`	IP-Adresse des Servers. Aus dem KV-Logformat geparst.
`s-source-ip`	`_intermediary.ip`	Quell-IP-Adresse des Servers. Aus den JSON-Daten geparst.
`s_action`	`_metadata.product_event_type`	Vom Proxy ergriffene Maßnahme. Aus verschiedenen Logformaten geparst.
`s_ip`	`target.ip` `target.asset.ip`	IP-Adresse des Servers. Aus verschiedenen Logformaten geparst.
`s_ip_host`	`_intermediary.hostname`	Server-Hostname. Aus den JSON-Daten geparst.
`s-supplier-country`	`intermediary.location.country_or_region`	Land des Anbieterservers. Aus den JSON-Daten geparst.
`s-supplier-failures`	`security_result.detection_fields`	Fehler bei Lieferanten. Aus den JSON-Daten geparst, der Schlüssel ist „s-supplier-failures“.
`s-supplier-ip`	`_intermediary.ip`	IP-Adresse des Lieferantenservers. Aus den JSON-Daten geparst.
`s_supplier_ip`	`intermediary.ip`	IP-Adresse des Lieferantenservers. Aus den JSON-Daten geparst.
`s_supplier_name`	`_intermediary.hostname`	Name des Servers des Anbieters. Aus dem allgemeinen Logformat geparst.
`sc-bytes`	`network.received_bytes`	Anzahl der vom Server empfangenen Bytes. Aus dem KV-Logformat geparst.
`sc-filter-result`	`_policy_action`	Ergebnisse serverseitig filtern Aus dem KV-Logformat geparst.
`sc-status`	`_network.http.response_code`	Vom Server zurückgegebener Statuscode. Aus dem KV-Logformat geparst.
`sc_bytes`	`network.received_bytes`	Anzahl der vom Server empfangenen Bytes. Aus verschiedenen Logformaten geparst.
`sc_connection`	`sc_connection`	Informationen zur Serververbindung. Aus dem allgemeinen Logformat geparst.
`sc_filter_result`	`_policy_action`	Ergebnisse serverseitig filtern Aus verschiedenen Logformaten geparst.
`sc_status`	`_network.http.response_code`	Vom Server zurückgegebener Statuscode. Aus verschiedenen Logformaten geparst.
`search_query`	`target.resource.attribute.labels`	Suchanfrage, falls in der URL vorhanden. Aus `target_url` extrahiert, Schlüssel ist „search_query“.
`session_id`	`network.session_id`	Sitzungs-ID. Wird aus dem Proxy-Reverse-Logformat geparst.
`src`	`ip_principal`	IP-Adresse der Quelle. Aus dem KV-Logformat geparst.
`src_hostname`	`principal.hostname` `principal.asset.hostname`	Quell-Hostname. Aus dem allgemeinen Logformat geparst.
`src_ip`	`ip_principal`	IP-Adresse der Quelle. Aus dem SSL-Logformat geparst.
`srcport`	`principal_port`	Quellport. Aus dem KV-Logformat geparst.
`src_port`	`principal.port`	Quellport. Aus dem SSL-Logformat geparst.
`s_source_port`	`intermediary.port`	Quellport des Servers. Aus dem allgemeinen Logformat geparst.
`summary`	`security_result.summary`	Zusammenfassung des Sicherheitsergebnisses. Aus den Logformaten „Proxy Reverse“ und „SSL“ geparst.
`syslogtimestamp`	`syslogtimestamp`	Syslog-Zeitstempel. Aus dem KV-Logformat geparst.
`target_application`	`target.application`	Anwendung, auf die sich die Anfrage bezieht. Abgeleitet von `x_bluecoat_application_name` oder `application-name`.
`target_hostname`	`target.hostname` `target.asset.hostname`	Ziel-Hostname. Abgeleitet von `r_dns`, `cs-host` oder anderen Feldern, je nach Logformat.
`target_port`	`target.port`	Zielport. Abgeleitet von `r_port`, `cs_uri_port` oder `dstport`, je nach Logformat.
`target_sip`	`target.ip` `target.asset.ip`	IP-Adresse des Zielservers. Aus dem allgemeinen Logformat geparst.
`target_url`	`target.url`	Ziel-URL. Abgeleitet von `target_hostname`, `_uri_path` und `_uri_query` oder `cs_uri`.
`time-taken`	`network.session_duration`	Dauer der Sitzung oder Anfrage. Aus dem KV-Logformat geparst und in Sekunden und Nanosekunden konvertiert.
`time_taken`	`network.session_duration`	Dauer der Sitzung oder Anfrage. Aus verschiedenen Logformaten geparst und in Sekunden und Nanosekunden umgerechnet.
`tls_version`	`network.tls.version`	Die in der Verbindung verwendete TLS-Version. Aus dem SSL-Logformat geparst.
`upload-source`	`upload-source`	Quelle des Uploads. Aus den JSON-Daten geparst.
`username`	`principal_user_userid`	Nutzername. Aus dem KV-Logformat geparst.
`verdict`	`security_result.detection_fields`	Ergebnis der Sicherheitsanalyse. Aus den JSON-Daten geparst, Schlüssel ist „verdict“.
`wf-env`	`wf_env`	Umgebung des Webfilterdienstes. Aus den JSON-Daten geparst.
`wf_id`	`security_result.detection_fields`	Webfilter-ID. Aus den JSON-Daten geparst, Schlüssel ist „wf_id“.
`wrong_cs_host`	`principal.hostname` `principal.asset.hostname`	Der Client-Hostname wurde falsch geparst und wird als Prinzipal-Hostname verwendet, wenn es sich nicht um eine IP-Adresse handelt. Aus dem allgemeinen Logformat geparst.
`x-bluecoat-access-type`	`x-bluecoat-access-type`	Art des Zugriffs. Aus den JSON-Daten geparst.
`x-bluecoat-appliance-name`	`intermediary.application`	Name der Blue Coat-Appliance. Aus den JSON-Daten geparst.
`x-bluecoat-application-name`	`target_application`	Name der Anwendung. Aus den JSON-Daten geparst.
`x-bluecoat-application-operation`	`x_bluecoat_application_operation`	Anwendungsbetrieb Aus den JSON-Daten geparst.
`x-bluecoat-location-id`	`x-bluecoat-location-id`	Standort-ID. Aus den JSON-Daten geparst.
`x-bluecoat-location-name`	`x-bluecoat-location-name`	Name des Standorts. Aus den JSON-Daten geparst.
`x-bluecoat-placeholder`	`security_result.detection_fields`	Platzhalterinformationen. Der Schlüssel wurde aus den JSON-Daten geparst und lautet „x-bluecoat-placeholder“.
`x-bluecoat-reference-id`	`security_result.detection_fields`	Referenz-ID. Aus den JSON-Daten geparst, Schlüssel ist „x-bluecoat-reference-id“.
`x-bluecoat-request-tenant-id`	`x-bluecoat-request-tenant-id`	Mandanten-ID der Anfrage. Aus den JSON-Daten geparst.
`x-bluecoat-transaction-uuid`	`metadata.product_log_id`	Transaktions-UUID. Aus den JSON-Daten geparst.
`x-client-agent-sw`	`software.name`	Client-Agent-Software. Aus den JSON-Daten geparst und in `principal.asset.software` zusammengeführt.
`x-client-agent-type`	`principal.application`	Client-Agent-Typ. Aus den JSON-Daten geparst.
`x-client-device-id`	`principal.resource.product_object_id`	Client-Geräte-ID. Aus den JSON-Daten geparst.
`x-client-device-name`	`x-client-device-name`	Name des Clientgeräts. Aus den JSON-Daten geparst.
`x-client-device-type`	`x-client-device-type`	Clientgerätetyp. Aus den JSON-Daten geparst.
`x-client-os`	`principal.asset.platform_software.platform`	Clientbetriebssystem. Aus den JSON-Daten geparst. Wenn „Windows“ enthalten ist, wird die Plattform auf WINDOWS festgelegt.
`x-client-security-posture-details`	`x-client-security-posture-details`	Details zum Sicherheitsstatus des Clients. Aus den JSON-Daten geparst.
`x-client-security-posture-risk-score`	`security_result.detection_fields`	Risikobewertung für den Sicherheitsstatus von Clients. Wird aus den JSON-Daten geparst. Der Schlüssel ist „x-client-security-posture-risk-score“.
`x-cloud-rs`	`security_result.detection_fields`	Informationen zum Cloud-bezogenen Remoteserver. Der Schlüssel wird aus den JSON-Daten geparst und lautet „x-cloud-rs“.
`x-cs-certificate-subject`	`x_cs_certificate_subject`	Zertifikatsubjekt von der Clientseite. Aus den JSON-Daten geparst.
`x-cs-client-ip-country`	`x-cs-client-ip-country`	Land der Client-IP-Adresse. Aus den JSON-Daten geparst.
`x-cs-connection-negotiated-cipher`	`network.tls.cipher`	Vom Client ausgehandelte Chiffre. Aus den JSON-Daten geparst.
`x-cs-connection-negotiated-cipher-size`	`security_result.detection_fields`	Die vom Client ausgehandelte Chiffriergröße. Aus den JSON-Daten geparst, Schlüssel ist „x-cs-connection-negotiated-cipher-size“.
`x-cs-connection-negotiated-ssl-version`	`network.tls.version_protocol`	Die ausgehandelte SSL-Version auf Clientseite. Aus den JSON-Daten geparst.
`x-cs-ocsp-error`	`security_result.detection_fields`	OCSP-Fehler auf der Clientseite. Der Schlüssel „x-cs-ocsp-error“ wurde aus den JSON-Daten geparst.
`x-cs(referer)-uri-categories`	`x-cs(referer)-uri-categories`	Referrer-URI-Kategorien von der Clientseite. Aus den JSON-Daten geparst.
`x-data-leak-detected`	`security_result.detection_fields`	Status der Erkennung von Datenlecks. Aus den JSON-Daten geparst, der Schlüssel ist „x-data-leak-detected“.
`x-exception-id`	`x_exception_id`	Ausnahme-ID. Aus den JSON-Daten geparst.
`x-http-connect-host`	`x-http-connect-host`	HTTP-Verbindungshost. Aus den JSON-Daten geparst.
`x-http-connect-port`	`x-http-connect-port`	HTTP-Verbindungsport. Aus den JSON-Daten geparst.
`x-icap-reqmod-header(x-icap-metadata)`	`x_icap_reqmod_header`	ICAP-Anfrageänderungsheader mit Metadaten. Aus den JSON-Daten geparst.
`x-icap-respmod-header(x-icap-metadata)`	`x_icap_respmod_header`	ICAP-Antwortänderungsheader mit Metadaten. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname`	`network.tls.client.server_name`	Zertifikathostname auf der Seite des Remoteservers. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname-categories`	`x_rs_certificate_hostname_category`	Kategorien für Zertifikathostnamen auf der Seite des Remoteservers. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname-category`	`x_rs_certificate_hostname_category`	Kategorie des Zertifikathostnamens auf der Seite des Remoteservers. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname-threat-risk`	`security_result.detection_fields`	Das Risiko von Hostname-Bedrohungen durch Zertifikate auf dem Remoteserver. Aus den JSON-Daten geparst, der Schlüssel ist „x-rs-certificate-hostname-threat-risk“.
`x-rs-certificate-observed-errors`	`x_rs_certificate_observed_errors`	Auf dem Remoteserver sind Zertifikatfehler aufgetreten. Aus den JSON-Daten geparst.
`x-rs-certificate-validate-status`	`network.tls.server.certificate.subject`	Status der Zertifikatsvalidierung auf dem Remote-Server. Aus den JSON-Daten geparst.
`x-rs-connection-negotiated-cipher`	`x_rs_connection_negotiated_cipher`	Verschlüsselungsverfahren, das vom Remoteserver ausgehandelt wurde. Aus den JSON-Daten geparst.
`x-rs-connection-negotiated-cipher-size`	`security_result.detection_fields`	Ausgehandelte Chiffriergröße auf der Seite des Remote-Servers. Aus den JSON-Daten geparst, der Schlüssel ist „x-rs-connection-negotiated-cipher-size“.
`x-rs-connection-negotiated-cipher-strength`	`x_rs_connection_negotiated_cipher_strength`	Die ausgehandelte Verschlüsselungsstärke auf der Seite des Remoteservers. Aus den JSON-Daten geparst.
`x-rs-connection-negotiated-ssl-version`	`x_rs_connection_negotiated_ssl_version`	Die ausgehandelte SSL-Version auf der Seite des Remoteservers. Aus den JSON-Daten geparst.
`x-rs-ocsp-error`	`x_rs_ocsp_error`	OCSP-Fehler auf der Seite des Remoteservers. Aus den JSON-Daten geparst.
`x-sc-connection-issuer-keyring`	`security_result.detection_fields`	Schlüsselbund des Verbindungsherausgebers. Aus den JSON-Daten geparst, Schlüssel ist „x-sc-connection-issuer-keyring“.
`x-sc-connection-issuer-keyring-alias`	`x-sc-connection-issuer-keyring-alias`	Alias des Schlüsselbunds des Verbindungsherausgebers. Aus den JSON-Daten geparst.
`x-sr-vpop-country`	`principal.location.country_or_region`	VPOP-Land Aus den JSON-Daten geparst.
`x-sr-vpop-country-code`	`principal.location.country_or_region`	Ländercode des VPOP. Aus den JSON-Daten geparst.
`x-sr-vpop-ip`	`principal.ip` `principal.asset.ip`	IP-Adresse des VPOP. Aus den JSON-Daten geparst.
`x-symc-dei-app`	`x-symc-dei-app`	Symantec DEI-Anwendung. Aus den JSON-Daten geparst.
`x-symc-dei-via`	`security_result.detection_fields`	Symantec DEI via. Aus den JSON-Daten geparst, Schlüssel ist „x-symc-dei-via“.
`x-tenant-id`	`security_result.detection_fields`	Mandanten-ID Der Schlüssel wird aus den JSON-Daten geparst und lautet „x-tenant-id“.
`x-timestamp-unix`	`x-timestamp-unix`	UNIX-Zeitstempel. Aus den JSON-Daten geparst.
`x_bluecoat_application_name`	`target_application`	Name der Anwendung. Aus verschiedenen Logformaten geparst.
`x_bluecoat_application_operation`	`x_bluecoat_application_operation`	Anwendungsbetrieb Aus verschiedenen Logformaten geparst.
`x_bluecoat_transaction_uuid`	`metadata.product_log_id`	Transaktions-UUID. Aus verschiedenen Logformaten geparst.
`x_cs_certificate_subject`	`x_cs_certificate_subject`	Betreff des clientseitigen Zertifikats. Aus dem allgemeinen Logformat geparst.
`x_cs_client_effective_ip`	`ip_principal`	Effektive IP-Adresse des Clients. Aus dem allgemeinen Logformat geparst.
`x_cs_connection_negotiated_cipher`	`network.tls.cipher`	Clientseitig ausgehandelte Chiffre. Aus dem allgemeinen Logformat geparst.
`x_cs_connection_negotiated_ssl_version`	`network.tls.version_protocol`	Die clientseitig ausgehandelte SSL-Version. Aus dem allgemeinen Logformat geparst.
`x_exception_id`	`_block_reason`	Ausnahme-ID. Aus verschiedenen Logformaten geparst.
`x_icap_reqmod_header`	`x_icap_reqmod_header`	ICAP-Anfrageänderungsheader. Aus dem allgemeinen Logformat geparst.
`x_icap_respmod_header`	`x_icap_respmod_header`	ICAP-Antwortänderungsheader. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_hostname`	`network.tls.client.server_name`	Hostname des Zertifikats des Remoteservers. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_hostname_category`	`x_rs_certificate_hostname_category`	Hostname-Kategorie des Zertifikats des Remoteservers. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_observed_errors`	`x_rs_certificate_observed_errors`	Fehler beim Zertifikat des Remoteservers. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_validate_status`	`network.tls.server.certificate.subject`	Status der Validierung des Zertifikats des Remoteservers. Aus verschiedenen Logformaten geparst.
`x_rs_connection_negotiated_cipher_strength`	`x_rs_connection_negotiated_cipher_strength`	Verschlüsselungsstärke, die vom Remote-Server ausgehandelt wurde. Aus dem allgemeinen Logformat geparst.
`x_rs_connection_negotiated_ssl_version`	`x_rs_connection_negotiated_ssl_version`	Die vom Remoteserver ausgehandelte SSL-Version. Aus dem allgemeinen Logformat geparst.
`x_virus_id`	`security_result.detection_fields`	Virus-ID. Aus verschiedenen Logformaten geparst, Schlüssel ist „x-virus-id“.

Abgeleitete Felder (aus der Parserlogik):

metadata.event_type: Wird anhand einer komplexen Reihe von Bedingungen ermittelt, die Felder wie network.application_protocol, network.http.method, principal.*, target.* und dst_user umfassen.
metadata.vendor_name: Statischer Wert: Blue Coat Systems.
metadata.product_name: Statischer Wert: ProxySG.
metadata.log_type: Statischer Wert: BLUECOAT_WEBPROXY.
principal.asset.platform_software.platform: Auf WINDOWS festlegen, wenn x-client-os Windows enthält.
network.application_protocol: Wird anhand einer Suchtabelle basierend auf _uri_scheme oder target.port bestimmt. Die Standardeinstellung ist UNKNOWN_APPLICATION_PROTOCOL.
network.ip_protocol: Wird anhand einer Suchtabelle basierend auf _uri_scheme bestimmt. Die Standardeinstellung ist UNKNOWN_IP_PROTOCOL.
security_result.action: Wird basierend auf _policy_action bestimmt (OBSERVED -> ALLOW, DENIED -> BLOCK).
security_result.about.labels: Enthält Labels, die aus verschiedenen Feldern wie rs_server, communication_type und dem Status aus dem SSL-Logformat abgeleitet wurden.
security_result.detection_fields: Enthält verschiedene Schlüssel/Wert-Paare, die aus Feldern wie x_virus_id, x_rs_certificate_observed_errors, x_rs_connection_negotiated_cipher_strength und vielen anderen abgeleitet werden.
vulns.vulnerabilities: Wird aus dem Feld proxy_reverse_info übernommen, sofern vorhanden. Enthält Informationen zu Sicherheitslücken wie cve_id und about.labels.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten