Recoger registros de Blue Coat ProxySG

Disponible en:

En este documento se explica cómo ingerir registros de Blue Coat ProxySG en Google Security Operations mediante Bindplane. El analizador gestiona los registros del proxy web de Blue Coat y admite los formatos SYSLOG+JSON y SYSLOG+KV. Utiliza una serie de comprobaciones condicionales y patrones grok para identificar el formato del registro, extraer los campos relevantes y asignarlos al modelo de datos unificado (UDM), gestionando varias estructuras de registro y casos especiales.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host Linux con systemd
  • Si se ejecuta a través de un proxy, los puertos del cortafuegos están abiertos
  • Acceso privilegiado a Blue Coat ProxySG

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:
    • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Syslog en Blue Coat ProxySG

  1. Inicia sesión en la consola de gestión de Blue Coat ProxySG.
  2. Ve a Mantenimiento > Registro de eventos > Syslog.
  3. Haz clic en New (Nuevo).
  4. Proporcione los siguientes detalles de configuración:
    • Loghost introduce la dirección IP del agente de Bindplane.
    • Haz clic en Aceptar.
  5. Selecciona la casilla Habilitar Syslog.
  6. Selecciona Nivel.
  7. Selecciona la casilla Verbose.
  8. Haz clic en Aplicar.

Configurar un cliente personalizado en Blue Coat ProxySG

  1. Ve a Configuración > Registro de acceso > Registros > Subir cliente.
  2. Selecciona Streaming en la lista de registros.
  3. Seleccione Cliente personalizado en la lista Tipo de cliente.
  4. Haz clic en Settings (Configuración).
  5. Selecciona el servidor personalizado principal o alternativo en la lista Configuración.
  6. Proporcione los siguientes detalles de configuración:
    • Host: introduce el nombre de host o la dirección IP del destino de la subida.
    • Puerto: 514.
    • Usar conexiones seguras (SSL): selecciona Desactivado.
    • Haz clic en Aceptar.
    • Haga clic en Aplicar para volver a la pestaña Subir cliente.
  7. Sigue estos pasos para cada formato de registro que quieras usar entre main, im y streaming:
    • Selecciona el registro.
    • Asigna el cliente de subida como cliente personalizado.
    • Selecciona <No Encryption> y <No Signing>.
    • Guarda el archivo de registro como un archivo de texto.
    • Haz clic en Subir programación > Tipo de subida.
    • Selecciona Continuamente en Subir el registro de acceso para transmitir los registros de acceso.
    • Haz clic en Aceptar.
  8. Haz clic en Aplicar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
@timestamp metadata.event_timestamp Marca de tiempo del evento registrada por el dispositivo Blue Coat. Analizado a partir de los datos JSON.
application-name target.application Nombre de la aplicación asociada al tráfico de red. Analizado a partir de los datos JSON.
c-ip principal.asset.ip
principal.ip		 Dirección IP del cliente. Analizado a partir de los datos JSON.
c_ip principal.ip
principal.asset.ip		 Dirección IP del cliente. Se analizan a partir de varios formatos de registro.
c_ip_host principal.hostname
principal.asset.hostname		 Nombre de host del cliente, si está disponible. Analizado a partir de los datos JSON.
cs-auth-group principal_user_group_identifiers Grupo de autenticación de cliente. Analizado a partir de los datos JSON.
cs-bytes network.sent_bytes Número de bytes enviados por el cliente. Analizado a partir de los datos JSON.
cs-categories security_result.category_details Categorías asignadas a la solicitud web por el dispositivo Blue Coat. Analizado a partir de los datos JSON.
cs-host target_hostname Nombre de host solicitado por el cliente. Analizado a partir de los datos JSON.
cs-icap-error-details security_result.detection_fields Detalles del error de ICAP del lado del cliente. Analizada a partir de los datos JSON, la clave es "cs-icap-error-details".
cs-icap-status security_result.description Estado de ICAP del lado del cliente. Analizado a partir de los datos JSON.
cs-method network.http.method Método HTTP utilizado en la solicitud. Analizado a partir de los datos JSON.
cs-threat-risk security_result.risk_score Puntuación de riesgo de amenaza asignada por el dispositivo Blue Coat. Analizado a partir de los datos JSON.
cs-uri-extension cs_uri_extension Extensión del URI solicitado. Analizado a partir de los datos JSON.
cs-uri-path _uri_path Ruta del URI solicitado. Analizado a partir de los datos JSON.
cs-uri-port cs_uri_port Puerto del URI solicitado. Analizado a partir de los datos JSON.
cs-uri-query _uri_query Cadena de consulta del URI solicitado. Analizado a partir de los datos JSON.
cs-uri-scheme _uri_scheme Esquema del URI solicitado (por ejemplo, http o https). Analizado a partir de los datos JSON.
cs-userdn principal_user_userid Nombre de usuario del cliente. Analizado a partir de los datos JSON.
cs-version cs_version Versión HTTP utilizada por el cliente. Analizado a partir de los datos JSON.
cs(Referer) network.http.referral_url URL referente. Analizado a partir de los datos JSON.
cs(User-Agent) network.http.user_agent Cadena user-agent. Analizado a partir de los datos JSON.
cs(X-Requested-With) security_result.detection_fields Valor del encabezado X-Requested-With. Se analiza a partir de los datos JSON. La clave es "cs-X-Requested-With".
cs_auth_group principal_user_group_identifiers Grupo de autenticación de cliente. Se analizan a partir de varios formatos de registro.
cs_bytes network.sent_bytes Número de bytes enviados por el cliente. Se analizan a partir de varios formatos de registro.
cs_categories security_result.category_details Categorías asignadas a la solicitud web. Se analizan a partir de varios formatos de registro.
cs_host target_hostname Nombre de host solicitado por el cliente. Se analizan a partir de varios formatos de registro.
cs_method network.http.method Método HTTP utilizado en la solicitud. Se analizan a partir de varios formatos de registro.
cs_referer network.http.referral_url URL referente. Se analizan a partir de varios formatos de registro.
cs_threat_risk security_result.risk_score Puntuación de riesgo de amenaza asignada por el dispositivo Blue Coat. Analizado a partir del formato de registro de clave-valor.
cs_uri target.url URI completo solicitado. Analizado a partir del formato de registro de clave-valor.
cs_uri_extension cs_uri_extension Extensión del URI solicitado. Analizado a partir del formato de registro de clave-valor.
cs_uri_path _uri_path Ruta del URI solicitado. Se analizan a partir de varios formatos de registro.
cs_uri_port target_port Puerto del URI solicitado. Se analizan a partir de varios formatos de registro.
cs_uri_query _uri_query Cadena de consulta del URI solicitado. Se analizan a partir de varios formatos de registro.
cs_uri_scheme _uri_scheme Esquema del URI solicitado (por ejemplo, http o https). Se analizan a partir de varios formatos de registro.
cs_user principal_user_userid Nombre de usuario del cliente. Analizado a partir del formato de registro general.
cs_user_agent network.http.user_agent Cadena user-agent. Se analizan a partir de varios formatos de registro.
cs_username principal_user_userid Nombre de usuario del cliente. Se analizan a partir de varios formatos de registro.
cs_x_forwarded_for _intermediary.ip Valor del encabezado X-Forwarded-For. Analizado a partir del formato de registro general.
deviceHostname _intermediary.hostname Nombre de host del dispositivo Blue Coat. Analizado a partir del formato de registro de clave-valor.
dst ip_target Dirección IP de destino. Analizado a partir del formato de registro de clave-valor.
dst_ip ip_target Dirección IP de destino. Analizado a partir del formato de registro SSL.
dst_user target.user.userid ID de usuario de destino. Analizado a partir del formato de registro de proxy inverso.
dstport target_port Puerto de destino. Analizado a partir del formato de registro de clave-valor.
dstport target.port Puerto de destino. Analizado a partir del formato de registro SSL.
exception-id _block_reason ID de excepción que indica una solicitud bloqueada. Analizado a partir del formato de registro de clave-valor.
filter-category _categories Categoría del filtro que ha activado el evento. Analizado a partir del formato de registro de clave-valor.
filter-result _policy_action Resultado del filtro aplicado a la solicitud. Analizado a partir del formato de registro de clave-valor.
hostname principal.hostname
principal.asset.hostname		 Nombre de host del dispositivo que genera el registro. Se analizan a partir de los formatos de registro SSL y general.
isolation-url isolation-url URL relacionada con el aislamiento, si procede. Analizado a partir de los datos JSON.
ma-detonated ma-detonated Estado de detonación del malware. Analizado a partir de los datos JSON.
page-views page-views Número de vistas de página. Analizado a partir de los datos JSON.
r-ip ip_target Dirección IP remota. Analizado a partir de los datos JSON.
r-supplier-country r-supplier-country País del proveedor remoto. Analizado a partir de los datos JSON.
r_dns target_hostname Nombre de DNS remoto. Analizado a partir de los datos JSON.
r_ip ip_target Dirección IP remota. Se analizan a partir de varios formatos de registro.
r_port target_port Puerto remoto. Analizado a partir de los datos JSON.
risk-groups security_result.detection_fields Grupos de riesgo asociados al evento. Se ha analizado a partir de los datos JSON. La clave es "risk-groups".
rs-icap-error-details security_result.detection_fields Detalles del error de ICAP del lado del servidor remoto. Analizada a partir de los datos JSON, la clave es "rs-icap-error-details".
rs-icap-status rs-icap-status Estado de ICAP del lado del servidor remoto. Analizado a partir de los datos JSON.
rs(Content-Type) target.file.mime_type Tipo de contenido de la respuesta del servidor remoto. Analizado a partir del formato de registro de clave-valor.
rs_content_type target.file.mime_type Tipo de contenido de la respuesta del servidor remoto. Se analizan a partir de varios formatos de registro.
rs_server rs_server Información del servidor remoto. Analizado a partir de los datos JSON.
rs_status _network.http.response_code Código de estado de respuesta del servidor remoto. Analizado a partir de los datos JSON.
r_supplier_country intermediary.location.country_or_region País del proveedor remoto. Analizado a partir del formato de registro general.
r_supplier_ip intermediary.ip Dirección IP del proveedor remoto. Analizado a partir del formato de registro general.
s-action _metadata.product_event_type Acción realizada por el proxy. Analizado a partir del formato de registro de clave-valor.
s-ip _intermediary.ip Dirección IP del servidor. Analizado a partir del formato de registro de clave-valor.
s-source-ip _intermediary.ip Dirección IP de origen del servidor. Analizado a partir de los datos JSON.
s_action _metadata.product_event_type Acción realizada por el proxy. Se analizan a partir de varios formatos de registro.
s_ip target.ip
target.asset.ip		 Dirección IP del servidor. Se analizan a partir de varios formatos de registro.
s_ip_host _intermediary.hostname Nombre de host del servidor. Analizado a partir de los datos JSON.
s-supplier-country intermediary.location.country_or_region País del servidor del proveedor. Analizado a partir de los datos JSON.
s-supplier-failures security_result.detection_fields Fallos de los proveedores. Analizada a partir de los datos JSON, la clave es "s-supplier-failures".
s-supplier-ip _intermediary.ip Dirección IP del servidor del proveedor. Analizado a partir de los datos JSON.
s_supplier_ip intermediary.ip Dirección IP del servidor del proveedor. Analizado a partir de los datos JSON.
s_supplier_name _intermediary.hostname Nombre del servidor del proveedor. Analizado a partir del formato de registro general.
sc-bytes network.received_bytes Número de bytes recibidos por el servidor. Analizado a partir del formato de registro de clave-valor.
sc-filter-result _policy_action Filtrar resultados del lado del servidor. Analizado a partir del formato de registro de clave-valor.
sc-status _network.http.response_code Código de estado devuelto por el servidor. Analizado a partir del formato de registro de clave-valor.
sc_bytes network.received_bytes Número de bytes recibidos por el servidor. Se analizan a partir de varios formatos de registro.
sc_connection sc_connection Información de conexión del servidor. Analizado a partir del formato de registro general.
sc_filter_result _policy_action Filtrar resultados del lado del servidor. Se analizan a partir de varios formatos de registro.
sc_status _network.http.response_code Código de estado devuelto por el servidor. Se analizan a partir de varios formatos de registro.
search_query target.resource.attribute.labels Consulta de búsqueda, si está presente en la URL. Extraído de target_url, la clave es "search_query".
session_id network.session_id ID de sesión. Analizado a partir del formato de registro de proxy inverso.
src ip_principal Dirección IP de origen. Analizado a partir del formato de registro de clave-valor.
src_hostname principal.hostname
principal.asset.hostname		 Nombre de host de origen. Analizado a partir del formato de registro general.
src_ip ip_principal Dirección IP de origen. Analizado a partir del formato de registro SSL.
srcport principal_port Puerto de origen. Analizado a partir del formato de registro de clave-valor.
src_port principal.port Puerto de origen. Analizado a partir del formato de registro SSL.
s_source_port intermediary.port Puerto de origen del servidor. Analizado a partir del formato de registro general.
summary security_result.summary Resumen del resultado de seguridad. Analizado a partir de los formatos de registro de proxy inverso y SSL.
syslogtimestamp syslogtimestamp Marca de tiempo de syslog. Analizado a partir del formato de registro de clave-valor.
target_application target.application Aplicación a la que se dirige la solicitud. Derivado de x_bluecoat_application_name o application-name.
target_hostname target.hostname
target.asset.hostname		 Nombre de host de destino. Derivado de r_dns, cs-host u otros campos en función del formato del registro.
target_port target.port Puerto de destino. Derivado de r_port, cs_uri_port o dstport, según el formato del registro.
target_sip target.ip
target.asset.ip		 Dirección IP del servidor de destino. Analizado a partir del formato de registro general.
target_url target.url URL de destino. Derivado de target_hostname, _uri_path y _uri_query o cs_uri.
time-taken network.session_duration Duración de la sesión o de la solicitud. Se ha analizado a partir del formato de registro de KV y se ha convertido a segundos y nanosegundos.
time_taken network.session_duration Duración de la sesión o de la solicitud. Se analiza a partir de varios formatos de registro y se convierte a segundos y nanosegundos.
tls_version network.tls.version Versión de TLS utilizada en la conexión. Analizado a partir del formato de registro SSL.
upload-source upload-source Fuente de la subida. Analizado a partir de los datos JSON.
username principal_user_userid Nombre de usuario. Analizado a partir del formato de registro de clave-valor.
verdict security_result.detection_fields Veredicto del análisis de seguridad. Analizada a partir de los datos JSON, la clave es "verdict".
wf-env wf_env Entorno del servicio de filtrado web. Analizado a partir de los datos JSON.
wf_id security_result.detection_fields ID de filtrado web. Se analiza a partir de los datos JSON. La clave es "wf_id".
wrong_cs_host principal.hostname
principal.asset.hostname		 Nombre de host del cliente analizado incorrectamente. Se usa como nombre de host principal si no es una dirección IP. Analizado a partir del formato de registro general.
x-bluecoat-access-type x-bluecoat-access-type Tipo de acceso. Analizado a partir de los datos JSON.
x-bluecoat-appliance-name intermediary.application Nombre del dispositivo Blue Coat. Analizado a partir de los datos JSON.
x-bluecoat-application-name target_application Nombre de la aplicación. Analizado a partir de los datos JSON.
x-bluecoat-application-operation x_bluecoat_application_operation Operación de la aplicación. Analizado a partir de los datos JSON.
x-bluecoat-location-id x-bluecoat-location-id ID de ubicación. Analizado a partir de los datos JSON.
x-bluecoat-location-name x-bluecoat-location-name Nombre de la ubicación. Analizado a partir de los datos JSON.
x-bluecoat-placeholder security_result.detection_fields Información de marcador de posición. Se analiza a partir de los datos JSON. La clave es "x-bluecoat-placeholder".
x-bluecoat-reference-id security_result.detection_fields ID de referencia. Se ha analizado a partir de los datos JSON. La clave es "x-bluecoat-reference-id".
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id ID de arrendatario de la solicitud. Analizado a partir de los datos JSON.
x-bluecoat-transaction-uuid metadata.product_log_id UUID de la transacción. Analizado a partir de los datos JSON.
x-client-agent-sw software.name Software de agente de cliente. Se analiza a partir de los datos JSON y se combina con principal.asset.software.
x-client-agent-type principal.application Tipo de agente de cliente. Analizado a partir de los datos JSON.
x-client-device-id principal.resource.product_object_id ID del dispositivo del cliente. Analizado a partir de los datos JSON.
x-client-device-name x-client-device-name Nombre del dispositivo cliente. Analizado a partir de los datos JSON.
x-client-device-type x-client-device-type Tipo de dispositivo cliente. Analizado a partir de los datos JSON.
x-client-os principal.asset.platform_software.platform Sistema operativo del cliente. Analizado a partir de los datos JSON. Si contiene "Windows", asigna el valor WINDOWS a la plataforma.
x-client-security-posture-details x-client-security-posture-details Detalles de la postura de seguridad del cliente. Analizado a partir de los datos JSON.
x-client-security-posture-risk-score security_result.detection_fields Puntuación de riesgo de la postura de seguridad del cliente. Se analiza a partir de los datos JSON. La clave es "x-client-security-posture-risk-score".
x-cloud-rs security_result.detection_fields Información del servidor remoto relacionada con la nube. Analizada a partir de los datos JSON, la clave es "x-cloud-rs".
x-cs-certificate-subject x_cs_certificate_subject Asunto del certificado del lado del cliente. Analizado a partir de los datos JSON.
x-cs-client-ip-country x-cs-client-ip-country País de la IP del cliente. Analizado a partir de los datos JSON.
x-cs-connection-negotiated-cipher network.tls.cipher Cifrado negociado del lado del cliente. Analizado a partir de los datos JSON.
x-cs-connection-negotiated-cipher-size security_result.detection_fields Tamaño de cifrado negociado del lado del cliente. Analizada a partir de los datos JSON. La clave es "x-cs-connection-negotiated-cipher-size".
x-cs-connection-negotiated-ssl-version network.tls.version_protocol Versión de SSL negociada del lado del cliente. Analizado a partir de los datos JSON.
x-cs-ocsp-error security_result.detection_fields Error de OCSP del lado del cliente. Analizada a partir de los datos JSON, la clave es "x-cs-ocsp-error".
x-cs(referer)-uri-categories x-cs(referer)-uri-categories Categorías de URIs referentes del lado del cliente. Analizado a partir de los datos JSON.
x-data-leak-detected security_result.detection_fields Estado de la detección de filtraciones de datos. Se analiza a partir de los datos JSON. La clave es "x-data-leak-detected".
x-exception-id x_exception_id ID de excepción. Analizado a partir de los datos JSON.
x-http-connect-host x-http-connect-host Host de conexión HTTP. Analizado a partir de los datos JSON.
x-http-connect-port x-http-connect-port Puerto de conexión HTTP. Analizado a partir de los datos JSON.
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header Encabezado de modificación de solicitud ICAP que contiene metadatos. Analizado a partir de los datos JSON.
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header Encabezado de modificación de respuesta ICAP que contiene metadatos. Analizado a partir de los datos JSON.
x-rs-certificate-hostname network.tls.client.server_name Nombre de host del certificado del lado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category Categorías de nombres de host de certificados del lado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-certificate-hostname-category x_rs_certificate_hostname_category Categoría del nombre de host del certificado del lado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-certificate-hostname-threat-risk security_result.detection_fields Riesgo de amenaza del nombre de host del certificado del lado del servidor remoto. Se analiza a partir de los datos JSON. La clave es "x-rs-certificate-hostname-threat-risk".
x-rs-certificate-observed-errors x_rs_certificate_observed_errors Se han detectado errores en el certificado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-certificate-validate-status network.tls.server.certificate.subject Estado de validación del certificado del lado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher Algoritmo de cifrado negociado del lado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-connection-negotiated-cipher-size security_result.detection_fields Tamaño del cifrado negociado del lado del servidor remoto. Se analiza a partir de los datos JSON. La clave es "x-rs-connection-negotiated-cipher-size".
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength Intensidad del cifrado negociado del lado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version Versión de SSL negociada desde el lado del servidor remoto. Analizado a partir de los datos JSON.
x-rs-ocsp-error x_rs_ocsp_error Error de OCSP del lado del servidor remoto. Analizado a partir de los datos JSON.
x-sc-connection-issuer-keyring security_result.detection_fields Conjunto de claves de la entidad emisora de la conexión. Se analiza a partir de los datos JSON. La clave es "x-sc-connection-issuer-keyring".
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias Alias del conjunto de claves de la entidad emisora de la conexión. Analizado a partir de los datos JSON.
x-sr-vpop-country principal.location.country_or_region País de VPOP. Analizado a partir de los datos JSON.
x-sr-vpop-country-code principal.location.country_or_region Código de país de VPOP. Analizado a partir de los datos JSON.
x-sr-vpop-ip principal.ip
principal.asset.ip		 Dirección IP de VPOP. Analizado a partir de los datos JSON.
x-symc-dei-app x-symc-dei-app Aplicación de DEI de Symantec. Analizado a partir de los datos JSON.
x-symc-dei-via security_result.detection_fields Symantec DEI via. Se analiza a partir de los datos JSON. La clave es "x-symc-dei-via".
x-tenant-id security_result.detection_fields ID de cliente. Analizada a partir de los datos JSON, la clave es "x-tenant-id".
x-timestamp-unix x-timestamp-unix Marca de tiempo Unix. Analizado a partir de los datos JSON.
x_bluecoat_application_name target_application Nombre de la aplicación. Se analizan a partir de varios formatos de registro.
x_bluecoat_application_operation x_bluecoat_application_operation Operación de la aplicación. Se analizan a partir de varios formatos de registro.
x_bluecoat_transaction_uuid metadata.product_log_id UUID de la transacción. Se analizan a partir de varios formatos de registro.
x_cs_certificate_subject x_cs_certificate_subject Asunto del certificado del lado del cliente. Analizado a partir del formato de registro general.
x_cs_client_effective_ip ip_principal Dirección IP efectiva del cliente. Analizado a partir del formato de registro general.
x_cs_connection_negotiated_cipher network.tls.cipher Cifrado negociado por parte del cliente. Analizado a partir del formato de registro general.
x_cs_connection_negotiated_ssl_version network.tls.version_protocol Versión de SSL negociada del lado del cliente. Analizado a partir del formato de registro general.
x_exception_id _block_reason ID de excepción. Se analizan a partir de varios formatos de registro.
x_icap_reqmod_header x_icap_reqmod_header Encabezado de modificación de solicitud ICAP. Analizado a partir del formato de registro general.
x_icap_respmod_header x_icap_respmod_header Encabezado de modificación de respuesta ICAP. Analizado a partir del formato de registro general.
x_rs_certificate_hostname network.tls.client.server_name Nombre de host del certificado de servidor remoto. Analizado a partir del formato de registro general.
x_rs_certificate_hostname_category x_rs_certificate_hostname_category Categoría de nombre de host del certificado de servidor remoto. Analizado a partir del formato de registro general.
x_rs_certificate_observed_errors x_rs_certificate_observed_errors Se han detectado errores en el certificado del servidor remoto. Analizado a partir del formato de registro general.
x_rs_certificate_validate_status network.tls.server.certificate.subject Estado de validación del certificado del servidor remoto. Se analizan a partir de varios formatos de registro.
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength Intensidad del cifrado negociado del servidor remoto. Analizado a partir del formato de registro general.
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version El servidor remoto ha negociado la versión de SSL. Analizado a partir del formato de registro general.
x_virus_id security_result.detection_fields ID del virus. Analizada a partir de varios formatos de registro. La clave es "x-virus-id".

Campos derivados (de la lógica del analizador):

  • metadata.event_type: se determina en función de un conjunto complejo de condiciones que implican campos como network.application_protocol, network.http.method, principal.*, target.* y dst_user.
  • metadata.vendor_name: valor estático: Blue Coat Systems.
  • metadata.product_name: valor estático: ProxySG.
  • metadata.log_type: valor estático: BLUECOAT_WEBPROXY.
  • principal.asset.platform_software.platform: se asigna el valor WINDOWS si x-client-os contiene Windows.
  • network.application_protocol: se determina mediante una tabla de consulta basada en _uri_scheme o target.port. El valor predeterminado es UNKNOWN_APPLICATION_PROTOCOL.
  • network.ip_protocol: se determina mediante una tabla de consulta basada en _uri_scheme. El valor predeterminado es UNKNOWN_IP_PROTOCOL.
  • security_result.action: se determina en función de _policy_action (OBSERVED -> ALLOW, DENIED -> BLOCK).
  • security_result.about.labels: contiene etiquetas derivadas de varios campos, como rs_server, communication_type y el estado del formato de registro de SSL.
  • security_result.detection_fields: contiene varios pares clave-valor derivados de campos como x_virus_id, x_rs_certificate_observed_errors, x_rs_connection_negotiated_cipher_strength y muchos otros.
  • vulns.vulnerabilities: se rellena con el valor del campo proxy_reverse_info, si está presente, y contiene información sobre vulnerabilidades, como cve_id y about.labels.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.