Recopila registros de Blue Coat ProxySG

Compatible con:

En este documento, se explica cómo transferir registros de Blue Coat ProxySG a Google Security Operations con Bindplane. El analizador controla los registros del proxy web de Blue Coat y admite los formatos SYSLOG+JSON y SYSLOG+KV. Utiliza una serie de verificaciones condicionales y patrones de grok para identificar el formato de registro, extraer los campos pertinentes y asignarlos al Modelo de datos unificado (UDM), lo que permite controlar varias estructuras de registro y casos extremos.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Windows 2016 o versiones posteriores, o un host de Linux con systemd
  • Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
  • Acceso privilegiado a Blue Coat ProxySG

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de Bindlane para que ingiera Syslog y lo envíe a Google SecOps

  1. Accede al archivo de configuración:
    • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura Syslog en Blue Coat ProxySG

  1. Accede a la consola de administración de Blue Coat ProxySG.
  2. Ve a Mantenimiento > Registro de eventos > Syslog.
  3. Haz clic en Nuevo.
  4. Proporciona los siguientes detalles de configuración:
    • Loghost: Ingresa la dirección IP del agente de Bindplane.
    • Haz clic en Aceptar.
  5. Selecciona la casilla de verificación Habilitar Syslog.
  6. Selecciona Nivel.
  7. Selecciona la casilla de verificación Verbose.
  8. Haz clic en Aplicar.

Configura un cliente personalizado en Blue Coat ProxySG

  1. Ve a Configuration > Access Logging > Logs > Upload Client.
  2. Selecciona Streaming en la lista de registros.
  3. Selecciona Cliente personalizado en la lista Tipo de cliente.
  4. Haz clic en Configuración.
  5. Selecciona para configurar el servidor personalizado principal o alternativo en la lista Configuración.
  6. Proporciona los siguientes detalles de configuración:
    • Host: Ingresa el nombre de host o la dirección IP del destino de carga.
    • Puerto: Configúralo en 514.
    • Usar conexiones seguras (SSL): Configurado como Desactivado
    • Haz clic en Aceptar.
    • Haz clic en Aplicar para volver a la pestaña Subir cliente.
  7. Para cada formato de registro que desees usar entre principal, IM y transmisión, completa los siguientes pasos:
    • Selecciona el registro.
    • Asigna el Cliente de carga para que sea el cliente Personalizado.
    • Selecciona <No Encryption> y <No Signing>.
    • Guarda el archivo de registro como un archivo de texto.
    • Haz clic en Upload Schedule > Upload Type.
    • Selecciona Continuamente en Cargar el registro de acceso para transmitir los registros de acceso.
    • Haz clic en Aceptar.
  8. Haz clic en Aplicar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
@timestamp metadata.event_timestamp Es la marca de tiempo del evento tal como la registró el dispositivo Blue Coat. Se analizó a partir de los datos JSON.
application-name target.application Es el nombre de la aplicación asociada con el tráfico de red. Se analizó a partir de los datos JSON.
c-ip principal.asset.ip
principal.ip		 Dirección IP del cliente. Se analizó a partir de los datos JSON.
c_ip principal.ip
principal.asset.ip		 Dirección IP del cliente. Se analizan a partir de varios formatos de registro.
c_ip_host principal.hostname
principal.asset.hostname		 Nombre de host del cliente, si está disponible. Se analizó a partir de los datos JSON.
cs-auth-group principal_user_group_identifiers Es el grupo de autenticación de clientes. Se analizó a partir de los datos JSON.
cs-bytes network.sent_bytes Cantidad de bytes enviados por el cliente. Se analizó a partir de los datos JSON.
cs-categories security_result.category_details Son las categorías que el dispositivo Blue Coat asigna a la solicitud web. Se analizó a partir de los datos JSON.
cs-host target_hostname Es el nombre de host que solicitó el cliente. Se analizó a partir de los datos JSON.
cs-icap-error-details security_result.detection_fields Son los detalles del error de ICAP del cliente. Se analizó a partir de los datos JSON. La clave es "cs-icap-error-details".
cs-icap-status security_result.description Es el estado de ICAP del cliente. Se analizó a partir de los datos JSON.
cs-method network.http.method Método HTTP que se usa en la solicitud. Se analizó a partir de los datos JSON.
cs-threat-risk security_result.risk_score Es la puntuación de riesgo de amenaza que asigna el dispositivo Blue Coat. Se analizó a partir de los datos JSON.
cs-uri-extension cs_uri_extension Es la extensión del URI solicitado. Se analizó a partir de los datos JSON.
cs-uri-path _uri_path Es la ruta del URI solicitado. Se analizó a partir de los datos JSON.
cs-uri-port cs_uri_port Es el puerto del URI solicitado. Se analizó a partir de los datos JSON.
cs-uri-query _uri_query Es la cadena de consulta del URI solicitado. Se analizó a partir de los datos JSON.
cs-uri-scheme _uri_scheme Scheme del URI solicitado (p.ej., http o https). Se analizó a partir de los datos JSON.
cs-userdn principal_user_userid Es el nombre de usuario del cliente. Se analizó a partir de los datos JSON.
cs-version cs_version Versión de HTTP que usa el cliente. Se analizó a partir de los datos JSON.
cs(Referer) network.http.referral_url Es la URL de referencia. Se analizó a partir de los datos JSON.
cs(User-Agent) network.http.user_agent Es la cadena de usuario-agente. Se analizó a partir de los datos JSON.
cs(X-Requested-With) security_result.detection_fields Valor del encabezado X-Requested-With. Se analizó a partir de los datos JSON. La clave es "cs-X-Requested-With".
cs_auth_group principal_user_group_identifiers Es el grupo de autenticación de clientes. Se analizan a partir de varios formatos de registro.
cs_bytes network.sent_bytes Cantidad de bytes enviados por el cliente. Se analizan a partir de varios formatos de registro.
cs_categories security_result.category_details Son las categorías asignadas a la solicitud web. Se analizan a partir de varios formatos de registro.
cs_host target_hostname Es el nombre de host que solicitó el cliente. Se analizan a partir de varios formatos de registro.
cs_method network.http.method Método HTTP que se usa en la solicitud. Se analizan a partir de varios formatos de registro.
cs_referer network.http.referral_url Es la URL de referencia. Se analizan a partir de varios formatos de registro.
cs_threat_risk security_result.risk_score Es la puntuación de riesgo de amenaza que asigna el dispositivo Blue Coat. Se analizó a partir del formato de registro de KV.
cs_uri target.url Es el URI completo solicitado. Se analizó a partir del formato de registro de KV.
cs_uri_extension cs_uri_extension Es la extensión del URI solicitado. Se analizó a partir del formato de registro de KV.
cs_uri_path _uri_path Es la ruta del URI solicitado. Se analizan a partir de varios formatos de registro.
cs_uri_port target_port Es el puerto del URI solicitado. Se analizan a partir de varios formatos de registro.
cs_uri_query _uri_query Es la cadena de consulta del URI solicitado. Se analizan a partir de varios formatos de registro.
cs_uri_scheme _uri_scheme Scheme del URI solicitado (p.ej., http o https). Se analizan a partir de varios formatos de registro.
cs_user principal_user_userid Es el nombre de usuario del cliente. Se analiza a partir del formato de registro general.
cs_user_agent network.http.user_agent Es la cadena de usuario-agente. Se analizan a partir de varios formatos de registro.
cs_username principal_user_userid Es el nombre de usuario del cliente. Se analizan a partir de varios formatos de registro.
cs_x_forwarded_for _intermediary.ip Es el valor del encabezado X-Forwarded-For. Se analiza a partir del formato de registro general.
deviceHostname _intermediary.hostname Es el nombre de host del dispositivo Blue Coat. Se analizó a partir del formato de registro de KV.
dst ip_target Dirección IP de destino. Se analizó a partir del formato de registro de KV.
dst_ip ip_target Dirección IP de destino. Se analizó a partir del formato de registro de SSL.
dst_user target.user.userid Es el ID del usuario de destino. Se analizó a partir del formato de registro de Proxy Reverse.
dstport target_port Es el puerto de destino. Se analizó a partir del formato de registro de KV.
dstport target.port Es el puerto de destino. Se analizó a partir del formato de registro de SSL.
exception-id _block_reason Es el ID de excepción que indica una solicitud bloqueada. Se analizó a partir del formato de registro de KV.
filter-category _categories Es la categoría del filtro que activó el evento. Se analizó a partir del formato de registro de KV.
filter-result _policy_action Es el resultado del filtro aplicado a la solicitud. Se analizó a partir del formato de registro de KV.
hostname principal.hostname
principal.asset.hostname		 Es el nombre de host del dispositivo que genera el registro. Se analizan a partir de los formatos de registro SSL y general.
isolation-url isolation-url Es la URL relacionada con el aislamiento, si corresponde. Se analizó a partir de los datos JSON.
ma-detonated ma-detonated Es el estado de detonación del software malicioso. Se analizó a partir de los datos JSON.
page-views page-views Es la cantidad de vistas de página. Se analizó a partir de los datos JSON.
r-ip ip_target Es la dirección IP remota. Se analizó a partir de los datos JSON.
r-supplier-country r-supplier-country Es el país del proveedor remoto. Se analizó a partir de los datos JSON.
r_dns target_hostname Nombre de DNS remoto. Se analizó a partir de los datos JSON.
r_ip ip_target Es la dirección IP remota. Se analizan a partir de varios formatos de registro.
r_port target_port Es el puerto remoto. Se analizó a partir de los datos JSON.
risk-groups security_result.detection_fields Son los grupos de riesgo asociados con el evento. Se analizó a partir de los datos JSON. La clave es "risk-groups".
rs-icap-error-details security_result.detection_fields Son los detalles del error de ICAP del servidor remoto. Se analizó a partir de los datos JSON. La clave es "rs-icap-error-details".
rs-icap-status rs-icap-status Es el estado de ICAP del servidor remoto. Se analizó a partir de los datos JSON.
rs(Content-Type) target.file.mime_type Es el tipo de contenido de la respuesta del servidor remoto. Se analizó a partir del formato de registro de KV.
rs_content_type target.file.mime_type Es el tipo de contenido de la respuesta del servidor remoto. Se analizan a partir de varios formatos de registro.
rs_server rs_server Es la información del servidor remoto. Se analizó a partir de los datos JSON.
rs_status _network.http.response_code Es el código de estado de la respuesta del servidor remoto. Se analizó a partir de los datos JSON.
r_supplier_country intermediary.location.country_or_region Es el país del proveedor remoto. Se analiza a partir del formato de registro general.
r_supplier_ip intermediary.ip Es la dirección IP del proveedor remoto. Se analiza a partir del formato de registro general.
s-action _metadata.product_event_type Es la acción que realizó el proxy. Se analizó a partir del formato de registro de KV.
s-ip _intermediary.ip Dirección IP del servidor. Se analizó a partir del formato de registro de KV.
s-source-ip _intermediary.ip Es la dirección IP de origen del servidor. Se analizó a partir de los datos JSON.
s_action _metadata.product_event_type Es la acción que realizó el proxy. Se analizan a partir de varios formatos de registro.
s_ip target.ip
target.asset.ip		 Dirección IP del servidor. Se analizan a partir de varios formatos de registro.
s_ip_host _intermediary.hostname Es el nombre de host del servidor. Se analizó a partir de los datos JSON.
s-supplier-country intermediary.location.country_or_region Es el país del servidor del proveedor. Se analizó a partir de los datos JSON.
s-supplier-failures security_result.detection_fields Fallas del proveedor Se analizó a partir de los datos JSON. La clave es "s-supplier-failures".
s-supplier-ip _intermediary.ip Es la dirección IP del servidor del proveedor. Se analizó a partir de los datos JSON.
s_supplier_ip intermediary.ip Es la dirección IP del servidor del proveedor. Se analizó a partir de los datos JSON.
s_supplier_name _intermediary.hostname Es el nombre del servidor del proveedor. Se analiza a partir del formato de registro general.
sc-bytes network.received_bytes Cantidad de bytes que recibió el servidor. Se analizó a partir del formato de registro de KV.
sc-filter-result _policy_action Es el resultado del filtro del servidor. Se analizó a partir del formato de registro de KV.
sc-status _network.http.response_code Es el código de estado que devolvió el servidor. Se analizó a partir del formato de registro de KV.
sc_bytes network.received_bytes Cantidad de bytes que recibió el servidor. Se analizan a partir de varios formatos de registro.
sc_connection sc_connection Es la información de conexión del servidor. Se analiza a partir del formato de registro general.
sc_filter_result _policy_action Es el resultado del filtro del servidor. Se analizan a partir de varios formatos de registro.
sc_status _network.http.response_code Es el código de estado que devolvió el servidor. Se analizan a partir de varios formatos de registro.
search_query target.resource.attribute.labels Es la búsqueda, si está presente en la URL. Se extrajo de target_url. La clave es "search_query".
session_id network.session_id ID de sesión. Se analizó a partir del formato de registro de Proxy Reverse.
src ip_principal Dirección IP de origen. Se analizó a partir del formato de registro de KV.
src_hostname principal.hostname
principal.asset.hostname		 Es el nombre de host de origen. Se analiza a partir del formato de registro general.
src_ip ip_principal Dirección IP de origen. Se analizó a partir del formato de registro de SSL.
srcport principal_port Es el puerto de origen. Se analizó a partir del formato de registro de KV.
src_port principal.port Es el puerto de origen. Se analizó a partir del formato de registro de SSL.
s_source_port intermediary.port Es el puerto de origen del servidor. Se analiza a partir del formato de registro general.
summary security_result.summary Es el resumen del resultado de seguridad. Se analizan a partir de los formatos de registro de Proxy inverso y SSL.
syslogtimestamp syslogtimestamp Es la marca de tiempo de Syslog. Se analizó a partir del formato de registro de KV.
target_application target.application Es la aplicación para la que se segmenta la solicitud. Se deriva de x_bluecoat_application_name o application-name.
target_hostname target.hostname
target.asset.hostname		 Es el nombre de host de destino. Se deriva de r_dns, cs-host o de otros campos, según el formato del registro.
target_port target.port Es el puerto de destino. Se deriva de r_port, cs_uri_port o dstport, según el formato del registro.
target_sip target.ip
target.asset.ip		 Es la dirección IP del servidor de destino. Se analiza a partir del formato de registro general.
target_url target.url Es la URL de destino. Se deriva de target_hostname, _uri_path y _uri_query o cs_uri.
time-taken network.session_duration Duración de la sesión o la solicitud. Se analizó a partir del formato de registro de KV y se convirtió a segundos y nanosegundos.
time_taken network.session_duration Duración de la sesión o la solicitud. Se analizan varios formatos de registro y se convierten a segundos y nanosegundos.
tls_version network.tls.version Versión de TLS que se usa en la conexión. Se analizó a partir del formato de registro de SSL.
upload-source upload-source Es la fuente de la carga. Se analizó a partir de los datos JSON.
username principal_user_userid Nombre de usuario. Se analizó a partir del formato de registro de KV.
verdict security_result.detection_fields Es el veredicto del análisis de seguridad. Se analizó a partir de los datos JSON. La clave es "verdict".
wf-env wf_env Es el entorno del servicio de filtrado web. Se analizó a partir de los datos JSON.
wf_id security_result.detection_fields Es el ID del filtro web. Se analizó a partir de los datos JSON. La clave es "wf_id".
wrong_cs_host principal.hostname
principal.asset.hostname		 Nombre de host del cliente analizado de forma incorrecta, que se usa como nombre de host principal si no es una dirección IP. Se analiza a partir del formato de registro general.
x-bluecoat-access-type x-bluecoat-access-type Tipo de acceso. Se analizó a partir de los datos JSON.
x-bluecoat-appliance-name intermediary.application Nombre del dispositivo Blue Coat. Se analizó a partir de los datos JSON.
x-bluecoat-application-name target_application Es el nombre de la aplicación. Se analizó a partir de los datos JSON.
x-bluecoat-application-operation x_bluecoat_application_operation Operación de la aplicación Se analizó a partir de los datos JSON.
x-bluecoat-location-id x-bluecoat-location-id Es el ID de ubicación. Se analizó a partir de los datos JSON.
x-bluecoat-location-name x-bluecoat-location-name Nombre de la ubicación. Se analizó a partir de los datos JSON.
x-bluecoat-placeholder security_result.detection_fields Es información de marcador de posición. Se analizó a partir de los datos JSON. La clave es "x-bluecoat-placeholder".
x-bluecoat-reference-id security_result.detection_fields Es el ID de referencia. Se analizó a partir de los datos JSON. La clave es "x-bluecoat-reference-id".
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id Es el ID del arrendatario de la solicitud. Se analizó a partir de los datos JSON.
x-bluecoat-transaction-uuid metadata.product_log_id Es el UUID de la transacción. Se analizó a partir de los datos JSON.
x-client-agent-sw software.name Software de agente del cliente Se analizan a partir de los datos JSON y se combinan en principal.asset.software.
x-client-agent-type principal.application Es el tipo de agente del cliente. Se analizó a partir de los datos JSON.
x-client-device-id principal.resource.product_object_id Es el ID del dispositivo del cliente. Se analizó a partir de los datos JSON.
x-client-device-name x-client-device-name Nombre del dispositivo cliente. Se analizó a partir de los datos JSON.
x-client-device-type x-client-device-type Es el tipo de dispositivo del cliente. Se analizó a partir de los datos JSON.
x-client-os principal.asset.platform_software.platform Es el sistema operativo del cliente. Se analizó a partir de los datos JSON. Si contiene "Windows", establece la plataforma en WINDOWS.
x-client-security-posture-details x-client-security-posture-details Son los detalles de la postura de seguridad del cliente. Se analizó a partir de los datos JSON.
x-client-security-posture-risk-score security_result.detection_fields Es la puntuación de riesgo de la postura de seguridad del cliente. Se analizó a partir de los datos JSON. La clave es "x-client-security-posture-risk-score".
x-cloud-rs security_result.detection_fields Es información del servidor remoto relacionada con la nube. Se analizó a partir de los datos JSON. La clave es "x-cloud-rs".
x-cs-certificate-subject x_cs_certificate_subject Es el asunto del certificado del cliente. Se analizó a partir de los datos JSON.
x-cs-client-ip-country x-cs-client-ip-country Es el país de la IP del cliente. Se analizó a partir de los datos JSON.
x-cs-connection-negotiated-cipher network.tls.cipher Es el algoritmo de encriptación negociado del cliente. Se analizó a partir de los datos JSON.
x-cs-connection-negotiated-cipher-size security_result.detection_fields Es el tamaño del cifrado negociado desde el cliente. Se analizó a partir de los datos JSON. La clave es "x-cs-connection-negotiated-cipher-size".
x-cs-connection-negotiated-ssl-version network.tls.version_protocol Es la versión de SSL negociada desde el cliente. Se analizó a partir de los datos JSON.
x-cs-ocsp-error security_result.detection_fields Error de OCSP del cliente. Se analizó a partir de los datos JSON. La clave es "x-cs-ocsp-error".
x-cs(referer)-uri-categories x-cs(referer)-uri-categories Son las categorías de URI de referencia del cliente. Se analizó a partir de los datos JSON.
x-data-leak-detected security_result.detection_fields Es el estado de la detección de filtraciones de datos. Se analizó a partir de los datos JSON. La clave es "x-data-leak-detected".
x-exception-id x_exception_id ID de excepción. Se analizó a partir de los datos JSON.
x-http-connect-host x-http-connect-host Es el host de conexión HTTP. Se analizó a partir de los datos JSON.
x-http-connect-port x-http-connect-port Es el puerto de conexión HTTP. Se analizó a partir de los datos JSON.
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header Es el encabezado de modificación de la solicitud ICAP que contiene metadatos. Se analizó a partir de los datos JSON.
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header Es el encabezado de modificación de la respuesta de ICAP que contiene metadatos. Se analizó a partir de los datos JSON.
x-rs-certificate-hostname network.tls.client.server_name Es el nombre de host del certificado del servidor remoto. Se analizó a partir de los datos JSON.
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category Son las categorías de nombres de host de certificados del servidor remoto. Se analizó a partir de los datos JSON.
x-rs-certificate-hostname-category x_rs_certificate_hostname_category Es la categoría del nombre de host del certificado del servidor remoto. Se analizó a partir de los datos JSON.
x-rs-certificate-hostname-threat-risk security_result.detection_fields Riesgo de amenaza del nombre de host del certificado desde el servidor remoto. Se analizó a partir de los datos JSON. La clave es "x-rs-certificate-hostname-threat-risk".
x-rs-certificate-observed-errors x_rs_certificate_observed_errors Errores observados en el certificado del servidor remoto. Se analizó a partir de los datos JSON.
x-rs-certificate-validate-status network.tls.server.certificate.subject Es el estado de validación del certificado del servidor remoto. Se analizó a partir de los datos JSON.
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher Es el algoritmo de cifrado negociado desde el servidor remoto. Se analizó a partir de los datos JSON.
x-rs-connection-negotiated-cipher-size security_result.detection_fields Tamaño del cifrado negociado desde el servidor remoto. Se analizó a partir de los datos JSON. La clave es "x-rs-connection-negotiated-cipher-size".
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength Es la intensidad del cifrado negociado desde el servidor remoto. Se analizó a partir de los datos JSON.
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version Versión de SSL negociada desde el servidor remoto. Se analizó a partir de los datos JSON.
x-rs-ocsp-error x_rs_ocsp_error Error de OCSP del servidor remoto. Se analizó a partir de los datos JSON.
x-sc-connection-issuer-keyring security_result.detection_fields Llavero de claves de la entidad emisora de la conexión. Se analizó a partir de los datos JSON. La clave es "x-sc-connection-issuer-keyring".
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias Es el alias del llavero de claves de la entidad emisora de la conexión. Se analizó a partir de los datos JSON.
x-sr-vpop-country principal.location.country_or_region Es el país del VPOP. Se analizó a partir de los datos JSON.
x-sr-vpop-country-code principal.location.country_or_region Es el código de país del VPOP. Se analizó a partir de los datos JSON.
x-sr-vpop-ip principal.ip
principal.asset.ip		 Es la dirección IP del VPOP. Se analizó a partir de los datos JSON.
x-symc-dei-app x-symc-dei-app Es la aplicación de DEI de Symantec. Se analizó a partir de los datos JSON.
x-symc-dei-via security_result.detection_fields Symantec DEI a través de. Se analizó a partir de los datos JSON. La clave es "x-symc-dei-via".
x-tenant-id security_result.detection_fields Es el ID de usuario. Se analizó a partir de los datos JSON. La clave es "x-tenant-id".
x-timestamp-unix x-timestamp-unix Es una marca de tiempo de Unix. Se analizó a partir de los datos JSON.
x_bluecoat_application_name target_application Es el nombre de la aplicación. Se analizan a partir de varios formatos de registro.
x_bluecoat_application_operation x_bluecoat_application_operation Operación de la aplicación Se analizan a partir de varios formatos de registro.
x_bluecoat_transaction_uuid metadata.product_log_id Es el UUID de la transacción. Se analizan a partir de varios formatos de registro.
x_cs_certificate_subject x_cs_certificate_subject Es el asunto del certificado del cliente. Se analiza a partir del formato de registro general.
x_cs_client_effective_ip ip_principal Es la dirección IP efectiva del cliente. Se analiza a partir del formato de registro general.
x_cs_connection_negotiated_cipher network.tls.cipher Es el algoritmo de encriptación negociado del cliente. Se analiza a partir del formato de registro general.
x_cs_connection_negotiated_ssl_version network.tls.version_protocol Es la versión de SSL negociada del lado del cliente. Se analiza a partir del formato de registro general.
x_exception_id _block_reason ID de excepción. Se analizan a partir de varios formatos de registro.
x_icap_reqmod_header x_icap_reqmod_header Es el encabezado de modificación de la solicitud de ICAP. Se analiza a partir del formato de registro general.
x_icap_respmod_header x_icap_respmod_header Es el encabezado de modificación de respuesta de ICAP. Se analiza a partir del formato de registro general.
x_rs_certificate_hostname network.tls.client.server_name Es el nombre de host del certificado del servidor remoto. Se analiza a partir del formato de registro general.
x_rs_certificate_hostname_category x_rs_certificate_hostname_category Es la categoría del nombre de host del certificado del servidor remoto. Se analiza a partir del formato de registro general.
x_rs_certificate_observed_errors x_rs_certificate_observed_errors Se observaron errores en el certificado del servidor remoto. Se analiza a partir del formato de registro general.
x_rs_certificate_validate_status network.tls.server.certificate.subject Es el estado de validación del certificado del servidor remoto. Se analizan a partir de varios formatos de registro.
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength Es la potencia de cifrado negociada del servidor remoto. Se analiza a partir del formato de registro general.
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version Es la versión de SSL negociada por el servidor remoto. Se analiza a partir del formato de registro general.
x_virus_id security_result.detection_fields Es el ID del virus. Se analizó a partir de varios formatos de registro. La clave es "x-virus-id".

Campos derivados (de la lógica del analizador):

  • metadata.event_type: Se determina en función de un conjunto complejo de condiciones que involucran campos como network.application_protocol, network.http.method, principal.*, target.* y dst_user.
  • metadata.vendor_name: Valor estático: Blue Coat Systems.
  • metadata.product_name: Valor estático: ProxySG.
  • metadata.log_type: Valor estático: BLUECOAT_WEBPROXY.
  • principal.asset.platform_software.platform: Se establece en WINDOWS si x-client-os contiene Windows.
  • network.application_protocol: Se determina con una tabla de búsqueda basada en _uri_scheme o target.port. La configuración predeterminada es UNKNOWN_APPLICATION_PROTOCOL.
  • network.ip_protocol: Se determina con una tabla de búsqueda basada en _uri_scheme. La configuración predeterminada es UNKNOWN_IP_PROTOCOL.
  • security_result.action: Se determina según _policy_action (OBSERVED -> ALLOW, DENIED -> BLOCK).
  • security_result.about.labels: Contiene etiquetas derivadas de varios campos, como rs_server, communication_type y el estado del formato de registro de SSL.
  • security_result.detection_fields: Contiene varios pares clave-valor derivados de campos como x_virus_id, x_rs_certificate_observed_errors, x_rs_connection_negotiated_cipher_strength y muchos otros.
  • vulns.vulnerabilities: Se completa con el campo proxy_reverse_info si está presente y contiene información sobre la vulnerabilidad, como cve_id y about.labels.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.