Collecter les journaux Blue Coat ProxySG

Compatible avec :

Ce document explique comment ingérer des journaux Blue Coat ProxySG dans Google Security Operations à l'aide de Bindplane. L'analyseur gère les journaux de proxy Web Blue Coat et est compatible avec les formats SYSLOG+JSON et SYSLOG+KV. Il utilise une série de vérifications conditionnelles et de modèles grok pour identifier le format du journal, extraire les champs pertinents et les mapper au modèle de données unifié (UDM), en gérant diverses structures de journaux et divers cas extrêmes.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
  • Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
  • Accès privilégié à Blue Coat ProxySG

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindlane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :
    • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Syslog dans Blue Coat ProxySG

  1. Connectez-vous à la console de gestion Blue Coat ProxySG.
  2. Accédez à Maintenance > Journalisation des événements > Syslog.
  3. Cliquez sur New (Nouveau).
  4. Fournissez les informations de configuration suivantes :
    • Loghost : saisissez l'adresse IP de l'agent Bindplane.
    • Cliquez sur OK.
  5. Cochez la case Activer Syslog.
  6. Sélectionnez Niveau.
  7. Cochez la case Verbose.
  8. Cliquez sur Appliquer.

Configurer un client personnalisé dans Blue Coat ProxySG

  1. Accédez à Configuration> Journalisation des accès> Journaux> Client d'importation.
  2. Sélectionnez Streaming dans la liste des journaux.
  3. Sélectionnez Client personnalisé dans la liste "Type de client".
  4. Cliquez sur Paramètres.
  5. Sélectionnez le serveur personnalisé principal ou alternatif à configurer dans la liste Paramètres.
  6. Fournissez les informations de configuration suivantes :
    • Hôte : saisissez le nom d'hôte ou l'adresse IP de la destination d'importation.
    • Port : définissez-le sur 514.
    • Utiliser des connexions sécurisées (SSL) : définissez cette option sur Désactivé.
    • Cliquez sur OK.
    • Cliquez sur Appliquer pour revenir à l'onglet Importer un client.
  7. Pour chaque format de journal que vous souhaitez utiliser parmi les formats "main", "im" et "streaming", procédez comme suit :
    • Sélectionnez le journal.
    • Attribuez le client Importer un client au client Personnalisé.
    • Sélectionnez <No Encryption> et <No Signing>.
    • Enregistrez le fichier journal en tant que fichier texte.
    • Cliquez sur Importer un programme > Type d'importation.
    • Sélectionnez En continu pour Importer le journal des accès afin de diffuser les journaux des accès.
    • Cliquez sur OK.
  8. Cliquez sur Appliquer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
@timestamp metadata.event_timestamp Code temporel de l'événement tel qu'enregistré par l'appliance Blue Coat. Analysé à partir des données JSON.
application-name target.application Nom de l'application associée au trafic réseau. Analysé à partir des données JSON.
c-ip principal.asset.ip
principal.ip		 Adresse IP du client. Analysé à partir des données JSON.
c_ip principal.ip
principal.asset.ip		 Adresse IP du client. Analysé à partir de différents formats de journaux.
c_ip_host principal.hostname
principal.asset.hostname		 Nom d'hôte du client, si disponible. Analysé à partir des données JSON.
cs-auth-group principal_user_group_identifiers Groupe d'authentification client. Analysé à partir des données JSON.
cs-bytes network.sent_bytes Nombre d'octets envoyés par le client. Analysé à partir des données JSON.
cs-categories security_result.category_details Catégories attribuées à la requête Web par l'appliance Blue Coat. Analysé à partir des données JSON.
cs-host target_hostname Nom d'hôte demandé par le client. Analysé à partir des données JSON.
cs-icap-error-details security_result.detection_fields Détails des erreurs ICAP côté client. Analysé à partir des données JSON, la clé est "cs-icap-error-details".
cs-icap-status security_result.description État ICAP côté client. Analysé à partir des données JSON.
cs-method network.http.method Méthode HTTP utilisée dans la requête. Analysé à partir des données JSON.
cs-threat-risk security_result.risk_score Score de risque de menace attribué par l'appliance Blue Coat. Analysé à partir des données JSON.
cs-uri-extension cs_uri_extension Extension de l'URI demandé. Analysé à partir des données JSON.
cs-uri-path _uri_path Chemin de l'URI demandé. Analysé à partir des données JSON.
cs-uri-port cs_uri_port Port de l'URI demandé. Analysé à partir des données JSON.
cs-uri-query _uri_query Chaîne de requête de l'URI demandé. Analysé à partir des données JSON.
cs-uri-scheme _uri_scheme Scheme de l'URI demandé (par exemple, http ou https). Analysé à partir des données JSON.
cs-userdn principal_user_userid Nom d'utilisateur du client. Analysé à partir des données JSON.
cs-version cs_version Version HTTP utilisée par le client. Analysé à partir des données JSON.
cs(Referer) network.http.referral_url URL de provenance. Analysé à partir des données JSON.
cs(User-Agent) network.http.user_agent Chaîne user-agent. Analysé à partir des données JSON.
cs(X-Requested-With) security_result.detection_fields Valeur de l'en-tête X-Requested-With. Analysé à partir des données JSON, la clé est "cs-X-Requested-With".
cs_auth_group principal_user_group_identifiers Groupe d'authentification client. Analysé à partir de différents formats de journaux.
cs_bytes network.sent_bytes Nombre d'octets envoyés par le client. Analysé à partir de différents formats de journaux.
cs_categories security_result.category_details Catégories attribuées à la requête Web. Analysé à partir de différents formats de journaux.
cs_host target_hostname Nom d'hôte demandé par le client. Analysé à partir de différents formats de journaux.
cs_method network.http.method Méthode HTTP utilisée dans la requête. Analysé à partir de différents formats de journaux.
cs_referer network.http.referral_url URL de provenance. Analysé à partir de différents formats de journaux.
cs_threat_risk security_result.risk_score Score de risque de menace attribué par l'appliance Blue Coat. Analysé à partir du format de journal KV.
cs_uri target.url URI complet demandé. Analysé à partir du format de journal KV.
cs_uri_extension cs_uri_extension Extension de l'URI demandé. Analysé à partir du format de journal KV.
cs_uri_path _uri_path Chemin de l'URI demandé. Analysé à partir de différents formats de journaux.
cs_uri_port target_port Port de l'URI demandé. Analysé à partir de différents formats de journaux.
cs_uri_query _uri_query Chaîne de requête de l'URI demandé. Analysé à partir de différents formats de journaux.
cs_uri_scheme _uri_scheme Scheme de l'URI demandé (par exemple, http ou https). Analysé à partir de différents formats de journaux.
cs_user principal_user_userid Nom d'utilisateur du client. Analysé à partir du format de journal général.
cs_user_agent network.http.user_agent Chaîne user-agent. Analysé à partir de différents formats de journaux.
cs_username principal_user_userid Nom d'utilisateur du client. Analysé à partir de différents formats de journaux.
cs_x_forwarded_for _intermediary.ip Valeur de l'en-tête X-Forwarded-For. Analysé à partir du format de journal général.
deviceHostname _intermediary.hostname Nom d'hôte de l'appliance Blue Coat. Analysé à partir du format de journal KV.
dst ip_target Adresse IP de destination. Analysé à partir du format de journal KV.
dst_ip ip_target Adresse IP de destination. Analysé à partir du format du journal SSL.
dst_user target.user.userid ID utilisateur de destination. Analysé à partir du format du journal de proxy inverse.
dstport target_port Port de destination. Analysé à partir du format de journal KV.
dstport target.port Port de destination. Analysé à partir du format du journal SSL.
exception-id _block_reason ID d'exception indiquant une requête bloquée. Analysé à partir du format de journal KV.
filter-category _categories Catégorie du filtre qui a déclenché l'événement. Analysé à partir du format de journal KV.
filter-result _policy_action Résultat du filtre appliqué à la requête. Analysé à partir du format de journal KV.
hostname principal.hostname
principal.asset.hostname		 Nom d'hôte de l'appareil qui génère le journal. Analysé à partir des formats de journaux SSL et généraux.
isolation-url isolation-url URL liée à l'isolement, le cas échéant. Analysé à partir des données JSON.
ma-detonated ma-detonated État de la détonation du logiciel malveillant. Analysé à partir des données JSON.
page-views page-views Nombre de pages vues. Analysé à partir des données JSON.
r-ip ip_target Adresse IP distante. Analysé à partir des données JSON.
r-supplier-country r-supplier-country Pays du fournisseur distant. Analysé à partir des données JSON.
r_dns target_hostname Nom DNS distant. Analysé à partir des données JSON.
r_ip ip_target Adresse IP distante. Analysé à partir de différents formats de journaux.
r_port target_port Port distant. Analysé à partir des données JSON.
risk-groups security_result.detection_fields Groupes à risque associés à l'événement. La clé "risk-groups" est extraite des données JSON.
rs-icap-error-details security_result.detection_fields Détails de l'erreur ICAP côté serveur distant. Analysé à partir des données JSON, la clé est "rs-icap-error-details".
rs-icap-status rs-icap-status État ICAP côté serveur distant. Analysé à partir des données JSON.
rs(Content-Type) target.file.mime_type Type de contenu de la réponse du serveur distant. Analysé à partir du format de journal KV.
rs_content_type target.file.mime_type Type de contenu de la réponse du serveur distant. Analysé à partir de différents formats de journaux.
rs_server rs_server Informations sur le serveur distant. Analysé à partir des données JSON.
rs_status _network.http.response_code Code d'état de la réponse du serveur distant. Analysé à partir des données JSON.
r_supplier_country intermediary.location.country_or_region Pays du fournisseur distant. Analysé à partir du format de journal général.
r_supplier_ip intermediary.ip Adresse IP du fournisseur distant. Analysé à partir du format de journal général.
s-action _metadata.product_event_type Action effectuée par le proxy. Analysé à partir du format de journal KV.
s-ip _intermediary.ip Adresse IP du serveur. Analysé à partir du format de journal KV.
s-source-ip _intermediary.ip Adresse IP source du serveur. Analysé à partir des données JSON.
s_action _metadata.product_event_type Action effectuée par le proxy. Analysé à partir de différents formats de journaux.
s_ip target.ip
target.asset.ip		 Adresse IP du serveur. Analysé à partir de différents formats de journaux.
s_ip_host _intermediary.hostname Nom d'hôte du serveur. Analysé à partir des données JSON.
s-supplier-country intermediary.location.country_or_region Pays du serveur du fournisseur. Analysé à partir des données JSON.
s-supplier-failures security_result.detection_fields Défaillances des fournisseurs La clé "s-supplier-failures" est extraite des données JSON.
s-supplier-ip _intermediary.ip Adresse IP du serveur du fournisseur. Analysé à partir des données JSON.
s_supplier_ip intermediary.ip Adresse IP du serveur du fournisseur. Analysé à partir des données JSON.
s_supplier_name _intermediary.hostname Nom du serveur du fournisseur. Analysé à partir du format de journal général.
sc-bytes network.received_bytes Nombre d'octets reçus par le serveur. Analysé à partir du format de journal KV.
sc-filter-result _policy_action Filtrer les résultats côté serveur. Analysé à partir du format de journal KV.
sc-status _network.http.response_code Code d'état renvoyé par le serveur. Analysé à partir du format de journal KV.
sc_bytes network.received_bytes Nombre d'octets reçus par le serveur. Analysé à partir de différents formats de journaux.
sc_connection sc_connection Informations sur la connexion au serveur. Analysé à partir du format de journal général.
sc_filter_result _policy_action Filtrer les résultats côté serveur. Analysé à partir de différents formats de journaux.
sc_status _network.http.response_code Code d'état renvoyé par le serveur. Analysé à partir de différents formats de journaux.
search_query target.resource.attribute.labels Requête de recherche, si elle est présente dans l'URL. Extrait de target_url, la clé est "search_query".
session_id network.session_id ID de session. Analysé à partir du format du journal de proxy inverse.
src ip_principal Adresse IP source. Analysé à partir du format de journal KV.
src_hostname principal.hostname
principal.asset.hostname		 Nom d'hôte source. Analysé à partir du format de journal général.
src_ip ip_principal Adresse IP source. Analysé à partir du format du journal SSL.
srcport principal_port Port source Analysé à partir du format de journal KV.
src_port principal.port Port source Analysé à partir du format du journal SSL.
s_source_port intermediary.port Port source du serveur. Analysé à partir du format de journal général.
summary security_result.summary Résumé du résultat de sécurité. Analysé à partir des formats de journaux de proxy inverse et SSL.
syslogtimestamp syslogtimestamp Code temporel Syslog. Analysé à partir du format de journal KV.
target_application target.application Application ciblée par la requête. Dérivé de x_bluecoat_application_name ou application-name.
target_hostname target.hostname
target.asset.hostname		 Nom d'hôte cible. Dérivé de r_dns, cs-host ou d'autres champs selon le format du journal.
target_port target.port Port cible. Dérivé de r_port, cs_uri_port ou dstport selon le format du journal.
target_sip target.ip
target.asset.ip		 Adresse IP du serveur cible. Analysé à partir du format de journal général.
target_url target.url URL cible. Dérivé de target_hostname, _uri_path et _uri_query ou cs_uri.
time-taken network.session_duration Durée de la session ou de la requête. Analysé à partir du format de journal KV et converti en secondes et en nanosecondes.
time_taken network.session_duration Durée de la session ou de la requête. Analysé à partir de différents formats de journaux et converti en secondes et en nanosecondes.
tls_version network.tls.version Version TLS utilisée dans la connexion. Analysé à partir du format du journal SSL.
upload-source upload-source Source de l'importation. Analysé à partir des données JSON.
username principal_user_userid Nom d'utilisateur. Analysé à partir du format de journal KV.
verdict security_result.detection_fields Verdict de l'analyse de sécurité. Analysé à partir des données JSON, la clé est "verdict".
wf-env wf_env Environnement du service de filtrage Web. Analysé à partir des données JSON.
wf_id security_result.detection_fields ID du filtrage Web. Analysé à partir des données JSON, la clé est "wf_id".
wrong_cs_host principal.hostname
principal.asset.hostname		 Nom d'hôte du client mal analysé, utilisé comme nom d'hôte principal s'il ne s'agit pas d'une adresse IP. Analysé à partir du format de journal général.
x-bluecoat-access-type x-bluecoat-access-type Type d'accès. Analysé à partir des données JSON.
x-bluecoat-appliance-name intermediary.application Nom de l'appliance Blue Coat. Analysé à partir des données JSON.
x-bluecoat-application-name target_application Nom de l'application. Analysé à partir des données JSON.
x-bluecoat-application-operation x_bluecoat_application_operation Fonctionnement de l'application. Analysé à partir des données JSON.
x-bluecoat-location-id x-bluecoat-location-id ID de l'établissement. Analysé à partir des données JSON.
x-bluecoat-location-name x-bluecoat-location-name Nom de l'établissement. Analysé à partir des données JSON.
x-bluecoat-placeholder security_result.detection_fields Informations de l'espace réservé. La clé "x-bluecoat-placeholder" est analysée à partir des données JSON.
x-bluecoat-reference-id security_result.detection_fields ID de référence. La clé "x-bluecoat-reference-id" est analysée à partir des données JSON.
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id ID de locataire de la requête. Analysé à partir des données JSON.
x-bluecoat-transaction-uuid metadata.product_log_id UUID de la transaction. Analysé à partir des données JSON.
x-client-agent-sw software.name Logiciel d'agent client. Analysé à partir des données JSON et fusionné dans principal.asset.software.
x-client-agent-type principal.application Type d'agent client. Analysé à partir des données JSON.
x-client-device-id principal.resource.product_object_id ID de l'appareil client. Analysé à partir des données JSON.
x-client-device-name x-client-device-name Nom de l'appareil client. Analysé à partir des données JSON.
x-client-device-type x-client-device-type Type d'appareil client. Analysé à partir des données JSON.
x-client-os principal.asset.platform_software.platform Système d'exploitation du client. Analysé à partir des données JSON. Si le nom contient "Windows", la plate-forme est définie sur WINDOWS.
x-client-security-posture-details x-client-security-posture-details Détails sur la stratégie de sécurité du client. Analysé à partir des données JSON.
x-client-security-posture-risk-score security_result.detection_fields Score de risque de la stratégie de sécurité du client. La clé "x-client-security-posture-risk-score" est analysée à partir des données JSON.
x-cloud-rs security_result.detection_fields Informations sur le serveur distant liées au cloud. La clé "x-cloud-rs" est extraite des données JSON.
x-cs-certificate-subject x_cs_certificate_subject Objet du certificat côté client. Analysé à partir des données JSON.
x-cs-client-ip-country x-cs-client-ip-country Pays de l'adresse IP du client. Analysé à partir des données JSON.
x-cs-connection-negotiated-cipher network.tls.cipher Chiffre négocié côté client. Analysé à partir des données JSON.
x-cs-connection-negotiated-cipher-size security_result.detection_fields Taille du chiffrement négociée côté client. Analysé à partir des données JSON, la clé est "x-cs-connection-negotiated-cipher-size".
x-cs-connection-negotiated-ssl-version network.tls.version_protocol Version SSL négociée côté client. Analysé à partir des données JSON.
x-cs-ocsp-error security_result.detection_fields Erreur OCSP côté client. La clé "x-cs-ocsp-error" est extraite des données JSON.
x-cs(referer)-uri-categories x-cs(referer)-uri-categories Catégories d'URI de provenance côté client. Analysé à partir des données JSON.
x-data-leak-detected security_result.detection_fields État de la détection des fuites de données. La clé "x-data-leak-detected" est extraite des données JSON.
x-exception-id x_exception_id ID de l'exception. Analysé à partir des données JSON.
x-http-connect-host x-http-connect-host Hôte de connexion HTTP. Analysé à partir des données JSON.
x-http-connect-port x-http-connect-port Port de connexion HTTP. Analysé à partir des données JSON.
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header En-tête de modification de la requête ICAP contenant des métadonnées. Analysé à partir des données JSON.
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header En-tête de modification de la réponse ICAP contenant des métadonnées. Analysé à partir des données JSON.
x-rs-certificate-hostname network.tls.client.server_name Nom d'hôte du certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category Catégories de noms d'hôte de certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-certificate-hostname-category x_rs_certificate_hostname_category Catégorie du nom d'hôte du certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-certificate-hostname-threat-risk security_result.detection_fields Risque de menace lié au nom d'hôte du certificat côté serveur distant. Analysé à partir des données JSON, la clé est "x-rs-certificate-hostname-threat-risk".
x-rs-certificate-observed-errors x_rs_certificate_observed_errors Erreurs observées au niveau du certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-certificate-validate-status network.tls.server.certificate.subject État de validation du certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher Algorithme de chiffrement négocié côté serveur distant. Analysé à partir des données JSON.
x-rs-connection-negotiated-cipher-size security_result.detection_fields Taille de l'algorithme de chiffrement négociée côté serveur distant. La clé "x-rs-connection-negotiated-cipher-size" est extraite des données JSON.
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength Intensité du chiffrement négocié côté serveur distant. Analysé à partir des données JSON.
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version Version SSL négociée côté serveur distant. Analysé à partir des données JSON.
x-rs-ocsp-error x_rs_ocsp_error Erreur OCSP côté serveur distant. Analysé à partir des données JSON.
x-sc-connection-issuer-keyring security_result.detection_fields Trousseau de clés de l'émetteur de la connexion. La clé "x-sc-connection-issuer-keyring" est extraite des données JSON.
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias Alias du trousseau de clés de l'émetteur de la connexion. Analysé à partir des données JSON.
x-sr-vpop-country principal.location.country_or_region Pays du VPOP. Analysé à partir des données JSON.
x-sr-vpop-country-code principal.location.country_or_region Code pays du VPOP. Analysé à partir des données JSON.
x-sr-vpop-ip principal.ip
principal.asset.ip		 Adresse IP du VPOP. Analysé à partir des données JSON.
x-symc-dei-app x-symc-dei-app Application Symantec DEI. Analysé à partir des données JSON.
x-symc-dei-via security_result.detection_fields Symantec DEI via. La clé "x-symc-dei-via" est analysée à partir des données JSON.
x-tenant-id security_result.detection_fields ID du locataire. La clé "x-tenant-id" est extraite des données JSON.
x-timestamp-unix x-timestamp-unix Horodatage Unix. Analysé à partir des données JSON.
x_bluecoat_application_name target_application Nom de l'application. Analysé à partir de différents formats de journaux.
x_bluecoat_application_operation x_bluecoat_application_operation Fonctionnement de l'application. Analysé à partir de différents formats de journaux.
x_bluecoat_transaction_uuid metadata.product_log_id UUID de la transaction. Analysé à partir de différents formats de journaux.
x_cs_certificate_subject x_cs_certificate_subject Objet du certificat côté client. Analysé à partir du format de journal général.
x_cs_client_effective_ip ip_principal Adresse IP effective du client. Analysé à partir du format de journal général.
x_cs_connection_negotiated_cipher network.tls.cipher Chiffre négocié côté client. Analysé à partir du format de journal général.
x_cs_connection_negotiated_ssl_version network.tls.version_protocol Version SSL négociée côté client. Analysé à partir du format de journal général.
x_exception_id _block_reason ID de l'exception. Analysé à partir de différents formats de journaux.
x_icap_reqmod_header x_icap_reqmod_header En-tête de modification de la requête ICAP. Analysé à partir du format de journal général.
x_icap_respmod_header x_icap_respmod_header En-tête de modification de la réponse ICAP. Analysé à partir du format de journal général.
x_rs_certificate_hostname network.tls.client.server_name Nom d'hôte du certificat de serveur distant. Analysé à partir du format de journal général.
x_rs_certificate_hostname_category x_rs_certificate_hostname_category Catégorie de nom d'hôte du certificat de serveur distant. Analysé à partir du format de journal général.
x_rs_certificate_observed_errors x_rs_certificate_observed_errors Erreurs observées concernant le certificat du serveur distant. Analysé à partir du format de journal général.
x_rs_certificate_validate_status network.tls.server.certificate.subject État de validation du certificat du serveur distant. Analysé à partir de différents formats de journaux.
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength Intensité du chiffrement négocié par le serveur distant. Analysé à partir du format de journal général.
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version Version SSL négociée par le serveur distant. Analysé à partir du format de journal général.
x_virus_id security_result.detection_fields ID du virus Analysé à partir de différents formats de journaux, la clé est "x-virus-id".

Champs dérivés (à partir de la logique de l'analyseur) :

  • metadata.event_type : déterminé en fonction d'un ensemble complexe de conditions impliquant des champs tels que network.application_protocol, network.http.method, principal.*, target.* et dst_user.
  • metadata.vendor_name : valeur statique : Blue Coat Systems.
  • metadata.product_name : valeur statique : ProxySG.
  • metadata.log_type : valeur statique : BLUECOAT_WEBPROXY.
  • principal.asset.platform_software.platform : définissez sur WINDOWS si x-client-os contient Windows.
  • network.application_protocol : déterminé à l'aide d'un tableau de conversion basé sur _uri_scheme ou target.port. La valeur par défaut est UNKNOWN_APPLICATION_PROTOCOL.
  • network.ip_protocol : déterminé à l'aide d'un tableau de conversion basé sur _uri_scheme. La valeur par défaut est UNKNOWN_IP_PROTOCOL.
  • security_result.action : déterminé en fonction de _policy_action (OBSERVED -> ALLOW, DENIED -> BLOCK).
  • security_result.about.labels : contient des libellés dérivés de différents champs tels que rs_server, communication_type et l'état du format de journal SSL.
  • security_result.detection_fields : contient différentes paires clé-valeur dérivées de champs tels que x_virus_id, x_rs_certificate_observed_errors, x_rs_connection_negotiated_cipher_strength et bien d'autres.
  • vulns.vulnerabilities : renseigné à partir du champ proxy_reverse_info, s'il est présent. Contient des informations sur les failles, comme cve_id et about.labels.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.