Mengumpulkan log Blue Coat ProxySG
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara menyerap log Blue Coat ProxySG ke Google Security Operations menggunakan Bindplane. Parser menangani log proxy web Blue Coat, yang mendukung format SYSLOG+JSON dan SYSLOG+KV. Parser ini menggunakan serangkaian pemeriksaan bersyarat dan pola grok untuk mengidentifikasi format log, mengekstrak kolom yang relevan, dan memetakannya ke Model Data Terpadu (UDM), menangani berbagai struktur log dan kasus ekstrem.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd - Jika dijalankan di belakang proxy, port firewall terbuka
- Akses istimewa ke Blue Coat ProxySG
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
Untuk opsi penginstalan tambahan, lihat panduan penginstalan.
Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
- Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5145" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'BLUECOAT_WEBPROXY' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi Syslog di Blue Coat ProxySG
- Login ke konsol pengelolaan Blue Coat ProxySG.
- Buka Pemeliharaan > Pencatatan Peristiwa > Syslog.
- Klik New.
- Berikan detail konfigurasi berikut:
- Loghost: Masukkan alamat IP agen Bindplane.
- Klik Oke.
- Centang kotak Aktifkan Syslog.
- Pilih Level.
- Centang kotak Verbose.
- Klik Terapkan.
Mengonfigurasi Klien Kustom di Blue Coat ProxySG
- Buka Konfigurasi > Pencatatan Akses > Log > Upload Klien.
- Pilih Streaming dalam daftar Log.
- Pilih Klien Kustom dari daftar Jenis klien.
- Klik Setelan.
- Pilih untuk mengonfigurasi server kustom utama atau alternatif dari daftar Setelan.
- Berikan detail konfigurasi berikut:
- Host: Masukkan nama host atau alamat IP tujuan upload.
- Port: Tetapkan ke 514.
- Gunakan koneksi aman (SSL): Setel ke Nonaktif.
- Klik Oke.
- Klik Terapkan untuk kembali ke tab Upload Klien.
- Untuk setiap format log yang ingin Anda gunakan di antara main, im, dan streaming, selesaikan langkah-langkah berikut:
- Pilih log.
- Tetapkan Upload Client sebagai klien Kustom.
- Pilih
<No Encryption>dan<No Signing>. - Simpan file log sebagai file teks.
- Klik Jadwal Upload > Jenis Upload.
- Pilih Terus-menerus untuk Upload log akses guna melakukan streaming log akses.
- Klik Oke.
- Klik Terapkan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Stempel waktu peristiwa seperti yang dicatat oleh perangkat Blue Coat. Diuraikan dari data JSON. |
application-name |
target.application |
Nama aplikasi yang terkait dengan traffic jaringan. Diuraikan dari data JSON. |
c-ip |
principal.asset.ipprincipal.ip |
Alamat IP klien. Diuraikan dari data JSON. |
c_ip |
principal.ipprincipal.asset.ip |
Alamat IP klien. Diuraikan dari berbagai format log. |
c_ip_host |
principal.hostnameprincipal.asset.hostname |
Nama host klien, jika tersedia. Diuraikan dari data JSON. |
cs-auth-group |
principal_user_group_identifiers |
Grup autentikasi klien. Diuraikan dari data JSON. |
cs-bytes |
network.sent_bytes |
Jumlah byte yang dikirim oleh klien. Diuraikan dari data JSON. |
cs-categories |
security_result.category_details |
Kategori yang ditetapkan untuk permintaan web oleh perangkat Blue Coat. Diuraikan dari data JSON. |
cs-host |
target_hostname |
Nama host yang diminta oleh klien. Diuraikan dari data JSON. |
cs-icap-error-details |
security_result.detection_fields |
Detail error ICAP dari sisi klien. Diuraikan dari data JSON, kuncinya adalah "cs-icap-error-details". |
cs-icap-status |
security_result.description |
Status ICAP dari sisi klien. Diuraikan dari data JSON. |
cs-method |
network.http.method |
Metode HTTP yang digunakan dalam permintaan. Diuraikan dari data JSON. |
cs-threat-risk |
security_result.risk_score |
Skor risiko ancaman yang ditetapkan oleh perangkat Blue Coat. Diuraikan dari data JSON. |
cs-uri-extension |
cs_uri_extension |
Ekstensi URI yang diminta. Diuraikan dari data JSON. |
cs-uri-path |
_uri_path |
Jalur URI yang diminta. Diuraikan dari data JSON. |
cs-uri-port |
cs_uri_port |
Port URI yang diminta. Diuraikan dari data JSON. |
cs-uri-query |
_uri_query |
String kueri URI yang diminta. Diuraikan dari data JSON. |
cs-uri-scheme |
_uri_scheme |
Skema URI yang diminta (misalnya, http, https). Diuraikan dari data JSON. |
cs-userdn |
principal_user_userid |
Nama pengguna klien. Diuraikan dari data JSON. |
cs-version |
cs_version |
Versi HTTP yang digunakan oleh klien. Diuraikan dari data JSON. |
cs(Referer) |
network.http.referral_url |
URL perujuk. Diuraikan dari data JSON. |
cs(User-Agent) |
network.http.user_agent |
String agen pengguna. Diuraikan dari data JSON. |
cs(X-Requested-With) |
security_result.detection_fields |
Nilai header X-Requested-With. Diuraikan dari data JSON, kuncinya adalah "cs-X-Requested-With". |
cs_auth_group |
principal_user_group_identifiers |
Grup autentikasi klien. Diuraikan dari berbagai format log. |
cs_bytes |
network.sent_bytes |
Jumlah byte yang dikirim oleh klien. Diuraikan dari berbagai format log. |
cs_categories |
security_result.category_details |
Kategori yang ditetapkan ke permintaan web. Diuraikan dari berbagai format log. |
cs_host |
target_hostname |
Nama host yang diminta oleh klien. Diuraikan dari berbagai format log. |
cs_method |
network.http.method |
Metode HTTP yang digunakan dalam permintaan. Diuraikan dari berbagai format log. |
cs_referer |
network.http.referral_url |
URL perujuk. Diuraikan dari berbagai format log. |
cs_threat_risk |
security_result.risk_score |
Skor risiko ancaman yang ditetapkan oleh perangkat Blue Coat. Diuraikan dari format log KV. |
cs_uri |
target.url |
URI lengkap yang diminta. Diuraikan dari format log KV. |
cs_uri_extension |
cs_uri_extension |
Ekstensi URI yang diminta. Diuraikan dari format log KV. |
cs_uri_path |
_uri_path |
Jalur URI yang diminta. Diuraikan dari berbagai format log. |
cs_uri_port |
target_port |
Port URI yang diminta. Diuraikan dari berbagai format log. |
cs_uri_query |
_uri_query |
String kueri URI yang diminta. Diuraikan dari berbagai format log. |
cs_uri_scheme |
_uri_scheme |
Skema URI yang diminta (misalnya, http, https). Diuraikan dari berbagai format log. |
cs_user |
principal_user_userid |
Nama pengguna klien. Diuraikan dari format log umum. |
cs_user_agent |
network.http.user_agent |
String agen pengguna. Diuraikan dari berbagai format log. |
cs_username |
principal_user_userid |
Nama pengguna klien. Diuraikan dari berbagai format log. |
cs_x_forwarded_for |
_intermediary.ip |
Nilai header X-Forwarded-For. Diuraikan dari format log umum. |
deviceHostname |
_intermediary.hostname |
Nama host appliance Blue Coat. Diuraikan dari format log KV. |
dst |
ip_target |
Alamat IP tujuan. Diuraikan dari format log KV. |
dst_ip |
ip_target |
Alamat IP tujuan. Diuraikan dari format log SSL. |
dst_user |
target.user.userid |
ID pengguna tujuan. Diuraikan dari format log Proxy Reverse. |
dstport |
target_port |
Port tujuan. Diuraikan dari format log KV. |
dstport |
target.port |
Port tujuan. Diuraikan dari format log SSL. |
exception-id |
_block_reason |
ID pengecualian, yang menunjukkan permintaan yang diblokir. Diuraikan dari format log KV. |
filter-category |
_categories |
Kategori filter yang memicu peristiwa. Diuraikan dari format log KV. |
filter-result |
_policy_action |
Hasil filter yang diterapkan pada permintaan. Diuraikan dari format log KV. |
hostname |
principal.hostnameprincipal.asset.hostname |
Nama host perangkat yang membuat log. Diuraikan dari format log SSL dan umum. |
isolation-url |
isolation-url |
URL yang terkait dengan isolasi, jika ada. Diuraikan dari data JSON. |
ma-detonated |
ma-detonated |
Status detonasi malware. Diuraikan dari data JSON. |
page-views |
page-views |
Jumlah tayangan halaman. Diuraikan dari data JSON. |
r-ip |
ip_target |
Alamat IP jarak jauh. Diuraikan dari data JSON. |
r-supplier-country |
r-supplier-country |
Negara pemasok jarak jauh. Diuraikan dari data JSON. |
r_dns |
target_hostname |
Nama DNS jarak jauh. Diuraikan dari data JSON. |
r_ip |
ip_target |
Alamat IP jarak jauh. Diuraikan dari berbagai format log. |
r_port |
target_port |
Port jarak jauh. Diuraikan dari data JSON. |
risk-groups |
security_result.detection_fields |
Grup risiko yang terkait dengan peristiwa. Diuraikan dari data JSON, kuncinya adalah "risk-groups". |
rs-icap-error-details |
security_result.detection_fields |
Detail error ICAP dari sisi server jarak jauh. Diuraikan dari data JSON, kuncinya adalah "rs-icap-error-details". |
rs-icap-status |
rs-icap-status |
Status ICAP dari sisi server jarak jauh. Diuraikan dari data JSON. |
rs(Content-Type) |
target.file.mime_type |
Jenis konten respons dari server jarak jauh. Diuraikan dari format log KV. |
rs_content_type |
target.file.mime_type |
Jenis konten respons dari server jarak jauh. Diuraikan dari berbagai format log. |
rs_server |
rs_server |
Informasi server jarak jauh. Diuraikan dari data JSON. |
rs_status |
_network.http.response_code |
Kode status respons dari server jarak jauh. Diuraikan dari data JSON. |
r_supplier_country |
intermediary.location.country_or_region |
Negara pemasok jarak jauh. Diuraikan dari format log umum. |
r_supplier_ip |
intermediary.ip |
Alamat IP pemasok jarak jauh. Diuraikan dari format log umum. |
s-action |
_metadata.product_event_type |
Tindakan yang diambil oleh proxy. Diuraikan dari format log KV. |
s-ip |
_intermediary.ip |
Alamat IP server. Diuraikan dari format log KV. |
s-source-ip |
_intermediary.ip |
Alamat IP sumber server. Diuraikan dari data JSON. |
s_action |
_metadata.product_event_type |
Tindakan yang diambil oleh proxy. Diuraikan dari berbagai format log. |
s_ip |
target.iptarget.asset.ip |
Alamat IP server. Diuraikan dari berbagai format log. |
s_ip_host |
_intermediary.hostname |
Nama host server. Diuraikan dari data JSON. |
s-supplier-country |
intermediary.location.country_or_region |
Negara server pemasok. Diuraikan dari data JSON. |
s-supplier-failures |
security_result.detection_fields |
Kegagalan pemasok. Diurai dari data JSON, kuncinya adalah "s-supplier-failures". |
s-supplier-ip |
_intermediary.ip |
Alamat IP server pemasok. Diuraikan dari data JSON. |
s_supplier_ip |
intermediary.ip |
Alamat IP server pemasok. Diuraikan dari data JSON. |
s_supplier_name |
_intermediary.hostname |
Nama server pemasok. Diuraikan dari format log umum. |
sc-bytes |
network.received_bytes |
Jumlah byte yang diterima oleh server. Diuraikan dari format log KV. |
sc-filter-result |
_policy_action |
Memfilter hasil dari sisi server. Diuraikan dari format log KV. |
sc-status |
_network.http.response_code |
Kode status yang ditampilkan oleh server. Diuraikan dari format log KV. |
sc_bytes |
network.received_bytes |
Jumlah byte yang diterima oleh server. Diuraikan dari berbagai format log. |
sc_connection |
sc_connection |
Informasi koneksi server. Diuraikan dari format log umum. |
sc_filter_result |
_policy_action |
Memfilter hasil dari sisi server. Diuraikan dari berbagai format log. |
sc_status |
_network.http.response_code |
Kode status yang ditampilkan oleh server. Diuraikan dari berbagai format log. |
search_query |
target.resource.attribute.labels |
Kueri penelusuran, jika ada di URL. Diekstrak dari target_url, kuncinya adalah "search_query". |
session_id |
network.session_id |
ID Sesi. Diuraikan dari format log Proxy Reverse. |
src |
ip_principal |
Alamat IP sumber. Diuraikan dari format log KV. |
src_hostname |
principal.hostnameprincipal.asset.hostname |
Nama host sumber. Diuraikan dari format log umum. |
src_ip |
ip_principal |
Alamat IP sumber. Diuraikan dari format log SSL. |
srcport |
principal_port |
Port sumber. Diuraikan dari format log KV. |
src_port |
principal.port |
Port sumber. Diuraikan dari format log SSL. |
s_source_port |
intermediary.port |
Port sumber server. Diuraikan dari format log umum. |
summary |
security_result.summary |
Ringkasan hasil keamanan. Diuraikan dari format log Proxy Reverse dan SSL. |
syslogtimestamp |
syslogtimestamp |
Stempel waktu syslog. Diuraikan dari format log KV. |
target_application |
target.application |
Aplikasi yang ditargetkan oleh permintaan. Berasal dari x_bluecoat_application_name atau application-name. |
target_hostname |
target.hostnametarget.asset.hostname |
Nama host target. Diperoleh dari r_dns, cs-host, atau kolom lain, bergantung pada format log. |
target_port |
target.port |
Port target. Diperoleh dari r_port, cs_uri_port, atau dstport, bergantung pada format log. |
target_sip |
target.iptarget.asset.ip |
Alamat IP server target. Diuraikan dari format log umum. |
target_url |
target.url |
URL target. Berasal dari target_hostname, _uri_path, dan _uri_query atau cs_uri. |
time-taken |
network.session_duration |
Durasi sesi atau permintaan. Diuraikan dari format log KV dan dikonversi ke detik dan nanodetik. |
time_taken |
network.session_duration |
Durasi sesi atau permintaan. Diuraikan dari berbagai format log dan dikonversi menjadi detik dan nanodetik. |
tls_version |
network.tls.version |
Versi TLS yang digunakan dalam koneksi. Diuraikan dari format log SSL. |
upload-source |
upload-source |
Sumber upload. Diuraikan dari data JSON. |
username |
principal_user_userid |
Nama pengguna. Diuraikan dari format log KV. |
verdict |
security_result.detection_fields |
Hasil analisis keamanan. Diuraikan dari data JSON, kuncinya adalah "verdict". |
wf-env |
wf_env |
Lingkungan layanan pemfilteran web. Diuraikan dari data JSON. |
wf_id |
security_result.detection_fields |
ID pemfilteran web. Diuraikan dari data JSON, kuncinya adalah "wf_id". |
wrong_cs_host |
principal.hostnameprincipal.asset.hostname |
Nama host klien yang salah diuraikan, digunakan sebagai nama host utama jika bukan alamat IP. Diuraikan dari format log umum. |
x-bluecoat-access-type |
x-bluecoat-access-type |
Jenis akses. Diuraikan dari data JSON. |
x-bluecoat-appliance-name |
intermediary.application |
Nama perangkat Blue Coat. Diuraikan dari data JSON. |
x-bluecoat-application-name |
target_application |
Nama aplikasi. Diuraikan dari data JSON. |
x-bluecoat-application-operation |
x_bluecoat_application_operation |
Operasi aplikasi. Diuraikan dari data JSON. |
x-bluecoat-location-id |
x-bluecoat-location-id |
ID Lokasi. Diuraikan dari data JSON. |
x-bluecoat-location-name |
x-bluecoat-location-name |
Nama lokasi. Diuraikan dari data JSON. |
x-bluecoat-placeholder |
security_result.detection_fields |
Informasi placeholder. Diuraikan dari data JSON, kuncinya adalah "x-bluecoat-placeholder". |
x-bluecoat-reference-id |
security_result.detection_fields |
ID Referensi. Diuraikan dari data JSON, kuncinya adalah "x-bluecoat-reference-id". |
x-bluecoat-request-tenant-id |
x-bluecoat-request-tenant-id |
ID tenant permintaan. Diuraikan dari data JSON. |
x-bluecoat-transaction-uuid |
metadata.product_log_id |
UUID transaksi. Diuraikan dari data JSON. |
x-client-agent-sw |
software.name |
Software agen klien. Diurai dari data JSON dan digabungkan ke principal.asset.software. |
x-client-agent-type |
principal.application |
Jenis agen klien. Diuraikan dari data JSON. |
x-client-device-id |
principal.resource.product_object_id |
ID perangkat klien. Diuraikan dari data JSON. |
x-client-device-name |
x-client-device-name |
Nama perangkat klien. Diuraikan dari data JSON. |
x-client-device-type |
x-client-device-type |
Jenis perangkat klien. Diuraikan dari data JSON. |
x-client-os |
principal.asset.platform_software.platform |
Sistem operasi klien. Diuraikan dari data JSON. Jika berisi "Windows", tetapkan platform ke WINDOWS. |
x-client-security-posture-details |
x-client-security-posture-details |
Detail postur keamanan klien. Diuraikan dari data JSON. |
x-client-security-posture-risk-score |
security_result.detection_fields |
Skor risiko postur keamanan klien. Diuraikan dari data JSON, kuncinya adalah "x-client-security-posture-risk-score". |
x-cloud-rs |
security_result.detection_fields |
Informasi server jarak jauh terkait cloud. Diuraikan dari data JSON, kuncinya adalah "x-cloud-rs". |
x-cs-certificate-subject |
x_cs_certificate_subject |
Subjek sertifikat dari sisi klien. Diuraikan dari data JSON. |
x-cs-client-ip-country |
x-cs-client-ip-country |
Negara IP klien. Diuraikan dari data JSON. |
x-cs-connection-negotiated-cipher |
network.tls.cipher |
Cipher yang dinegosiasikan dari sisi klien. Diuraikan dari data JSON. |
x-cs-connection-negotiated-cipher-size |
security_result.detection_fields |
Ukuran sandi yang dinegosiasikan dari sisi klien. Diuraikan dari data JSON, kuncinya adalah "x-cs-connection-negotiated-cipher-size". |
x-cs-connection-negotiated-ssl-version |
network.tls.version_protocol |
Versi SSL yang dinegosiasikan dari sisi klien. Diuraikan dari data JSON. |
x-cs-ocsp-error |
security_result.detection_fields |
Error OCSP dari sisi klien. Diuraikan dari data JSON, kuncinya adalah "x-cs-ocsp-error". |
x-cs(referer)-uri-categories |
x-cs(referer)-uri-categories |
Kategori URI perujuk dari sisi klien. Diuraikan dari data JSON. |
x-data-leak-detected |
security_result.detection_fields |
Status deteksi kebocoran data. Diuraikan dari data JSON, kuncinya adalah "x-data-leak-detected". |
x-exception-id |
x_exception_id |
ID pengecualian. Diuraikan dari data JSON. |
x-http-connect-host |
x-http-connect-host |
Host koneksi HTTP. Diuraikan dari data JSON. |
x-http-connect-port |
x-http-connect-port |
Port koneksi HTTP. Diuraikan dari data JSON. |
x-icap-reqmod-header(x-icap-metadata) |
x_icap_reqmod_header |
Header modifikasi permintaan ICAP yang berisi metadata. Diuraikan dari data JSON. |
x-icap-respmod-header(x-icap-metadata) |
x_icap_respmod_header |
Header modifikasi respons ICAP yang berisi metadata. Diuraikan dari data JSON. |
x-rs-certificate-hostname |
network.tls.client.server_name |
Nama host sertifikat dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-certificate-hostname-categories |
x_rs_certificate_hostname_category |
Kategori nama host sertifikat dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-certificate-hostname-category |
x_rs_certificate_hostname_category |
Kategori nama host sertifikat dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-certificate-hostname-threat-risk |
security_result.detection_fields |
Risiko ancaman nama host sertifikat dari sisi server jarak jauh. Diuraikan dari data JSON, kuncinya adalah "x-rs-certificate-hostname-threat-risk". |
x-rs-certificate-observed-errors |
x_rs_certificate_observed_errors |
Kesalahan sertifikat yang diamati dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-certificate-validate-status |
network.tls.server.certificate.subject |
Status validasi sertifikat dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-connection-negotiated-cipher |
x_rs_connection_negotiated_cipher |
Cipher yang dinegosiasikan dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-connection-negotiated-cipher-size |
security_result.detection_fields |
Ukuran cipher yang dinegosiasikan dari sisi server jarak jauh. Diuraikan dari data JSON, kuncinya adalah "x-rs-connection-negotiated-cipher-size". |
x-rs-connection-negotiated-cipher-strength |
x_rs_connection_negotiated_cipher_strength |
Kekuatan cipher yang dinegosiasikan dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-connection-negotiated-ssl-version |
x_rs_connection_negotiated_ssl_version |
Versi SSL yang dinegosiasikan dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-rs-ocsp-error |
x_rs_ocsp_error |
Error OCSP dari sisi server jarak jauh. Diuraikan dari data JSON. |
x-sc-connection-issuer-keyring |
security_result.detection_fields |
Key ring penerbit koneksi. Diuraikan dari data JSON, kuncinya adalah "x-sc-connection-issuer-keyring". |
x-sc-connection-issuer-keyring-alias |
x-sc-connection-issuer-keyring-alias |
Alias key ring penerbit koneksi. Diuraikan dari data JSON. |
x-sr-vpop-country |
principal.location.country_or_region |
Negara VPOP. Diuraikan dari data JSON. |
x-sr-vpop-country-code |
principal.location.country_or_region |
Kode negara VPOP. Diuraikan dari data JSON. |
x-sr-vpop-ip |
principal.ipprincipal.asset.ip |
Alamat IP VPOP. Diuraikan dari data JSON. |
x-symc-dei-app |
x-symc-dei-app |
Aplikasi DEI Symantec. Diuraikan dari data JSON. |
x-symc-dei-via |
security_result.detection_fields |
Symantec DEI via. Diuraikan dari data JSON, kuncinya adalah "x-symc-dei-via". |
x-tenant-id |
security_result.detection_fields |
ID Tenant. Diuraikan dari data JSON, kuncinya adalah "x-tenant-id". |
x-timestamp-unix |
x-timestamp-unix |
Stempel waktu Unix. Diuraikan dari data JSON. |
x_bluecoat_application_name |
target_application |
Nama aplikasi. Diuraikan dari berbagai format log. |
x_bluecoat_application_operation |
x_bluecoat_application_operation |
Operasi aplikasi. Diuraikan dari berbagai format log. |
x_bluecoat_transaction_uuid |
metadata.product_log_id |
UUID transaksi. Diuraikan dari berbagai format log. |
x_cs_certificate_subject |
x_cs_certificate_subject |
Subjek sertifikat sisi klien. Diuraikan dari format log umum. |
x_cs_client_effective_ip |
ip_principal |
Alamat IP efektif klien. Diuraikan dari format log umum. |
x_cs_connection_negotiated_cipher |
network.tls.cipher |
Cipher yang dinegosiasikan sisi klien. Diuraikan dari format log umum. |
x_cs_connection_negotiated_ssl_version |
network.tls.version_protocol |
Versi SSL yang dinegosiasikan di sisi klien. Diuraikan dari format log umum. |
x_exception_id |
_block_reason |
ID pengecualian. Diuraikan dari berbagai format log. |
x_icap_reqmod_header |
x_icap_reqmod_header |
Header modifikasi permintaan ICAP. Diuraikan dari format log umum. |
x_icap_respmod_header |
x_icap_respmod_header |
Header modifikasi respons ICAP. Diuraikan dari format log umum. |
x_rs_certificate_hostname |
network.tls.client.server_name |
Nama host sertifikat server jarak jauh. Diuraikan dari format log umum. |
x_rs_certificate_hostname_category |
x_rs_certificate_hostname_category |
Kategori nama host sertifikat server jarak jauh. Diuraikan dari format log umum. |
x_rs_certificate_observed_errors |
x_rs_certificate_observed_errors |
Sertifikat server jarak jauh mengalami error. Diuraikan dari format log umum. |
x_rs_certificate_validate_status |
network.tls.server.certificate.subject |
Status validasi sertifikat server jarak jauh. Diuraikan dari berbagai format log. |
x_rs_connection_negotiated_cipher_strength |
x_rs_connection_negotiated_cipher_strength |
Kekuatan cipher yang dinegosiasikan server jarak jauh. Diuraikan dari format log umum. |
x_rs_connection_negotiated_ssl_version |
x_rs_connection_negotiated_ssl_version |
Versi SSL yang dinegosiasikan server jarak jauh. Diuraikan dari format log umum. |
x_virus_id |
security_result.detection_fields |
ID virus. Diuraikan dari berbagai format log, kuncinya adalah "x-virus-id". |
Kolom Turunan (dari logika parser):
metadata.event_type: Ditentukan berdasarkan serangkaian kondisi kompleks yang melibatkan kolom sepertinetwork.application_protocol,network.http.method,principal.*,target.*, dandst_user.metadata.vendor_name: Nilai statis:Blue Coat Systems.metadata.product_name: Nilai statis:ProxySG.metadata.log_type: Nilai statis:BLUECOAT_WEBPROXY.principal.asset.platform_software.platform: Tetapkan keWINDOWSjikax-client-osberisiWindows.network.application_protocol: Ditentukan menggunakan tabel pemetaan berdasarkan_uri_schemeatautarget.port. Setelan defaultnya adalahUNKNOWN_APPLICATION_PROTOCOL.network.ip_protocol: Ditentukan menggunakan tabel pemetaan berdasarkan_uri_scheme. Setelan defaultnya adalahUNKNOWN_IP_PROTOCOL.security_result.action: Ditentukan berdasarkan_policy_action(OBSERVED->ALLOW,DENIED->BLOCK).security_result.about.labels: Berisi label yang berasal dari berbagai kolom sepertirs_server,communication_type, dan status dari format log SSL.security_result.detection_fields: Berisi berbagai pasangan nilai kunci yang berasal dari kolom sepertix_virus_id,x_rs_certificate_observed_errors,x_rs_connection_negotiated_cipher_strength, dan banyak lagi.vulns.vulnerabilities: Diisi dari kolomproxy_reverse_infojika ada, yang berisi informasi kerentanan seperticve_iddanabout.labels.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.