Raccogliere i log di Blue Coat ProxySG

Supportato in:

Questo documento spiega come importare i log di Blue Coat ProxySG in Google Security Operations utilizzando Bindplane. L'analizzatore sintattico gestisce i log del proxy web Blue Coat, supportando i formati SYSLOG+JSON e SYSLOG+KV. Utilizza una serie di controlli condizionali e pattern grok per identificare il formato del log, estrae i campi pertinenti e li mappa al modello UDM (Unified Data Model), gestendo varie strutture di log e casi limite.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Windows 2016 o versioni successive oppure un host Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Accesso con privilegi a Blue Coat ProxySG

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare Syslog in Blue Coat ProxySG

  1. Accedi alla console di gestione di Blue Coat ProxySG.
  2. Vai a Manutenzione > Registrazione eventi > Syslog.
  3. Fai clic su New (Nuovo).
  4. Fornisci i seguenti dettagli di configurazione:
    • Loghost: inserisci l'indirizzo IP dell'agente Bindplane.
    • Fai clic su OK.
  5. Seleziona la casella di controllo Abilita Syslog.
  6. Seleziona Livello.
  7. Seleziona la casella di controllo Dettagliato.
  8. Fai clic su Applica.

Configurare un client personalizzato in Blue Coat ProxySG

  1. Vai a Configurazione > Registrazione accessi > Log > Carica client.
  2. Seleziona Streaming nell'elenco dei log.
  3. Seleziona Cliente personalizzato dall'elenco Tipo di cliente.
  4. Fai clic su Impostazioni.
  5. Seleziona per configurare il server personalizzato principale o alternativo dall'elenco Impostazioni.
  6. Fornisci i seguenti dettagli di configurazione:
    • Host: inserisci il nome host o l'indirizzo IP della destinazione di caricamento.
    • Porta: imposta su 514.
    • Utilizza connessioni sicure (SSL): impostato su Off.
    • Fai clic su OK.
    • Fai clic su Applica per tornare alla scheda Carica cliente.
  7. Per ogni formato di log che vuoi utilizzare tra principale, im e streaming, completa i seguenti passaggi:
    • Seleziona il log.
    • Assegna il ruolo Carica cliente al cliente Personalizzato.
    • Seleziona <No Encryption> e <No Signing>.
    • Salva il file di log come file di testo.
    • Fai clic su Carica programma > Tipo di caricamento.
    • Seleziona Continuamente per Carica il log degli accessi per trasmettere in streaming i log degli accessi.
    • Fai clic su OK.
  8. Fai clic su Applica.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
@timestamp metadata.event_timestamp Il timestamp dell'evento registrato dall'appliance Blue Coat. Analizzato dai dati JSON.
application-name target.application Il nome dell'applicazione associata al traffico di rete. Analizzato dai dati JSON.
c-ip principal.asset.ip
principal.ip		 Indirizzo IP client. Analizzato dai dati JSON.
c_ip principal.ip
principal.asset.ip		 Indirizzo IP client. Analizzati da vari formati di log.
c_ip_host principal.hostname
principal.asset.hostname		 Nome host client, se disponibile. Analizzato dai dati JSON.
cs-auth-group principal_user_group_identifiers Gruppo di autenticazione client. Analizzato dai dati JSON.
cs-bytes network.sent_bytes Numero di byte inviati dal client. Analizzato dai dati JSON.
cs-categories security_result.category_details Categorie assegnate alla richiesta web dall'appliance Blue Coat. Analizzato dai dati JSON.
cs-host target_hostname Nome host richiesto dal client. Analizzato dai dati JSON.
cs-icap-error-details security_result.detection_fields Dettagli dell'errore ICAP dal lato client. Analizzata dai dati JSON, la chiave è "cs-icap-error-details".
cs-icap-status security_result.description Stato ICAP dal lato client. Analizzato dai dati JSON.
cs-method network.http.method Metodo HTTP utilizzato nella richiesta. Analizzato dai dati JSON.
cs-threat-risk security_result.risk_score Punteggio di rischio di minaccia assegnato dall'appliance Blue Coat. Analizzato dai dati JSON.
cs-uri-extension cs_uri_extension Estensione dell'URI richiesto. Analizzato dai dati JSON.
cs-uri-path _uri_path Il percorso dell'URI richiesto. Analizzato dai dati JSON.
cs-uri-port cs_uri_port Porta dell'URI richiesto. Analizzato dai dati JSON.
cs-uri-query _uri_query Stringa di query dell'URI richiesto. Analizzato dai dati JSON.
cs-uri-scheme _uri_scheme Schema dell'URI richiesto (ad es. http, https). Analizzato dai dati JSON.
cs-userdn principal_user_userid Nome utente del cliente. Analizzato dai dati JSON.
cs-version cs_version Versione HTTP utilizzata dal client. Analizzato dai dati JSON.
cs(Referer) network.http.referral_url URL del referrer. Analizzato dai dati JSON.
cs(User-Agent) network.http.user_agent Stringa user agent. Analizzato dai dati JSON.
cs(X-Requested-With) security_result.detection_fields Valore dell'intestazione X-Requested-With. Analizzata dai dati JSON, la chiave è "cs-X-Requested-With".
cs_auth_group principal_user_group_identifiers Gruppo di autenticazione client. Analizzati da vari formati di log.
cs_bytes network.sent_bytes Numero di byte inviati dal client. Analizzati da vari formati di log.
cs_categories security_result.category_details Categorie assegnate alla richiesta web. Analizzati da vari formati di log.
cs_host target_hostname Nome host richiesto dal client. Analizzati da vari formati di log.
cs_method network.http.method Metodo HTTP utilizzato nella richiesta. Analizzati da vari formati di log.
cs_referer network.http.referral_url URL del referrer. Analizzati da vari formati di log.
cs_threat_risk security_result.risk_score Punteggio di rischio di minaccia assegnato dall'appliance Blue Coat. Analizzato dal formato dei log KV.
cs_uri target.url URI completo richiesto. Analizzato dal formato dei log KV.
cs_uri_extension cs_uri_extension Estensione dell'URI richiesto. Analizzato dal formato dei log KV.
cs_uri_path _uri_path Il percorso dell'URI richiesto. Analizzati da vari formati di log.
cs_uri_port target_port Porta dell'URI richiesto. Analizzati da vari formati di log.
cs_uri_query _uri_query Stringa di query dell'URI richiesto. Analizzati da vari formati di log.
cs_uri_scheme _uri_scheme Schema dell'URI richiesto (ad es. http, https). Analizzati da vari formati di log.
cs_user principal_user_userid Nome utente del cliente. Analizzato dal formato generale del log.
cs_user_agent network.http.user_agent Stringa user agent. Analizzati da vari formati di log.
cs_username principal_user_userid Nome utente del cliente. Analizzati da vari formati di log.
cs_x_forwarded_for _intermediary.ip Valore dell'intestazione X-Forwarded-For. Analizzato dal formato generale del log.
deviceHostname _intermediary.hostname Nome host dell'appliance Blue Coat. Analizzato dal formato dei log KV.
dst ip_target Indirizzo IP di destinazione. Analizzato dal formato dei log KV.
dst_ip ip_target Indirizzo IP di destinazione. Analizzato dal formato dei log SSL.
dst_user target.user.userid ID utente di destinazione. Analizzato dal formato del log proxy inverso.
dstport target_port Porta di destinazione. Analizzato dal formato dei log KV.
dstport target.port Porta di destinazione. Analizzato dal formato dei log SSL.
exception-id _block_reason ID eccezione, che indica una richiesta bloccata. Analizzato dal formato dei log KV.
filter-category _categories Categoria del filtro che ha attivato l'evento. Analizzato dal formato dei log KV.
filter-result _policy_action Risultato del filtro applicato alla richiesta. Analizzato dal formato dei log KV.
hostname principal.hostname
principal.asset.hostname		 Il nome host del dispositivo che genera il log. Analizzati dai formati di log SSL e generali.
isolation-url isolation-url URL correlato all'isolamento, se applicabile. Analizzato dai dati JSON.
ma-detonated ma-detonated Stato di detonazione del malware. Analizzato dai dati JSON.
page-views page-views Numero di visualizzazioni di pagina. Analizzato dai dati JSON.
r-ip ip_target Indirizzo IP remoto. Analizzato dai dati JSON.
r-supplier-country r-supplier-country Paese del fornitore remoto. Analizzato dai dati JSON.
r_dns target_hostname Nome DNS remoto. Analizzato dai dati JSON.
r_ip ip_target Indirizzo IP remoto. Analizzati da vari formati di log.
r_port target_port Porta remota. Analizzato dai dati JSON.
risk-groups security_result.detection_fields I gruppi di rischio associati all'evento. Analizzata dai dati JSON, la chiave è "risk-groups".
rs-icap-error-details security_result.detection_fields Dettagli dell'errore ICAP dal lato server remoto. Analizzata dai dati JSON, la chiave è "rs-icap-error-details".
rs-icap-status rs-icap-status Stato ICAP dal lato server remoto. Analizzato dai dati JSON.
rs(Content-Type) target.file.mime_type Il tipo di contenuto della risposta del server remoto. Analizzato dal formato dei log KV.
rs_content_type target.file.mime_type Il tipo di contenuto della risposta del server remoto. Analizzati da vari formati di log.
rs_server rs_server Informazioni sul server remoto. Analizzato dai dati JSON.
rs_status _network.http.response_code Codice di stato della risposta del server remoto. Analizzato dai dati JSON.
r_supplier_country intermediary.location.country_or_region Paese del fornitore remoto. Analizzato dal formato generale del log.
r_supplier_ip intermediary.ip L'indirizzo IP del fornitore remoto. Analizzato dal formato generale del log.
s-action _metadata.product_event_type Azione intrapresa dal proxy. Analizzato dal formato dei log KV.
s-ip _intermediary.ip Indirizzo IP server. Analizzato dal formato dei log KV.
s-source-ip _intermediary.ip Indirizzo IP di origine del server. Analizzato dai dati JSON.
s_action _metadata.product_event_type Azione intrapresa dal proxy. Analizzati da vari formati di log.
s_ip target.ip
target.asset.ip		 Indirizzo IP server. Analizzati da vari formati di log.
s_ip_host _intermediary.hostname Nome host del server. Analizzato dai dati JSON.
s-supplier-country intermediary.location.country_or_region Paese del server del fornitore. Analizzato dai dati JSON.
s-supplier-failures security_result.detection_fields Errori del fornitore. Analizzata dai dati JSON, la chiave è "s-supplier-failures".
s-supplier-ip _intermediary.ip Indirizzo IP del server del fornitore. Analizzato dai dati JSON.
s_supplier_ip intermediary.ip Indirizzo IP del server del fornitore. Analizzato dai dati JSON.
s_supplier_name _intermediary.hostname Nome del server del fornitore. Analizzato dal formato generale del log.
sc-bytes network.received_bytes Numero di byte ricevuti dal server. Analizzato dal formato dei log KV.
sc-filter-result _policy_action Filtra i risultati dal lato server. Analizzato dal formato dei log KV.
sc-status _network.http.response_code Codice di stato restituito dal server. Analizzato dal formato dei log KV.
sc_bytes network.received_bytes Numero di byte ricevuti dal server. Analizzati da vari formati di log.
sc_connection sc_connection Informazioni sulla connessione al server. Analizzato dal formato generale del log.
sc_filter_result _policy_action Filtra i risultati dal lato server. Analizzati da vari formati di log.
sc_status _network.http.response_code Codice di stato restituito dal server. Analizzati da vari formati di log.
search_query target.resource.attribute.labels Query di ricerca, se presente nell'URL. Estratto da target_url, la chiave è "query_di_ricerca".
session_id network.session_id ID sessione. Analizzato dal formato del log proxy inverso.
src ip_principal Indirizzo IP di origine. Analizzato dal formato dei log KV.
src_hostname principal.hostname
principal.asset.hostname		 Nome host di origine. Analizzato dal formato generale del log.
src_ip ip_principal Indirizzo IP di origine. Analizzato dal formato dei log SSL.
srcport principal_port Porta di origine. Analizzato dal formato dei log KV.
src_port principal.port Porta di origine. Analizzato dal formato dei log SSL.
s_source_port intermediary.port Porta di origine del server. Analizzato dal formato generale del log.
summary security_result.summary Riepilogo del risultato di sicurezza. Analizzato dai formati dei log proxy inverso e SSL.
syslogtimestamp syslogtimestamp Timestamp Syslog. Analizzato dal formato dei log KV.
target_application target.application Applicazione di destinazione della richiesta. Derivato da x_bluecoat_application_name o application-name.
target_hostname target.hostname
target.asset.hostname		 Nome host di destinazione. Derivato da r_dns, cs-host o altri campi a seconda del formato del log.
target_port target.port Porta di destinazione. Derivato da r_port, cs_uri_port o dstport a seconda del formato del log.
target_sip target.ip
target.asset.ip		 Indirizzo IP del server di destinazione. Analizzato dal formato generale del log.
target_url target.url URL di destinazione. Derivato da target_hostname, _uri_path e _uri_query o cs_uri.
time-taken network.session_duration Durata della sessione o della richiesta. Analizzato dal formato log KV e convertito in secondi e nanosecondi.
time_taken network.session_duration Durata della sessione o della richiesta. Analizzato da vari formati di log e convertito in secondi e nanosecondi.
tls_version network.tls.version Versione di TLS utilizzata nella connessione. Analizzato dal formato dei log SSL.
upload-source upload-source Origine del caricamento. Analizzato dai dati JSON.
username principal_user_userid Nome utente. Analizzato dal formato dei log KV.
verdict security_result.detection_fields Verdetto dell'analisi della sicurezza. Analizzata dai dati JSON, la chiave è "verdict".
wf-env wf_env Ambiente del servizio di filtro web. Analizzato dai dati JSON.
wf_id security_result.detection_fields ID filtro web. Analizzata dai dati JSON, la chiave è "wf_id".
wrong_cs_host principal.hostname
principal.asset.hostname		 Nome host client analizzato in modo errato, utilizzato come nome host principale se non è un indirizzo IP. Analizzato dal formato generale del log.
x-bluecoat-access-type x-bluecoat-access-type Tipo di accesso. Analizzato dai dati JSON.
x-bluecoat-appliance-name intermediary.application Nome dell'appliance Blue Coat. Analizzato dai dati JSON.
x-bluecoat-application-name target_application Nome dell'applicazione. Analizzato dai dati JSON.
x-bluecoat-application-operation x_bluecoat_application_operation Operazione dell'applicazione. Analizzato dai dati JSON.
x-bluecoat-location-id x-bluecoat-location-id ID località. Analizzato dai dati JSON.
x-bluecoat-location-name x-bluecoat-location-name Nome della sede. Analizzato dai dati JSON.
x-bluecoat-placeholder security_result.detection_fields Informazioni sul segnaposto. Analizzata dai dati JSON, la chiave è "x-bluecoat-placeholder".
x-bluecoat-reference-id security_result.detection_fields ID di riferimento. Analizzata dai dati JSON, la chiave è "x-bluecoat-reference-id".
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id ID tenant della richiesta. Analizzato dai dati JSON.
x-bluecoat-transaction-uuid metadata.product_log_id UUID transazione. Analizzato dai dati JSON.
x-client-agent-sw software.name Software dell'agente client. Analizzati dai dati JSON e uniti in principal.asset.software.
x-client-agent-type principal.application Tipo di agente client. Analizzato dai dati JSON.
x-client-device-id principal.resource.product_object_id ID dispositivo client. Analizzato dai dati JSON.
x-client-device-name x-client-device-name Nome del dispositivo client. Analizzato dai dati JSON.
x-client-device-type x-client-device-type Tipo di dispositivo client. Analizzato dai dati JSON.
x-client-os principal.asset.platform_software.platform Sistema operativo client. Analizzato dai dati JSON. Se contiene "Windows", imposta la piattaforma su WINDOWS.
x-client-security-posture-details x-client-security-posture-details Dettagli sulla postura di sicurezza del client. Analizzato dai dati JSON.
x-client-security-posture-risk-score security_result.detection_fields Punteggio di rischio della strategia di sicurezza del client. Analizzata dai dati JSON, la chiave è "x-client-security-posture-risk-score".
x-cloud-rs security_result.detection_fields Informazioni sul server remoto correlate al cloud. Analizzata dai dati JSON, la chiave è "x-cloud-rs".
x-cs-certificate-subject x_cs_certificate_subject Oggetto del certificato lato client. Analizzato dai dati JSON.
x-cs-client-ip-country x-cs-client-ip-country Paese dell'IP client. Analizzato dai dati JSON.
x-cs-connection-negotiated-cipher network.tls.cipher Cifra negoziata dal lato client. Analizzato dai dati JSON.
x-cs-connection-negotiated-cipher-size security_result.detection_fields Dimensione della crittografia negoziata dal lato client. Analizzata dai dati JSON, la chiave è "x-cs-connection-negotiated-cipher-size".
x-cs-connection-negotiated-ssl-version network.tls.version_protocol Versione SSL negoziata dal lato client. Analizzato dai dati JSON.
x-cs-ocsp-error security_result.detection_fields Errore OCSP lato client. Analizzata dai dati JSON, la chiave è "x-cs-ocsp-error".
x-cs(referer)-uri-categories x-cs(referer)-uri-categories Categorie di URI referrer dal lato client. Analizzato dai dati JSON.
x-data-leak-detected security_result.detection_fields Stato del rilevamento di fughe di dati. Analizzata dai dati JSON, la chiave è "x-data-leak-detected".
x-exception-id x_exception_id ID eccezione. Analizzato dai dati JSON.
x-http-connect-host x-http-connect-host Host di connessione HTTP. Analizzato dai dati JSON.
x-http-connect-port x-http-connect-port Porta di connessione HTTP. Analizzato dai dati JSON.
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header Intestazione di modifica della richiesta ICAP contenente i metadati. Analizzato dai dati JSON.
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header Intestazione di modifica della risposta ICAP contenente i metadati. Analizzato dai dati JSON.
x-rs-certificate-hostname network.tls.client.server_name Nome host del certificato dal lato server remoto. Analizzato dai dati JSON.
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category Categorie di nomi host dei certificati dal lato server remoto. Analizzato dai dati JSON.
x-rs-certificate-hostname-category x_rs_certificate_hostname_category Categoria del nome host del certificato dal lato server remoto. Analizzato dai dati JSON.
x-rs-certificate-hostname-threat-risk security_result.detection_fields Rischio di minaccia del nome host del certificato dal lato server remoto. Analizzata dai dati JSON, la chiave è "x-rs-certificate-hostname-threat-risk".
x-rs-certificate-observed-errors x_rs_certificate_observed_errors Errori osservati nel certificato dal lato server remoto. Analizzato dai dati JSON.
x-rs-certificate-validate-status network.tls.server.certificate.subject Stato di convalida del certificato dal lato server remoto. Analizzato dai dati JSON.
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher Algoritmo di crittografia negoziato dal lato server remoto. Analizzato dai dati JSON.
x-rs-connection-negotiated-cipher-size security_result.detection_fields Dimensione della crittografia negoziata dal lato server remoto. Analizzata dai dati JSON, la chiave è "x-rs-connection-negotiated-cipher-size".
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength Intensità della crittografia negoziata dal lato server remoto. Analizzato dai dati JSON.
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version Versione SSL negoziata dal lato server remoto. Analizzato dai dati JSON.
x-rs-ocsp-error x_rs_ocsp_error Errore OCSP lato server remoto. Analizzato dai dati JSON.
x-sc-connection-issuer-keyring security_result.detection_fields Keyring dell'emittente della connessione. Analizzata dai dati JSON, la chiave è "x-sc-connection-issuer-keyring".
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias Alias del keyring dell'emittente della connessione. Analizzato dai dati JSON.
x-sr-vpop-country principal.location.country_or_region Paese del VPOP. Analizzato dai dati JSON.
x-sr-vpop-country-code principal.location.country_or_region Codice paese del VPOP. Analizzato dai dati JSON.
x-sr-vpop-ip principal.ip
principal.asset.ip		 Indirizzo IP VPOP. Analizzato dai dati JSON.
x-symc-dei-app x-symc-dei-app Applicazione DEI di Symantec. Analizzato dai dati JSON.
x-symc-dei-via security_result.detection_fields Symantec DEI via. Analizzata dai dati JSON, la chiave è "x-symc-dei-via".
x-tenant-id security_result.detection_fields ID tenant. Analizzata dai dati JSON, la chiave è "x-tenant-id".
x-timestamp-unix x-timestamp-unix Timestamp Unix. Analizzato dai dati JSON.
x_bluecoat_application_name target_application Nome dell'applicazione. Analizzati da vari formati di log.
x_bluecoat_application_operation x_bluecoat_application_operation Operazione dell'applicazione. Analizzati da vari formati di log.
x_bluecoat_transaction_uuid metadata.product_log_id UUID transazione. Analizzati da vari formati di log.
x_cs_certificate_subject x_cs_certificate_subject Soggetto del certificato lato client. Analizzato dal formato generale del log.
x_cs_client_effective_ip ip_principal Indirizzo IP effettivo del client. Analizzato dal formato generale del log.
x_cs_connection_negotiated_cipher network.tls.cipher Cifra negoziata lato client. Analizzato dal formato generale del log.
x_cs_connection_negotiated_ssl_version network.tls.version_protocol Versione SSL negoziata lato client. Analizzato dal formato generale del log.
x_exception_id _block_reason ID eccezione. Analizzati da vari formati di log.
x_icap_reqmod_header x_icap_reqmod_header Intestazione di modifica della richiesta ICAP. Analizzato dal formato generale del log.
x_icap_respmod_header x_icap_respmod_header Intestazione di modifica della risposta ICAP. Analizzato dal formato generale del log.
x_rs_certificate_hostname network.tls.client.server_name Nome host del certificato del server remoto. Analizzato dal formato generale del log.
x_rs_certificate_hostname_category x_rs_certificate_hostname_category Categoria del nome host del certificato del server remoto. Analizzato dal formato generale del log.
x_rs_certificate_observed_errors x_rs_certificate_observed_errors Sono stati rilevati errori nel certificato del server remoto. Analizzato dal formato generale del log.
x_rs_certificate_validate_status network.tls.server.certificate.subject Stato della convalida del certificato del server remoto. Analizzati da vari formati di log.
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength Intensità della crittografia negoziata del server remoto. Analizzato dal formato generale del log.
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version Versione SSL negoziata dal server remoto. Analizzato dal formato generale del log.
x_virus_id security_result.detection_fields ID virus. Analizzato da vari formati di log, la chiave è "x-virus-id".

Campi derivati (dalla logica del parser):

  • metadata.event_type: determinato in base a un insieme complesso di condizioni che coinvolgono campi come network.application_protocol, network.http.method, principal.*, target.* e dst_user.
  • metadata.vendor_name: valore statico: Blue Coat Systems.
  • metadata.product_name: valore statico: ProxySG.
  • metadata.log_type: valore statico: BLUECOAT_WEBPROXY.
  • principal.asset.platform_software.platform: impostato su WINDOWS se x-client-os contiene Windows.
  • network.application_protocol: determinato utilizzando una tabella di ricerca basata su _uri_scheme o target.port. Il valore predefinito è UNKNOWN_APPLICATION_PROTOCOL.
  • network.ip_protocol: determinato utilizzando una tabella di ricerca basata su _uri_scheme. Il valore predefinito è UNKNOWN_IP_PROTOCOL.
  • security_result.action: Determinato in base a _policy_action (OBSERVED -> ALLOW, DENIED -> BLOCK).
  • security_result.about.labels: contiene etichette derivate da vari campi, come rs_server, communication_type e lo stato del formato del log SSL.
  • security_result.detection_fields: contiene varie coppie chiave-valore derivate da campi come x_virus_id, x_rs_certificate_observed_errors, x_rs_connection_negotiated_cipher_strength e molti altri.
  • vulns.vulnerabilities: compilato dal campo proxy_reverse_info, se presente, contenente informazioni sulle vulnerabilità come cve_id e about.labels.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.