Blue Coat ProxySG ログを収集する
このドキュメントでは、Bindplane を使用して Blue Coat ProxySG ログを Google Security Operations に取り込む方法について説明します。パーサーは Blue Coat ウェブ プロキシログを処理し、SYSLOG+JSON 形式と SYSLOG+KV 形式をサポートします。一連の条件チェックと Grok パターンを使用してログ形式を特定し、関連するフィールドを抽出して統合データモデル(UDM)にマッピングします。さまざまなログ構造とエッジケースを処理します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemd
を使用する Linux ホスト - プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- Blue Coat ProxySG への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindlane エージェントを構成する
- 構成ファイルにアクセスします。
config.yaml
ファイルを見つけます。通常、Linux では/etc/bindplane-agent/
ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano
、vi
、メモ帳など)を使用してファイルを開きます。
config.yaml
ファイルを次のように編集します。receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5145" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'BLUECOAT_WEBPROXY' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>
は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.json
の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agent
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Blue Coat ProxySG で Syslog を構成する
- Blue Coat ProxySG 管理コンソールにログインします。
- [Maintenance] > [Event Logging] > [Syslog] に移動します。
- [New] をクリックします。
- 次の構成の詳細を指定します。
- Loghost: Bindplane エージェントの IP アドレスを入力します。
- [OK] をクリックします。
- [Syslog を有効にする] チェックボックスをオンにします。
- [レベル] を選択します。
- [詳細] チェックボックスをオンにします。
- [適用] をクリックします。
Blue Coat ProxySG でカスタム クライアントを構成する
- [構成> アクセス ロギング> ログ> アップロード クライアント] に移動します。
- ログリストで [ストリーミング] を選択します。
- [クライアント タイプ] リストから [カスタム クライアント] を選択します。
- [設定] をクリックします。
- [設定] リストから、プライマリまたは代替のカスタム サーバーを選択して構成します。
- 次の構成の詳細を指定します。
- ホスト: アップロード先のホスト名または IP アドレスを入力します。
- ポート: 514 に設定します。
- セキュリティで保護された接続(SSL)を使用する: [オフ] に設定します。
- [OK] をクリックします。
- [適用] をクリックして、[クライアントをアップロード] タブに戻ります。
- main、im、streaming のうち使用するログ形式ごとに、次の手順を行います。
- ログを選択します。
- アップロード クライアントをカスタム クライアントに割り当てます。
<No Encryption>
と<No Signing>
を選択します。- ログファイルをテキスト ファイルとして保存します。
- [アップロード スケジュール> アップロード タイプ] をクリックします。
- アクセスログをストリーミングするには、[アクセスログをアップロードする] で [継続的] を選択します。
- [OK] をクリックします。
- [適用] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
@timestamp |
metadata.event_timestamp |
Blue Coat アプライアンスによって記録されたイベントのタイムスタンプ。JSON データから解析されます。 |
application-name |
target.application |
ネットワーク トラフィックに関連付けられているアプリケーションの名前。JSON データから解析されます。 |
c-ip |
principal.asset.ip principal.ip |
クライアント IP アドレス。JSON データから解析されます。 |
c_ip |
principal.ip principal.asset.ip |
クライアント IP アドレス。さまざまなログ形式から解析されます。 |
c_ip_host |
principal.hostname principal.asset.hostname |
クライアントのホスト名(利用可能な場合)。JSON データから解析されます。 |
cs-auth-group |
principal_user_group_identifiers |
クライアント認証グループ。JSON データから解析されます。 |
cs-bytes |
network.sent_bytes |
クライアントが送信したバイト数。JSON データから解析されます。 |
cs-categories |
security_result.category_details |
Blue Coat アプライアンスによってウェブ リクエストに割り当てられたカテゴリ。JSON データから解析されます。 |
cs-host |
target_hostname |
クライアントがリクエストしたホスト名。JSON データから解析されます。 |
cs-icap-error-details |
security_result.detection_fields |
クライアントサイドの ICAP エラーの詳細。JSON データから解析されます。キーは「cs-icap-error-details」です。 |
cs-icap-status |
security_result.description |
クライアントサイドの ICAP ステータス。JSON データから解析されます。 |
cs-method |
network.http.method |
リクエストで使用される HTTP メソッド。JSON データから解析されます。 |
cs-threat-risk |
security_result.risk_score |
Blue Coat アプライアンスによって割り当てられた脅威リスクスコア。JSON データから解析されます。 |
cs-uri-extension |
cs_uri_extension |
リクエストされた URI の拡張子。JSON データから解析されます。 |
cs-uri-path |
_uri_path |
リクエストされた URI のパス。JSON データから解析されます。 |
cs-uri-port |
cs_uri_port |
リクエストされた URI のポート。JSON データから解析されます。 |
cs-uri-query |
_uri_query |
リクエストされた URI のクエリ文字列。JSON データから解析されます。 |
cs-uri-scheme |
_uri_scheme |
リクエストされた URI のスキーム(http、https など)。JSON データから解析されます。 |
cs-userdn |
principal_user_userid |
クライアントのユーザー名。JSON データから解析されます。 |
cs-version |
cs_version |
クライアントで使用される HTTP バージョン。JSON データから解析されます。 |
cs(Referer) |
network.http.referral_url |
参照元 URL。JSON データから解析されます。 |
cs(User-Agent) |
network.http.user_agent |
ユーザー エージェント文字列。JSON データから解析されます。 |
cs(X-Requested-With) |
security_result.detection_fields |
X-Requested-With ヘッダーの値。JSON データから解析されます。キーは「cs-X-Requested-With」です。 |
cs_auth_group |
principal_user_group_identifiers |
クライアント認証グループ。さまざまなログ形式から解析されます。 |
cs_bytes |
network.sent_bytes |
クライアントが送信したバイト数。さまざまなログ形式から解析されます。 |
cs_categories |
security_result.category_details |
ウェブ リクエストに割り当てられたカテゴリ。さまざまなログ形式から解析されます。 |
cs_host |
target_hostname |
クライアントがリクエストしたホスト名。さまざまなログ形式から解析されます。 |
cs_method |
network.http.method |
リクエストで使用される HTTP メソッド。さまざまなログ形式から解析されます。 |
cs_referer |
network.http.referral_url |
参照元 URL。さまざまなログ形式から解析されます。 |
cs_threat_risk |
security_result.risk_score |
Blue Coat アプライアンスによって割り当てられた脅威リスクスコア。KV ログ形式から解析されます。 |
cs_uri |
target.url |
リクエストされた完全な URI。KV ログ形式から解析されます。 |
cs_uri_extension |
cs_uri_extension |
リクエストされた URI の拡張子。KV ログ形式から解析されます。 |
cs_uri_path |
_uri_path |
リクエストされた URI のパス。さまざまなログ形式から解析されます。 |
cs_uri_port |
target_port |
リクエストされた URI のポート。さまざまなログ形式から解析されます。 |
cs_uri_query |
_uri_query |
リクエストされた URI のクエリ文字列。さまざまなログ形式から解析されます。 |
cs_uri_scheme |
_uri_scheme |
リクエストされた URI のスキーム(http、https など)。さまざまなログ形式から解析されます。 |
cs_user |
principal_user_userid |
クライアントのユーザー名。一般的なログ形式から解析されます。 |
cs_user_agent |
network.http.user_agent |
ユーザー エージェント文字列。さまざまなログ形式から解析されます。 |
cs_username |
principal_user_userid |
クライアントのユーザー名。さまざまなログ形式から解析されます。 |
cs_x_forwarded_for |
_intermediary.ip |
X-Forwarded-For ヘッダーの値。一般的なログ形式から解析されます。 |
deviceHostname |
_intermediary.hostname |
Blue Coat アプライアンスのホスト名。KV ログ形式から解析されます。 |
dst |
ip_target |
宛先 IP アドレス。KV ログ形式から解析されます。 |
dst_ip |
ip_target |
宛先 IP アドレス。SSL ログ形式から解析されます。 |
dst_user |
target.user.userid |
移行先ユーザー ID。プロキシ リバース ログ形式から解析されます。 |
dstport |
target_port |
宛先ポート。KV ログ形式から解析されます。 |
dstport |
target.port |
宛先ポート。SSL ログ形式から解析されます。 |
exception-id |
_block_reason |
ブロックされたリクエストを示す例外 ID。KV ログ形式から解析されます。 |
filter-category |
_categories |
イベントをトリガーしたフィルタのカテゴリ。KV ログ形式から解析されます。 |
filter-result |
_policy_action |
リクエストに適用されたフィルタの結果。KV ログ形式から解析されます。 |
hostname |
principal.hostname principal.asset.hostname |
ログを生成するデバイスのホスト名。SSL ログ形式と一般ログ形式から解析されます。 |
isolation-url |
isolation-url |
分離に関連する URL(該当する場合)。JSON データから解析されます。 |
ma-detonated |
ma-detonated |
マルウェアのデトネーション ステータス。JSON データから解析されます。 |
page-views |
page-views |
ページビュー数。JSON データから解析されます。 |
r-ip |
ip_target |
リモート IP アドレス。JSON データから解析されます。 |
r-supplier-country |
r-supplier-country |
リモート サプライヤーの国。JSON データから解析されます。 |
r_dns |
target_hostname |
リモート DNS 名。JSON データから解析されます。 |
r_ip |
ip_target |
リモート IP アドレス。さまざまなログ形式から解析されます。 |
r_port |
target_port |
リモートポート。JSON データから解析されます。 |
risk-groups |
security_result.detection_fields |
イベントに関連付けられているリスクグループ。JSON データから解析されます。キーは「risk-groups」です。 |
rs-icap-error-details |
security_result.detection_fields |
リモート サーバーサイドからの ICAP エラーの詳細。JSON データから解析されます。キーは「rs-icap-error-details」です。 |
rs-icap-status |
rs-icap-status |
リモート サーバー側の ICAP ステータス。JSON データから解析されます。 |
rs(Content-Type) |
target.file.mime_type |
リモート サーバーからのレスポンスのコンテンツ タイプ。KV ログ形式から解析されます。 |
rs_content_type |
target.file.mime_type |
リモート サーバーからのレスポンスのコンテンツ タイプ。さまざまなログ形式から解析されます。 |
rs_server |
rs_server |
リモート サーバー情報。JSON データから解析されます。 |
rs_status |
_network.http.response_code |
リモート サーバーからのレスポンス ステータス コード。JSON データから解析されます。 |
r_supplier_country |
intermediary.location.country_or_region |
リモート サプライヤーの国。一般的なログ形式から解析されます。 |
r_supplier_ip |
intermediary.ip |
リモート サプライヤーの IP アドレス。一般的なログ形式から解析されます。 |
s-action |
_metadata.product_event_type |
プロキシによって実行されたアクション。KV ログ形式から解析されます。 |
s-ip |
_intermediary.ip |
サーバーの IP アドレス。KV ログ形式から解析されます。 |
s-source-ip |
_intermediary.ip |
サーバーの送信元 IP アドレス。JSON データから解析されます。 |
s_action |
_metadata.product_event_type |
プロキシによって実行されたアクション。さまざまなログ形式から解析されます。 |
s_ip |
target.ip target.asset.ip |
サーバーの IP アドレス。さまざまなログ形式から解析されます。 |
s_ip_host |
_intermediary.hostname |
サーバーのホスト名。JSON データから解析されます。 |
s-supplier-country |
intermediary.location.country_or_region |
サプライヤー サーバーの国。JSON データから解析されます。 |
s-supplier-failures |
security_result.detection_fields |
サプライヤーの障害。JSON データから解析されます。キーは「s-supplier-failures」です。 |
s-supplier-ip |
_intermediary.ip |
サプライヤー サーバーの IP アドレス。JSON データから解析されます。 |
s_supplier_ip |
intermediary.ip |
サプライヤー サーバーの IP アドレス。JSON データから解析されます。 |
s_supplier_name |
_intermediary.hostname |
サプライヤー サーバー名。一般的なログ形式から解析されます。 |
sc-bytes |
network.received_bytes |
サーバーが受信したバイト数。KV ログ形式から解析されます。 |
sc-filter-result |
_policy_action |
サーバー側で結果をフィルタします。KV ログ形式から解析されます。 |
sc-status |
_network.http.response_code |
サーバーから返されたステータス コード。KV ログ形式から解析されます。 |
sc_bytes |
network.received_bytes |
サーバーが受信したバイト数。さまざまなログ形式から解析されます。 |
sc_connection |
sc_connection |
サーバー接続情報。一般的なログ形式から解析されます。 |
sc_filter_result |
_policy_action |
サーバー側で結果をフィルタします。さまざまなログ形式から解析されます。 |
sc_status |
_network.http.response_code |
サーバーから返されたステータス コード。さまざまなログ形式から解析されます。 |
search_query |
target.resource.attribute.labels |
URL に検索クエリが含まれている場合は、その検索クエリ。target_url から抽出。キーは「search_query」。 |
session_id |
network.session_id |
セッション ID。プロキシ リバース ログ形式から解析されます。 |
src |
ip_principal |
送信元 IP アドレス。KV ログ形式から解析されます。 |
src_hostname |
principal.hostname principal.asset.hostname |
ソースのホスト名。一般的なログ形式から解析されます。 |
src_ip |
ip_principal |
送信元 IP アドレス。SSL ログ形式から解析されます。 |
srcport |
principal_port |
送信元ポート。KV ログ形式から解析されます。 |
src_port |
principal.port |
送信元ポート。SSL ログ形式から解析されます。 |
s_source_port |
intermediary.port |
サーバーの送信元ポート。一般的なログ形式から解析されます。 |
summary |
security_result.summary |
セキュリティ結果の概要。プロキシ リバースと SSL のログ形式から解析されます。 |
syslogtimestamp |
syslogtimestamp |
Syslog のタイムスタンプ。KV ログ形式から解析されます。 |
target_application |
target.application |
リクエストのターゲットとなるアプリケーション。x_bluecoat_application_name または application-name から取得されます。 |
target_hostname |
target.hostname target.asset.hostname |
ターゲット ホスト名。ログ形式に応じて、r_dns 、cs-host 、または他のフィールドから派生します。 |
target_port |
target.port |
ターゲット ポート。ログ形式に応じて、r_port 、cs_uri_port 、または dstport から取得されます。 |
target_sip |
target.ip target.asset.ip |
ターゲット サーバーの IP アドレス。一般的なログ形式から解析されます。 |
target_url |
target.url |
ターゲット URL。target_hostname 、_uri_path 、_uri_query 、cs_uri から取得されます。 |
time-taken |
network.session_duration |
セッションまたはリクエストの期間。KV ログ形式から解析され、秒とナノ秒に変換されます。 |
time_taken |
network.session_duration |
セッションまたはリクエストの期間。さまざまなログ形式から解析され、秒とナノ秒に変換されます。 |
tls_version |
network.tls.version |
接続で使用される TLS バージョン。SSL ログ形式から解析されます。 |
upload-source |
upload-source |
アップロードのソース。JSON データから解析されます。 |
username |
principal_user_userid |
ユーザー名。KV ログ形式から解析されます。 |
verdict |
security_result.detection_fields |
セキュリティ分析の結果。JSON データから解析されます。キーは「verdict」です。 |
wf-env |
wf_env |
ウェブ フィルタリング サービスの環境。JSON データから解析されます。 |
wf_id |
security_result.detection_fields |
ウェブ フィルタリング ID。JSON データから解析されます。キーは「wf_id」です。 |
wrong_cs_host |
principal.hostname principal.asset.hostname |
クライアントのホスト名が正しく解析されませんでした。IP アドレスでない場合は、プリンシパルのホスト名として使用されます。一般的なログ形式から解析されます。 |
x-bluecoat-access-type |
x-bluecoat-access-type |
アクセス権の種類。JSON データから解析されます。 |
x-bluecoat-appliance-name |
intermediary.application |
Blue Coat アプライアンスの名前。JSON データから解析されます。 |
x-bluecoat-application-name |
target_application |
アプリケーションの名前。JSON データから解析されます。 |
x-bluecoat-application-operation |
x_bluecoat_application_operation |
アプリケーション オペレーション。JSON データから解析されます。 |
x-bluecoat-location-id |
x-bluecoat-location-id |
ロケーション ID。JSON データから解析されます。 |
x-bluecoat-location-name |
x-bluecoat-location-name |
ビジネスの名前。JSON データから解析されます。 |
x-bluecoat-placeholder |
security_result.detection_fields |
プレースホルダ情報。JSON データから解析されます。キーは「x-bluecoat-placeholder」です。 |
x-bluecoat-reference-id |
security_result.detection_fields |
参照 ID。JSON データから解析されます。キーは「x-bluecoat-reference-id」です。 |
x-bluecoat-request-tenant-id |
x-bluecoat-request-tenant-id |
リクエストのテナント ID。JSON データから解析されます。 |
x-bluecoat-transaction-uuid |
metadata.product_log_id |
トランザクション UUID。JSON データから解析されます。 |
x-client-agent-sw |
software.name |
クライアント エージェント ソフトウェア。JSON データから解析され、principal.asset.software にマージされます。 |
x-client-agent-type |
principal.application |
クライアント エージェントのタイプ。JSON データから解析されます。 |
x-client-device-id |
principal.resource.product_object_id |
クライアント デバイス ID。JSON データから解析されます。 |
x-client-device-name |
x-client-device-name |
クライアント デバイス名。JSON データから解析されます。 |
x-client-device-type |
x-client-device-type |
クライアント デバイスのタイプ。JSON データから解析されます。 |
x-client-os |
principal.asset.platform_software.platform |
クライアント オペレーティング システム。JSON データから解析されます。「Windows」が含まれている場合は、プラットフォームを WINDOWS に設定します。 |
x-client-security-posture-details |
x-client-security-posture-details |
クライアントのセキュリティ対策の詳細。JSON データから解析されます。 |
x-client-security-posture-risk-score |
security_result.detection_fields |
クライアントのセキュリティ対策のリスクスコア。JSON データから解析されます。キーは「x-client-security-posture-risk-score」です。 |
x-cloud-rs |
security_result.detection_fields |
クラウド関連のリモート サーバー情報。JSON データから解析されます。キーは「x-cloud-rs」です。 |
x-cs-certificate-subject |
x_cs_certificate_subject |
クライアント側の証明書のサブジェクト。JSON データから解析されます。 |
x-cs-client-ip-country |
x-cs-client-ip-country |
クライアントの IP アドレスの国。JSON データから解析されます。 |
x-cs-connection-negotiated-cipher |
network.tls.cipher |
クライアント側からネゴシエートされた暗号。JSON データから解析されます。 |
x-cs-connection-negotiated-cipher-size |
security_result.detection_fields |
クライアント側からネゴシエートされた暗号サイズ。JSON データから解析されます。キーは「x-cs-connection-negotiated-cipher-size」です。 |
x-cs-connection-negotiated-ssl-version |
network.tls.version_protocol |
クライアント側からネゴシエートされた SSL バージョン。JSON データから解析されます。 |
x-cs-ocsp-error |
security_result.detection_fields |
クライアントサイドからの OCSP エラー。JSON データから解析されます。キーは「x-cs-ocsp-error」です。 |
x-cs(referer)-uri-categories |
x-cs(referer)-uri-categories |
クライアント側のリファラー URI カテゴリ。JSON データから解析されます。 |
x-data-leak-detected |
security_result.detection_fields |
データ漏洩検出のステータス。JSON データから解析されます。キーは「x-data-leak-detected」です。 |
x-exception-id |
x_exception_id |
例外 ID。JSON データから解析されます。 |
x-http-connect-host |
x-http-connect-host |
HTTP 接続ホスト。JSON データから解析されます。 |
x-http-connect-port |
x-http-connect-port |
HTTP 接続ポート。JSON データから解析されます。 |
x-icap-reqmod-header(x-icap-metadata) |
x_icap_reqmod_header |
メタデータを含む ICAP リクエスト変更ヘッダー。JSON データから解析されます。 |
x-icap-respmod-header(x-icap-metadata) |
x_icap_respmod_header |
メタデータを含む ICAP レスポンス変更ヘッダー。JSON データから解析されます。 |
x-rs-certificate-hostname |
network.tls.client.server_name |
リモート サーバー側の証明書のホスト名。JSON データから解析されます。 |
x-rs-certificate-hostname-categories |
x_rs_certificate_hostname_category |
リモート サーバー側の証明書のホスト名カテゴリ。JSON データから解析されます。 |
x-rs-certificate-hostname-category |
x_rs_certificate_hostname_category |
リモート サーバー側の証明書のホスト名カテゴリ。JSON データから解析されます。 |
x-rs-certificate-hostname-threat-risk |
security_result.detection_fields |
リモート サーバー側の証明書のホスト名の脅威リスク。JSON データから解析されます。キーは「x-rs-certificate-hostname-threat-risk」です。 |
x-rs-certificate-observed-errors |
x_rs_certificate_observed_errors |
リモート サーバー側で証明書のエラーが確認されました。JSON データから解析されます。 |
x-rs-certificate-validate-status |
network.tls.server.certificate.subject |
リモート サーバー側の証明書の検証ステータス。JSON データから解析されます。 |
x-rs-connection-negotiated-cipher |
x_rs_connection_negotiated_cipher |
リモート サーバー側でネゴシエートされた暗号。JSON データから解析されます。 |
x-rs-connection-negotiated-cipher-size |
security_result.detection_fields |
リモート サーバー側からネゴシエートされた暗号サイズ。JSON データから解析されます。キーは「x-rs-connection-negotiated-cipher-size」です。 |
x-rs-connection-negotiated-cipher-strength |
x_rs_connection_negotiated_cipher_strength |
リモート サーバー側でネゴシエートされた暗号の強度。JSON データから解析されます。 |
x-rs-connection-negotiated-ssl-version |
x_rs_connection_negotiated_ssl_version |
リモート サーバーサイドからネゴシエートされた SSL バージョン。JSON データから解析されます。 |
x-rs-ocsp-error |
x_rs_ocsp_error |
リモート サーバー側からの OCSP エラー。JSON データから解析されます。 |
x-sc-connection-issuer-keyring |
security_result.detection_fields |
接続発行者のキーリング。JSON データから解析されます。キーは「x-sc-connection-issuer-keyring」です。 |
x-sc-connection-issuer-keyring-alias |
x-sc-connection-issuer-keyring-alias |
接続発行者のキーリング エイリアス。JSON データから解析されます。 |
x-sr-vpop-country |
principal.location.country_or_region |
VPOP の国。JSON データから解析されます。 |
x-sr-vpop-country-code |
principal.location.country_or_region |
VPOP の国コード。JSON データから解析されます。 |
x-sr-vpop-ip |
principal.ip principal.asset.ip |
VPOP の IP アドレス。JSON データから解析されます。 |
x-symc-dei-app |
x-symc-dei-app |
Symantec DEI アプリケーション。JSON データから解析されます。 |
x-symc-dei-via |
security_result.detection_fields |
Symantec DEI via. JSON データから解析されます。キーは「x-symc-dei-via」です。 |
x-tenant-id |
security_result.detection_fields |
テナント ID。JSON データから解析されます。キーは「x-tenant-id」です。 |
x-timestamp-unix |
x-timestamp-unix |
Unix タイムスタンプ。JSON データから解析されます。 |
x_bluecoat_application_name |
target_application |
アプリケーション名。さまざまなログ形式から解析されます。 |
x_bluecoat_application_operation |
x_bluecoat_application_operation |
アプリケーション オペレーション。さまざまなログ形式から解析されます。 |
x_bluecoat_transaction_uuid |
metadata.product_log_id |
トランザクション UUID。さまざまなログ形式から解析されます。 |
x_cs_certificate_subject |
x_cs_certificate_subject |
クライアントサイド証明書のサブジェクト。一般的なログ形式から解析されます。 |
x_cs_client_effective_ip |
ip_principal |
クライアントの有効な IP アドレス。一般的なログ形式から解析されます。 |
x_cs_connection_negotiated_cipher |
network.tls.cipher |
クライアントサイドでネゴシエートされた暗号。一般的なログ形式から解析されます。 |
x_cs_connection_negotiated_ssl_version |
network.tls.version_protocol |
クライアントサイドでネゴシエートされた SSL バージョン。一般的なログ形式から解析されます。 |
x_exception_id |
_block_reason |
例外 ID。さまざまなログ形式から解析されます。 |
x_icap_reqmod_header |
x_icap_reqmod_header |
ICAP リクエスト変更ヘッダー。一般的なログ形式から解析されます。 |
x_icap_respmod_header |
x_icap_respmod_header |
ICAP レスポンス変更ヘッダー。一般的なログ形式から解析されます。 |
x_rs_certificate_hostname |
network.tls.client.server_name |
リモート サーバー証明書のホスト名。一般的なログ形式から解析されます。 |
x_rs_certificate_hostname_category |
x_rs_certificate_hostname_category |
リモート サーバー証明書のホスト名カテゴリ。一般的なログ形式から解析されます。 |
x_rs_certificate_observed_errors |
x_rs_certificate_observed_errors |
リモート サーバー証明書でエラーが検出されました。一般的なログ形式から解析されます。 |
x_rs_certificate_validate_status |
network.tls.server.certificate.subject |
リモート サーバー証明書の検証ステータス。さまざまなログ形式から解析されます。 |
x_rs_connection_negotiated_cipher_strength |
x_rs_connection_negotiated_cipher_strength |
リモート サーバーでネゴシエートされた暗号の強度。一般的なログ形式から解析されます。 |
x_rs_connection_negotiated_ssl_version |
x_rs_connection_negotiated_ssl_version |
リモート サーバーでネゴシエートされた SSL バージョン。一般的なログ形式から解析されます。 |
x_virus_id |
security_result.detection_fields |
ウイルス ID。さまざまなログ形式から解析されます。キーは「x-virus-id」です。 |
派生フィールド(パーサー ロジックから):
metadata.event_type
:network.application_protocol
、network.http.method
、principal.*
、target.*
、dst_user
などのフィールドを含む複雑な条件のセットに基づいて決定されます。metadata.vendor_name
: 静的値:Blue Coat Systems
。metadata.product_name
: 静的値:ProxySG
。metadata.log_type
: 静的値:BLUECOAT_WEBPROXY
。principal.asset.platform_software.platform
:x-client-os
にWindows
が含まれている場合は、WINDOWS
に設定します。network.application_protocol
:_uri_scheme
またはtarget.port
に基づくルックアップ テーブルを使用して決定されます。デフォルトはUNKNOWN_APPLICATION_PROTOCOL
です。network.ip_protocol
:_uri_scheme
に基づくルックアップ テーブルを使用して決定されます。デフォルトはUNKNOWN_IP_PROTOCOL
です。security_result.action
:_policy_action
に基づいて決定されます(OBSERVED
->ALLOW
、DENIED
->BLOCK
)。security_result.about.labels
:rs_server
、communication_type
、SSL ログ形式のステータスなどのさまざまなフィールドから派生したラベルが含まれます。security_result.detection_fields
:x_virus_id
、x_rs_certificate_observed_errors
、x_rs_connection_negotiated_cipher_strength
などのフィールドから派生したさまざまな Key-Value ペアが含まれます。vulns.vulnerabilities
: 存在する場合はproxy_reverse_info
フィールドから入力されます。cve_id
やabout.labels
などの脆弱性情報が含まれます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。