Coletar registros do Blue Coat ProxySG

Compatível com:

Este documento explica como ingerir registros do Blue Coat ProxySG no Google Security Operations usando o Bindplane. O analisador processa registros de proxy da Web Blue Coat e é compatível com os formatos SYSLOG+JSON e SYSLOG+KV. Ele usa uma série de verificações condicionais e padrões grok para identificar o formato do registro, extrai campos relevantes e os mapeia para o modelo de dados unificado (UDM, na sigla em inglês), processando várias estruturas de registro e casos extremos.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Windows 2016 ou mais recente ou um host Linux com systemd
  • Se estiver executando por trás de um proxy, as portas do firewall estarão abertas.
  • Acesso privilegiado ao Blue Coat ProxySG

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindlane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:
    • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID do cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar o Syslog no Blue Coat ProxySG

  1. Faça login no console de gerenciamento do Blue Coat ProxySG.
  2. Acesse Manutenção > Registro de eventos > Syslog.
  3. Clique em Novo.
  4. Informe os seguintes detalhes de configuração:
    • Loghost: insira o endereço IP do agente do Bindplane.
    • Clique em OK.
  5. Marque a caixa de seleção Ativar Syslog.
  6. Selecione Nível.
  7. Marque a caixa de seleção Detalhado.
  8. Clique em Aplicar.

Configurar um cliente personalizado no Blue Coat ProxySG

  1. Acesse Configuração > Registro de acesso > Registros > Fazer upload do cliente.
  2. Selecione Streaming na lista de registros.
  3. Selecione Cliente personalizado na lista "Tipo de cliente".
  4. Clique em Configurações.
  5. Selecione para configurar o servidor personalizado principal ou alternativo na lista Configurações.
  6. Informe os seguintes detalhes de configuração:
    • Host: insira o nome do host ou o endereço IP do destino do upload.
    • Porta: defina como 514.
    • Usar conexões seguras (SSL): defina como Desativado.
    • Clique em OK.
    • Clique em Aplicar para voltar à guia Cliente de upload.
  7. Para cada formato de registro que você quer usar entre principal, im e streaming, siga estas etapas:
    • Selecione o registro.
    • Atribua o Cliente de upload como o cliente Personalizado.
    • Selecione <No Encryption> e <No Signing>.
    • Salve o arquivo de registro como um arquivo de texto.
    • Clique em Programação de upload > Tipo de upload.
    • Selecione Continuamente em Fazer upload do registro de acesso para transmitir os registros de acesso.
    • Clique em OK.
  8. Clique em Aplicar.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
@timestamp metadata.event_timestamp O carimbo de data/hora do evento conforme registrado pelo dispositivo Blue Coat. Analisado dos dados JSON.
application-name target.application O nome do aplicativo associado ao tráfego de rede. Analisado dos dados JSON.
c-ip principal.asset.ip
principal.ip		 Endereço IP do cliente. Analisado dos dados JSON.
c_ip principal.ip
principal.asset.ip		 Endereço IP do cliente. Analisados de vários formatos de registro.
c_ip_host principal.hostname
principal.asset.hostname		 Nome do host do cliente, se disponível. Analisado dos dados JSON.
cs-auth-group principal_user_group_identifiers Grupo de autenticação do cliente. Analisado dos dados JSON.
cs-bytes network.sent_bytes Número de bytes enviados pelo cliente. Analisado dos dados JSON.
cs-categories security_result.category_details Categorias atribuídas à solicitação da Web pelo dispositivo Blue Coat. Analisado dos dados JSON.
cs-host target_hostname Nome do host solicitado pelo cliente. Analisado dos dados JSON.
cs-icap-error-details security_result.detection_fields Detalhes do erro ICAP do lado do cliente. Analisado dos dados JSON, a chave é "cs-icap-error-details".
cs-icap-status security_result.description Status do ICAP do lado do cliente. Analisado dos dados JSON.
cs-method network.http.method Método HTTP usado na solicitação. Analisado dos dados JSON.
cs-threat-risk security_result.risk_score Pontuação de risco de ameaça atribuída pelo dispositivo Blue Coat. Analisado dos dados JSON.
cs-uri-extension cs_uri_extension Extensão do URI solicitado. Analisado dos dados JSON.
cs-uri-path _uri_path Caminho do URI solicitado. Analisado dos dados JSON.
cs-uri-port cs_uri_port Porta do URI solicitado. Analisado dos dados JSON.
cs-uri-query _uri_query String de consulta do URI solicitado. Analisado dos dados JSON.
cs-uri-scheme _uri_scheme Scheme do URI solicitado (por exemplo, http, https). Analisado dos dados JSON.
cs-userdn principal_user_userid Nome de usuário do cliente. Analisado dos dados JSON.
cs-version cs_version Versão HTTP usada pelo cliente. Analisado dos dados JSON.
cs(Referer) network.http.referral_url URL de referência. Analisado dos dados JSON.
cs(User-Agent) network.http.user_agent String do user agent. Analisado dos dados JSON.
cs(X-Requested-With) security_result.detection_fields Valor do cabeçalho X-Requested-With. Analisado dos dados JSON, a chave é "cs-X-Requested-With".
cs_auth_group principal_user_group_identifiers Grupo de autenticação do cliente. Analisados de vários formatos de registro.
cs_bytes network.sent_bytes Número de bytes enviados pelo cliente. Analisados de vários formatos de registro.
cs_categories security_result.category_details Categorias atribuídas à solicitação da Web. Analisados de vários formatos de registro.
cs_host target_hostname Nome do host solicitado pelo cliente. Analisados de vários formatos de registro.
cs_method network.http.method Método HTTP usado na solicitação. Analisados de vários formatos de registro.
cs_referer network.http.referral_url URL de referência. Analisados de vários formatos de registro.
cs_threat_risk security_result.risk_score Pontuação de risco de ameaça atribuída pelo dispositivo Blue Coat. Analisado do formato de registro KV.
cs_uri target.url URI completo da solicitação. Analisado do formato de registro KV.
cs_uri_extension cs_uri_extension Extensão do URI solicitado. Analisado do formato de registro KV.
cs_uri_path _uri_path Caminho do URI solicitado. Analisados de vários formatos de registro.
cs_uri_port target_port Porta do URI solicitado. Analisados de vários formatos de registro.
cs_uri_query _uri_query String de consulta do URI solicitado. Analisados de vários formatos de registro.
cs_uri_scheme _uri_scheme Scheme do URI solicitado (por exemplo, http, https). Analisados de vários formatos de registro.
cs_user principal_user_userid Nome de usuário do cliente. Analisado do formato de registro geral.
cs_user_agent network.http.user_agent String do user agent. Analisados de vários formatos de registro.
cs_username principal_user_userid Nome de usuário do cliente. Analisados de vários formatos de registro.
cs_x_forwarded_for _intermediary.ip Valor do cabeçalho X-Forwarded-For. Analisado do formato de registro geral.
deviceHostname _intermediary.hostname Nome do host do appliance Blue Coat. Analisado do formato de registro KV.
dst ip_target Endereço IP de destino. Analisado do formato de registro KV.
dst_ip ip_target Endereço IP de destino. Analisado do formato de registro SSL.
dst_user target.user.userid ID do usuário de destino. Analisado do formato de registro de proxy reverso.
dstport target_port Porta de destino. Analisado do formato de registro KV.
dstport target.port Porta de destino. Analisado do formato de registro SSL.
exception-id _block_reason ID da exceção, indicando uma solicitação bloqueada. Analisado do formato de registro KV.
filter-category _categories Categoria do filtro que acionou o evento. Analisado do formato de registro KV.
filter-result _policy_action Resultado do filtro aplicado à solicitação. Analisado do formato de registro KV.
hostname principal.hostname
principal.asset.hostname		 Nome do host do dispositivo que gera o registro. Analisado dos formatos de registro SSL e geral.
isolation-url isolation-url URL relacionado ao isolamento, se aplicável. Analisado dos dados JSON.
ma-detonated ma-detonated Status da detonação de malware. Analisado dos dados JSON.
page-views page-views Número de exibições de página. Analisado dos dados JSON.
r-ip ip_target Endereço IP remoto. Analisado dos dados JSON.
r-supplier-country r-supplier-country País do fornecedor remoto. Analisado dos dados JSON.
r_dns target_hostname Nome DNS remoto. Analisado dos dados JSON.
r_ip ip_target Endereço IP remoto. Analisados de vários formatos de registro.
r_port target_port Porta remota. Analisado dos dados JSON.
risk-groups security_result.detection_fields Grupos de risco associados ao evento. Analisada dos dados JSON, a chave é "risk-groups".
rs-icap-error-details security_result.detection_fields Detalhes do erro do ICAP do lado do servidor remoto. Analisado dos dados JSON, a chave é "rs-icap-error-details".
rs-icap-status rs-icap-status Status do ICAP do lado do servidor remoto. Analisado dos dados JSON.
rs(Content-Type) target.file.mime_type Tipo de conteúdo da resposta do servidor remoto. Analisado do formato de registro KV.
rs_content_type target.file.mime_type Tipo de conteúdo da resposta do servidor remoto. Analisados de vários formatos de registro.
rs_server rs_server Informações do servidor remoto. Analisado dos dados JSON.
rs_status _network.http.response_code Código de status da resposta do servidor remoto. Analisado dos dados JSON.
r_supplier_country intermediary.location.country_or_region País do fornecedor remoto. Analisado do formato de registro geral.
r_supplier_ip intermediary.ip Endereço IP do fornecedor remoto. Analisado do formato de registro geral.
s-action _metadata.product_event_type Ação realizada pelo proxy. Analisado do formato de registro KV.
s-ip _intermediary.ip Endereço IP do servidor. Analisado do formato de registro KV.
s-source-ip _intermediary.ip Endereço IP de origem do servidor. Analisado dos dados JSON.
s_action _metadata.product_event_type Ação realizada pelo proxy. Analisados de vários formatos de registro.
s_ip target.ip
target.asset.ip		 Endereço IP do servidor. Analisados de vários formatos de registro.
s_ip_host _intermediary.hostname Nome do host do servidor. Analisado dos dados JSON.
s-supplier-country intermediary.location.country_or_region País do servidor do fornecedor. Analisado dos dados JSON.
s-supplier-failures security_result.detection_fields Falhas do fornecedor. Analisado dos dados JSON, a chave é "s-supplier-failures".
s-supplier-ip _intermediary.ip Endereço IP do servidor do fornecedor. Analisado dos dados JSON.
s_supplier_ip intermediary.ip Endereço IP do servidor do fornecedor. Analisado dos dados JSON.
s_supplier_name _intermediary.hostname Nome do servidor do fornecedor. Analisado do formato de registro geral.
sc-bytes network.received_bytes Número de bytes recebidos pelo servidor. Analisado do formato de registro KV.
sc-filter-result _policy_action Filtrar resultados do lado do servidor. Analisado do formato de registro KV.
sc-status _network.http.response_code Código de status retornado pelo servidor. Analisado do formato de registro KV.
sc_bytes network.received_bytes Número de bytes recebidos pelo servidor. Analisados de vários formatos de registro.
sc_connection sc_connection Informações de conexão do servidor. Analisado do formato de registro geral.
sc_filter_result _policy_action Filtrar resultados do lado do servidor. Analisados de vários formatos de registro.
sc_status _network.http.response_code Código de status retornado pelo servidor. Analisados de vários formatos de registro.
search_query target.resource.attribute.labels Consulta de pesquisa, se presente no URL. Extraído de target_url, a chave é "search_query".
session_id network.session_id ID da sessão. Analisado do formato de registro de proxy reverso.
src ip_principal Endereço IP de origem. Analisado do formato de registro KV.
src_hostname principal.hostname
principal.asset.hostname		 Nome do host de origem. Analisado do formato de registro geral.
src_ip ip_principal Endereço IP de origem. Analisado do formato de registro SSL.
srcport principal_port Porta de origem. Analisado do formato de registro KV.
src_port principal.port Porta de origem. Analisado do formato de registro SSL.
s_source_port intermediary.port Porta de origem do servidor. Analisado do formato de registro geral.
summary security_result.summary Resumo do resultado de segurança. Analisado dos formatos de registro do proxy reverso e do SSL.
syslogtimestamp syslogtimestamp Carimbo de data/hora do syslog. Analisado do formato de registro KV.
target_application target.application Aplicativo segmentado pela solicitação. Derivado de x_bluecoat_application_name ou application-name.
target_hostname target.hostname
target.asset.hostname		 Nome do host de destino. Derivado de r_dns, cs-host ou outros campos, dependendo do formato do registro.
target_port target.port Porta de destino. Derivado de r_port, cs_uri_port ou dstport, dependendo do formato do registro.
target_sip target.ip
target.asset.ip		 Endereço IP do servidor de destino. Analisado do formato de registro geral.
target_url target.url URL de destino. Derivados de target_hostname, _uri_path e _uri_query ou cs_uri.
time-taken network.session_duration Duração da sessão ou solicitação. Analisado do formato de registro KV e convertido em segundos e nanossegundos.
time_taken network.session_duration Duração da sessão ou solicitação. Analisado de vários formatos de registro e convertido em segundos e nanossegundos.
tls_version network.tls.version Versão do TLS usada na conexão. Analisado do formato de registro SSL.
upload-source upload-source Origem do upload. Analisado dos dados JSON.
username principal_user_userid Nome de usuário. Analisado do formato de registro KV.
verdict security_result.detection_fields Veredicto da análise de segurança. Analisado dos dados JSON, a chave é "verdict".
wf-env wf_env Ambiente do serviço de filtragem da Web. Analisado dos dados JSON.
wf_id security_result.detection_fields ID da filtragem da Web. Analisado dos dados JSON, a chave é "wf_id".
wrong_cs_host principal.hostname
principal.asset.hostname		 Nome do host do cliente analisado incorretamente, usado como nome do host principal se não for um endereço IP. Analisado do formato de registro geral.
x-bluecoat-access-type x-bluecoat-access-type Tipo de acesso. Analisado dos dados JSON.
x-bluecoat-appliance-name intermediary.application Nome do dispositivo Blue Coat. Analisado dos dados JSON.
x-bluecoat-application-name target_application Nome do aplicativo. Analisado dos dados JSON.
x-bluecoat-application-operation x_bluecoat_application_operation Operação do aplicativo. Analisado dos dados JSON.
x-bluecoat-location-id x-bluecoat-location-id ID do local. Analisado dos dados JSON.
x-bluecoat-location-name x-bluecoat-location-name Nome do local. Analisado dos dados JSON.
x-bluecoat-placeholder security_result.detection_fields Informações do marcador de posição. Analisado dos dados JSON, a chave é "x-bluecoat-placeholder".
x-bluecoat-reference-id security_result.detection_fields ID de referência. Analisado dos dados JSON, a chave é "x-bluecoat-reference-id".
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id ID do locatário da solicitação. Analisado dos dados JSON.
x-bluecoat-transaction-uuid metadata.product_log_id UUID da transação. Analisado dos dados JSON.
x-client-agent-sw software.name Software de agente do cliente. Analisado dos dados JSON e mesclado em principal.asset.software.
x-client-agent-type principal.application Tipo de agente do cliente. Analisado dos dados JSON.
x-client-device-id principal.resource.product_object_id ID do dispositivo do cliente. Analisado dos dados JSON.
x-client-device-name x-client-device-name Nome do dispositivo cliente. Analisado dos dados JSON.
x-client-device-type x-client-device-type Tipo de dispositivo do cliente. Analisado dos dados JSON.
x-client-os principal.asset.platform_software.platform Sistema operacional do cliente. Analisado dos dados JSON. Se contiver "Windows", define a plataforma como WINDOWS.
x-client-security-posture-details x-client-security-posture-details Detalhes da postura de segurança do cliente. Analisado dos dados JSON.
x-client-security-posture-risk-score security_result.detection_fields Pontuação de risco da postura de segurança do cliente. Analisado dos dados JSON, a chave é "x-client-security-posture-risk-score".
x-cloud-rs security_result.detection_fields Informações do servidor remoto relacionadas à nuvem. Analisado dos dados JSON, a chave é "x-cloud-rs".
x-cs-certificate-subject x_cs_certificate_subject Assunto do certificado do lado do cliente. Analisado dos dados JSON.
x-cs-client-ip-country x-cs-client-ip-country País do IP do cliente. Analisado dos dados JSON.
x-cs-connection-negotiated-cipher network.tls.cipher Criptografia negociada do lado do cliente. Analisado dos dados JSON.
x-cs-connection-negotiated-cipher-size security_result.detection_fields Tamanho do algoritmo de criptografia negociado do lado do cliente. Analisado dos dados JSON, a chave é "x-cs-connection-negotiated-cipher-size".
x-cs-connection-negotiated-ssl-version network.tls.version_protocol Versão SSL negociada do lado do cliente. Analisado dos dados JSON.
x-cs-ocsp-error security_result.detection_fields Erro de OCSP do lado do cliente. Analisado dos dados JSON, a chave é "x-cs-ocsp-error".
x-cs(referer)-uri-categories x-cs(referer)-uri-categories Categorias de URI de referenciador do lado do cliente. Analisado dos dados JSON.
x-data-leak-detected security_result.detection_fields Status da detecção de vazamento de dados. Analisada dos dados JSON, a chave é "x-data-leak-detected".
x-exception-id x_exception_id ID da exceção. Analisado dos dados JSON.
x-http-connect-host x-http-connect-host Host de conexão HTTP. Analisado dos dados JSON.
x-http-connect-port x-http-connect-port Porta de conexão HTTP. Analisado dos dados JSON.
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header Cabeçalho de modificação da solicitação ICAP que contém metadados. Analisado dos dados JSON.
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header Cabeçalho de modificação da resposta ICAP que contém metadados. Analisado dos dados JSON.
x-rs-certificate-hostname network.tls.client.server_name Nome do host do certificado do lado do servidor remoto. Analisado dos dados JSON.
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category Categorias de nome do host do certificado do lado do servidor remoto. Analisado dos dados JSON.
x-rs-certificate-hostname-category x_rs_certificate_hostname_category Categoria de nome do host do certificado do lado do servidor remoto. Analisado dos dados JSON.
x-rs-certificate-hostname-threat-risk security_result.detection_fields Risco de ameaça ao nome do host do certificado do lado do servidor remoto. Analisado dos dados JSON, a chave é "x-rs-certificate-hostname-threat-risk".
x-rs-certificate-observed-errors x_rs_certificate_observed_errors O certificado observou erros do lado do servidor remoto. Analisado dos dados JSON.
x-rs-certificate-validate-status network.tls.server.certificate.subject Status da validação do certificado do lado do servidor remoto. Analisado dos dados JSON.
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher Criptografia negociada do lado do servidor remoto. Analisado dos dados JSON.
x-rs-connection-negotiated-cipher-size security_result.detection_fields Tamanho da criptografia negociada do lado do servidor remoto. Analisada dos dados JSON, a chave é "x-rs-connection-negotiated-cipher-size".
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength Intensidade da criptografia negociada do lado do servidor remoto. Analisado dos dados JSON.
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version Versão SSL negociada do lado do servidor remoto. Analisado dos dados JSON.
x-rs-ocsp-error x_rs_ocsp_error Erro de OCSP do lado do servidor remoto. Analisado dos dados JSON.
x-sc-connection-issuer-keyring security_result.detection_fields Keyring do emissor da conexão. Analisada dos dados JSON, a chave é "x-sc-connection-issuer-keyring".
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias Alias do keyring do emissor da conexão. Analisado dos dados JSON.
x-sr-vpop-country principal.location.country_or_region País do VPOP. Analisado dos dados JSON.
x-sr-vpop-country-code principal.location.country_or_region Código do país do VPOP. Analisado dos dados JSON.
x-sr-vpop-ip principal.ip
principal.asset.ip		 Endereço IP do VPOP. Analisado dos dados JSON.
x-symc-dei-app x-symc-dei-app Solicitação de DEI da Symantec. Analisado dos dados JSON.
x-symc-dei-via security_result.detection_fields Via DEI da Symantec. Analisado dos dados JSON, a chave é "x-symc-dei-via".
x-tenant-id security_result.detection_fields ID do locatário. Analisado dos dados JSON, a chave é "x-tenant-id".
x-timestamp-unix x-timestamp-unix Carimbo de data/hora do Unix. Analisado dos dados JSON.
x_bluecoat_application_name target_application Nome do app. Analisados de vários formatos de registro.
x_bluecoat_application_operation x_bluecoat_application_operation Operação do aplicativo. Analisados de vários formatos de registro.
x_bluecoat_transaction_uuid metadata.product_log_id UUID da transação. Analisados de vários formatos de registro.
x_cs_certificate_subject x_cs_certificate_subject Assunto do certificado do lado do cliente. Analisado do formato de registro geral.
x_cs_client_effective_ip ip_principal Endereço IP efetivo do cliente. Analisado do formato de registro geral.
x_cs_connection_negotiated_cipher network.tls.cipher Cifra negociada do lado do cliente. Analisado do formato de registro geral.
x_cs_connection_negotiated_ssl_version network.tls.version_protocol Versão SSL negociada do lado do cliente. Analisado do formato de registro geral.
x_exception_id _block_reason ID da exceção. Analisados de vários formatos de registro.
x_icap_reqmod_header x_icap_reqmod_header Cabeçalho de modificação da solicitação ICAP. Analisado do formato de registro geral.
x_icap_respmod_header x_icap_respmod_header Cabeçalho de modificação de resposta do ICAP. Analisado do formato de registro geral.
x_rs_certificate_hostname network.tls.client.server_name Nome do host do certificado do servidor remoto. Analisado do formato de registro geral.
x_rs_certificate_hostname_category x_rs_certificate_hostname_category Categoria de nome do host do certificado do servidor remoto. Analisado do formato de registro geral.
x_rs_certificate_observed_errors x_rs_certificate_observed_errors O certificado do servidor remoto apresentou erros. Analisado do formato de registro geral.
x_rs_certificate_validate_status network.tls.server.certificate.subject Status da validação do certificado do servidor remoto. Analisados de vários formatos de registro.
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength Intensidade da criptografia negociada pelo servidor remoto. Analisado do formato de registro geral.
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version Versão SSL negociada pelo servidor remoto. Analisado do formato de registro geral.
x_virus_id security_result.detection_fields ID do vírus. Analisado de vários formatos de registro. A chave é "x-virus-id".

Campos derivados (da lógica do analisador):

  • metadata.event_type: determinado com base em um conjunto complexo de condições que envolvem campos como network.application_protocol, network.http.method, principal.*, target.* e dst_user.
  • metadata.vendor_name: valor estático: Blue Coat Systems.
  • metadata.product_name: valor estático: ProxySG.
  • metadata.log_type: valor estático: BLUECOAT_WEBPROXY.
  • principal.asset.platform_software.platform: defina como WINDOWS se x-client-os contiver Windows.
  • network.application_protocol: determinado usando uma tabela de consulta com base em _uri_scheme ou target.port. O padrão é UNKNOWN_APPLICATION_PROTOCOL.
  • network.ip_protocol: determinado usando uma tabela de consulta com base em _uri_scheme. O padrão é UNKNOWN_IP_PROTOCOL.
  • security_result.action: determinado com base em _policy_action (OBSERVED -> ALLOW, DENIED -> BLOCK).
  • security_result.about.labels: contém rótulos derivados de vários campos, como rs_server, communication_type e o status do formato de registro SSL.
  • security_result.detection_fields: contém vários pares de chave-valor derivados de campos como x_virus_id, x_rs_certificate_observed_errors, x_rs_connection_negotiated_cipher_strength e muitos outros.
  • vulns.vulnerabilities: preenchido com o campo proxy_reverse_info, se presente, contendo informações de vulnerabilidade, como cve_id e about.labels.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.