收集 Blue Coat ProxySG 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Blue Coat ProxySG 記錄擷取至 Google Security Operations。剖析器會處理 Blue Coat 網頁 Proxy 記錄,支援 SYSLOG+JSON 和 SYSLOG+KV 格式。這項功能會使用一系列條件檢查和 grok 模式來識別記錄格式、擷取相關欄位,並將這些欄位對應至整合式資料模型 (UDM),處理各種記錄結構和極端情況。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,防火牆通訊埠已開啟
  • Blue Coat ProxySG 的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindlane 代理程式,擷取 Syslog 並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'BLUECOAT_WEBPROXY'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Blue Coat ProxySG 中設定 Syslog

  1. 登入 Blue Coat ProxySG 管理控制台。
  2. 依序前往「維護」>「事件記錄」>「系統記錄」
  3. 按一下 [New]
  4. 提供下列設定詳細資料:
    • Loghost:輸入 Bindplane 代理程式 IP 位址。
    • 按一下 [確定]
  5. 勾選「Enable Syslog」(啟用 Syslog) 核取方塊。
  6. 選取「等級」
  7. 勾選「詳細」核取方塊。
  8. 按一下 [套用]

在 Blue Coat ProxySG 中設定自訂用戶端

  1. 依序前往「Configuration」>「Access Logging」>「Logs」>「Upload Client」
  2. 在「記錄」清單中選取「串流」
  3. 從「用戶端類型」清單中選取「自訂用戶端」
  4. 按一下「設定」
  5. 從「設定」清單中選取要設定的主要備用自訂伺服器。
  6. 提供下列設定詳細資料:
    • 主機:輸入上傳目的地的名稱或 IP 位址。
    • 通訊埠:設為 514
    • 使用安全連線 (SSL):設為「關閉」
    • 按一下 [確定]
    • 按一下「套用」,返回「上傳用戶端」分頁。
  7. 如要使用主要、即時訊息和串流記錄格式,請完成下列步驟:
    • 選取「記錄」
    • 將「上傳用戶端」指派為「自訂」用戶端
    • 選取 <No Encryption><No Signing>
    • 將記錄檔儲存為文字檔。
    • 依序點選「上傳時間表」>「上傳類型」
    • 選取「持續」,即可串流上傳存取記錄
    • 按一下 [確定]
  8. 按一下 [套用]

UDM 對應表

記錄欄位 UDM 對應 邏輯
@timestamp metadata.event_timestamp Blue Coat 設備記錄的事件時間戳記。從 JSON 資料剖析。
application-name target.application 與網路流量相關聯的應用程式名稱。從 JSON 資料剖析。
c-ip principal.asset.ip
principal.ip		 用戶端 IP 位址,從 JSON 資料剖析。
c_ip principal.ip
principal.asset.ip		 用戶端 IP 位址,從各種記錄格式剖析。
c_ip_host principal.hostname
principal.asset.hostname		 用戶端主機名稱 (如有)。從 JSON 資料剖析。
cs-auth-group principal_user_group_identifiers 用戶端驗證群組。從 JSON 資料剖析。
cs-bytes network.sent_bytes 用戶端傳送的位元組數。從 JSON 資料剖析。
cs-categories security_result.category_details Blue Coat 設備指派給網路要求的類別。從 JSON 資料剖析。
cs-host target_hostname 用戶端要求的主機名稱。從 JSON 資料剖析。
cs-icap-error-details security_result.detection_fields 用戶端 ICAP 錯誤詳細資料。從 JSON 資料剖析,金鑰為「cs-icap-error-details」。
cs-icap-status security_result.description 用戶端的 ICAP 狀態。從 JSON 資料剖析。
cs-method network.http.method 要求中使用的 HTTP 方法。從 JSON 資料剖析。
cs-threat-risk security_result.risk_score Blue Coat 設備指派的威脅風險分數。從 JSON 資料剖析。
cs-uri-extension cs_uri_extension 要求 URI 的擴充功能。從 JSON 資料剖析。
cs-uri-path _uri_path 所要求 URI 的路徑。從 JSON 資料剖析。
cs-uri-port cs_uri_port 所要求 URI 的通訊埠。從 JSON 資料剖析。
cs-uri-query _uri_query 所要求 URI 的查詢字串。從 JSON 資料剖析。
cs-uri-scheme _uri_scheme 所要求 URI 的配置 (例如 http、https)。從 JSON 資料剖析。
cs-userdn principal_user_userid 用戶端使用者名稱。從 JSON 資料剖析。
cs-version cs_version 用戶端使用的 HTTP 版本。從 JSON 資料剖析。
cs(Referer) network.http.referral_url 參照網址。從 JSON 資料剖析。
cs(User-Agent) network.http.user_agent 使用者代理程式字串。從 JSON 資料剖析。
cs(X-Requested-With) security_result.detection_fields X-Requested-With 標頭的值。從 JSON 資料剖析,索引鍵為「cs-X-Requested-With」。
cs_auth_group principal_user_group_identifiers 用戶端驗證群組。從各種記錄格式剖析。
cs_bytes network.sent_bytes 用戶端傳送的位元組數。從各種記錄格式剖析。
cs_categories security_result.category_details 指派給網路要求的類別。從各種記錄格式剖析。
cs_host target_hostname 用戶端要求的主機名稱。從各種記錄格式剖析。
cs_method network.http.method 要求中使用的 HTTP 方法。從各種記錄格式剖析。
cs_referer network.http.referral_url 參照網址。從各種記錄格式剖析。
cs_threat_risk security_result.risk_score Blue Coat 設備指派的威脅風險分數。從 KV 記錄格式剖析。
cs_uri target.url 要求的完整 URI。從 KV 記錄格式剖析。
cs_uri_extension cs_uri_extension 要求 URI 的擴充功能。從 KV 記錄格式剖析。
cs_uri_path _uri_path 所要求 URI 的路徑。從各種記錄格式剖析。
cs_uri_port target_port 所要求 URI 的通訊埠。從各種記錄格式剖析。
cs_uri_query _uri_query 所要求 URI 的查詢字串。從各種記錄格式剖析。
cs_uri_scheme _uri_scheme 所要求 URI 的配置 (例如 http、https)。從各種記錄格式剖析。
cs_user principal_user_userid 用戶端使用者名稱。從一般記錄格式剖析。
cs_user_agent network.http.user_agent 使用者代理程式字串。從各種記錄格式剖析。
cs_username principal_user_userid 用戶端使用者名稱。從各種記錄格式剖析。
cs_x_forwarded_for _intermediary.ip X-Forwarded-For 標頭值。從一般記錄格式剖析。
deviceHostname _intermediary.hostname Blue Coat 設備的主機名稱。從 KV 記錄格式剖析。
dst ip_target 目標 IP 位址。從 KV 記錄格式剖析。
dst_ip ip_target 目標 IP 位址。從 SSL 記錄格式剖析。
dst_user target.user.userid 目的地使用者 ID。從 Proxy Reverse 記錄格式剖析。
dstport target_port 目的地通訊埠。從 KV 記錄格式剖析。
dstport target.port 目的地通訊埠。從 SSL 記錄格式剖析。
exception-id _block_reason 例外狀況 ID,表示要求遭到封鎖。從 KV 記錄格式剖析。
filter-category _categories 觸發事件的篩選器類別。從 KV 記錄格式剖析。
filter-result _policy_action 套用至要求的篩選器結果。從 KV 記錄格式剖析。
hostname principal.hostname
principal.asset.hostname		 產生記錄的裝置主機名稱。從 SSL 和一般記錄格式剖析。
isolation-url isolation-url 與隔離相關的網址 (如適用)。從 JSON 資料剖析。
ma-detonated ma-detonated 惡意軟體引爆狀態。從 JSON 資料剖析。
page-views page-views 網頁瀏覽次數。從 JSON 資料剖析。
r-ip ip_target 遠端 IP 位址。從 JSON 資料剖析。
r-supplier-country r-supplier-country 遠端供應商所在的國家/地區。從 JSON 資料剖析。
r_dns target_hostname 遠端 DNS 名稱。從 JSON 資料剖析。
r_ip ip_target 遠端 IP 位址。從各種記錄格式剖析。
r_port target_port 遠端通訊埠。從 JSON 資料剖析。
risk-groups security_result.detection_fields 與活動相關的風險群組。從 JSON 資料剖析,索引鍵為「risk-groups」。
rs-icap-error-details security_result.detection_fields 遠端伺服器端的 ICAP 錯誤詳細資料。從 JSON 資料剖析,索引鍵為「rs-icap-error-details」。
rs-icap-status rs-icap-status 遠端伺服器端的 ICAP 狀態。從 JSON 資料剖析。
rs(Content-Type) target.file.mime_type 遠端伺服器回應的內容類型。從 KV 記錄格式剖析。
rs_content_type target.file.mime_type 遠端伺服器回應的內容類型。從各種記錄格式剖析。
rs_server rs_server 遠端伺服器資訊。從 JSON 資料剖析。
rs_status _network.http.response_code 遠端伺服器傳送的回應狀態碼。從 JSON 資料剖析。
r_supplier_country intermediary.location.country_or_region 遠端供應商所在的國家/地區。從一般記錄格式剖析。
r_supplier_ip intermediary.ip 遠端供應商的 IP 位址。從一般記錄格式剖析。
s-action _metadata.product_event_type Proxy 採取的動作。從 KV 記錄格式剖析。
s-ip _intermediary.ip 伺服器 IP 位址。從 KV 記錄格式剖析。
s-source-ip _intermediary.ip 伺服器的來源 IP 位址。從 JSON 資料剖析。
s_action _metadata.product_event_type Proxy 採取的動作。從各種記錄格式剖析。
s_ip target.ip
target.asset.ip		 伺服器 IP 位址。從各種記錄格式剖析。
s_ip_host _intermediary.hostname 伺服器主機名稱。從 JSON 資料剖析。
s-supplier-country intermediary.location.country_or_region 供應商伺服器所在國家/地區。從 JSON 資料剖析。
s-supplier-failures security_result.detection_fields 供應商失敗。從 JSON 資料剖析,索引鍵為「s-supplier-failures」。
s-supplier-ip _intermediary.ip 供應商伺服器 IP 位址。從 JSON 資料剖析。
s_supplier_ip intermediary.ip 供應商伺服器 IP 位址。從 JSON 資料剖析。
s_supplier_name _intermediary.hostname 供應商伺服器名稱。從一般記錄格式剖析。
sc-bytes network.received_bytes 伺服器接收的位元組數。從 KV 記錄格式剖析。
sc-filter-result _policy_action 從伺服器端篩選結果。從 KV 記錄格式剖析。
sc-status _network.http.response_code 伺服器傳回的狀態碼。從 KV 記錄格式剖析。
sc_bytes network.received_bytes 伺服器接收的位元組數。從各種記錄格式剖析。
sc_connection sc_connection 伺服器連線資訊。從一般記錄格式剖析。
sc_filter_result _policy_action 從伺服器端篩選結果。從各種記錄格式剖析。
sc_status _network.http.response_code 伺服器傳回的狀態碼。從各種記錄格式剖析。
search_query target.resource.attribute.labels 網址中如有搜尋查詢,從 target_url 擷取,金鑰為「search_query」。
session_id network.session_id 工作階段 ID。從 Proxy Reverse 記錄格式剖析。
src ip_principal 來源 IP 位址。從 KV 記錄格式剖析。
src_hostname principal.hostname
principal.asset.hostname		 來源主機名稱。從一般記錄格式剖析。
src_ip ip_principal 來源 IP 位址。從 SSL 記錄格式剖析。
srcport principal_port 來源通訊埠。從 KV 記錄格式剖析。
src_port principal.port 來源通訊埠。從 SSL 記錄格式剖析。
s_source_port intermediary.port 伺服器的來源通訊埠。從一般記錄格式剖析。
summary security_result.summary 安全結果摘要。從 Proxy Reverse 和 SSL 記錄格式剖析。
syslogtimestamp syslogtimestamp 系統記錄檔時間戳記。從 KV 記錄格式剖析。
target_application target.application 要求指定的應用程式。衍生自 x_bluecoat_application_nameapplication-name
target_hostname target.hostname
target.asset.hostname		 目標主機名稱。視記錄格式而定,衍生自 r_dnscs-host 或其他欄位。
target_port target.port 目標通訊埠。視記錄格式而定,衍生自 r_portcs_uri_portdstport
target_sip target.ip
target.asset.ip		 目標伺服器 IP 位址。從一般記錄格式剖析。
target_url target.url 目標網址。衍生自 target_hostname_uri_path_uri_querycs_uri
time-taken network.session_duration 工作階段或要求的時間長度。從 KV 記錄格式剖析,並轉換為秒和奈秒。
time_taken network.session_duration 工作階段或要求的時間長度。從各種記錄格式剖析,並轉換為秒和奈秒。
tls_version network.tls.version 連線中使用的 TLS 版本。從 SSL 記錄格式剖析。
upload-source upload-source 上傳來源。從 JSON 資料剖析。
username principal_user_userid 使用者名稱。從 KV 記錄格式剖析。
verdict security_result.detection_fields 安全分析的結果。從 JSON 資料剖析,鍵為「verdict」。
wf-env wf_env 網路篩選服務的環境。從 JSON 資料剖析。
wf_id security_result.detection_fields 網路篩選 ID。從 JSON 資料剖析,索引鍵為「wf_id」。
wrong_cs_host principal.hostname
principal.asset.hostname		 用戶端主機名稱剖析錯誤,如果不是 IP 位址,則會做為主要主機名稱。從一般記錄格式剖析。
x-bluecoat-access-type x-bluecoat-access-type 存取權類型。從 JSON 資料剖析。
x-bluecoat-appliance-name intermediary.application Blue Coat 設備的名稱。從 JSON 資料剖析。
x-bluecoat-application-name target_application 應用程式名稱。從 JSON 資料剖析。
x-bluecoat-application-operation x_bluecoat_application_operation 應用程式作業。從 JSON 資料剖析。
x-bluecoat-location-id x-bluecoat-location-id 地點 ID。從 JSON 資料剖析。
x-bluecoat-location-name x-bluecoat-location-name 地點名稱。從 JSON 資料剖析。
x-bluecoat-placeholder security_result.detection_fields 預留位置資訊。從 JSON 資料剖析,索引鍵為「x-bluecoat-placeholder」。
x-bluecoat-reference-id security_result.detection_fields 參考 ID。從 JSON 資料剖析,索引鍵為「x-bluecoat-reference-id」。
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id 要求的租戶 ID。從 JSON 資料剖析。
x-bluecoat-transaction-uuid metadata.product_log_id 交易 UUID。從 JSON 資料剖析。
x-client-agent-sw software.name 用戶端代理程式軟體。從 JSON 資料剖析並合併至 principal.asset.software
x-client-agent-type principal.application 用戶端代理程式類型。從 JSON 資料剖析。
x-client-device-id principal.resource.product_object_id 用戶端裝置 ID。從 JSON 資料剖析。
x-client-device-name x-client-device-name 用戶端裝置名稱。從 JSON 資料剖析。
x-client-device-type x-client-device-type 用戶端裝置類型,從 JSON 資料剖析。
x-client-os principal.asset.platform_software.platform 用戶端作業系統。從 JSON 資料剖析。如果包含「Windows」,則將平台設為 WINDOWS。
x-client-security-posture-details x-client-security-posture-details 用戶端安全防護機制詳細資料。從 JSON 資料剖析。
x-client-security-posture-risk-score security_result.detection_fields 用戶端安全狀態風險分數。從 JSON 資料剖析,索引鍵為「x-client-security-posture-risk-score」。
x-cloud-rs security_result.detection_fields 雲端相關的遠端伺服器資訊。從 JSON 資料剖析,金鑰為「x-cloud-rs」。
x-cs-certificate-subject x_cs_certificate_subject 用戶端憑證主體。從 JSON 資料剖析。
x-cs-client-ip-country x-cs-client-ip-country 用戶端 IP 國家/地區。從 JSON 資料剖析。
x-cs-connection-negotiated-cipher network.tls.cipher 從用戶端協商的密碼。從 JSON 資料剖析。
x-cs-connection-negotiated-cipher-size security_result.detection_fields 從用戶端協商的密碼大小。從 JSON 資料剖析,鍵為「x-cs-connection-negotiated-cipher-size」。
x-cs-connection-negotiated-ssl-version network.tls.version_protocol 從用戶端協商的 SSL 版本。從 JSON 資料剖析。
x-cs-ocsp-error security_result.detection_fields 用戶端發生 OCSP 錯誤。從 JSON 資料剖析,索引鍵為「x-cs-ocsp-error」。
x-cs(referer)-uri-categories x-cs(referer)-uri-categories 用戶端的參照 URI 類別。從 JSON 資料剖析。
x-data-leak-detected security_result.detection_fields 資料外洩偵測狀態。從 JSON 資料剖析,索引鍵為「x-data-leak-detected」。
x-exception-id x_exception_id 例外狀況 ID。從 JSON 資料剖析。
x-http-connect-host x-http-connect-host HTTP 連線主機。從 JSON 資料剖析。
x-http-connect-port x-http-connect-port HTTP 連線埠。從 JSON 資料剖析。
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header 內含中繼資料的 ICAP 要求修改標頭。從 JSON 資料剖析。
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header 內含中繼資料的 ICAP 回應修改標頭。從 JSON 資料剖析。
x-rs-certificate-hostname network.tls.client.server_name 遠端伺服器端的憑證主機名稱。從 JSON 資料剖析。
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category 遠端伺服器端的憑證主機名稱類別。從 JSON 資料剖析。
x-rs-certificate-hostname-category x_rs_certificate_hostname_category 遠端伺服器端的憑證主機名稱類別。從 JSON 資料剖析。
x-rs-certificate-hostname-threat-risk security_result.detection_fields 遠端伺服器端出現憑證主機名稱威脅風險。從 JSON 資料剖析,金鑰為「x-rs-certificate-hostname-threat-risk」。
x-rs-certificate-observed-errors x_rs_certificate_observed_errors 遠端伺服器端出現憑證錯誤。從 JSON 資料剖析。
x-rs-certificate-validate-status network.tls.server.certificate.subject 遠端伺服器端的憑證驗證狀態。從 JSON 資料剖析。
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher 從遠端伺服器端交涉的密碼。從 JSON 資料剖析。
x-rs-connection-negotiated-cipher-size security_result.detection_fields 從遠端伺服器端交涉的密碼大小。從 JSON 資料剖析,金鑰為「x-rs-connection-negotiated-cipher-size」。
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength 從遠端伺服器端協商的加密強度。從 JSON 資料剖析。
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version 從遠端伺服器端協商的 SSL 版本。從 JSON 資料剖析。
x-rs-ocsp-error x_rs_ocsp_error 遠端伺服器端發生 OCSP 錯誤。從 JSON 資料剖析。
x-sc-connection-issuer-keyring security_result.detection_fields 連線核發機構金鑰環。從 JSON 資料剖析,金鑰為「x-sc-connection-issuer-keyring」。
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias 連線核發機構金鑰環別名。從 JSON 資料剖析。
x-sr-vpop-country principal.location.country_or_region VPOP 國家/地區。從 JSON 資料剖析。
x-sr-vpop-country-code principal.location.country_or_region VPOP 國家/地區代碼。從 JSON 資料剖析。
x-sr-vpop-ip principal.ip
principal.asset.ip		 VPOP IP 位址。從 JSON 資料剖析。
x-symc-dei-app x-symc-dei-app Symantec DEI 申請表。從 JSON 資料剖析。
x-symc-dei-via security_result.detection_fields Symantec DEI via. 從 JSON 資料剖析,索引鍵為「x-symc-dei-via」。
x-tenant-id security_result.detection_fields 租戶 ID。從 JSON 資料剖析,索引鍵為「x-tenant-id」。
x-timestamp-unix x-timestamp-unix Unix 時間戳記。從 JSON 資料剖析。
x_bluecoat_application_name target_application 應用程式名稱。從各種記錄格式剖析。
x_bluecoat_application_operation x_bluecoat_application_operation 應用程式作業。從各種記錄格式剖析。
x_bluecoat_transaction_uuid metadata.product_log_id 交易 UUID。從各種記錄格式剖析。
x_cs_certificate_subject x_cs_certificate_subject 用戶端憑證主體。從一般記錄格式剖析。
x_cs_client_effective_ip ip_principal 用戶端的有效 IP 位址。從一般記錄格式剖析。
x_cs_connection_negotiated_cipher network.tls.cipher 用戶端協商的密碼。從一般記錄格式剖析。
x_cs_connection_negotiated_ssl_version network.tls.version_protocol 用戶端協商的安全資料傳輸層 (SSL) 版本。從一般記錄格式剖析。
x_exception_id _block_reason 例外狀況 ID。從各種記錄格式剖析。
x_icap_reqmod_header x_icap_reqmod_header ICAP 要求修改標頭。從一般記錄格式剖析。
x_icap_respmod_header x_icap_respmod_header ICAP 回應修改標頭。從一般記錄格式剖析。
x_rs_certificate_hostname network.tls.client.server_name 遠端伺服器憑證主機名稱。從一般記錄格式剖析。
x_rs_certificate_hostname_category x_rs_certificate_hostname_category 遠端伺服器憑證主機名稱類別。從一般記錄格式剖析。
x_rs_certificate_observed_errors x_rs_certificate_observed_errors 遠端伺服器憑證發生錯誤。從一般記錄格式剖析。
x_rs_certificate_validate_status network.tls.server.certificate.subject 遠端伺服器憑證驗證狀態。從各種記錄格式剖析。
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength 遠端伺服器協商的加密強度。從一般記錄格式剖析。
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version 遠端伺服器協商的 SSL 版本。從一般記錄格式剖析。
x_virus_id security_result.detection_fields 病毒 ID。從各種記錄格式剖析而來,鍵為「x-virus-id」。

衍生欄位 (來自剖析器邏輯):

  • metadata.event_type:根據複雜的條件組合判斷,包括 network.application_protocolnetwork.http.methodprincipal.*target.*dst_user 等欄位。
  • metadata.vendor_name:靜態值:Blue Coat Systems
  • metadata.product_name:靜態值:ProxySG
  • metadata.log_type:靜態值:BLUECOAT_WEBPROXY
  • principal.asset.platform_software.platform:如果 x-client-os 包含 Windows,請設為 WINDOWS
  • network.application_protocol:根據 _uri_schemetarget.port,使用對照表判斷。預設值為 UNKNOWN_APPLICATION_PROTOCOL
  • network.ip_protocol:根據 _uri_scheme 透過對照表判斷。預設值為 UNKNOWN_IP_PROTOCOL
  • security_result.action:根據 _policy_action 判斷 (OBSERVED -> ALLOWDENIED -> BLOCK)。
  • security_result.about.labels:包含從各種欄位 (例如 rs_servercommunication_type 和 SSL 記錄格式的狀態) 衍生而來的標籤。
  • security_result.detection_fields:包含從 x_virus_idx_rs_certificate_observed_errorsx_rs_connection_negotiated_cipher_strength 等欄位衍生的各種鍵值組。
  • vulns.vulnerabilities:如果存在,則從 proxy_reverse_info 欄位填入,包含 cve_idabout.labels 等安全漏洞資訊。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。