Netskope-Web-Proxy-Protokolle erfassen

Unterstützt in:

Dieser Parser verarbeitet sowohl CEF- als auch Nicht-CEF-formatierte Netskope-Web-Proxy-Logs. Sie extrahiert Felder, führt Datentransformationen durch (z. B. das Konvertieren von Zeitstempeln oder das Zusammenführen von Feldern), ordnet sie dem UDM zu und fügt Netskope-spezifische Metadaten hinzu. Der Parser verwendet bedingte Logik, um verschiedene Logformate und die Verfügbarkeit von Feldern zu verarbeiten. So wird das UDM mit relevanten Netzwerk-, Sicherheits- und Anwendungsdetails angereichert.

Hinweise

  • Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf Netskope haben.
  • Prüfen Sie, ob ein konfiguriertes Log Shipper-Modul vorhanden ist.
  • Sie benötigen einen Google SecOps-Dienstkontoschlüssel. Wenden Sie sich an das Google SecOps-Team, um ein Dienstkonto mit den folgenden Bereichen zu erhalten: https://www.googleapis.com/auth/malachite-ingestion.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profil auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Netskope-Mandant in CE konfigurieren

  1. Gehe zu den Einstellungen > Allgemein.
  2. Stellen Sie den Schalter Log Shipper auf EIN.
  3. Gehen Sie in den Einstellungen zu Netskope-Mandanten.
  4. Wenn keine Mandanten konfiguriert sind, klicken Sie auf Mandant hinzufügen.
  5. Geben Sie die folgenden Werte ein:
    • Name: Geben Sie einen aussagekräftigen Namen für Ihren Mandanten ein.
    • Tenant Name (Name des Mandanten): Geben Sie den echten Namen Ihres Netskope-Mandanten ein.
    • V2 API-Token: Geben Sie Ihr Netskope-API-Token ein.
    • Warnungsfilter: Fügen Sie die Webproxy-Warnungen hinzu, die Sie aufnehmen möchten.
    • Anfangszeitraum: Geben Sie die Menge an Verlaufsdaten ein, die Sie aufnehmen möchten (in Tagen).
    • Klicken Sie auf Speichern.

Netskope CLS-Plug-in konfigurieren

  1. Rufen Sie die Einstellungen > Plug-ins auf.
  2. Suchen Sie nach dem Kästchen Netskope (CLS) und wählen Sie es aus, um die Seite zum Erstellen von Plug-ins zu öffnen.
  3. Geben Sie die folgenden Informationen ein:
    • Configuration Name (Konfigurationsname): Geben Sie einen aussagekräftigen Namen für dieses Plug-in ein.
    • Mandant: Wählen Sie den Mandanten aus der Liste aus, den Sie im vorherigen Schritt erstellt haben.
    • Klicken Sie auf Weiter.
    • Aktualisieren Sie die Liste Ereignistyp nach Bedarf.
    • Anfangszeitraum: Geben Sie die Menge an Verlaufsdaten ein, die Sie aufnehmen möchten (in Stunden).
    • Klicken Sie auf Speichern.

Google SecOps-Plug-in in Netskope konfigurieren

  1. Rufen Sie die Einstellungen > Plug-ins auf.
  2. Suchen Sie nach dem Feld Chronicle (CLS) und wählen Sie es aus, um die Seite zum Erstellen von Plug-ins zu öffnen.
  3. Geben Sie die folgenden Informationen ein:
    • Configuration Name (Konfigurationsname): Geben Sie einen Namen für dieses Plug-in ein.
    • Mapping: Behalten Sie die Standardauswahl bei.
    • Stellen Sie EIN When enabled logs will be transformed using the selected mapping file ein.
    • Klicken Sie auf Weiter.
    • Region: Wählen Sie die Region Ihrer Google SecOps-Instanz aus.
    • Benutzerdefinierte Regions-URL: Optionale Einstellung, die nur erforderlich ist, wenn im vorherigen Schritt Benutzerdefinierte Region ausgewählt wurde.
    • Dienstkontoschlüssel: Geben Sie den von Google SecOps bereitgestellten JSON-Schlüssel ein.
    • Kundennummer: Geben Sie die Kundennummer Ihres Google SecOps-Mandanten ein.
    • Klicken Sie auf Speichern.

Log Shipper-Geschäftsregel für Google SecOps konfigurieren

  1. Rufen Sie Log Shipper > Geschäftsregeln auf.
  2. Standardmäßig gibt es eine Geschäftsregel, mit der alle Benachrichtigungen und Ereignisse gefiltert werden.
  3. Wenn Sie bestimmte Arten von Benachrichtigungen oder Ereignissen herausfiltern möchten, klicken Sie auf Neue Regel erstellen und konfigurieren Sie eine neue Geschäftsregel, indem Sie den Namen und den Filter der Regel hinzufügen.
  4. Klicken Sie auf Speichern.

SIEM-Zuweisungen für Log Shipper für Google SecOps konfigurieren

  1. Rufen Sie Log Shipper > SIEM-Zuweisungen auf.
  2. Klicken Sie auf SIEM-Zuordnung hinzufügen.
  3. Geben Sie die folgenden Informationen ein:
    • Quellkonfiguration: Wählen Sie das Netskope CLS-Plug-in aus.
    • Zielkonfiguration: Wählen Sie das Google SecOps-Plug‑in aus.
    • Geschäftsregel: Wählen Sie die Regel aus, die Sie zuvor erstellt haben.
    • Klicken Sie auf Speichern.

Abrufen und Workflow von Ereignissen und Benachrichtigungen in Netskope validieren

  1. Rufen Sie Logging in Netskope Cloud Exchange auf.
  2. Suchen Sie nach den abgerufenen Logs.
  3. Suchen Sie in Logging (Protokollierung) mit dem Filter message contains ingested (Nachricht enthält „ingested“) nach aufgenommenen Ereignissen und Benachrichtigungen.
  4. Die aufgenommenen Logs werden gefiltert.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
applicationType security_result.detection_fields[].key: "applicationType"
security_result.detection_fields[].value: applicationType		 Direkt dem entsprechenden CEF-Feld zugeordnet.
appcategory security_result.category_details[]: appcategory Direkt dem entsprechenden CEF-Feld zugeordnet.
browser security_result.detection_fields[].key: „browser“
security_result.detection_fields[].value: browser		 Direkt dem entsprechenden CEF-Feld zugeordnet.
c-ip principal.asset.ip[]: c-ip
principal.ip[]: c-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cci security_result.detection_fields[].key: „cci“
security_result.detection_fields[].value: cci		 Direkt dem entsprechenden CEF-Feld zugeordnet.
ccl security_result.confidence: Abgeleiteter Wert
security_result.confidence_details: ccl		 security_result.confidence wird aus dem Wert von ccl abgeleitet: „excellent“ oder „high“ wird HIGH_CONFIDENCE zugeordnet, „medium“ wird MEDIUM_CONFIDENCE zugeordnet, „low“ oder „poor“ wird LOW_CONFIDENCE zugeordnet und „unknown“ oder „not_defined“ wird UNKNOWN_CONFIDENCE zugeordnet.
security_result.confidence_details wird direkt aus ccl übernommen.
clientBytes network.sent_bytes: clientBytes Direkt dem entsprechenden CEF-Feld zugeordnet.
cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: cs-access-method		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: cs-app
principal.application: cs-app		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: cs-app-activity		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: cs-app-category		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: cs-app-cci		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-ccl additional.fields[].key: "x-cs-app-ccl"
additional.fields[].value.string_value: cs-app-ccl		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: cs-app-from-user
principal.user.email_addresses[]: cs-app-from-user		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-instance-id additional.fields[].key: "x-cs-app-instance-id"
additional.fields[].value.string_value: cs-app-instance-id		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: cs-app-object-name		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: cs-app-object-type		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: cs-app-suite		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: cs-app-tags		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-bytes network.sent_bytes: cs-bytes Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-content-type additional.fields[].key: „sc-content-type“
additional.fields[].value.string_value: cs-content-type		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-dns target.asset.hostname[]: cs-dns
target.hostname: cs-dns		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-host target.asset.hostname[]: cs-host
target.hostname: cs-host		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-method network.http.method: cs-method Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-referer network.http.referral_url: cs-referer Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri additional.fields[].key: „cs-uri“
additional.fields[].value.string_value: cs-uri		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: cs-uri-path		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-port additional.fields[].key: „cs-uri-port“
additional.fields[].value.string_value: cs-uri-port		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
cs-uri-scheme network.application_protocol: cs-uri-scheme Direkt aus dem entsprechenden JSON-Feld zugeordnet, nachdem es in Großbuchstaben konvertiert wurde.
cs-user-agent network.http.parsed_user_agent: Geparster User-Agent
network.http.user_agent: cs-user-agent		 network.http.parsed_user_agent wird abgeleitet, indem das Feld cs-user-agent mit dem Filter „parseduseragent“ geparst wird.
cs-username principal.user.userid: cs-username Direkt aus dem entsprechenden JSON-Feld zugeordnet.
date metadata.event_timestamp.seconds: Epochensekunden aus den Feldern date und time
metadata.event_timestamp.nanos: 0		 Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Die Nanosekunden werden auf 0 gesetzt.
device intermediary.hostname: device Direkt dem entsprechenden CEF-Feld zugeordnet.
dst target.ip[]: dst Direkt dem entsprechenden CEF-Feld zugeordnet.
dst_country target.location.country_or_region: dst_country Direkt aus dem entsprechenden erfassten Feld zugeordnet.
dst_ip target.asset.ip[]: dst_ip
target.ip[]: dst_ip		 Direkt aus dem entsprechenden erfassten Feld zugeordnet.
dst_location target.location.city: dst_location Direkt aus dem entsprechenden erfassten Feld zugeordnet.
dst_region target.location.state: dst_region Direkt aus dem entsprechenden erfassten Feld zugeordnet.
dst_zip Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
duser target.user.email_addresses[]: duser
target.user.user_display_name: duser		 Direkt dem entsprechenden CEF-Feld zugeordnet.
dvchost about.hostname: dvchost
target.asset.hostname[]: dvchost
target.hostname: dvchost		 Direkt dem entsprechenden CEF-Feld zugeordnet.
event_timestamp metadata.event_timestamp.seconds: event_timestamp Direkt aus dem entsprechenden erfassten Feld zugeordnet.
hostname target.asset.hostname[]: hostname
target.hostname: hostname		 Direkt dem entsprechenden CEF-Feld zugeordnet.
IncidentID security_result.detection_fields[].key: „IncidentID“
security_result.detection_fields[].value: IncidentID		 Direkt dem entsprechenden CEF-Feld zugeordnet.
intermediary intermediary: intermediary Direkt dem entsprechenden CEF-Feld zugeordnet.
md5 target.file.md5: md5 Direkt dem entsprechenden CEF-Feld zugeordnet.
message Verschiedene UDM-Felder Das Feld message wird je nachdem, ob es „CEF“ enthält, unterschiedlich geparst. Wenn ja, wird er als CEF-Log behandelt. Andernfalls wird er als durch Leerzeichen getrennter String oder als JSON geparst. Weitere Informationen finden Sie im Abschnitt „Parsing-Logik“.
mime_type1 Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
mime_type2 Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
mwDetectionEngine additional.fields[].key: "mwDetectionEngine"
additional.fields[].value.string_value: mwDetectionEngine		 Direkt dem entsprechenden CEF-Feld zugeordnet.
mwType metadata.description: mwType Direkt dem entsprechenden CEF-Feld zugeordnet.
os principal.platform: Abgeleiteter Wert Die Plattform wird aus dem Feld os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ wird MAC zugeordnet und „LINUX“ wird LINUX zugeordnet.
page network.http.referral_url: page Direkt dem entsprechenden CEF-Feld zugeordnet.
port Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
referer network.http.referral_url: referer Direkt dem entsprechenden CEF-Feld zugeordnet.
requestClientApplication network.http.parsed_user_agent: Geparster User-Agent
network.http.user_agent: requestClientApplication		 network.http.parsed_user_agent wird abgeleitet, indem das Feld requestClientApplication mit dem Filter „parseduseragent“ geparst wird.
request_method network.http.method: request_method Direkt aus dem entsprechenden erfassten Feld zugeordnet.
request_protocol Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
rs-status additional.fields[].key: "rs-status"
additional.fields[].value.string_value: rs-status
network.http.response_code: rs-status		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
s-ip target.asset.ip[]: s-ip
target.ip[]: s-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-bytes network.received_bytes: sc-bytes Direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-content-type additional.fields[].key: „sc-content-type“
additional.fields[].value.string_value: sc-content-type		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
sc-status network.http.response_code: sc-status Direkt aus dem entsprechenden JSON-Feld zugeordnet.
serverBytes network.received_bytes: serverBytes Direkt dem entsprechenden CEF-Feld zugeordnet.
sha256 target.file.sha256: sha256 Direkt dem entsprechenden CEF-Feld zugeordnet.
src principal.ip[]: src Direkt dem entsprechenden CEF-Feld zugeordnet.
src_country principal.location.country_or_region: src_country Direkt aus dem entsprechenden erfassten Feld zugeordnet.
src_ip principal.asset.ip[]: src_ip
principal.ip[]: src_ip		 Direkt aus dem entsprechenden erfassten Feld zugeordnet.
src_latitude Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
src_location principal.location.city: src_location Direkt aus dem entsprechenden erfassten Feld zugeordnet.
src_longitude Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
src_region principal.location.state: src_region Direkt aus dem entsprechenden erfassten Feld zugeordnet.
src_zip Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
suser principal.user.user_display_name: suser Direkt dem entsprechenden CEF-Feld zugeordnet.
target_host target.asset.hostname[]: target_host
target.hostname: target_host		 Direkt aus dem entsprechenden erfassten Feld zugeordnet.
time metadata.event_timestamp.seconds: Epochensekunden aus den Feldern date und time
metadata.event_timestamp.nanos: 0		 Datum und Uhrzeit werden kombiniert und in Epochensekunden und Nanosekunden umgewandelt. Die Nanosekunden werden auf 0 gesetzt.
timestamp metadata.event_timestamp.seconds: timestamp Direkt dem entsprechenden CEF-Feld zugeordnet.
ts metadata.event_timestamp.seconds: Epochensekunden ab ts
metadata.event_timestamp.nanos: 0		 Der Zeitstempel wird in Epochensekunden und Nanosekunden umgewandelt. Die Nanosekunden werden auf 0 gesetzt.
url target.url: url Direkt dem entsprechenden CEF-Feld zugeordnet.
user_agent network.http.parsed_user_agent: Geparster User-Agent
network.http.user_agent: user_agent		 network.http.parsed_user_agent wird abgeleitet, indem das Feld user_agent mit dem Filter „parseduseragent“ geparst wird.
user_ip Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
user_key principal.user.email_addresses[]: user_key Direkt aus dem entsprechenden erfassten Feld zugeordnet.
version Nicht zugeordnet Dieses Feld ist nicht dem UDM zugeordnet.
x-c-browser additional.fields[].key: "x-c-browser"
additional.fields[].value.string_value: x-c-browser		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-browser-version additional.fields[].key: "x-c-browser-version"
additional.fields[].value.string_value: x-c-browser-version		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-country principal.location.country_or_region: x-c-country Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-device additional.fields[].key: "x-c-device"
additional.fields[].value.string_value: x-c-device		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-latitude principal.location.region_coordinates.latitude: x-c-latitude Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-local-time security_result.detection_fields[].key: „x-c-local-time“
security_result.detection_fields[].value: x-c-local-time		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-location principal.location.name: x-c-location Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-longitude principal.location.region_coordinates.longitude: x-c-longitude Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-os principal.platform: Abgeleiteter Wert Die Plattform wird aus dem Feld x-c-os abgeleitet: „Windows“ wird WINDOWS zugeordnet, „MAC“ wird MAC zugeordnet und „LINUX“ wird LINUX zugeordnet.
x-c-region principal.location.state: x-c-region Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-c-zipcode additional.fields[].key: "x-c-zipcode"
additional.fields[].value.string_value: x-c-zipcode		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-category additional.fields[].key: "x-category"
additional.fields[].value.string_value: x-category		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-category-id additional.fields[].key: „x-category-id“
additional.fields[].value.string_value: x-category-id		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: x-cs-access-method		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app principal.application: x-cs-app
additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: x-cs-app		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: x-cs-app-activity		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: x-cs-app-category		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: x-cs-app-cci		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: x-cs-app-from-user		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-id additional.fields[].key: "x-cs-app-object-id"
additional.fields[].value.string_value: x-cs-app-object-id		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: x-cs-app-object-name		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: x-cs-app-object-type		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: x-cs-app-suite		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: x-cs-app-tags		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-app-to-user additional.fields[].key: "x-cs-app-to-user"
additional.fields[].value.string_value: x-cs-app-to-user		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-dst-ip security_result.detection_fields[].key: "x-cs-dst-ip"
security_result.detection_fields[].value: x-cs-dst-ip
target.asset.ip[]: x-cs-dst-ip
target.ip[]: x-cs-dst-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-dst-port security_result.detection_fields[].key: „x-cs-dst-port“
security_result.detection_fields[].value: x-cs-dst-port
target.port: x-cs-dst-port		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-http-version security_result.detection_fields[].key: "x-cs-http-version"
security_result.detection_fields[].value: x-cs-http-version		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-page-id additional.fields[].key: "x-cs-page-id"
additional.fields[].value.string_value: x-cs-page-id		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-session-id network.session_id: x-cs-session-id Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-site additional.fields[].key: "x-cs-site"
additional.fields[].value.string_value: x-cs-site		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-sni network.tls.client.server_name: x-cs-sni Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-ip principal.asset.ip[]: x-cs-src-ip
principal.ip[]: x-cs-src-ip
security_result.detection_fields[].key: „x-cs-src-ip“
security_result.detection_fields[].value: x-cs-src-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-ip-egress principal.asset.ip[]: x-cs-src-ip-egress
principal.ip[]: x-cs-src-ip-egress
security_result.detection_fields[].key: "x-cs-src-ip-egress"
security_result.detection_fields[].value: x-cs-src-ip-egress		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-src-port principal.port: x-cs-src-port
security_result.detection_fields[].key: "x-cs-src-port"
security_result.detection_fields[].value: x-cs-src-port		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-cipher network.tls.cipher: x-cs-ssl-cipher Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-fronting-error security_result.detection_fields[].key: „x-cs-ssl-fronting-error“
security_result.detection_fields[].value: x-cs-ssl-fronting-error		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-handshake-error security_result.detection_fields[].key: „x-cs-ssl-handshake-error“
security_result.detection_fields[].value: x-cs-ssl-handshake-error		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-ja3 network.tls.client.ja3: x-cs-ssl-ja3 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-ssl-version network.tls.version: x-cs-ssl-version Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-timestamp metadata.event_timestamp.seconds: x-cs-timestamp Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-traffic-type additional.fields[].key: "trafficType"
additional.fields[].value.string_value: x-cs-traffic-type		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-tunnel-src-ip security_result.detection_fields[].key: "x-cs-tunnel-src-ip"
security_result.detection_fields[].value: x-cs-tunnel-src-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: x-cs-uri-path		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-url target.url: x-cs-url Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-cs-userip security_result.detection_fields[].key: "x-cs-userip"
security_result.detection_fields[].value: x-cs-userip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-other-category security_result.category_details[]: x-other-category Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-other-category-id security_result.detection_fields[].key: "x-other-category-id"
security_result.detection_fields[].value: x-other-category-id		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-action security_result.action: Abgeleiteter Wert
security_result.action_details: x-policy-action		 security_result.action wird abgeleitet, indem x-policy-action in Großbuchstaben umgewandelt wird. Wenn der Wert in Großbuchstaben „ALLOW“ oder „BLOCK“ lautet, wird er direkt verwendet. Andernfalls wird sie nicht zugeordnet.
security_result.action_details wird direkt aus x-policy-action zugeordnet.
x-policy-dst-host security_result.detection_fields[].key: "x-policy-dst-host"
security_result.detection_fields[].value: x-policy-dst-host		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-dst-host-source security_result.detection_fields[].key: "x-policy-dst-host-source"
security_result.detection_fields[].value: x-policy-dst-host-source		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-dst-ip security_result.detection_fields[].key: "x-policy-dst-ip"
security_result.detection_fields[].value: x-policy-dst-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-name security_result.rule_name: x-policy-name Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-policy-src-ip security_result.detection_fields[].key: "x-policy-src-ip"
security_result.detection_fields[].value: x-policy-src-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-enddate network.tls.server.certificate.not_after.seconds: Epochensekunden ab x-r-cert-enddate Das Datum wird in Sekunden seit der Epoche umgewandelt.
x-r-cert-expired additional.fields[].key: „x-r-cert-expired“
additional.fields[].value.string_value: x-r-cert-expired		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-incomplete-chain additional.fields[].key: „x-r-cert-incomplete-chain“
additional.fields[].value.string_value: x-r-cert-incomplete-chain		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-issuer-cn network.tls.server.certificate.issuer: x-r-cert-issuer-cn Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-mismatch additional.fields[].key: „x-r-cert-mismatch“
additional.fields[].value.string_value: x-r-cert-mismatch		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-revoked additional.fields[].key: „x-r-cert-revoked“
additional.fields[].value.string_value: x-r-cert-revoked		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-self-signed additional.fields[].key: „x-r-cert-self-signed“
additional.fields[].value.string_value: x-r-cert-self-signed		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-startdate network.tls.server.certificate.not_before.seconds: Epochensekunden ab x-r-cert-startdate Das Datum wird in Sekunden seit der Epoche umgewandelt.
x-r-cert-subject-cn network.tls.server.certificate.subject: x-r-cert-subject-cn Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-untrusted-root additional.fields[].key: „x-r-cert-untrusted-root“
additional.fields[].value.string_value: x-r-cert-untrusted-root		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-r-cert-valid additional.fields[].key: „x-r-cert-valid“
additional.fields[].value.string_value: x-r-cert-valid		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-request-id additional.fields[].key: "requestId"
additional.fields[].value.string_value: x-request-id		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-rs-file-category additional.fields[].key: "x-rs-file-category"
additional.fields[].value.string_value: x-rs-file-category		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-rs-file-type additional.fields[].key: "x-rs-file-type"
additional.fields[].value.string_value: x-rs-file-type		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-country target.location.country_or_region: x-s-country Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-dp-name additional.fields[].key: "x-s-dp-name"
additional.fields[].value.string_value: x-s-dp-name		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-latitude target.location.region_coordinates.latitude: x-s-latitude Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-location target.location.name: x-s-location Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-longitude target.location.region_coordinates.longitude: x-s-longitude Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-region target.location.state: x-s-region Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-zipcode additional.fields[].key: "x-s-zipcode"
additional.fields[].value.string_value: x-s-zipcode		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-cipher security_result.detection_fields[].key: „x-sr-ssl-cipher“
security_result.detection_fields[].value: x-sr-ssl-cipher		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-engine-action security_result.detection_fields[].key: „x-sr-ssl-engine-action“
security_result.detection_fields[].value: x-sr-ssl-engine-action		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-engine-action-reason security_result.detection_fields[].key: „x-sr-ssl-engine-action-reason“
security_result.detection_fields[].value: x-sr-ssl-engine-action-reason		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-handshake-error security_result.detection_fields[].key: „x-sr-ssl-handshake-error“
security_result.detection_fields[].value: x-sr-ssl-handshake-error		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-ja3s network.tls.server.ja3s: x-sr-ssl-ja3s Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-malformed-ssl security_result.detection_fields[].key: „x-sr-ssl-malformed-ssl“
security_result.detection_fields[].value: x-sr-ssl-malformed-ssl		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-ssl-version security_result.detection_fields[].key: "x-sr-ssl-version"
security_result.detection_fields[].value: x-sr-ssl-version		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-s-custom-signing-ca-error security_result.detection_fields[].key: "x-s-custom-signing-ca-error"
security_result.detection_fields[].value: x-s-custom-signing-ca-error		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-bypass security_result.detection_fields[].key: „SSL BYPASS“
security_result.detection_fields[].value: x-ssl-bypass oder x-ssl-bypass-reason		 Wenn x-ssl-bypass „Yes“ ist und x-ssl-bypass-reason vorhanden ist, wird der Wert von x-ssl-bypass-reason verwendet. Andernfalls wird der Wert von x-ssl-bypass verwendet.
x-ssl-policy-action security_result.detection_fields[].key: „x-ssl-policy-action“
security_result.detection_fields[].value: x-ssl-policy-action		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-categories security_result.category_details[]: x-ssl-policy-categories Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-host security_result.detection_fields[].key: "x-ssl-policy-dst-host"
security_result.detection_fields[].value: x-ssl-policy-dst-host		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-host-source security_result.detection_fields[].key: „x-ssl-policy-dst-host-source“
security_result.detection_fields[].value: x-ssl-policy-dst-host-source		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-dst-ip security_result.detection_fields[].key: "x-ssl-policy-dst-ip"
security_result.detection_fields[].value: x-ssl-policy-dst-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-name security_result.rule_name: x-ssl-policy-name Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-ssl-policy-src-ip security_result.detection_fields[].key: "x-ssl-policy-src-ip"
security_result.detection_fields[].value: x-ssl-policy-src-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-dst-ip security_result.detection_fields[].key: "x-sr-dst-ip"
security_result.detection_fields[].value: x-sr-dst-ip		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-sr-dst-port security_result.detection_fields[].key: "x-sr-dst-port"
security_result.detection_fields[].value: x-sr-dst-port		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-type additional.fields[].key: „xType“
additional.fields[].value.string_value: x-type		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
x-transaction-id additional.fields[].key: "transactionId"
additional.fields[].value.string_value: x-transaction-id		 Direkt aus dem entsprechenden JSON-Feld zugeordnet.
metadata.vendor_name: „Netskope“ Hartcodierter Wert im Parser.
metadata.product_name: „Netskope Webproxy“ Auf „Netskope Webproxy“ setzen, falls noch nicht vorhanden.
metadata.log_type: "NETSKOPE_WEBPROXY" Hartcodierter Wert im Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten