Collecter les journaux de proxy Web Netskope

Compatible avec :

Ce parseur gère les journaux de proxy Web Netskope au format CEF et non-CEF. Il extrait les champs, effectue des transformations de données (par exemple, en convertissant des codes temporels ou en fusionnant des champs), les mappe à l'UDM et ajoute des métadonnées spécifiques à Netskope. L'analyseur utilise une logique conditionnelle pour gérer différents formats de journaux et la disponibilité des champs, en enrichissant l'UDM avec des informations pertinentes sur le réseau, la sécurité et les applications.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous de disposer d'un accès privilégié à Netskope.
  • Assurez-vous d'avoir configuré un module Log Shipper.
  • Assurez-vous de disposer d'une clé de compte de service Google SecOps (contactez l'équipe Google SecOps pour obtenir un compte de service avec les champs d'application suivants : https://www.googleapis.com/auth/malachite-ingestion).

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM > Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Configurer le locataire Netskope dans CE

  1. Accédez à Paramètres > Général.
  2. Activez l'option Log Shipper.
  3. Dans Settings (Paramètres), accédez à Netskope Tenants (Locataires Netskope).
  4. Si aucun locataire n'est configuré, cliquez sur Ajouter un locataire.
  5. Saisissez les valeurs suivantes :
    • Nom : donnez un nom mémorable à votre locataire.
    • Nom du locataire : saisissez le nom réel de votre locataire Netskope.
    • Jeton d'API V2 : saisissez votre jeton d'API Netskope.
    • Filtres d'alerte : ajoutez les alertes de proxy Web que vous souhaitez ingérer.
    • Plage initiale : saisissez la quantité de données historiques que vous souhaitez ingérer (en jours).
    • Cliquez sur Enregistrer.

Configurer le plug-in Netskope CLS

  1. Accédez à Paramètres > Plug-ins.
  2. Recherchez et sélectionnez la case Netskope (CLS) pour ouvrir la page de création du plug-in.
  3. Saisissez les informations suivantes :
    • Configuration Name (Nom de la configuration) : saisissez un nom facile à retenir pour ce plug-in.
    • Locataire : sélectionnez le locataire que vous avez créé à l'étape précédente dans la liste.
    • Cliquez sur Suivant.
    • Mettez à jour la liste Type d'événement si nécessaire.
    • Plage initiale : saisissez la quantité de données historiques que vous souhaitez ingérer (en heures).
    • Cliquez sur Enregistrer.

Configurer un plug-in Google SecOps dans Netskope

  1. Accédez à Paramètres > Plug-ins.
  2. Recherchez et sélectionnez la case Chronicle (CLS) pour ouvrir la page de création de plug-in.
  3. Saisissez les informations suivantes :
    • Configuration Name (Nom de la configuration) : saisissez un nom pour ce plug-in.
    • Mappage : conservez la sélection par défaut.
    • Activez  When enabled logs will be transformed using the selected mapping file.
    • Cliquez sur Suivant.
    • Région : sélectionnez la région de votre Google SecOps.
    • URL de la région personnalisée : paramètre facultatif qui n'est requis que si Région personnalisée a été sélectionné à l'étape précédente.
    • Clé du compte de service : saisissez la clé JSON fournie par Google SecOps.
    • Numéro client : saisissez le numéro client de votre locataire Google SecOps.
    • Cliquez sur Enregistrer.

Configurer une règle métier Log Shipper pour Google SecOps

  1. Accédez à Log Shipper > Business Rules (Expéditeur de journaux > Règles métier).
  2. Par défaut, une règle métier filtre toutes les alertes et tous les événements.
  3. Si vous souhaitez exclure un type d'alerte ou d'événement spécifique, cliquez sur Créer une règle, puis configurez une règle métier en ajoutant son nom et un filtre.
  4. Cliquez sur Enregistrer.

Configurer les mappages SIEM Log Shipper pour Google SecOps

  1. Accédez à Log Shipper > Mappages SIEM.
  2. Cliquez sur Ajouter un mappage SIEM.
  3. Saisissez les informations suivantes :
    • Configuration de la source : sélectionnez le plug-in Netskope CLS.
    • Configuration de la destination : sélectionnez le plug-in Google SecOps.
    • Règle métier : sélectionnez la règle que vous avez créée précédemment.
    • Cliquez sur Enregistrer.

Valider l'extraction et le workflow des événements et des alertes dans Netskope

  1. Accédez à Logging (Journalisation) dans Netskope Cloud Exchange.
  2. Recherchez les journaux extraits.
  3. Dans Logging, recherchez les événements et les alertes ingérés à l'aide du filtre message contains ingested (le message contient des éléments ingérés).
  4. Les journaux ingérés seront filtrés.

Table de mappage UDM

Champ de journal Mappage UDM Logique
applicationType security_result.detection_fields[].key: "applicationType"
security_result.detection_fields[].value: applicationType		 Mappé directement à partir du champ CEF correspondant.
appcategory security_result.category_details[] : appcategory Mappé directement à partir du champ CEF correspondant.
browser security_result.detection_fields[].key: "browser"
security_result.detection_fields[].value: browser		 Mappé directement à partir du champ CEF correspondant.
c-ip principal.asset.ip[] : c-ip
principal.ip[] : c-ip		 Mappé directement à partir du champ JSON correspondant.
cci security_result.detection_fields[].key: "cci"
security_result.detection_fields[].value: cci		 Mappé directement à partir du champ CEF correspondant.
ccl security_result.confidence : valeur dérivée
security_result.confidence_details : ccl		 security_result.confidence est dérivé de la valeur de ccl : "excellent" ou "high" correspond à HIGH_CONFIDENCE, "medium" correspond à MEDIUM_CONFIDENCE, "low" ou "poor" correspond à LOW_CONFIDENCE, et "unknown" ou "not_defined" correspond à UNKNOWN_CONFIDENCE.
security_result.confidence_details est directement mappé à partir de ccl.
clientBytes network.sent_bytes : clientBytes Mappé directement à partir du champ CEF correspondant.
cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: cs-access-method		 Mappé directement à partir du champ JSON correspondant.
cs-app additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: cs-app
principal.application: cs-app		 Mappé directement à partir du champ JSON correspondant.
cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: cs-app-activity		 Mappé directement à partir du champ JSON correspondant.
cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: cs-app-category		 Mappé directement à partir du champ JSON correspondant.
cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: cs-app-cci		 Mappé directement à partir du champ JSON correspondant.
cs-app-ccl additional.fields[].key: "x-cs-app-ccl"
additional.fields[].value.string_value: cs-app-ccl		 Mappé directement à partir du champ JSON correspondant.
cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: cs-app-from-user
principal.user.email_addresses[]: cs-app-from-user		 Mappé directement à partir du champ JSON correspondant.
cs-app-instance-id additional.fields[].key: "x-cs-app-instance-id"
additional.fields[].value.string_value: cs-app-instance-id		 Mappé directement à partir du champ JSON correspondant.
cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: cs-app-object-name		 Mappé directement à partir du champ JSON correspondant.
cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: cs-app-object-type		 Mappé directement à partir du champ JSON correspondant.
cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: cs-app-suite		 Mappé directement à partir du champ JSON correspondant.
cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: cs-app-tags		 Mappé directement à partir du champ JSON correspondant.
cs-bytes network.sent_bytes : cs-bytes Mappé directement à partir du champ JSON correspondant.
cs-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: cs-content-type		 Mappé directement à partir du champ JSON correspondant.
cs-dns target.asset.hostname[] : cs-dns
target.hostname : cs-dns		 Mappé directement à partir du champ JSON correspondant.
cs-host target.asset.hostname[] : cs-host
target.hostname : cs-host		 Mappé directement à partir du champ JSON correspondant.
cs-method network.http.method : cs-method Mappé directement à partir du champ JSON correspondant.
cs-referer network.http.referral_url : cs-referer Mappé directement à partir du champ JSON correspondant.
cs-uri additional.fields[].key: "cs-uri"
additional.fields[].value.string_value: cs-uri		 Mappé directement à partir du champ JSON correspondant.
cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: cs-uri-path		 Mappé directement à partir du champ JSON correspondant.
cs-uri-port additional.fields[].key: "cs-uri-port"
additional.fields[].value.string_value: cs-uri-port		 Mappé directement à partir du champ JSON correspondant.
cs-uri-scheme network.application_protocol : cs-uri-scheme Mappé directement à partir du champ JSON correspondant après conversion en majuscules.
cs-user-agent network.http.parsed_user_agent : agent utilisateur analysé
network.http.user_agent : cs-user-agent		 network.http.parsed_user_agent est dérivé de l'analyse du champ cs-user-agent à l'aide du filtre "parseduseragent".
cs-username principal.user.userid : cs-username Mappé directement à partir du champ JSON correspondant.
date metadata.event_timestamp.seconds : secondes depuis l'epoch à partir des champs date et time
metadata.event_timestamp.nanos : 0		 La date et l'heure sont combinées et converties en secondes et nanosecondes depuis l'epoch. Les nanosecondes sont définies sur 0.
device intermediary.hostname : device Mappé directement à partir du champ CEF correspondant.
dst target.ip[] : dst Mappé directement à partir du champ CEF correspondant.
dst_country target.location.country_or_region : dst_country Mappé directement à partir du champ grokké correspondant.
dst_ip target.asset.ip[] : dst_ip
target.ip[] : dst_ip		 Mappé directement à partir du champ grokké correspondant.
dst_location target.location.city : dst_location Mappé directement à partir du champ grokké correspondant.
dst_region target.location.state : dst_region Mappé directement à partir du champ grokké correspondant.
dst_zip Non mappé Ce champ n'est pas mappé sur l'UDM.
duser target.user.email_addresses[] : duser
target.user.user_display_name : duser		 Mappé directement à partir du champ CEF correspondant.
dvchost about.hostname : dvchost
target.asset.hostname[] : dvchost
target.hostname : dvchost		 Mappé directement à partir du champ CEF correspondant.
event_timestamp metadata.event_timestamp.seconds : event_timestamp Mappé directement à partir du champ grokké correspondant.
hostname target.asset.hostname[] : hostname
target.hostname : hostname		 Mappé directement à partir du champ CEF correspondant.
IncidentID security_result.detection_fields[].key: "IncidentID"
security_result.detection_fields[].value: IncidentID		 Mappé directement à partir du champ CEF correspondant.
intermediary intermediary : intermediary Mappé directement à partir du champ CEF correspondant.
md5 target.file.md5 : md5 Mappé directement à partir du champ CEF correspondant.
message Différents champs UDM Le champ message est analysé en fonction de sa présence ou non de "CEF". Si c'est le cas, il est traité comme un journal CEF. Dans le cas contraire, il est analysé comme une chaîne délimitée par des espaces ou au format JSON. Pour en savoir plus, consultez la section "Logique d'analyse".
mime_type1 Non mappé Ce champ n'est pas mappé sur l'UDM.
mime_type2 Non mappé Ce champ n'est pas mappé sur l'UDM.
mwDetectionEngine additional.fields[].key: "mwDetectionEngine"
additional.fields[].value.string_value: mwDetectionEngine		 Mappé directement à partir du champ CEF correspondant.
mwType metadata.description : mwType Mappé directement à partir du champ CEF correspondant.
os principal.platform : valeur dérivée La plate-forme est dérivée du champ os : "Windows" correspond à WINDOWS, "MAC" correspond à MAC et "LINUX" correspond à LINUX.
page network.http.referral_url : page Mappé directement à partir du champ CEF correspondant.
port Non mappé Ce champ n'est pas mappé sur l'UDM.
referer network.http.referral_url : referer Mappé directement à partir du champ CEF correspondant.
requestClientApplication network.http.parsed_user_agent : agent utilisateur analysé
network.http.user_agent : requestClientApplication		 network.http.parsed_user_agent est dérivé de l'analyse du champ requestClientApplication à l'aide du filtre "parseduseragent".
request_method network.http.method : request_method Mappé directement à partir du champ grokké correspondant.
request_protocol Non mappé Ce champ n'est pas mappé sur l'UDM.
rs-status additional.fields[].key: "rs-status"
additional.fields[].value.string_value: rs-status
network.http.response_code: rs-status		 Mappé directement à partir du champ JSON correspondant.
s-ip target.asset.ip[] : s-ip
target.ip[] : s-ip		 Mappé directement à partir du champ JSON correspondant.
sc-bytes network.received_bytes : sc-bytes Mappé directement à partir du champ JSON correspondant.
sc-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: sc-content-type		 Mappé directement à partir du champ JSON correspondant.
sc-status network.http.response_code : sc-status Mappé directement à partir du champ JSON correspondant.
serverBytes network.received_bytes : serverBytes Mappé directement à partir du champ CEF correspondant.
sha256 target.file.sha256 : sha256 Mappé directement à partir du champ CEF correspondant.
src principal.ip[] : src Mappé directement à partir du champ CEF correspondant.
src_country principal.location.country_or_region : src_country Mappé directement à partir du champ grokké correspondant.
src_ip principal.asset.ip[] : src_ip
principal.ip[] : src_ip		 Mappé directement à partir du champ grokké correspondant.
src_latitude Non mappé Ce champ n'est pas mappé sur l'UDM.
src_location principal.location.city : src_location Mappé directement à partir du champ grokké correspondant.
src_longitude Non mappé Ce champ n'est pas mappé sur l'UDM.
src_region principal.location.state : src_region Mappé directement à partir du champ grokké correspondant.
src_zip Non mappé Ce champ n'est pas mappé sur l'UDM.
suser principal.user.user_display_name : suser Mappé directement à partir du champ CEF correspondant.
target_host target.asset.hostname[] : target_host
target.hostname : target_host		 Mappé directement à partir du champ grokké correspondant.
time metadata.event_timestamp.seconds : secondes depuis l'epoch à partir des champs date et time
metadata.event_timestamp.nanos : 0		 La date et l'heure sont combinées et converties en secondes et nanosecondes depuis l'epoch. Les nanosecondes sont définies sur 0.
timestamp metadata.event_timestamp.seconds : timestamp Mappé directement à partir du champ CEF correspondant.
ts metadata.event_timestamp.seconds : secondes depuis l'epoch à partir du ts
metadata.event_timestamp.nanos : 0		 Le code temporel est converti en secondes et nanosecondes epoch. Les nanosecondes sont définies sur 0.
url target.url : url Mappé directement à partir du champ CEF correspondant.
user_agent network.http.parsed_user_agent : agent utilisateur analysé
network.http.user_agent : user_agent		 network.http.parsed_user_agent est dérivé de l'analyse du champ user_agent à l'aide du filtre "parseduseragent".
user_ip Non mappé Ce champ n'est pas mappé sur l'UDM.
user_key principal.user.email_addresses[] : user_key Mappé directement à partir du champ grokké correspondant.
version Non mappé Ce champ n'est pas mappé sur l'UDM.
x-c-browser additional.fields[].key: "x-c-browser"
additional.fields[].value.string_value: x-c-browser		 Mappé directement à partir du champ JSON correspondant.
x-c-browser-version additional.fields[].key: "x-c-browser-version"
additional.fields[].value.string_value: x-c-browser-version		 Mappé directement à partir du champ JSON correspondant.
x-c-country principal.location.country_or_region : x-c-country Mappé directement à partir du champ JSON correspondant.
x-c-device additional.fields[].key: "x-c-device"
additional.fields[].value.string_value: x-c-device		 Mappé directement à partir du champ JSON correspondant.
x-c-latitude principal.location.region_coordinates.latitude : x-c-latitude Mappé directement à partir du champ JSON correspondant.
x-c-local-time security_result.detection_fields[].key: "x-c-local-time"
security_result.detection_fields[].value: x-c-local-time		 Mappé directement à partir du champ JSON correspondant.
x-c-location principal.location.name : x-c-location Mappé directement à partir du champ JSON correspondant.
x-c-longitude principal.location.region_coordinates.longitude : x-c-longitude Mappé directement à partir du champ JSON correspondant.
x-c-os principal.platform : valeur dérivée La plate-forme est dérivée du champ x-c-os : "Windows" correspond à WINDOWS, "MAC" correspond à MAC et "LINUX" correspond à LINUX.
x-c-region principal.location.state : x-c-region Mappé directement à partir du champ JSON correspondant.
x-c-zipcode additional.fields[].key: "x-c-zipcode"
additional.fields[].value.string_value: x-c-zipcode		 Mappé directement à partir du champ JSON correspondant.
x-category additional.fields[].key: "x-category"
additional.fields[].value.string_value: x-category		 Mappé directement à partir du champ JSON correspondant.
x-category-id additional.fields[].key: "x-category-id"
additional.fields[].value.string_value: x-category-id		 Mappé directement à partir du champ JSON correspondant.
x-cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: x-cs-access-method		 Mappé directement à partir du champ JSON correspondant.
x-cs-app principal.application : x-cs-app
additional.fields[].key : "x-cs-app"
additional.fields[].value.string_value : x-cs-app		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: x-cs-app-activity		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: x-cs-app-category		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: x-cs-app-cci		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: x-cs-app-from-user		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-object-id additional.fields[].key: "x-cs-app-object-id"
additional.fields[].value.string_value: x-cs-app-object-id		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: x-cs-app-object-name		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: x-cs-app-object-type		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: x-cs-app-suite		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: x-cs-app-tags		 Mappé directement à partir du champ JSON correspondant.
x-cs-app-to-user additional.fields[].key: "x-cs-app-to-user"
additional.fields[].value.string_value: x-cs-app-to-user		 Mappé directement à partir du champ JSON correspondant.
x-cs-dst-ip security_result.detection_fields[].key: "x-cs-dst-ip"
security_result.detection_fields[].value: x-cs-dst-ip
target.asset.ip[]: x-cs-dst-ip
target.ip[]: x-cs-dst-ip		 Mappé directement à partir du champ JSON correspondant.
x-cs-dst-port security_result.detection_fields[].key: "x-cs-dst-port"
security_result.detection_fields[].value: x-cs-dst-port
target.port: x-cs-dst-port		 Mappé directement à partir du champ JSON correspondant.
x-cs-http-version security_result.detection_fields[].key: "x-cs-http-version"
security_result.detection_fields[].value: x-cs-http-version		 Mappé directement à partir du champ JSON correspondant.
x-cs-page-id additional.fields[].key: "x-cs-page-id"
additional.fields[].value.string_value: x-cs-page-id		 Mappé directement à partir du champ JSON correspondant.
x-cs-session-id network.session_id : x-cs-session-id Mappé directement à partir du champ JSON correspondant.
x-cs-site additional.fields[].key: "x-cs-site"
additional.fields[].value.string_value: x-cs-site		 Mappé directement à partir du champ JSON correspondant.
x-cs-sni network.tls.client.server_name : x-cs-sni Mappé directement à partir du champ JSON correspondant.
x-cs-src-ip principal.asset.ip[] : x-cs-src-ip
principal.ip[] : x-cs-src-ip
security_result.detection_fields[].key : "x-cs-src-ip"
security_result.detection_fields[].value : x-cs-src-ip		 Mappé directement à partir du champ JSON correspondant.
x-cs-src-ip-egress principal.asset.ip[] : x-cs-src-ip-egress
principal.ip[] : x-cs-src-ip-egress
security_result.detection_fields[].key : "x-cs-src-ip-egress"
security_result.detection_fields[].value : x-cs-src-ip-egress		 Mappé directement à partir du champ JSON correspondant.
x-cs-src-port principal.port : x-cs-src-port
security_result.detection_fields[].key : "x-cs-src-port"
security_result.detection_fields[].value : x-cs-src-port		 Mappé directement à partir du champ JSON correspondant.
x-cs-ssl-cipher network.tls.cipher : x-cs-ssl-cipher Mappé directement à partir du champ JSON correspondant.
x-cs-ssl-fronting-error security_result.detection_fields[].key: "x-cs-ssl-fronting-error"
security_result.detection_fields[].value: x-cs-ssl-fronting-error		 Mappé directement à partir du champ JSON correspondant.
x-cs-ssl-handshake-error security_result.detection_fields[].key: "x-cs-ssl-handshake-error"
security_result.detection_fields[].value: x-cs-ssl-handshake-error		 Mappé directement à partir du champ JSON correspondant.
x-cs-ssl-ja3 network.tls.client.ja3 : x-cs-ssl-ja3 Mappé directement à partir du champ JSON correspondant.
x-cs-ssl-version network.tls.version : x-cs-ssl-version Mappé directement à partir du champ JSON correspondant.
x-cs-timestamp metadata.event_timestamp.seconds : x-cs-timestamp Mappé directement à partir du champ JSON correspondant.
x-cs-traffic-type additional.fields[].key: "trafficType"
additional.fields[].value.string_value: x-cs-traffic-type		 Mappé directement à partir du champ JSON correspondant.
x-cs-tunnel-src-ip security_result.detection_fields[].key: "x-cs-tunnel-src-ip"
security_result.detection_fields[].value: x-cs-tunnel-src-ip		 Mappé directement à partir du champ JSON correspondant.
x-cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: x-cs-uri-path		 Mappé directement à partir du champ JSON correspondant.
x-cs-url target.url : x-cs-url Mappé directement à partir du champ JSON correspondant.
x-cs-userip security_result.detection_fields[].key: "x-cs-userip"
security_result.detection_fields[].value: x-cs-userip		 Mappé directement à partir du champ JSON correspondant.
x-other-category security_result.category_details[] : x-other-category Mappé directement à partir du champ JSON correspondant.
x-other-category-id security_result.detection_fields[].key: "x-other-category-id"
security_result.detection_fields[].value: x-other-category-id		 Mappé directement à partir du champ JSON correspondant.
x-policy-action security_result.action : valeur dérivée
security_result.action_details : x-policy-action		 security_result.action est obtenu en convertissant x-policy-action en majuscules. Si la valeur en majuscules est "ALLOW" (AUTORISER) ou "BLOCK" (BLOQUER), elle est utilisée directement. Sinon, il n'est pas mappé.
security_result.action_details est directement mappé à partir de x-policy-action.
x-policy-dst-host security_result.detection_fields[].key: "x-policy-dst-host"
security_result.detection_fields[].value: x-policy-dst-host		 Mappé directement à partir du champ JSON correspondant.
x-policy-dst-host-source security_result.detection_fields[].key: "x-policy-dst-host-source"
security_result.detection_fields[].value: x-policy-dst-host-source		 Mappé directement à partir du champ JSON correspondant.
x-policy-dst-ip security_result.detection_fields[].key: "x-policy-dst-ip"
security_result.detection_fields[].value: x-policy-dst-ip		 Mappé directement à partir du champ JSON correspondant.
x-policy-name security_result.rule_name : x-policy-name Mappé directement à partir du champ JSON correspondant.
x-policy-src-ip security_result.detection_fields[].key: "x-policy-src-ip"
security_result.detection_fields[].value: x-policy-src-ip		 Mappé directement à partir du champ JSON correspondant.
x-r-cert-enddate network.tls.server.certificate.not_after.seconds : secondes écoulées depuis l'epoch x-r-cert-enddate La date est convertie en secondes depuis l'epoch.
x-r-cert-expired additional.fields[].key: "x-r-cert-expired"
additional.fields[].value.string_value: x-r-cert-expired		 Mappé directement à partir du champ JSON correspondant.
x-r-cert-incomplete-chain additional.fields[].key: "x-r-cert-incomplete-chain"
additional.fields[].value.string_value: x-r-cert-incomplete-chain		 Mappé directement à partir du champ JSON correspondant.
x-r-cert-issuer-cn network.tls.server.certificate.issuer : x-r-cert-issuer-cn Mappé directement à partir du champ JSON correspondant.
x-r-cert-mismatch additional.fields[].key: "x-r-cert-mismatch"
additional.fields[].value.string_value: x-r-cert-mismatch		 Mappé directement à partir du champ JSON correspondant.
x-r-cert-revoked additional.fields[].key: "x-r-cert-revoked"
additional.fields[].value.string_value: x-r-cert-revoked		 Mappé directement à partir du champ JSON correspondant.
x-r-cert-self-signed additional.fields[].key: "x-r-cert-self-signed"
additional.fields[].value.string_value: x-r-cert-self-signed		 Mappé directement à partir du champ JSON correspondant.
x-r-cert-startdate network.tls.server.certificate.not_before.seconds : secondes écoulées depuis l'epoch x-r-cert-startdate La date est convertie en secondes depuis l'epoch.
x-r-cert-subject-cn network.tls.server.certificate.subject : x-r-cert-subject-cn Mappé directement à partir du champ JSON correspondant.
x-r-cert-untrusted-root additional.fields[].key: "x-r-cert-untrusted-root"
additional.fields[].value.string_value: x-r-cert-untrusted-root		 Mappé directement à partir du champ JSON correspondant.
x-r-cert-valid additional.fields[].key: "x-r-cert-valid"
additional.fields[].value.string_value: x-r-cert-valid		 Mappé directement à partir du champ JSON correspondant.
x-request-id additional.fields[].key: "requestId"
additional.fields[].value.string_value: x-request-id		 Mappé directement à partir du champ JSON correspondant.
x-rs-file-category additional.fields[].key: "x-rs-file-category"
additional.fields[].value.string_value: x-rs-file-category		 Mappé directement à partir du champ JSON correspondant.
x-rs-file-type additional.fields[].key: "x-rs-file-type"
additional.fields[].value.string_value: x-rs-file-type		 Mappé directement à partir du champ JSON correspondant.
x-s-country target.location.country_or_region : x-s-country Mappé directement à partir du champ JSON correspondant.
x-s-dp-name additional.fields[].key: "x-s-dp-name"
additional.fields[].value.string_value: x-s-dp-name		 Mappé directement à partir du champ JSON correspondant.
x-s-latitude target.location.region_coordinates.latitude : x-s-latitude Mappé directement à partir du champ JSON correspondant.
x-s-location target.location.name : x-s-location Mappé directement à partir du champ JSON correspondant.
x-s-longitude target.location.region_coordinates.longitude : x-s-longitude Mappé directement à partir du champ JSON correspondant.
x-s-region target.location.state : x-s-region Mappé directement à partir du champ JSON correspondant.
x-s-zipcode additional.fields[].key: "x-s-zipcode"
additional.fields[].value.string_value: x-s-zipcode		 Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-cipher security_result.detection_fields[].key: "x-sr-ssl-cipher"
security_result.detection_fields[].value: x-sr-ssl-cipher		 Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error		 Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-engine-action security_result.detection_fields[].key: "x-sr-ssl-engine-action"
security_result.detection_fields[].value: x-sr-ssl-engine-action		 Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-engine-action-reason security_result.detection_fields[].key: "x-sr-ssl-engine-action-reason"
security_result.detection_fields[].value: x-sr-ssl-engine-action-reason		 Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-handshake-error security_result.detection_fields[].key: "x-sr-ssl-handshake-error"
security_result.detection_fields[].value: x-sr-ssl-handshake-error		 Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-ja3s network.tls.server.ja3s : x-sr-ssl-ja3s Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-malformed-ssl security_result.detection_fields[].key: "x-sr-ssl-malformed-ssl"
security_result.detection_fields[].value: x-sr-ssl-malformed-ssl		 Mappé directement à partir du champ JSON correspondant.
x-sr-ssl-version security_result.detection_fields[].key: "x-sr-ssl-version"
security_result.detection_fields[].value: x-sr-ssl-version		 Mappé directement à partir du champ JSON correspondant.
x-s-custom-signing-ca-error security_result.detection_fields[].key: "x-s-custom-signing-ca-error"
security_result.detection_fields[].value: x-s-custom-signing-ca-error		 Mappé directement à partir du champ JSON correspondant.
x-ssl-bypass security_result.detection_fields[].key: "SSL BYPASS"
security_result.detection_fields[].value: x-ssl-bypass ou x-ssl-bypass-reason		 Si x-ssl-bypass est défini sur "Oui" et que x-ssl-bypass-reason est présent, la valeur de x-ssl-bypass-reason est utilisée. Sinon, la valeur de x-ssl-bypass est utilisée.
x-ssl-policy-action security_result.detection_fields[].key: "x-ssl-policy-action"
security_result.detection_fields[].value: x-ssl-policy-action		 Mappé directement à partir du champ JSON correspondant.
x-ssl-policy-categories security_result.category_details[] : x-ssl-policy-categories Mappé directement à partir du champ JSON correspondant.
x-ssl-policy-dst-host security_result.detection_fields[].key: "x-ssl-policy-dst-host"
security_result.detection_fields[].value: x-ssl-policy-dst-host		 Mappé directement à partir du champ JSON correspondant.
x-ssl-policy-dst-host-source security_result.detection_fields[].key: "x-ssl-policy-dst-host-source"
security_result.detection_fields[].value: x-ssl-policy-dst-host-source		 Mappé directement à partir du champ JSON correspondant.
x-ssl-policy-dst-ip security_result.detection_fields[].key: "x-ssl-policy-dst-ip"
security_result.detection_fields[].value: x-ssl-policy-dst-ip		 Mappé directement à partir du champ JSON correspondant.
x-ssl-policy-name security_result.rule_name : x-ssl-policy-name Mappé directement à partir du champ JSON correspondant.
x-ssl-policy-src-ip security_result.detection_fields[].key: "x-ssl-policy-src-ip"
security_result.detection_fields[].value: x-ssl-policy-src-ip		 Mappé directement à partir du champ JSON correspondant.
x-sr-dst-ip security_result.detection_fields[].key: "x-sr-dst-ip"
security_result.detection_fields[].value: x-sr-dst-ip		 Mappé directement à partir du champ JSON correspondant.
x-sr-dst-port security_result.detection_fields[].key: "x-sr-dst-port"
security_result.detection_fields[].value: x-sr-dst-port		 Mappé directement à partir du champ JSON correspondant.
x-type additional.fields[].key: "xType"
additional.fields[].value.string_value: x-type		 Mappé directement à partir du champ JSON correspondant.
x-transaction-id additional.fields[].key: "transactionId"
additional.fields[].value.string_value: x-transaction-id		 Mappé directement à partir du champ JSON correspondant.
N/A metadata.vendor_name : "Netskope" Valeur codée en dur dans l'analyseur.
N/A metadata.product_name : "Netskope Webproxy" Définissez-le sur "Netskope Webproxy" s'il n'est pas déjà présent.
N/A metadata.log_type : "NETSKOPE_WEBPROXY" Valeur codée en dur dans l'analyseur.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.