Mengumpulkan log proxy web Netskope
Didukung di:
Google secops
SIEM
Parser ini menangani log proxy web Netskope berformat CEF dan non-CEF. Proses ini mengekstrak kolom, melakukan transformasi data (misalnya, mengonversi stempel waktu atau menggabungkan kolom), memetakannya ke UDM, dan menambahkan metadata khusus Netskope. Parser menggunakan logika bersyarat untuk menangani berbagai format log dan ketersediaan kolom, serta memperkaya UDM dengan detail jaringan, keamanan, dan aplikasi yang relevan.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda memiliki akses istimewa ke Netskope.
- Pastikan Anda telah mengonfigurasi modul Log Shipper.
- Pastikan Anda memiliki kunci akun layanan Google SecOps (hubungi tim Google SecOps untuk mendapatkan akun layanan dengan cakupan berikut: https://www.googleapis.com/auth/malachite-ingestion).
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Mengonfigurasi Tenant Netskope di CE
- Buka Setelan > Umum.
- Alihkan tombol Log Shipper ke AKTIF
- Di Setelan, buka Tenant Netskope.
- Jika tidak ada penyewa yang dikonfigurasi, klik Tambahkan Penyewa.
- Masukkan nilai berikut:
- Nama: berikan nama yang mudah diingat untuk tenant Anda.
- Tenant Name: masukkan nama sebenarnya tenant Netskope Anda.
- Token API V2: masukkan token API Netskope Anda.
- Filter Pemberitahuan: tambahkan pemberitahuan proxy web yang ingin Anda masukkan.
- Rentang Awal: masukkan jumlah data historis yang ingin Anda masukkan (dalam hari).
- Klik Simpan.
Mengonfigurasi plugin CLS Netskope
- Buka Setelan > Plugin.
- Cari dan pilih kotak Netskope (CLS) untuk membuka halaman pembuatan plugin.
- Masukkan detail berikut:
- Configuration Name: masukkan nama yang mudah diingat untuk plugin ini.
- Tenant: pilih tenant yang Anda buat di langkah sebelumnya dari daftar.
- Klik Berikutnya.
- Perbarui daftar Jenis Peristiwa sesuai kebutuhan.
- Rentang Awal: masukkan jumlah data historis yang ingin Anda masukkan (dalam jam).
- Klik Simpan.
Mengonfigurasi plugin Google SecOps di Netskope
- Buka Setelan > Plugin.
- Telusuri dan pilih kotak Chronicle (CLS) untuk membuka halaman pembuatan plugin.
- Masukkan detail berikut:
- Configuration Name: masukkan nama untuk plugin ini.
- Pemetaan: biarkan pilihan default.
- Aktifkan AKTIF
When enabled logs will be transformed using the selected mapping file. - Klik Berikutnya.
- Region: pilih region Google SecOps Anda.
- URL Wilayah Kustom: setelan opsional yang hanya diperlukan jika Wilayah Kustom dipilih pada langkah sebelumnya.
- Kunci Akun Layanan: masukkan kunci JSON yang disediakan oleh Google SecOps.
- Customer ID: masukkan ID pelanggan tenant Google SecOps Anda.
- Klik Simpan.
Mengonfigurasi Aturan Bisnis Pengirim Log untuk Google SecOps
- Buka Log Shipper > Business Rules.
- Secara default, ada aturan bisnis yang memfilter semua pemberitahuan dan peristiwa.
- Jika Anda ingin memfilter jenis pemberitahuan atau peristiwa tertentu, klik Buat Aturan Baru dan konfigurasi aturan bisnis baru dengan menambahkan nama dan filter aturan.
- Klik Simpan.
Mengonfigurasi Pemetaan SIEM Log Shipper untuk Google SecOps
- Buka Log Shipper > SIEM Mappings
- Klik Tambahkan Pemetaan SIEM.
- Masukkan detail berikut:
- Konfigurasi Sumber: pilih plugin Netskope CLS.
- Konfigurasi Tujuan: pilih plugin Google SecOps.
- Aturan Bisnis: pilih aturan yang Anda buat sebelumnya.
- Klik Simpan.
Memvalidasi penarikan dan alur kerja Peristiwa dan Pemberitahuan di Netskope
- Buka Logging di Netskope Cloud Exchange.
- Telusuri log yang ditarik.
- Di Logging, telusuri peristiwa & pemberitahuan yang diproses dengan filter message contains ingested.
- Log yang diserap akan difilter.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
applicationType |
security_result.detection_fields[].key: "applicationType"security_result.detection_fields[].value: applicationType |
Dipetakan langsung dari kolom CEF yang sesuai. |
appcategory |
security_result.category_details[]: appcategory |
Dipetakan langsung dari kolom CEF yang sesuai. |
browser |
security_result.detection_fields[].key: "browser"security_result.detection_fields[].value: browser |
Dipetakan langsung dari kolom CEF yang sesuai. |
c-ip |
principal.asset.ip[]: c-ipprincipal.ip[]: c-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
cci |
security_result.detection_fields[].key: "cci"security_result.detection_fields[].value: cci |
Dipetakan langsung dari kolom CEF yang sesuai. |
ccl |
security_result.confidence: Nilai turunansecurity_result.confidence_details: ccl |
security_result.confidence berasal dari nilai ccl: "excellent" atau "high" dipetakan ke HIGH_CONFIDENCE, "medium" dipetakan ke MEDIUM_CONFIDENCE, "low" atau "poor" dipetakan ke LOW_CONFIDENCE, dan "unknown" atau "not_defined" dipetakan ke UNKNOWN_CONFIDENCE.security_result.confidence_details dipetakan langsung dari ccl. |
clientBytes |
network.sent_bytes: clientBytes |
Dipetakan langsung dari kolom CEF yang sesuai. |
cs-access-method |
additional.fields[].key: "accessMethod"additional.fields[].value.string_value: cs-access-method |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app |
additional.fields[].key: "x-cs-app"additional.fields[].value.string_value: cs-appprincipal.application: cs-app |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-activity |
additional.fields[].key: "x-cs-app-activity"additional.fields[].value.string_value: cs-app-activity |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-category |
additional.fields[].key: "x-cs-app-category"additional.fields[].value.string_value: cs-app-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-cci |
additional.fields[].key: "x-cs-app-cci"additional.fields[].value.string_value: cs-app-cci |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-ccl |
additional.fields[].key: "x-cs-app-ccl"additional.fields[].value.string_value: cs-app-ccl |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-from-user |
additional.fields[].key: "x-cs-app-from-user"additional.fields[].value.string_value: cs-app-from-userprincipal.user.email_addresses[]: cs-app-from-user |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-instance-id |
additional.fields[].key: "x-cs-app-instance-id"additional.fields[].value.string_value: cs-app-instance-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-object-name |
additional.fields[].key: "x-cs-app-object-name"additional.fields[].value.string_value: cs-app-object-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-object-type |
additional.fields[].key: "x-cs-app-object-type"additional.fields[].value.string_value: cs-app-object-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-suite |
additional.fields[].key: "x-cs-app-suite"additional.fields[].value.string_value: cs-app-suite |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-app-tags |
additional.fields[].key: "x-cs-app-tags"additional.fields[].value.string_value: cs-app-tags |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-bytes |
network.sent_bytes: cs-bytes |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-content-type |
additional.fields[].key: "sc-content-type"additional.fields[].value.string_value: cs-content-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-dns |
target.asset.hostname[]: cs-dnstarget.hostname: cs-dns |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-host |
target.asset.hostname[]: cs-hosttarget.hostname: cs-host |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-method |
network.http.method: cs-method |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-referer |
network.http.referral_url: cs-referer |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri |
additional.fields[].key: "cs-uri"additional.fields[].value.string_value: cs-uri |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri-path |
additional.fields[].key: "x-cs-uri-path"additional.fields[].value.string_value: cs-uri-path |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri-port |
additional.fields[].key: "cs-uri-port"additional.fields[].value.string_value: cs-uri-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
cs-uri-scheme |
network.application_protocol: cs-uri-scheme |
Dipetakan langsung dari kolom JSON yang sesuai setelah dikonversi menjadi huruf besar. |
cs-user-agent |
network.http.parsed_user_agent: Agen pengguna yang diuraikannetwork.http.user_agent: cs-user-agent |
network.http.parsed_user_agent diperoleh dengan mengurai kolom cs-user-agent menggunakan filter "parseduseragent". |
cs-username |
principal.user.userid: cs-username |
Dipetakan langsung dari kolom JSON yang sesuai. |
date |
metadata.event_timestamp.seconds: Detik Epoch dari kolom date dan timemetadata.event_timestamp.nanos: 0 |
Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik disetel ke 0. |
device |
intermediary.hostname: device |
Dipetakan langsung dari kolom CEF yang sesuai. |
dst |
target.ip[]: dst |
Dipetakan langsung dari kolom CEF yang sesuai. |
dst_country |
target.location.country_or_region: dst_country |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
dst_ip |
target.asset.ip[]: dst_iptarget.ip[]: dst_ip |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
dst_location |
target.location.city: dst_location |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
dst_region |
target.location.state: dst_region |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
dst_zip |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
duser |
target.user.email_addresses[]: dusertarget.user.user_display_name: duser |
Dipetakan langsung dari kolom CEF yang sesuai. |
dvchost |
about.hostname: dvchosttarget.asset.hostname[]: dvchosttarget.hostname: dvchost |
Dipetakan langsung dari kolom CEF yang sesuai. |
event_timestamp |
metadata.event_timestamp.seconds: event_timestamp |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
hostname |
target.asset.hostname[]: hostnametarget.hostname: hostname |
Dipetakan langsung dari kolom CEF yang sesuai. |
IncidentID |
security_result.detection_fields[].key: "IncidentID"security_result.detection_fields[].value: IncidentID |
Dipetakan langsung dari kolom CEF yang sesuai. |
intermediary |
intermediary: intermediary |
Dipetakan langsung dari kolom CEF yang sesuai. |
md5 |
target.file.md5: md5 |
Dipetakan langsung dari kolom CEF yang sesuai. |
message |
Berbagai kolom UDM | Kolom message diuraikan berdasarkan apakah kolom tersebut berisi "CEF". Jika ya, maka akan diperlakukan sebagai log CEF. Jika tidak, parameter akan diuraikan sebagai string yang dibatasi spasi atau JSON. Lihat bagian "Parsing Logic" untuk mengetahui detailnya. |
mime_type1 |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
mime_type2 |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
mwDetectionEngine |
additional.fields[].key: "mwDetectionEngine"additional.fields[].value.string_value: mwDetectionEngine |
Dipetakan langsung dari kolom CEF yang sesuai. |
mwType |
metadata.description: mwType |
Dipetakan langsung dari kolom CEF yang sesuai. |
os |
principal.platform: Nilai turunan |
Platform ini berasal dari kolom os: "Windows" dipetakan ke WINDOWS, "MAC" dipetakan ke MAC, dan "LINUX" dipetakan ke LINUX. |
page |
network.http.referral_url: page |
Dipetakan langsung dari kolom CEF yang sesuai. |
port |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
referer |
network.http.referral_url: referer |
Dipetakan langsung dari kolom CEF yang sesuai. |
requestClientApplication |
network.http.parsed_user_agent: Agen pengguna yang diuraikannetwork.http.user_agent: requestClientApplication |
network.http.parsed_user_agent diperoleh dengan mengurai kolom requestClientApplication menggunakan filter "parseduseragent". |
request_method |
network.http.method: request_method |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
request_protocol |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
rs-status |
additional.fields[].key: "rs-status"additional.fields[].value.string_value: rs-statusnetwork.http.response_code: rs-status |
Dipetakan langsung dari kolom JSON yang sesuai. |
s-ip |
target.asset.ip[]: s-iptarget.ip[]: s-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
sc-bytes |
network.received_bytes: sc-bytes |
Dipetakan langsung dari kolom JSON yang sesuai. |
sc-content-type |
additional.fields[].key: "sc-content-type"additional.fields[].value.string_value: sc-content-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
sc-status |
network.http.response_code: sc-status |
Dipetakan langsung dari kolom JSON yang sesuai. |
serverBytes |
network.received_bytes: serverBytes |
Dipetakan langsung dari kolom CEF yang sesuai. |
sha256 |
target.file.sha256: sha256 |
Dipetakan langsung dari kolom CEF yang sesuai. |
src |
principal.ip[]: src |
Dipetakan langsung dari kolom CEF yang sesuai. |
src_country |
principal.location.country_or_region: src_country |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
src_ip |
principal.asset.ip[]: src_ipprincipal.ip[]: src_ip |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
src_latitude |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
src_location |
principal.location.city: src_location |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
src_longitude |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
src_region |
principal.location.state: src_region |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
src_zip |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
suser |
principal.user.user_display_name: suser |
Dipetakan langsung dari kolom CEF yang sesuai. |
target_host |
target.asset.hostname[]: target_hosttarget.hostname: target_host |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
time |
metadata.event_timestamp.seconds: Detik Epoch dari kolom date dan timemetadata.event_timestamp.nanos: 0 |
Tanggal dan waktu digabungkan dan dikonversi ke detik dan nanodetik epoch. Nanodetik disetel ke 0. |
timestamp |
metadata.event_timestamp.seconds: timestamp |
Dipetakan langsung dari kolom CEF yang sesuai. |
ts |
metadata.event_timestamp.seconds: Detik Epoch dari tsmetadata.event_timestamp.nanos: 0 |
Stempel waktu dikonversi menjadi detik dan nanodetik epoch. Nanodetik disetel ke 0. |
url |
target.url: url |
Dipetakan langsung dari kolom CEF yang sesuai. |
user_agent |
network.http.parsed_user_agent: Agen pengguna yang diuraikannetwork.http.user_agent: user_agent |
network.http.parsed_user_agent diperoleh dengan mengurai kolom user_agent menggunakan filter "parseduseragent". |
user_ip |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
user_key |
principal.user.email_addresses[]: user_key |
Dipetakan langsung dari kolom yang sesuai yang telah diproses. |
version |
Tidak dipetakan | Kolom ini tidak dipetakan ke UDM. |
x-c-browser |
additional.fields[].key: "x-c-browser"additional.fields[].value.string_value: x-c-browser |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-browser-version |
additional.fields[].key: "x-c-browser-version"additional.fields[].value.string_value: x-c-browser-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-country |
principal.location.country_or_region: x-c-country |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-device |
additional.fields[].key: "x-c-device"additional.fields[].value.string_value: x-c-device |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-latitude |
principal.location.region_coordinates.latitude: x-c-latitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-local-time |
security_result.detection_fields[].key: "x-c-local-time"security_result.detection_fields[].value: x-c-local-time |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-location |
principal.location.name: x-c-location |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-longitude |
principal.location.region_coordinates.longitude: x-c-longitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-os |
principal.platform: Nilai turunan |
Platform ini berasal dari kolom x-c-os: "Windows" dipetakan ke WINDOWS, "MAC" dipetakan ke MAC, dan "LINUX" dipetakan ke LINUX. |
x-c-region |
principal.location.state: x-c-region |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-c-zipcode |
additional.fields[].key: "x-c-zipcode"additional.fields[].value.string_value: x-c-zipcode |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-category |
additional.fields[].key: "x-category"additional.fields[].value.string_value: x-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-category-id |
additional.fields[].key: "x-category-id"additional.fields[].value.string_value: x-category-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-access-method |
additional.fields[].key: "accessMethod"additional.fields[].value.string_value: x-cs-access-method |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app |
principal.application: x-cs-appadditional.fields[].key: "x-cs-app"additional.fields[].value.string_value: x-cs-app |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-activity |
additional.fields[].key: "x-cs-app-activity"additional.fields[].value.string_value: x-cs-app-activity |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-category |
additional.fields[].key: "x-cs-app-category"additional.fields[].value.string_value: x-cs-app-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-cci |
additional.fields[].key: "x-cs-app-cci"additional.fields[].value.string_value: x-cs-app-cci |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-from-user |
additional.fields[].key: "x-cs-app-from-user"additional.fields[].value.string_value: x-cs-app-from-user |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-object-id |
additional.fields[].key: "x-cs-app-object-id"additional.fields[].value.string_value: x-cs-app-object-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-object-name |
additional.fields[].key: "x-cs-app-object-name"additional.fields[].value.string_value: x-cs-app-object-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-object-type |
additional.fields[].key: "x-cs-app-object-type"additional.fields[].value.string_value: x-cs-app-object-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-suite |
additional.fields[].key: "x-cs-app-suite"additional.fields[].value.string_value: x-cs-app-suite |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-tags |
additional.fields[].key: "x-cs-app-tags"additional.fields[].value.string_value: x-cs-app-tags |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-app-to-user |
additional.fields[].key: "x-cs-app-to-user"additional.fields[].value.string_value: x-cs-app-to-user |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-dst-ip |
security_result.detection_fields[].key: "x-cs-dst-ip"security_result.detection_fields[].value: x-cs-dst-iptarget.asset.ip[]: x-cs-dst-iptarget.ip[]: x-cs-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-dst-port |
security_result.detection_fields[].key: "x-cs-dst-port"security_result.detection_fields[].value: x-cs-dst-porttarget.port: x-cs-dst-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-http-version |
security_result.detection_fields[].key: "x-cs-http-version"security_result.detection_fields[].value: x-cs-http-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-page-id |
additional.fields[].key: "x-cs-page-id"additional.fields[].value.string_value: x-cs-page-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-session-id |
network.session_id: x-cs-session-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-site |
additional.fields[].key: "x-cs-site"additional.fields[].value.string_value: x-cs-site |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-sni |
network.tls.client.server_name: x-cs-sni |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-src-ip |
principal.asset.ip[]: x-cs-src-ipprincipal.ip[]: x-cs-src-ipsecurity_result.detection_fields[].key: "x-cs-src-ip"security_result.detection_fields[].value: x-cs-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-src-ip-egress |
principal.asset.ip[]: x-cs-src-ip-egressprincipal.ip[]: x-cs-src-ip-egresssecurity_result.detection_fields[].key: "x-cs-src-ip-egress"security_result.detection_fields[].value: x-cs-src-ip-egress |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-src-port |
principal.port: x-cs-src-portsecurity_result.detection_fields[].key: "x-cs-src-port"security_result.detection_fields[].value: x-cs-src-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-cipher |
network.tls.cipher: x-cs-ssl-cipher |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-fronting-error |
security_result.detection_fields[].key: "x-cs-ssl-fronting-error"security_result.detection_fields[].value: x-cs-ssl-fronting-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-handshake-error |
security_result.detection_fields[].key: "x-cs-ssl-handshake-error"security_result.detection_fields[].value: x-cs-ssl-handshake-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-ja3 |
network.tls.client.ja3: x-cs-ssl-ja3 |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-ssl-version |
network.tls.version: x-cs-ssl-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-timestamp |
metadata.event_timestamp.seconds: x-cs-timestamp |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-traffic-type |
additional.fields[].key: "trafficType"additional.fields[].value.string_value: x-cs-traffic-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-tunnel-src-ip |
security_result.detection_fields[].key: "x-cs-tunnel-src-ip"security_result.detection_fields[].value: x-cs-tunnel-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-uri-path |
additional.fields[].key: "x-cs-uri-path"additional.fields[].value.string_value: x-cs-uri-path |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-url |
target.url: x-cs-url |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-cs-userip |
security_result.detection_fields[].key: "x-cs-userip"security_result.detection_fields[].value: x-cs-userip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-other-category |
security_result.category_details[]: x-other-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-other-category-id |
security_result.detection_fields[].key: "x-other-category-id"security_result.detection_fields[].value: x-other-category-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-action |
security_result.action: Nilai turunansecurity_result.action_details: x-policy-action |
security_result.action diperoleh dengan mengonversi x-policy-action menjadi huruf besar. Jika nilai huruf besar adalah "ALLOW" atau "BLOCK", nilai tersebut akan digunakan secara langsung. Jika tidak, tidak dipetakan. security_result.action_details dipetakan langsung dari x-policy-action. |
x-policy-dst-host |
security_result.detection_fields[].key: "x-policy-dst-host"security_result.detection_fields[].value: x-policy-dst-host |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-dst-host-source |
security_result.detection_fields[].key: "x-policy-dst-host-source"security_result.detection_fields[].value: x-policy-dst-host-source |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-dst-ip |
security_result.detection_fields[].key: "x-policy-dst-ip"security_result.detection_fields[].value: x-policy-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-name |
security_result.rule_name: x-policy-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-policy-src-ip |
security_result.detection_fields[].key: "x-policy-src-ip"security_result.detection_fields[].value: x-policy-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-enddate |
network.tls.server.certificate.not_after.seconds: Detik Epoch dari x-r-cert-enddate |
Tanggal dikonversi menjadi detik epoch. |
x-r-cert-expired |
additional.fields[].key: "x-r-cert-expired"additional.fields[].value.string_value: x-r-cert-expired |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-incomplete-chain |
additional.fields[].key: "x-r-cert-incomplete-chain"additional.fields[].value.string_value: x-r-cert-incomplete-chain |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-issuer-cn |
network.tls.server.certificate.issuer: x-r-cert-issuer-cn |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-mismatch |
additional.fields[].key: "x-r-cert-mismatch"additional.fields[].value.string_value: x-r-cert-mismatch |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-revoked |
additional.fields[].key: "x-r-cert-revoked"additional.fields[].value.string_value: x-r-cert-revoked |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-self-signed |
additional.fields[].key: "x-r-cert-self-signed"additional.fields[].value.string_value: x-r-cert-self-signed |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-startdate |
network.tls.server.certificate.not_before.seconds: Detik Epoch dari x-r-cert-startdate |
Tanggal dikonversi menjadi detik epoch. |
x-r-cert-subject-cn |
network.tls.server.certificate.subject: x-r-cert-subject-cn |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-untrusted-root |
additional.fields[].key: "x-r-cert-untrusted-root"additional.fields[].value.string_value: x-r-cert-untrusted-root |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-r-cert-valid |
additional.fields[].key: "x-r-cert-valid"additional.fields[].value.string_value: x-r-cert-valid |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-request-id |
additional.fields[].key: "requestId"additional.fields[].value.string_value: x-request-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-rs-file-category |
additional.fields[].key: "x-rs-file-category"additional.fields[].value.string_value: x-rs-file-category |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-rs-file-type |
additional.fields[].key: "x-rs-file-type"additional.fields[].value.string_value: x-rs-file-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-country |
target.location.country_or_region: x-s-country |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-dp-name |
additional.fields[].key: "x-s-dp-name"additional.fields[].value.string_value: x-s-dp-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-latitude |
target.location.region_coordinates.latitude: x-s-latitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-location |
target.location.name: x-s-location |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-longitude |
target.location.region_coordinates.longitude: x-s-longitude |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-region |
target.location.state: x-s-region |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-zipcode |
additional.fields[].key: "x-s-zipcode"additional.fields[].value.string_value: x-s-zipcode |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-cipher |
security_result.detection_fields[].key: "x-sr-ssl-cipher"security_result.detection_fields[].value: x-sr-ssl-cipher |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-client-certificate-error |
security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"security_result.detection_fields[].value: x-sr-ssl-client-certificate-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-engine-action |
security_result.detection_fields[].key: "x-sr-ssl-engine-action"security_result.detection_fields[].value: x-sr-ssl-engine-action |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-engine-action-reason |
security_result.detection_fields[].key: "x-sr-ssl-engine-action-reason"security_result.detection_fields[].value: x-sr-ssl-engine-action-reason |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-handshake-error |
security_result.detection_fields[].key: "x-sr-ssl-handshake-error"security_result.detection_fields[].value: x-sr-ssl-handshake-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-ja3s |
network.tls.server.ja3s: x-sr-ssl-ja3s |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-malformed-ssl |
security_result.detection_fields[].key: "x-sr-ssl-malformed-ssl"security_result.detection_fields[].value: x-sr-ssl-malformed-ssl |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-ssl-version |
security_result.detection_fields[].key: "x-sr-ssl-version"security_result.detection_fields[].value: x-sr-ssl-version |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-s-custom-signing-ca-error |
security_result.detection_fields[].key: "x-s-custom-signing-ca-error"security_result.detection_fields[].value: x-s-custom-signing-ca-error |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-bypass |
security_result.detection_fields[].key: "SSL BYPASS"security_result.detection_fields[].value: x-ssl-bypass atau x-ssl-bypass-reason |
Jika x-ssl-bypass adalah "Ya" dan x-ssl-bypass-reason ada, nilai x-ssl-bypass-reason akan digunakan. Jika tidak, nilai x-ssl-bypass akan digunakan. |
x-ssl-policy-action |
security_result.detection_fields[].key: "x-ssl-policy-action"security_result.detection_fields[].value: x-ssl-policy-action |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-categories |
security_result.category_details[]: x-ssl-policy-categories |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-dst-host |
security_result.detection_fields[].key: "x-ssl-policy-dst-host"security_result.detection_fields[].value: x-ssl-policy-dst-host |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-dst-host-source |
security_result.detection_fields[].key: "x-ssl-policy-dst-host-source"security_result.detection_fields[].value: x-ssl-policy-dst-host-source |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-dst-ip |
security_result.detection_fields[].key: "x-ssl-policy-dst-ip"security_result.detection_fields[].value: x-ssl-policy-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-name |
security_result.rule_name: x-ssl-policy-name |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-ssl-policy-src-ip |
security_result.detection_fields[].key: "x-ssl-policy-src-ip"security_result.detection_fields[].value: x-ssl-policy-src-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-dst-ip |
security_result.detection_fields[].key: "x-sr-dst-ip"security_result.detection_fields[].value: x-sr-dst-ip |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-sr-dst-port |
security_result.detection_fields[].key: "x-sr-dst-port"security_result.detection_fields[].value: x-sr-dst-port |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-type |
additional.fields[].key: "xType"additional.fields[].value.string_value: x-type |
Dipetakan langsung dari kolom JSON yang sesuai. |
x-transaction-id |
additional.fields[].key: "transactionId"additional.fields[].value.string_value: x-transaction-id |
Dipetakan langsung dari kolom JSON yang sesuai. |
| T/A | metadata.vendor_name: "Netskope" |
Nilai yang di-hardcode di parser. |
| T/A | metadata.product_name: "Netskope Webproxy" |
Setel ke "Netskope Webproxy" jika belum ada. |
| T/A | metadata.log_type: "NETSKOPE_WEBPROXY" |
Nilai yang di-hardcode di parser. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.