Netskope Web プロキシのログを収集する

以下でサポートされています。

このパーサーは、CEF 形式と CEF 以外の形式の両方の Netskope ウェブ プロキシログを処理します。フィールドを抽出し、データ変換(タイムスタンプの変換やフィールドの統合など)を行い、UDM にマッピングして、Netskope 固有のメタデータを追加します。パーサーは、条件付きロジックを使用してさまざまなログ形式とフィールドの可用性を処理し、関連するネットワーク、セキュリティ、アプリケーションの詳細を UDM に追加します。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Netskope に対する特権アクセス権があることを確認します。
  • Log Shipper モジュールが構成されていることを確認します。
  • Google SecOps サービス アカウント キーがあることを確認します(Google SecOps チームに連絡して、次のスコープを持つサービス アカウントを取得します: https://www.googleapis.com/auth/malachite-ingestion)。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

CE で Netskope テナントを構成する

  1. [設定] > [全般] に移動します。
  2. [Log Shipper] スイッチを [ON] に切り替えます。
  3. [設定] で、[Netskope テナント] に移動します。
  4. テナントが構成されていない場合は、[テナントを追加] をクリックします。
  5. 次の値を入力します。
    • 名前: テナントのわかりやすい名前を指定します。
    • テナント名: Netskope テナントの正式名を入力します。
    • V2 API トークン: Netskope API トークンを入力します。
    • アラート フィルタ: 取り込むウェブ プロキシ アラートを追加します。
    • 初期範囲: 取り込む過去のデータ量を入力します(日数単位)。
    • [保存] をクリックします。

Netskope CLS プラグインを構成する

  1. [設定] > [プラグイン] に移動します。
  2. [Netskope (CLS)] ボックスを検索して選択し、プラグイン作成ページを開きます。
  3. 次の詳細情報を入力します。
    • Configuration Name: このプラグインの覚えやすい名前を入力します。
    • テナント: リストから、前の手順で作成したテナントを選択します。
    • [次へ] をクリックします。
    • 必要に応じて [イベントタイプ] リストを更新します。
    • 初期範囲: 取り込む過去のデータ量を時間単位で入力します。
    • [保存] をクリックします。

Netskope で Google SecOps プラグインを構成する

  1. [設定] > [プラグイン] に移動します。
  2. [Chronicle(CLS)] ボックスを検索して選択し、プラグイン作成ページを開きます。
  3. 次の詳細情報を入力します。
    • Configuration Name: このプラグインの名前を入力します。
    • マッピング: デフォルトの選択のままにします。
    • When enabled logs will be transformed using the selected mapping file」をオンに切り替えます。
    • [次へ] をクリックします。
    • リージョン: Google SecOps のリージョンを選択します。
    • カスタム リージョン URL: 省略可能な設定。前の手順で [カスタム リージョン] を選択した場合にのみ必要です。
    • サービス アカウント キー: Google SecOps から提供された JSON キーを入力します。
    • お客様 ID: Google SecOps テナントのお客様 ID を入力します。
    • [保存] をクリックします。

Google SecOps 用に Log Shipper ビジネスルールを構成する

  1. [Log Shipper] > [Business Rules] に移動します。
  2. デフォルトでは、すべてのアラートとイベントをフィルタするビジネスルールがあります。
  3. 特定のアラートやイベントをフィルタで除外する場合は、[新しいルールを作成] をクリックし、ルール名とフィルタを追加して新しいビジネスルールを構成します。
  4. [保存] をクリックします。

Google SecOps 用に Log Shipper SIEM マッピングを構成する

  1. [ログ シッパー] > [SIEM マッピング] に移動します。
  2. [SIEM マッピングを追加] をクリックします。
  3. 次の詳細情報を入力します。
    • Source Configuration: Netskope CLS プラグインを選択します。
    • 宛先構成: Google SecOps プラグインを選択します。
    • ビジネスルール: 先ほど作成したルールを選択します。
    • [保存] をクリックします。

Netskope でのイベントとアラートの取得とワークフローを検証する

  1. Netskope Cloud Exchange の [Logging] に移動します。
  2. プルしたログを検索します。
  3. Logging で、フィルタ message contains ingested を使用して、取り込まれたイベントとアラートを検索します。
  4. 取り込まれたログがフィルタされます。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
applicationType security_result.detection_fields[].key: "applicationType"
security_result.detection_fields[].value: applicationType		 対応する CEF フィールドから直接マッピングされます。
appcategory security_result.category_details[]: appcategory 対応する CEF フィールドから直接マッピングされます。
browser security_result.detection_fields[].key: "browser"
security_result.detection_fields[].value: browser		 対応する CEF フィールドから直接マッピングされます。
c-ip principal.asset.ip[]: c-ip
principal.ip[]: c-ip		 対応する JSON フィールドから直接マッピングされます。
cci security_result.detection_fields[].key: "cci"
security_result.detection_fields[].value: cci		 対応する CEF フィールドから直接マッピングされます。
ccl security_result.confidence: 派生値
security_result.confidence_details: ccl		 security_result.confidenceccl の値に基づいて導出されます。「excellent」または「high」は HIGH_CONFIDENCE に、「medium」は MEDIUM_CONFIDENCE に、「low」や「poor」は LOW_CONFIDENCE に、「unknown」や「not_defined」は UNKNOWN_CONFIDENCE にマッピングされます。
security_result.confidence_detailsccl から直接マッピングされます。
clientBytes network.sent_bytes: clientBytes 対応する CEF フィールドから直接マッピングされます。
cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: cs-access-method		 対応する JSON フィールドから直接マッピングされます。
cs-app additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: cs-app
principal.application: cs-app		 対応する JSON フィールドから直接マッピングされます。
cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: cs-app-activity		 対応する JSON フィールドから直接マッピングされます。
cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: cs-app-category		 対応する JSON フィールドから直接マッピングされます。
cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: cs-app-cci		 対応する JSON フィールドから直接マッピングされます。
cs-app-ccl additional.fields[].key: "x-cs-app-ccl"
additional.fields[].value.string_value: cs-app-ccl		 対応する JSON フィールドから直接マッピングされます。
cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: cs-app-from-user
principal.user.email_addresses[]: cs-app-from-user		 対応する JSON フィールドから直接マッピングされます。
cs-app-instance-id additional.fields[].key: "x-cs-app-instance-id"
additional.fields[].value.string_value: cs-app-instance-id		 対応する JSON フィールドから直接マッピングされます。
cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: cs-app-object-name		 対応する JSON フィールドから直接マッピングされます。
cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: cs-app-object-type		 対応する JSON フィールドから直接マッピングされます。
cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: cs-app-suite		 対応する JSON フィールドから直接マッピングされます。
cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: cs-app-tags		 対応する JSON フィールドから直接マッピングされます。
cs-bytes network.sent_bytes: cs-bytes 対応する JSON フィールドから直接マッピングされます。
cs-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: cs-content-type		 対応する JSON フィールドから直接マッピングされます。
cs-dns target.asset.hostname[]: cs-dns
target.hostname: cs-dns		 対応する JSON フィールドから直接マッピングされます。
cs-host target.asset.hostname[]: cs-host
target.hostname: cs-host		 対応する JSON フィールドから直接マッピングされます。
cs-method network.http.method: cs-method 対応する JSON フィールドから直接マッピングされます。
cs-referer network.http.referral_url: cs-referer 対応する JSON フィールドから直接マッピングされます。
cs-uri additional.fields[].key: "cs-uri"
additional.fields[].value.string_value: cs-uri		 対応する JSON フィールドから直接マッピングされます。
cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: cs-uri-path		 対応する JSON フィールドから直接マッピングされます。
cs-uri-port additional.fields[].key: "cs-uri-port"
additional.fields[].value.string_value: cs-uri-port		 対応する JSON フィールドから直接マッピングされます。
cs-uri-scheme network.application_protocol: cs-uri-scheme 大文字に変換された後、対応する JSON フィールドから直接マッピングされます。
cs-user-agent network.http.parsed_user_agent: パースされたユーザー エージェント
network.http.user_agent: cs-user-agent		 network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して cs-user-agent フィールドをパースすることで得られます。
cs-username principal.user.userid: cs-username 対応する JSON フィールドから直接マッピングされます。
date metadata.event_timestamp.seconds: date フィールドと time フィールドからのエポック秒
metadata.event_timestamp.nanos: 0		 日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。
device intermediary.hostname: device 対応する CEF フィールドから直接マッピングされます。
dst target.ip[]: dst 対応する CEF フィールドから直接マッピングされます。
dst_country target.location.country_or_region: dst_country 対応する grokked フィールドから直接マッピングされます。
dst_ip target.asset.ip[]: dst_ip
target.ip[]: dst_ip		 対応する grokked フィールドから直接マッピングされます。
dst_location target.location.city: dst_location 対応する grokked フィールドから直接マッピングされます。
dst_region target.location.state: dst_region 対応する grokked フィールドから直接マッピングされます。
dst_zip マッピングされていません このフィールドは UDM にマッピングされません。
duser target.user.email_addresses[]: duser
target.user.user_display_name: duser		 対応する CEF フィールドから直接マッピングされます。
dvchost about.hostname: dvchost
target.asset.hostname[]: dvchost
target.hostname: dvchost		 対応する CEF フィールドから直接マッピングされます。
event_timestamp metadata.event_timestamp.seconds: event_timestamp 対応する grokked フィールドから直接マッピングされます。
hostname target.asset.hostname[]: hostname
target.hostname: hostname		 対応する CEF フィールドから直接マッピングされます。
IncidentID security_result.detection_fields[].key: "IncidentID"
security_result.detection_fields[].value: IncidentID		 対応する CEF フィールドから直接マッピングされます。
intermediary intermediary: intermediary 対応する CEF フィールドから直接マッピングされます。
md5 target.file.md5: md5 対応する CEF フィールドから直接マッピングされます。
message さまざまな UDM フィールド message フィールドは、「CEF」が含まれているかどうかに基づいて解析されます。一致する場合は、CEF ログとして扱われます。それ以外の場合は、スペース区切りの文字列または JSON として解析されます。詳しくは、「解析ロジック」セクションをご覧ください。
mime_type1 マッピングされていません このフィールドは UDM にマッピングされません。
mime_type2 マッピングされていません このフィールドは UDM にマッピングされません。
mwDetectionEngine additional.fields[].key: "mwDetectionEngine"
additional.fields[].value.string_value: mwDetectionEngine		 対応する CEF フィールドから直接マッピングされます。
mwType metadata.description: mwType 対応する CEF フィールドから直接マッピングされます。
os principal.platform: 派生値 プラットフォームは os フィールドから導出されます。「Windows」は WINDOWS に、「MAC」は MAC に、「LINUX」は LINUX にマッピングされます。
page network.http.referral_url: page 対応する CEF フィールドから直接マッピングされます。
port マッピングされていません このフィールドは UDM にマッピングされません。
referer network.http.referral_url: referer 対応する CEF フィールドから直接マッピングされます。
requestClientApplication network.http.parsed_user_agent: パースされたユーザー エージェント
network.http.user_agent: requestClientApplication		 network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して requestClientApplication フィールドをパースすることで得られます。
request_method network.http.method: request_method 対応する grokked フィールドから直接マッピングされます。
request_protocol マッピングされていません このフィールドは UDM にマッピングされません。
rs-status additional.fields[].key: "rs-status"
additional.fields[].value.string_value: rs-status
network.http.response_code: rs-status		 対応する JSON フィールドから直接マッピングされます。
s-ip target.asset.ip[]: s-ip
target.ip[]: s-ip		 対応する JSON フィールドから直接マッピングされます。
sc-bytes network.received_bytes: sc-bytes 対応する JSON フィールドから直接マッピングされます。
sc-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: sc-content-type		 対応する JSON フィールドから直接マッピングされます。
sc-status network.http.response_code: sc-status 対応する JSON フィールドから直接マッピングされます。
serverBytes network.received_bytes: serverBytes 対応する CEF フィールドから直接マッピングされます。
sha256 target.file.sha256: sha256 対応する CEF フィールドから直接マッピングされます。
src principal.ip[]: src 対応する CEF フィールドから直接マッピングされます。
src_country principal.location.country_or_region: src_country 対応する grokked フィールドから直接マッピングされます。
src_ip principal.asset.ip[]: src_ip
principal.ip[]: src_ip		 対応する grokked フィールドから直接マッピングされます。
src_latitude マッピングされていません このフィールドは UDM にマッピングされません。
src_location principal.location.city: src_location 対応する grokked フィールドから直接マッピングされます。
src_longitude マッピングされていません このフィールドは UDM にマッピングされません。
src_region principal.location.state: src_region 対応する grokked フィールドから直接マッピングされます。
src_zip マッピングされていません このフィールドは UDM にマッピングされません。
suser principal.user.user_display_name: suser 対応する CEF フィールドから直接マッピングされます。
target_host target.asset.hostname[]: target_host
target.hostname: target_host		 対応する grokked フィールドから直接マッピングされます。
time metadata.event_timestamp.seconds: date フィールドと time フィールドからのエポック秒
metadata.event_timestamp.nanos: 0		 日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。
timestamp metadata.event_timestamp.seconds: timestamp 対応する CEF フィールドから直接マッピングされます。
ts metadata.event_timestamp.seconds: ts
metadata.event_timestamp.nanos からのエポック秒数: 0		 タイムスタンプはエポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。
url target.url: url 対応する CEF フィールドから直接マッピングされます。
user_agent network.http.parsed_user_agent: パースされたユーザー エージェント
network.http.user_agent: user_agent		 network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して user_agent フィールドをパースすることで得られます。
user_ip マッピングされていません このフィールドは UDM にマッピングされません。
user_key principal.user.email_addresses[]: user_key 対応する grokked フィールドから直接マッピングされます。
version マッピングされていません このフィールドは UDM にマッピングされません。
x-c-browser additional.fields[].key: "x-c-browser"
additional.fields[].value.string_value: x-c-browser		 対応する JSON フィールドから直接マッピングされます。
x-c-browser-version additional.fields[].key: "x-c-browser-version"
additional.fields[].value.string_value: x-c-browser-version		 対応する JSON フィールドから直接マッピングされます。
x-c-country principal.location.country_or_region: x-c-country 対応する JSON フィールドから直接マッピングされます。
x-c-device additional.fields[].key: "x-c-device"
additional.fields[].value.string_value: x-c-device		 対応する JSON フィールドから直接マッピングされます。
x-c-latitude principal.location.region_coordinates.latitude: x-c-latitude 対応する JSON フィールドから直接マッピングされます。
x-c-local-time security_result.detection_fields[].key: "x-c-local-time"
security_result.detection_fields[].value: x-c-local-time		 対応する JSON フィールドから直接マッピングされます。
x-c-location principal.location.name: x-c-location 対応する JSON フィールドから直接マッピングされます。
x-c-longitude principal.location.region_coordinates.longitude: x-c-longitude 対応する JSON フィールドから直接マッピングされます。
x-c-os principal.platform: 派生値 プラットフォームは x-c-os フィールドから導出されます。「Windows」は WINDOWS に、「MAC」は MAC に、「LINUX」は LINUX にマッピングされます。
x-c-region principal.location.state: x-c-region 対応する JSON フィールドから直接マッピングされます。
x-c-zipcode additional.fields[].key: "x-c-zipcode"
additional.fields[].value.string_value: x-c-zipcode		 対応する JSON フィールドから直接マッピングされます。
x-category additional.fields[].key: "x-category"
additional.fields[].value.string_value: x-category		 対応する JSON フィールドから直接マッピングされます。
x-category-id additional.fields[].key: "x-category-id"
additional.fields[].value.string_value: x-category-id		 対応する JSON フィールドから直接マッピングされます。
x-cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: x-cs-access-method		 対応する JSON フィールドから直接マッピングされます。
x-cs-app principal.application: x-cs-app
additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: x-cs-app		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: x-cs-app-activity		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: x-cs-app-category		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: x-cs-app-cci		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: x-cs-app-from-user		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-object-id additional.fields[].key: "x-cs-app-object-id"
additional.fields[].value.string_value: x-cs-app-object-id		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: x-cs-app-object-name		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: x-cs-app-object-type		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: x-cs-app-suite		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: x-cs-app-tags		 対応する JSON フィールドから直接マッピングされます。
x-cs-app-to-user additional.fields[].key: "x-cs-app-to-user"
additional.fields[].value.string_value: x-cs-app-to-user		 対応する JSON フィールドから直接マッピングされます。
x-cs-dst-ip security_result.detection_fields[].key: "x-cs-dst-ip"
security_result.detection_fields[].value: x-cs-dst-ip
target.asset.ip[]: x-cs-dst-ip
target.ip[]: x-cs-dst-ip		 対応する JSON フィールドから直接マッピングされます。
x-cs-dst-port security_result.detection_fields[].key: "x-cs-dst-port"
security_result.detection_fields[].value: x-cs-dst-port
target.port: x-cs-dst-port		 対応する JSON フィールドから直接マッピングされます。
x-cs-http-version security_result.detection_fields[].key: "x-cs-http-version"
security_result.detection_fields[].value: x-cs-http-version		 対応する JSON フィールドから直接マッピングされます。
x-cs-page-id additional.fields[].key: "x-cs-page-id"
additional.fields[].value.string_value: x-cs-page-id		 対応する JSON フィールドから直接マッピングされます。
x-cs-session-id network.session_id: x-cs-session-id 対応する JSON フィールドから直接マッピングされます。
x-cs-site additional.fields[].key: "x-cs-site"
additional.fields[].value.string_value: x-cs-site		 対応する JSON フィールドから直接マッピングされます。
x-cs-sni network.tls.client.server_name: x-cs-sni 対応する JSON フィールドから直接マッピングされます。
x-cs-src-ip principal.asset.ip[]: x-cs-src-ip
principal.ip[]: x-cs-src-ip
security_result.detection_fields[].key: "x-cs-src-ip"
security_result.detection_fields[].value: x-cs-src-ip		 対応する JSON フィールドから直接マッピングされます。
x-cs-src-ip-egress principal.asset.ip[]: x-cs-src-ip-egress
principal.ip[]: x-cs-src-ip-egress
security_result.detection_fields[].key: "x-cs-src-ip-egress"
security_result.detection_fields[].value: x-cs-src-ip-egress		 対応する JSON フィールドから直接マッピングされます。
x-cs-src-port principal.port: x-cs-src-port
security_result.detection_fields[].key: "x-cs-src-port"
security_result.detection_fields[].value: x-cs-src-port		 対応する JSON フィールドから直接マッピングされます。
x-cs-ssl-cipher network.tls.cipher: x-cs-ssl-cipher 対応する JSON フィールドから直接マッピングされます。
x-cs-ssl-fronting-error security_result.detection_fields[].key: "x-cs-ssl-fronting-error"
security_result.detection_fields[].value: x-cs-ssl-fronting-error		 対応する JSON フィールドから直接マッピングされます。
x-cs-ssl-handshake-error security_result.detection_fields[].key: "x-cs-ssl-handshake-error"
security_result.detection_fields[].value: x-cs-ssl-handshake-error		 対応する JSON フィールドから直接マッピングされます。
x-cs-ssl-ja3 network.tls.client.ja3: x-cs-ssl-ja3 対応する JSON フィールドから直接マッピングされます。
x-cs-ssl-version network.tls.version: x-cs-ssl-version 対応する JSON フィールドから直接マッピングされます。
x-cs-timestamp metadata.event_timestamp.seconds: x-cs-timestamp 対応する JSON フィールドから直接マッピングされます。
x-cs-traffic-type additional.fields[].key: "trafficType"
additional.fields[].value.string_value: x-cs-traffic-type		 対応する JSON フィールドから直接マッピングされます。
x-cs-tunnel-src-ip security_result.detection_fields[].key: "x-cs-tunnel-src-ip"
security_result.detection_fields[].value: x-cs-tunnel-src-ip		 対応する JSON フィールドから直接マッピングされます。
x-cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: x-cs-uri-path		 対応する JSON フィールドから直接マッピングされます。
x-cs-url target.url: x-cs-url 対応する JSON フィールドから直接マッピングされます。
x-cs-userip security_result.detection_fields[].key: "x-cs-userip"
security_result.detection_fields[].value: x-cs-userip		 対応する JSON フィールドから直接マッピングされます。
x-other-category security_result.category_details[]: x-other-category 対応する JSON フィールドから直接マッピングされます。
x-other-category-id security_result.detection_fields[].key: "x-other-category-id"
security_result.detection_fields[].value: x-other-category-id		 対応する JSON フィールドから直接マッピングされます。
x-policy-action security_result.action: 派生値
security_result.action_details: x-policy-action		 security_result.action は、x-policy-action を大文字に変換することで導出されます。大文字の値が「ALLOW」または「BLOCK」の場合、その値が直接使用されます。それ以外の場合はマッピングされません。
security_result.action_detailsx-policy-action から直接マッピングされます。
x-policy-dst-host security_result.detection_fields[].key: "x-policy-dst-host"
security_result.detection_fields[].value: x-policy-dst-host		 対応する JSON フィールドから直接マッピングされます。
x-policy-dst-host-source security_result.detection_fields[].key: "x-policy-dst-host-source"
security_result.detection_fields[].value: x-policy-dst-host-source		 対応する JSON フィールドから直接マッピングされます。
x-policy-dst-ip security_result.detection_fields[].key: "x-policy-dst-ip"
security_result.detection_fields[].value: x-policy-dst-ip		 対応する JSON フィールドから直接マッピングされます。
x-policy-name security_result.rule_name: x-policy-name 対応する JSON フィールドから直接マッピングされます。
x-policy-src-ip security_result.detection_fields[].key: "x-policy-src-ip"
security_result.detection_fields[].value: x-policy-src-ip		 対応する JSON フィールドから直接マッピングされます。
x-r-cert-enddate network.tls.server.certificate.not_after.seconds: x-r-cert-enddate からのエポック秒数 日付はエポック秒に変換されます。
x-r-cert-expired additional.fields[].key: "x-r-cert-expired"
additional.fields[].value.string_value: x-r-cert-expired		 対応する JSON フィールドから直接マッピングされます。
x-r-cert-incomplete-chain additional.fields[].key: "x-r-cert-incomplete-chain"
additional.fields[].value.string_value: x-r-cert-incomplete-chain		 対応する JSON フィールドから直接マッピングされます。
x-r-cert-issuer-cn network.tls.server.certificate.issuer: x-r-cert-issuer-cn 対応する JSON フィールドから直接マッピングされます。
x-r-cert-mismatch additional.fields[].key: "x-r-cert-mismatch"
additional.fields[].value.string_value: x-r-cert-mismatch		 対応する JSON フィールドから直接マッピングされます。
x-r-cert-revoked additional.fields[].key: "x-r-cert-revoked"
additional.fields[].value.string_value: x-r-cert-revoked		 対応する JSON フィールドから直接マッピングされます。
x-r-cert-self-signed additional.fields[].key: "x-r-cert-self-signed"
additional.fields[].value.string_value: x-r-cert-self-signed		 対応する JSON フィールドから直接マッピングされます。
x-r-cert-startdate network.tls.server.certificate.not_before.seconds: x-r-cert-startdate からのエポック秒数 日付はエポック秒に変換されます。
x-r-cert-subject-cn network.tls.server.certificate.subject: x-r-cert-subject-cn 対応する JSON フィールドから直接マッピングされます。
x-r-cert-untrusted-root additional.fields[].key: "x-r-cert-untrusted-root"
additional.fields[].value.string_value: x-r-cert-untrusted-root		 対応する JSON フィールドから直接マッピングされます。
x-r-cert-valid additional.fields[].key: "x-r-cert-valid"
additional.fields[].value.string_value: x-r-cert-valid		 対応する JSON フィールドから直接マッピングされます。
x-request-id additional.fields[].key: "requestId"
additional.fields[].value.string_value: x-request-id		 対応する JSON フィールドから直接マッピングされます。
x-rs-file-category additional.fields[].key: "x-rs-file-category"
additional.fields[].value.string_value: x-rs-file-category		 対応する JSON フィールドから直接マッピングされます。
x-rs-file-type additional.fields[].key: "x-rs-file-type"
additional.fields[].value.string_value: x-rs-file-type		 対応する JSON フィールドから直接マッピングされます。
x-s-country target.location.country_or_region: x-s-country 対応する JSON フィールドから直接マッピングされます。
x-s-dp-name additional.fields[].key: "x-s-dp-name"
additional.fields[].value.string_value: x-s-dp-name		 対応する JSON フィールドから直接マッピングされます。
x-s-latitude target.location.region_coordinates.latitude: x-s-latitude 対応する JSON フィールドから直接マッピングされます。
x-s-location target.location.name: x-s-location 対応する JSON フィールドから直接マッピングされます。
x-s-longitude target.location.region_coordinates.longitude: x-s-longitude 対応する JSON フィールドから直接マッピングされます。
x-s-region target.location.state: x-s-region 対応する JSON フィールドから直接マッピングされます。
x-s-zipcode additional.fields[].key: "x-s-zipcode"
additional.fields[].value.string_value: x-s-zipcode		 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-cipher security_result.detection_fields[].key: "x-sr-ssl-cipher"
security_result.detection_fields[].value: x-sr-ssl-cipher		 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error		 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-engine-action security_result.detection_fields[].key: "x-sr-ssl-engine-action"
security_result.detection_fields[].value: x-sr-ssl-engine-action		 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-engine-action-reason security_result.detection_fields[].key: "x-sr-ssl-engine-action-reason"
security_result.detection_fields[].value: x-sr-ssl-engine-action-reason		 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-handshake-error security_result.detection_fields[].key: "x-sr-ssl-handshake-error"
security_result.detection_fields[].value: x-sr-ssl-handshake-error		 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-ja3s network.tls.server.ja3s: x-sr-ssl-ja3s 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-malformed-ssl security_result.detection_fields[].key: "x-sr-ssl-malformed-ssl"
security_result.detection_fields[].value: x-sr-ssl-malformed-ssl		 対応する JSON フィールドから直接マッピングされます。
x-sr-ssl-version security_result.detection_fields[].key: "x-sr-ssl-version"
security_result.detection_fields[].value: x-sr-ssl-version		 対応する JSON フィールドから直接マッピングされます。
x-s-custom-signing-ca-error security_result.detection_fields[].key: "x-s-custom-signing-ca-error"
security_result.detection_fields[].value: x-s-custom-signing-ca-error		 対応する JSON フィールドから直接マッピングされます。
x-ssl-bypass security_result.detection_fields[].key: "SSL BYPASS"
security_result.detection_fields[].value: x-ssl-bypass または x-ssl-bypass-reason		 x-ssl-bypass が「Yes」で、x-ssl-bypass-reason が存在する場合、x-ssl-bypass-reason の値が使用されます。それ以外の場合は、x-ssl-bypass の値が使用されます。
x-ssl-policy-action security_result.detection_fields[].key: "x-ssl-policy-action"
security_result.detection_fields[].value: x-ssl-policy-action		 対応する JSON フィールドから直接マッピングされます。
x-ssl-policy-categories security_result.category_details[]: x-ssl-policy-categories 対応する JSON フィールドから直接マッピングされます。
x-ssl-policy-dst-host security_result.detection_fields[].key: "x-ssl-policy-dst-host"
security_result.detection_fields[].value: x-ssl-policy-dst-host		 対応する JSON フィールドから直接マッピングされます。
x-ssl-policy-dst-host-source security_result.detection_fields[].key: "x-ssl-policy-dst-host-source"
security_result.detection_fields[].value: x-ssl-policy-dst-host-source		 対応する JSON フィールドから直接マッピングされます。
x-ssl-policy-dst-ip security_result.detection_fields[].key: "x-ssl-policy-dst-ip"
security_result.detection_fields[].value: x-ssl-policy-dst-ip		 対応する JSON フィールドから直接マッピングされます。
x-ssl-policy-name security_result.rule_name: x-ssl-policy-name 対応する JSON フィールドから直接マッピングされます。
x-ssl-policy-src-ip security_result.detection_fields[].key: "x-ssl-policy-src-ip"
security_result.detection_fields[].value: x-ssl-policy-src-ip		 対応する JSON フィールドから直接マッピングされます。
x-sr-dst-ip security_result.detection_fields[].key: "x-sr-dst-ip"
security_result.detection_fields[].value: x-sr-dst-ip		 対応する JSON フィールドから直接マッピングされます。
x-sr-dst-port security_result.detection_fields[].key: "x-sr-dst-port"
security_result.detection_fields[].value: x-sr-dst-port		 対応する JSON フィールドから直接マッピングされます。
x-type additional.fields[].key: "xType"
additional.fields[].value.string_value: x-type		 対応する JSON フィールドから直接マッピングされます。
x-transaction-id additional.fields[].key: "transactionId"
additional.fields[].value.string_value: x-transaction-id		 対応する JSON フィールドから直接マッピングされます。
なし metadata.vendor_name: "Netskope" パーサーのハードコードされた値。
なし metadata.product_name: 「Netskope Webproxy」 まだ存在しない場合は、「Netskope Webproxy」に設定します。
なし metadata.log_type: 「NETSKOPE_WEBPROXY」 パーサーのハードコードされた値。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。