Esta página foi traduzida pela API Cloud Translation.

Recolha registos de proxy da Web do Netskope

Compatível com:

Google secops SIEM

Este analisador processa registos de proxy Web do Netskope formatados em CEF e não CEF. Extrai campos, realiza transformações de dados (por exemplo, converte datas/horas ou une campos), mapeia-os para o UDM e adiciona metadados específicos do Netskope. O analisador usa lógica condicional para processar diferentes formatos de registos e disponibilidade de campos, enriquecendo os DUM com detalhes relevantes da rede, segurança e aplicação.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que tem acesso privilegiado ao Netskope.
Certifique-se de que tem um módulo Log Shipper configurado.
Certifique-se de que tem uma chave da conta de serviço do Google SecOps (contacte a equipa do Google SecOps para obter uma conta de serviço com os seguintes âmbitos: https://www.googleapis.com/auth/malachite-ingestion).

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Configure o inquilino do Netskope na CE

Aceda a Definições > Geral.
Ative o interrutor Log Shipper
Em Definições, aceda a Inquilinos do Netskope.
Se não estiverem configurados inquilinos, clique em Adicionar inquilino.
Introduza os seguintes valores:
- Nome: indique um nome memorável para o seu inquilino.
- Nome do inquilino: introduza o nome real do seu inquilino do Netskope.
- Chave da API v2: introduza a chave da API Netskope.
- Filtros de alertas: adicione os alertas de proxy Web que quer carregar.
- Intervalo inicial: introduza a quantidade de dados do histórico que quer carregar (em dias).
- Clique em Guardar.

Configure o plug-in CLS do Netskope

Aceda a Definições > Plug-ins.
Pesquise e selecione a caixa Netskope (CLS) para abrir a página de criação de plug-ins.
Introduza os seguintes detalhes:
- Nome da configuração: introduza um nome memorável para este plug-in.
- Inquilino: selecione o inquilino que criou no passo anterior na lista.
- Clicar em Seguinte.
- Atualize a lista de Tipos de eventos conforme necessário.
- Intervalo inicial: introduza a quantidade de dados do histórico que quer carregar (em horas).
- Clique em Guardar.

Configure um plug-in do Google SecOps no Netskope

Aceda a Definições > Plug-ins.
Pesquise e selecione a caixa Chronicle (CLS) para abrir a página de criação de plug-ins.
Introduza os seguintes detalhes:
- Nome da configuração: introduza um nome para este plug-in.
- Mapeamento: deixe a seleção predefinida.
- Ative a opção ATIVADO When enabled logs will be transformed using the selected mapping file.
- Clicar em Seguinte.
- Região: selecione a região do Google SecOps.
- URL da região personalizada: definição opcional que só é necessária se tiver selecionado Região personalizada no passo anterior.
- Chave da conta de serviço: introduza a chave JSON fornecida pela Google SecOps.
- ID de cliente: introduza o ID de cliente do seu inquilino do Google SecOps.
- Clique em Guardar.

Configure uma regra empresarial de encaminhamento de registos para o Google SecOps

Aceda a Log Shipper > Regras empresariais.
Por predefinição, existe uma regra empresarial que filtra todos os alertas e eventos.
Se quiser filtrar qualquer tipo específico de alerta ou evento, clique em Criar nova regra e configure uma nova regra empresarial adicionando o nome e o filtro da regra.
Clique em Guardar.

Configure os mapeamentos do SIEM do Log Shipper para o Google SecOps

Aceda a Log Shipper > Mapeamentos de SIEM
Clique em Adicionar mapeamento de SIEM.
Introduza os seguintes detalhes:
- Configuração da origem: selecione o plug-in CLS do Netskope.
- Configuração do destino: selecione o plug-in do Google SecOps.
- Regra empresarial: selecione a regra que criou anteriormente.
- Clique em Guardar.

Valide a obtenção e o fluxo de trabalho de eventos e alertas no Netskope

Aceda a Registo no Netskope Cloud Exchange.
Pesquise os registos extraídos.
Em Registo, pesquise eventos e alertas carregados com o filtro message contains ingested.
Os registos carregados são filtrados.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`applicationType`	`security_result.detection_fields[].key`: "applicationType" `security_result.detection_fields[].value`: `applicationType`	Mapeado diretamente a partir do campo CEF correspondente.
`appcategory`	`security_result.category_details[]`: `appcategory`	Mapeado diretamente a partir do campo CEF correspondente.
`browser`	`security_result.detection_fields[].key`: "browser" `security_result.detection_fields[].value`: `browser`	Mapeado diretamente a partir do campo CEF correspondente.
`c-ip`	`principal.asset.ip[]`: `c-ip` `principal.ip[]`: `c-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`cci`	`security_result.detection_fields[].key`: "cci" `security_result.detection_fields[].value`: `cci`	Mapeado diretamente a partir do campo CEF correspondente.
`ccl`	`security_result.confidence`: Valor derivado `security_result.confidence_details`: `ccl`	`security_result.confidence` é derivado com base no valor de `ccl`: "excelente" ou "elevado" corresponde a `HIGH_CONFIDENCE`, "médio" corresponde a `MEDIUM_CONFIDENCE`, "baixo" ou "fraco" corresponde a `LOW_CONFIDENCE` e "desconhecido" ou "not_defined" corresponde a `UNKNOWN_CONFIDENCE`. `security_result.confidence_details` está diretamente mapeado a partir de `ccl`.
`clientBytes`	`network.sent_bytes`: `clientBytes`	Mapeado diretamente a partir do campo CEF correspondente.
`cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `cs-access-method`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app`	`additional.fields[].key`: "x-cs-app" `additional.fields[].value.string_value`: `cs-app` `principal.application`: `cs-app`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `cs-app-activity`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `cs-app-category`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `cs-app-cci`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-ccl`	`additional.fields[].key`: "x-cs-app-ccl" `additional.fields[].value.string_value`: `cs-app-ccl`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `cs-app-from-user` `principal.user.email_addresses[]`: `cs-app-from-user`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-instance-id`	`additional.fields[].key`: "x-cs-app-instance-id" `additional.fields[].value.string_value`: `cs-app-instance-id`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `cs-app-object-name`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `cs-app-object-type`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `cs-app-suite`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `cs-app-tags`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-bytes`	`network.sent_bytes`: `cs-bytes`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `cs-content-type`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-dns`	`target.asset.hostname[]`: `cs-dns` `target.hostname`: `cs-dns`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-host`	`target.asset.hostname[]`: `cs-host` `target.hostname`: `cs-host`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-method`	`network.http.method`: `cs-method`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-referer`	`network.http.referral_url`: `cs-referer`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-uri`	`additional.fields[].key`: "cs-uri" `additional.fields[].value.string_value`: `cs-uri`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `cs-uri-path`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-uri-port`	`additional.fields[].key`: "cs-uri-port" `additional.fields[].value.string_value`: `cs-uri-port`	Mapeado diretamente a partir do campo JSON correspondente.
`cs-uri-scheme`	`network.application_protocol`: `cs-uri-scheme`	Mapeado diretamente a partir do campo JSON correspondente após a conversão para letras maiúsculas.
`cs-user-agent`	`network.http.parsed_user_agent`: Agente do utilizador analisado `network.http.user_agent`: `cs-user-agent`	`network.http.parsed_user_agent` é derivado da análise do campo `cs-user-agent` através do filtro "parseduseragent".
`cs-username`	`principal.user.userid`: `cs-username`	Mapeado diretamente a partir do campo JSON correspondente.
`date`	`metadata.event_timestamp.seconds`: segundos de época dos campos `date` e `time` `metadata.event_timestamp.nanos`: 0	A data e a hora são combinadas e convertidas em segundos e nanosegundos da época. Os nanosegundos estão definidos como 0.
`device`	`intermediary.hostname`: `device`	Mapeado diretamente a partir do campo CEF correspondente.
`dst`	`target.ip[]`: `dst`	Mapeado diretamente a partir do campo CEF correspondente.
`dst_country`	`target.location.country_or_region`: `dst_country`	Mapeado diretamente a partir do campo analisado correspondente.
`dst_ip`	`target.asset.ip[]`: `dst_ip` `target.ip[]`: `dst_ip`	Mapeado diretamente a partir do campo analisado correspondente.
`dst_location`	`target.location.city`: `dst_location`	Mapeado diretamente a partir do campo analisado correspondente.
`dst_region`	`target.location.state`: `dst_region`	Mapeado diretamente a partir do campo analisado correspondente.
`dst_zip`	Não mapeado	Este campo não está mapeado para o UDM.
`duser`	`target.user.email_addresses[]`: `duser` `target.user.user_display_name`: `duser`	Mapeado diretamente a partir do campo CEF correspondente.
`dvchost`	`about.hostname`: `dvchost` `target.asset.hostname[]`: `dvchost` `target.hostname`: `dvchost`	Mapeado diretamente a partir do campo CEF correspondente.
`event_timestamp`	`metadata.event_timestamp.seconds`: `event_timestamp`	Mapeado diretamente a partir do campo analisado correspondente.
`hostname`	`target.asset.hostname[]`: `hostname` `target.hostname`: `hostname`	Mapeado diretamente a partir do campo CEF correspondente.
`IncidentID`	`security_result.detection_fields[].key`: "IncidentID" `security_result.detection_fields[].value`: `IncidentID`	Mapeado diretamente a partir do campo CEF correspondente.
`intermediary`	`intermediary`: `intermediary`	Mapeado diretamente a partir do campo CEF correspondente.
`md5`	`target.file.md5`: `md5`	Mapeado diretamente a partir do campo CEF correspondente.
`message`	Vários campos UDM	O campo `message` é analisado com base no facto de conter "CEF". Se for o caso, é tratado como um registo CEF. Caso contrário, é analisado como uma string delimitada por espaços ou JSON. Consulte a secção "Lógica de análise" para ver detalhes.
`mime_type1`	Não mapeado	Este campo não está mapeado para o UDM.
`mime_type2`	Não mapeado	Este campo não está mapeado para o UDM.
`mwDetectionEngine`	`additional.fields[].key`: "mwDetectionEngine" `additional.fields[].value.string_value`: `mwDetectionEngine`	Mapeado diretamente a partir do campo CEF correspondente.
`mwType`	`metadata.description`: `mwType`	Mapeado diretamente a partir do campo CEF correspondente.
`os`	`principal.platform`: valor derivado	A plataforma é derivada do campo `os`: "Windows" é mapeado para `WINDOWS`, "MAC" é mapeado para `MAC` e "LINUX" é mapeado para `LINUX`.
`page`	`network.http.referral_url`: `page`	Mapeado diretamente a partir do campo CEF correspondente.
`port`	Não mapeado	Este campo não está mapeado para o UDM.
`referer`	`network.http.referral_url`: `referer`	Mapeado diretamente a partir do campo CEF correspondente.
`requestClientApplication`	`network.http.parsed_user_agent`: Agente do utilizador analisado `network.http.user_agent`: `requestClientApplication`	`network.http.parsed_user_agent` é derivado da análise do campo `requestClientApplication` através do filtro "parseduseragent".
`request_method`	`network.http.method`: `request_method`	Mapeado diretamente a partir do campo analisado correspondente.
`request_protocol`	Não mapeado	Este campo não está mapeado para o UDM.
`rs-status`	`additional.fields[].key`: "rs-status" `additional.fields[].value.string_value`: `rs-status` `network.http.response_code`: `rs-status`	Mapeado diretamente a partir do campo JSON correspondente.
`s-ip`	`target.asset.ip[]`: `s-ip` `target.ip[]`: `s-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`sc-bytes`	`network.received_bytes`: `sc-bytes`	Mapeado diretamente a partir do campo JSON correspondente.
`sc-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `sc-content-type`	Mapeado diretamente a partir do campo JSON correspondente.
`sc-status`	`network.http.response_code`: `sc-status`	Mapeado diretamente a partir do campo JSON correspondente.
`serverBytes`	`network.received_bytes`: `serverBytes`	Mapeado diretamente a partir do campo CEF correspondente.
`sha256`	`target.file.sha256`: `sha256`	Mapeado diretamente a partir do campo CEF correspondente.
`src`	`principal.ip[]`: `src`	Mapeado diretamente a partir do campo CEF correspondente.
`src_country`	`principal.location.country_or_region`: `src_country`	Mapeado diretamente a partir do campo analisado correspondente.
`src_ip`	`principal.asset.ip[]`: `src_ip` `principal.ip[]`: `src_ip`	Mapeado diretamente a partir do campo analisado correspondente.
`src_latitude`	Não mapeado	Este campo não está mapeado para o UDM.
`src_location`	`principal.location.city`: `src_location`	Mapeado diretamente a partir do campo analisado correspondente.
`src_longitude`	Não mapeado	Este campo não está mapeado para o UDM.
`src_region`	`principal.location.state`: `src_region`	Mapeado diretamente a partir do campo analisado correspondente.
`src_zip`	Não mapeado	Este campo não está mapeado para o UDM.
`suser`	`principal.user.user_display_name`: `suser`	Mapeado diretamente a partir do campo CEF correspondente.
`target_host`	`target.asset.hostname[]`: `target_host` `target.hostname`: `target_host`	Mapeado diretamente a partir do campo analisado correspondente.
`time`	`metadata.event_timestamp.seconds`: segundos de época dos campos `date` e `time` `metadata.event_timestamp.nanos`: 0	A data e a hora são combinadas e convertidas em segundos e nanosegundos da época. Os nanosegundos estão definidos como 0.
`timestamp`	`metadata.event_timestamp.seconds`: `timestamp`	Mapeado diretamente a partir do campo CEF correspondente.
`ts`	`metadata.event_timestamp.seconds`: segundos da época a partir de `ts` `metadata.event_timestamp.nanos`: 0	A data/hora é convertida em segundos e nanosegundos de época. Os nanosegundos estão definidos como 0.
`url`	`target.url`: `url`	Mapeado diretamente a partir do campo CEF correspondente.
`user_agent`	`network.http.parsed_user_agent`: Agente do utilizador analisado `network.http.user_agent`: `user_agent`	`network.http.parsed_user_agent` é derivado da análise do campo `user_agent` através do filtro "parseduseragent".
`user_ip`	Não mapeado	Este campo não está mapeado para o UDM.
`user_key`	`principal.user.email_addresses[]`: `user_key`	Mapeado diretamente a partir do campo analisado correspondente.
`version`	Não mapeado	Este campo não está mapeado para o UDM.
`x-c-browser`	`additional.fields[].key`: "x-c-browser" `additional.fields[].value.string_value`: `x-c-browser`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-browser-version`	`additional.fields[].key`: "x-c-browser-version" `additional.fields[].value.string_value`: `x-c-browser-version`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-country`	`principal.location.country_or_region`: `x-c-country`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-device`	`additional.fields[].key`: "x-c-device" `additional.fields[].value.string_value`: `x-c-device`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-latitude`	`principal.location.region_coordinates.latitude`: `x-c-latitude`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-local-time`	`security_result.detection_fields[].key`: "x-c-local-time" `security_result.detection_fields[].value`: `x-c-local-time`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-location`	`principal.location.name`: `x-c-location`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-longitude`	`principal.location.region_coordinates.longitude`: `x-c-longitude`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-os`	`principal.platform`: valor derivado	A plataforma é derivada do campo `x-c-os`: "Windows" é mapeado para `WINDOWS`, "MAC" é mapeado para `MAC` e "LINUX" é mapeado para `LINUX`.
`x-c-region`	`principal.location.state`: `x-c-region`	Mapeado diretamente a partir do campo JSON correspondente.
`x-c-zipcode`	`additional.fields[].key`: "x-c-zipcode" `additional.fields[].value.string_value`: `x-c-zipcode`	Mapeado diretamente a partir do campo JSON correspondente.
`x-category`	`additional.fields[].key`: "x-category" `additional.fields[].value.string_value`: `x-category`	Mapeado diretamente a partir do campo JSON correspondente.
`x-category-id`	`additional.fields[].key`: "x-category-id" `additional.fields[].value.string_value`: `x-category-id`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `x-cs-access-method`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app`	`principal.application`: `x-cs-app` `additional.fields[].key`: "x-cs-app" `additional.fields[].value.string_value`: `x-cs-app`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `x-cs-app-activity`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `x-cs-app-category`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `x-cs-app-cci`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `x-cs-app-from-user`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-object-id`	`additional.fields[].key`: "x-cs-app-object-id" `additional.fields[].value.string_value`: `x-cs-app-object-id`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `x-cs-app-object-name`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `x-cs-app-object-type`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `x-cs-app-suite`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `x-cs-app-tags`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-app-to-user`	`additional.fields[].key`: "x-cs-app-to-user" `additional.fields[].value.string_value`: `x-cs-app-to-user`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-dst-ip`	`security_result.detection_fields[].key`: "x-cs-dst-ip" `security_result.detection_fields[].value`: `x-cs-dst-ip` `target.asset.ip[]`: `x-cs-dst-ip` `target.ip[]`: `x-cs-dst-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-dst-port`	`security_result.detection_fields[].key`: "x-cs-dst-port" `security_result.detection_fields[].value`: `x-cs-dst-port` `target.port`: `x-cs-dst-port`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-http-version`	`security_result.detection_fields[].key`: "x-cs-http-version" `security_result.detection_fields[].value`: `x-cs-http-version`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-page-id`	`additional.fields[].key`: "x-cs-page-id" `additional.fields[].value.string_value`: `x-cs-page-id`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-session-id`	`network.session_id`: `x-cs-session-id`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-site`	`additional.fields[].key`: "x-cs-site" `additional.fields[].value.string_value`: `x-cs-site`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-sni`	`network.tls.client.server_name`: `x-cs-sni`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-src-ip`	`principal.asset.ip[]`: `x-cs-src-ip` `principal.ip[]`: `x-cs-src-ip` `security_result.detection_fields[].key`: "x-cs-src-ip" `security_result.detection_fields[].value`: `x-cs-src-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-src-ip-egress`	`principal.asset.ip[]`: `x-cs-src-ip-egress` `principal.ip[]`: `x-cs-src-ip-egress` `security_result.detection_fields[].key`: "x-cs-src-ip-egress" `security_result.detection_fields[].value`: `x-cs-src-ip-egress`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-src-port`	`principal.port`: `x-cs-src-port` `security_result.detection_fields[].key`: "x-cs-src-port" `security_result.detection_fields[].value`: `x-cs-src-port`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-ssl-cipher`	`network.tls.cipher`: `x-cs-ssl-cipher`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-ssl-fronting-error`	`security_result.detection_fields[].key`: "x-cs-ssl-fronting-error" `security_result.detection_fields[].value`: `x-cs-ssl-fronting-error`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-cs-ssl-handshake-error" `security_result.detection_fields[].value`: `x-cs-ssl-handshake-error`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-ssl-ja3`	`network.tls.client.ja3`: `x-cs-ssl-ja3`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-ssl-version`	`network.tls.version`: `x-cs-ssl-version`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-timestamp`	`metadata.event_timestamp.seconds`: `x-cs-timestamp`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-traffic-type`	`additional.fields[].key`: "trafficType" `additional.fields[].value.string_value`: `x-cs-traffic-type`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-tunnel-src-ip`	`security_result.detection_fields[].key`: "x-cs-tunnel-src-ip" `security_result.detection_fields[].value`: `x-cs-tunnel-src-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `x-cs-uri-path`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-url`	`target.url`: `x-cs-url`	Mapeado diretamente a partir do campo JSON correspondente.
`x-cs-userip`	`security_result.detection_fields[].key`: "x-cs-userip" `security_result.detection_fields[].value`: `x-cs-userip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-other-category`	`security_result.category_details[]`: `x-other-category`	Mapeado diretamente a partir do campo JSON correspondente.
`x-other-category-id`	`security_result.detection_fields[].key`: "x-other-category-id" `security_result.detection_fields[].value`: `x-other-category-id`	Mapeado diretamente a partir do campo JSON correspondente.
`x-policy-action`	`security_result.action`: Valor derivado `security_result.action_details`: `x-policy-action`	`security_result.action` é derivado da conversão de `x-policy-action` em letras maiúsculas. Se o valor em maiúsculas for "ALLOW" ou "BLOCK", é usado diretamente. Caso contrário, não é mapeado. `security_result.action_details` é mapeado diretamente a partir de `x-policy-action`.
`x-policy-dst-host`	`security_result.detection_fields[].key`: "x-policy-dst-host" `security_result.detection_fields[].value`: `x-policy-dst-host`	Mapeado diretamente a partir do campo JSON correspondente.
`x-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-policy-dst-host-source" `security_result.detection_fields[].value`: `x-policy-dst-host-source`	Mapeado diretamente a partir do campo JSON correspondente.
`x-policy-dst-ip`	`security_result.detection_fields[].key`: "x-policy-dst-ip" `security_result.detection_fields[].value`: `x-policy-dst-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-policy-name`	`security_result.rule_name`: `x-policy-name`	Mapeado diretamente a partir do campo JSON correspondente.
`x-policy-src-ip`	`security_result.detection_fields[].key`: "x-policy-src-ip" `security_result.detection_fields[].value`: `x-policy-src-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-enddate`	`network.tls.server.certificate.not_after.seconds`: segundos desde o início da época Unix de `x-r-cert-enddate`	A data é convertida em segundos de época.
`x-r-cert-expired`	`additional.fields[].key`: "x-r-cert-expired" `additional.fields[].value.string_value`: `x-r-cert-expired`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-incomplete-chain`	`additional.fields[].key`: "x-r-cert-incomplete-chain" `additional.fields[].value.string_value`: `x-r-cert-incomplete-chain`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-issuer-cn`	`network.tls.server.certificate.issuer`: `x-r-cert-issuer-cn`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-mismatch`	`additional.fields[].key`: "x-r-cert-mismatch" `additional.fields[].value.string_value`: `x-r-cert-mismatch`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-revoked`	`additional.fields[].key`: "x-r-cert-revoked" `additional.fields[].value.string_value`: `x-r-cert-revoked`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-self-signed`	`additional.fields[].key`: "x-r-cert-self-signed" `additional.fields[].value.string_value`: `x-r-cert-self-signed`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-startdate`	`network.tls.server.certificate.not_before.seconds`: segundos desde o início da época Unix de `x-r-cert-startdate`	A data é convertida em segundos de época.
`x-r-cert-subject-cn`	`network.tls.server.certificate.subject`: `x-r-cert-subject-cn`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-untrusted-root`	`additional.fields[].key`: "x-r-cert-untrusted-root" `additional.fields[].value.string_value`: `x-r-cert-untrusted-root`	Mapeado diretamente a partir do campo JSON correspondente.
`x-r-cert-valid`	`additional.fields[].key`: "x-r-cert-valid" `additional.fields[].value.string_value`: `x-r-cert-valid`	Mapeado diretamente a partir do campo JSON correspondente.
`x-request-id`	`additional.fields[].key`: "requestId" `additional.fields[].value.string_value`: `x-request-id`	Mapeado diretamente a partir do campo JSON correspondente.
`x-rs-file-category`	`additional.fields[].key`: "x-rs-file-category" `additional.fields[].value.string_value`: `x-rs-file-category`	Mapeado diretamente a partir do campo JSON correspondente.
`x-rs-file-type`	`additional.fields[].key`: "x-rs-file-type" `additional.fields[].value.string_value`: `x-rs-file-type`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-country`	`target.location.country_or_region`: `x-s-country`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-dp-name`	`additional.fields[].key`: "x-s-dp-name" `additional.fields[].value.string_value`: `x-s-dp-name`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-latitude`	`target.location.region_coordinates.latitude`: `x-s-latitude`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-location`	`target.location.name`: `x-s-location`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-longitude`	`target.location.region_coordinates.longitude`: `x-s-longitude`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-region`	`target.location.state`: `x-s-region`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-zipcode`	`additional.fields[].key`: "x-s-zipcode" `additional.fields[].value.string_value`: `x-s-zipcode`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-cipher`	`security_result.detection_fields[].key`: "x-sr-ssl-cipher" `security_result.detection_fields[].value`: `x-sr-ssl-cipher`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-client-certificate-error`	`security_result.detection_fields[].key`: "x-sr-ssl-client-certificate-error" `security_result.detection_fields[].value`: `x-sr-ssl-client-certificate-error`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-engine-action`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-engine-action-reason`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action-reason" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action-reason`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-sr-ssl-handshake-error" `security_result.detection_fields[].value`: `x-sr-ssl-handshake-error`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-ja3s`	`network.tls.server.ja3s`: `x-sr-ssl-ja3s`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-malformed-ssl`	`security_result.detection_fields[].key`: "x-sr-ssl-malformed-ssl" `security_result.detection_fields[].value`: `x-sr-ssl-malformed-ssl`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-ssl-version`	`security_result.detection_fields[].key`: "x-sr-ssl-version" `security_result.detection_fields[].value`: `x-sr-ssl-version`	Mapeado diretamente a partir do campo JSON correspondente.
`x-s-custom-signing-ca-error`	`security_result.detection_fields[].key`: "x-s-custom-signing-ca-error" `security_result.detection_fields[].value`: `x-s-custom-signing-ca-error`	Mapeado diretamente a partir do campo JSON correspondente.
`x-ssl-bypass`	`security_result.detection_fields[].key`: "SSL BYPASS" `security_result.detection_fields[].value`: `x-ssl-bypass` ou `x-ssl-bypass-reason`	Se `x-ssl-bypass` for "Sim" e `x-ssl-bypass-reason` estiver presente, é usado o valor de `x-ssl-bypass-reason`. Caso contrário, é usado o valor de `x-ssl-bypass`.
`x-ssl-policy-action`	`security_result.detection_fields[].key`: "x-ssl-policy-action" `security_result.detection_fields[].value`: `x-ssl-policy-action`	Mapeado diretamente a partir do campo JSON correspondente.
`x-ssl-policy-categories`	`security_result.category_details[]`: `x-ssl-policy-categories`	Mapeado diretamente a partir do campo JSON correspondente.
`x-ssl-policy-dst-host`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host`	Mapeado diretamente a partir do campo JSON correspondente.
`x-ssl-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host-source" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host-source`	Mapeado diretamente a partir do campo JSON correspondente.
`x-ssl-policy-dst-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-ip" `security_result.detection_fields[].value`: `x-ssl-policy-dst-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-ssl-policy-name`	`security_result.rule_name`: `x-ssl-policy-name`	Mapeado diretamente a partir do campo JSON correspondente.
`x-ssl-policy-src-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-src-ip" `security_result.detection_fields[].value`: `x-ssl-policy-src-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-dst-ip`	`security_result.detection_fields[].key`: "x-sr-dst-ip" `security_result.detection_fields[].value`: `x-sr-dst-ip`	Mapeado diretamente a partir do campo JSON correspondente.
`x-sr-dst-port`	`security_result.detection_fields[].key`: "x-sr-dst-port" `security_result.detection_fields[].value`: `x-sr-dst-port`	Mapeado diretamente a partir do campo JSON correspondente.
`x-type`	`additional.fields[].key`: "xType" `additional.fields[].value.string_value`: `x-type`	Mapeado diretamente a partir do campo JSON correspondente.
`x-transaction-id`	`additional.fields[].key`: "transactionId" `additional.fields[].value.string_value`: `x-transaction-id`	Mapeado diretamente a partir do campo JSON correspondente.
N/A	`metadata.vendor_name`: "Netskope"	Valor codificado no analisador.
N/A	`metadata.product_name`: "Netskope Webproxy"	Definido como "Netskope Webproxy" se ainda não estiver presente.
N/A	`metadata.log_type`: "NETSKOPE_WEBPROXY"	Valor codificado no analisador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.