此页面由 Cloud Translation API 翻译。

收集 Netskope Web 代理日志

支持的语言：

Google SecOps SIEM

此解析器可处理 CEF 和非 CEF 格式的 Netskope Web 代理日志。它会提取字段、执行数据转换（例如转换时间戳或合并字段）、将它们映射到 UDM，并添加 Netskope 特有的元数据。解析器使用条件逻辑来处理不同的日志格式和字段可用性，并使用相关的网络、安全和应用详细信息来丰富 UDM。

准备工作

确保您拥有 Google Security Operations 实例。
确保您拥有 Netskope 的特权访问权限。
确保您已配置日志传送器模块。
确保您拥有 Google SecOps 服务账号密钥（请与 Google SecOps 团队联系，以获取具有以下范围的服务账号：https://www.googleapis.com/auth/malachite-ingestion）。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

在 CE 中配置 Netskope 租户

依次前往设置 > 常规。
将 Log Shipper 开关切换为开启
在设置中，前往 Netskope 租户。
如果未配置任何租户，请点击添加租户。
输入以下值：
- 名称：为您的租户提供一个容易记住的名称。
- 租户名称：输入 Netskope 租户的真实名称。
- V2 API 令牌：输入您的 Netskope API 令牌。
- 提醒过滤条件：添加您想要注入的网络代理提醒。
- 初始范围：输入您要注入的历史数据量（以天为单位）。
- 点击保存。

配置 Netskope CLS 插件

依次前往设置 > 插件。
搜索并选择 Netskope (CLS) 框，以打开插件创建页面。
输入以下详细信息：
- 配置名称：为此插件输入一个容易记住的名称。
- 租户：从列表中选择您在上一步中创建的租户。
- 点击下一步。
- 根据需要更新活动类型列表。
- 初始范围：输入您要注入的历史数据量（以小时为单位）。
- 点击保存。

在 Netskope 中配置 Google SecOps 插件

依次前往设置 > 插件。
搜索并选择 Chronicle (CLS) 框，以打开插件创建页面。
输入以下详细信息：
- 配置名称：为此插件输入一个名称。
- 映射：保留默认选择。
- 将开关切换为开启状态 When enabled logs will be transformed using the selected mapping file。
- 点击下一步。
- 区域：选择 Google SecOps 的区域。
- 自定义区域网址：可选设置，仅当在上一步中选择了自定义区域时才需要进行设置。
- 服务账号密钥：输入 Google SecOps 提供的 JSON 密钥。
- 客户 ID：输入 Google SecOps 租户的客户 ID。
- 点击保存。

为 Google SecOps 配置日志传送器业务规则

依次前往日志传送程序 > 业务规则。
默认情况下，系统会有一条过滤所有提醒和事件的业务规则。
如果您想过滤掉任何特定类型的提醒或事件，请点击创建新规则，然后添加规则名称和过滤条件，以配置新的业务规则。
点击保存。

为 Google SecOps 配置 Log Shipper SIEM 映射

依次前往日志传送器 > SIEM 映射
点击添加 SIEM 映射。
输入以下详细信息：
- Source Configuration（来源配置）：选择 Netskope CLS 插件。
- 目标配置：选择 Google SecOps 插件。
- 业务规则：选择您之前创建的规则。
- 点击保存。

验证在 Netskope 中拉取事件和提醒以及相应的工作流

前往 Netskope Cloud Exchange 中的 Logging。
搜索提取的日志。
在 Logging 中，使用过滤条件 message contains ingested 搜索已提取的事件和提醒。
系统将过滤提取的日志。

UDM 映射表

日志字段	UDM 映射	逻辑
`applicationType`	`security_result.detection_fields[].key`: "applicationType" `security_result.detection_fields[].value`: `applicationType`	直接从相应的 CEF 字段映射。
`appcategory`	`security_result.category_details[]`：`appcategory`	直接从相应的 CEF 字段映射。
`browser`	`security_result.detection_fields[].key`: "browser" `security_result.detection_fields[].value`: `browser`	直接从相应的 CEF 字段映射。
`c-ip`	`principal.asset.ip[]`：`c-ip` `principal.ip[]`：`c-ip`	直接从相应的 JSON 字段映射。
`cci`	`security_result.detection_fields[].key`: "cci" `security_result.detection_fields[].value`: `cci`	直接从相应的 CEF 字段映射。
`ccl`	`security_result.confidence`：派生值 `security_result.confidence_details`：`ccl`	`security_result.confidence` 是根据 `ccl` 的值派生的：“excellent”或“high”映射到 `HIGH_CONFIDENCE`，“medium”映射到 `MEDIUM_CONFIDENCE`，“low”或“poor”映射到 `LOW_CONFIDENCE`，“unknown”或“not_defined”映射到 `UNKNOWN_CONFIDENCE`。 `security_result.confidence_details` 直接从 `ccl` 映射。
`clientBytes`	`network.sent_bytes`：`clientBytes`	直接从相应的 CEF 字段映射。
`cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `cs-access-method`	直接从相应的 JSON 字段映射。
`cs-app`	`additional.fields[].key`: "x-cs-app" `additional.fields[].value.string_value`: `cs-app` `principal.application`: `cs-app`	直接从相应的 JSON 字段映射。
`cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `cs-app-activity`	直接从相应的 JSON 字段映射。
`cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `cs-app-category`	直接从相应的 JSON 字段映射。
`cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `cs-app-cci`	直接从相应的 JSON 字段映射。
`cs-app-ccl`	`additional.fields[].key`: "x-cs-app-ccl" `additional.fields[].value.string_value`: `cs-app-ccl`	直接从相应的 JSON 字段映射。
`cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `cs-app-from-user` `principal.user.email_addresses[]`: `cs-app-from-user`	直接从相应的 JSON 字段映射。
`cs-app-instance-id`	`additional.fields[].key`: "x-cs-app-instance-id" `additional.fields[].value.string_value`: `cs-app-instance-id`	直接从相应的 JSON 字段映射。
`cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `cs-app-object-name`	直接从相应的 JSON 字段映射。
`cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `cs-app-object-type`	直接从相应的 JSON 字段映射。
`cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `cs-app-suite`	直接从相应的 JSON 字段映射。
`cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `cs-app-tags`	直接从相应的 JSON 字段映射。
`cs-bytes`	`network.sent_bytes`：`cs-bytes`	直接从相应的 JSON 字段映射。
`cs-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `cs-content-type`	直接从相应的 JSON 字段映射。
`cs-dns`	`target.asset.hostname[]`：`cs-dns` `target.hostname`：`cs-dns`	直接从相应的 JSON 字段映射。
`cs-host`	`target.asset.hostname[]`：`cs-host` `target.hostname`：`cs-host`	直接从相应的 JSON 字段映射。
`cs-method`	`network.http.method`：`cs-method`	直接从相应的 JSON 字段映射。
`cs-referer`	`network.http.referral_url`：`cs-referer`	直接从相应的 JSON 字段映射。
`cs-uri`	`additional.fields[].key`: "cs-uri" `additional.fields[].value.string_value`: `cs-uri`	直接从相应的 JSON 字段映射。
`cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `cs-uri-path`	直接从相应的 JSON 字段映射。
`cs-uri-port`	`additional.fields[].key`: "cs-uri-port" `additional.fields[].value.string_value`: `cs-uri-port`	直接从相应的 JSON 字段映射。
`cs-uri-scheme`	`network.application_protocol`：`cs-uri-scheme`	在转换为大写后直接从相应的 JSON 字段映射。
`cs-user-agent`	`network.http.parsed_user_agent`：已解析的用户代理 `network.http.user_agent`：`cs-user-agent`	`network.http.parsed_user_agent` 是通过使用“parseduseragent”过滤条件解析 `cs-user-agent` 字段得出的。
`cs-username`	`principal.user.userid`：`cs-username`	直接从相应的 JSON 字段映射。
`date`	`metadata.event_timestamp.seconds`：来自 `date` 和 `time` 字段的纪元秒数 `metadata.event_timestamp.nanos`：0	日期和时间会合并并转换为纪元秒和纳秒。纳秒设置为 0。
`device`	`intermediary.hostname`：`device`	直接从相应的 CEF 字段映射。
`dst`	`target.ip[]`：`dst`	直接从相应的 CEF 字段映射。
`dst_country`	`target.location.country_or_region`：`dst_country`	直接从相应的 grokked 字段映射。
`dst_ip`	`target.asset.ip[]`：`dst_ip` `target.ip[]`：`dst_ip`	直接从相应的 grokked 字段映射。
`dst_location`	`target.location.city`：`dst_location`	直接从相应的 grokked 字段映射。
`dst_region`	`target.location.state`：`dst_region`	直接从相应的 grokked 字段映射。
`dst_zip`	未映射	此字段未映射到 UDM。
`duser`	`target.user.email_addresses[]`：`duser` `target.user.user_display_name`：`duser`	直接从相应的 CEF 字段映射。
`dvchost`	`about.hostname`：`dvchost` `target.asset.hostname[]`：`dvchost` `target.hostname`：`dvchost`	直接从相应的 CEF 字段映射。
`event_timestamp`	`metadata.event_timestamp.seconds`：`event_timestamp`	直接从相应的 grokked 字段映射。
`hostname`	`target.asset.hostname[]`：`hostname` `target.hostname`：`hostname`	直接从相应的 CEF 字段映射。
`IncidentID`	`security_result.detection_fields[].key`: "IncidentID" `security_result.detection_fields[].value`: `IncidentID`	直接从相应的 CEF 字段映射。
`intermediary`	`intermediary`：`intermediary`	直接从相应的 CEF 字段映射。
`md5`	`target.file.md5`：`md5`	直接从相应的 CEF 字段映射。
`message`	各种 UDM 字段	系统会根据 `message` 字段是否包含“CEF”来解析该字段。如果存在，则将其视为 CEF 日志。否则，系统会将其解析为以空格分隔的字符串或 JSON。如需了解详情，请参阅“解析逻辑”部分。
`mime_type1`	未映射	此字段未映射到 UDM。
`mime_type2`	未映射	此字段未映射到 UDM。
`mwDetectionEngine`	`additional.fields[].key`: "mwDetectionEngine" `additional.fields[].value.string_value`: `mwDetectionEngine`	直接从相应的 CEF 字段映射。
`mwType`	`metadata.description`：`mwType`	直接从相应的 CEF 字段映射。
`os`	`principal.platform`：派生值	平台派生自 `os` 字段：“Windows”映射到 `WINDOWS`，“MAC”映射到 `MAC`，“LINUX”映射到 `LINUX`。
`page`	`network.http.referral_url`：`page`	直接从相应的 CEF 字段映射。
`port`	未映射	此字段未映射到 UDM。
`referer`	`network.http.referral_url`：`referer`	直接从相应的 CEF 字段映射。
`requestClientApplication`	`network.http.parsed_user_agent`：已解析的用户代理 `network.http.user_agent`：`requestClientApplication`	`network.http.parsed_user_agent` 是通过使用“parseduseragent”过滤条件解析 `requestClientApplication` 字段得出的。
`request_method`	`network.http.method`：`request_method`	直接从相应的 grokked 字段映射。
`request_protocol`	未映射	此字段未映射到 UDM。
`rs-status`	`additional.fields[].key`: "rs-status" `additional.fields[].value.string_value`: `rs-status` `network.http.response_code`: `rs-status`	直接从相应的 JSON 字段映射。
`s-ip`	`target.asset.ip[]`：`s-ip` `target.ip[]`：`s-ip`	直接从相应的 JSON 字段映射。
`sc-bytes`	`network.received_bytes`：`sc-bytes`	直接从相应的 JSON 字段映射。
`sc-content-type`	`additional.fields[].key`: "sc-content-type" `additional.fields[].value.string_value`: `sc-content-type`	直接从相应的 JSON 字段映射。
`sc-status`	`network.http.response_code`：`sc-status`	直接从相应的 JSON 字段映射。
`serverBytes`	`network.received_bytes`：`serverBytes`	直接从相应的 CEF 字段映射。
`sha256`	`target.file.sha256`：`sha256`	直接从相应的 CEF 字段映射。
`src`	`principal.ip[]`：`src`	直接从相应的 CEF 字段映射。
`src_country`	`principal.location.country_or_region`：`src_country`	直接从相应的 grokked 字段映射。
`src_ip`	`principal.asset.ip[]`：`src_ip` `principal.ip[]`：`src_ip`	直接从相应的 grokked 字段映射。
`src_latitude`	未映射	此字段未映射到 UDM。
`src_location`	`principal.location.city`：`src_location`	直接从相应的 grokked 字段映射。
`src_longitude`	未映射	此字段未映射到 UDM。
`src_region`	`principal.location.state`：`src_region`	直接从相应的 grokked 字段映射。
`src_zip`	未映射	此字段未映射到 UDM。
`suser`	`principal.user.user_display_name`：`suser`	直接从相应的 CEF 字段映射。
`target_host`	`target.asset.hostname[]`：`target_host` `target.hostname`：`target_host`	直接从相应的 grokked 字段映射。
`time`	`metadata.event_timestamp.seconds`：来自 `date` 和 `time` 字段的纪元秒数 `metadata.event_timestamp.nanos`：0	日期和时间会合并并转换为纪元秒和纳秒。纳秒设置为 0。
`timestamp`	`metadata.event_timestamp.seconds`：`timestamp`	直接从相应的 CEF 字段映射。
`ts`	`metadata.event_timestamp.seconds`：自 `ts` `metadata.event_timestamp.nanos` 以来的纪元秒数：0	时间戳会转换为纪元秒数和纳秒数。纳秒设置为 0。
`url`	`target.url`：`url`	直接从相应的 CEF 字段映射。
`user_agent`	`network.http.parsed_user_agent`：已解析的用户代理 `network.http.user_agent`：`user_agent`	`network.http.parsed_user_agent` 是通过使用“parseduseragent”过滤条件解析 `user_agent` 字段得出的。
`user_ip`	未映射	此字段未映射到 UDM。
`user_key`	`principal.user.email_addresses[]`：`user_key`	直接从相应的 grokked 字段映射。
`version`	未映射	此字段未映射到 UDM。
`x-c-browser`	`additional.fields[].key`: "x-c-browser" `additional.fields[].value.string_value`: `x-c-browser`	直接从相应的 JSON 字段映射。
`x-c-browser-version`	`additional.fields[].key`: "x-c-browser-version" `additional.fields[].value.string_value`: `x-c-browser-version`	直接从相应的 JSON 字段映射。
`x-c-country`	`principal.location.country_or_region`：`x-c-country`	直接从相应的 JSON 字段映射。
`x-c-device`	`additional.fields[].key`: "x-c-device" `additional.fields[].value.string_value`: `x-c-device`	直接从相应的 JSON 字段映射。
`x-c-latitude`	`principal.location.region_coordinates.latitude`：`x-c-latitude`	直接从相应的 JSON 字段映射。
`x-c-local-time`	`security_result.detection_fields[].key`: "x-c-local-time" `security_result.detection_fields[].value`: `x-c-local-time`	直接从相应的 JSON 字段映射。
`x-c-location`	`principal.location.name`：`x-c-location`	直接从相应的 JSON 字段映射。
`x-c-longitude`	`principal.location.region_coordinates.longitude`：`x-c-longitude`	直接从相应的 JSON 字段映射。
`x-c-os`	`principal.platform`：派生值	平台派生自 `x-c-os` 字段：“Windows”映射到 `WINDOWS`，“MAC”映射到 `MAC`，“LINUX”映射到 `LINUX`。
`x-c-region`	`principal.location.state`：`x-c-region`	直接从相应的 JSON 字段映射。
`x-c-zipcode`	`additional.fields[].key`: "x-c-zipcode" `additional.fields[].value.string_value`: `x-c-zipcode`	直接从相应的 JSON 字段映射。
`x-category`	`additional.fields[].key`: "x-category" `additional.fields[].value.string_value`: `x-category`	直接从相应的 JSON 字段映射。
`x-category-id`	`additional.fields[].key`: "x-category-id" `additional.fields[].value.string_value`: `x-category-id`	直接从相应的 JSON 字段映射。
`x-cs-access-method`	`additional.fields[].key`: "accessMethod" `additional.fields[].value.string_value`: `x-cs-access-method`	直接从相应的 JSON 字段映射。
`x-cs-app`	`principal.application`：`x-cs-app` `additional.fields[].key`：“x-cs-app” `additional.fields[].value.string_value`：`x-cs-app`	直接从相应的 JSON 字段映射。
`x-cs-app-activity`	`additional.fields[].key`: "x-cs-app-activity" `additional.fields[].value.string_value`: `x-cs-app-activity`	直接从相应的 JSON 字段映射。
`x-cs-app-category`	`additional.fields[].key`: "x-cs-app-category" `additional.fields[].value.string_value`: `x-cs-app-category`	直接从相应的 JSON 字段映射。
`x-cs-app-cci`	`additional.fields[].key`: "x-cs-app-cci" `additional.fields[].value.string_value`: `x-cs-app-cci`	直接从相应的 JSON 字段映射。
`x-cs-app-from-user`	`additional.fields[].key`: "x-cs-app-from-user" `additional.fields[].value.string_value`: `x-cs-app-from-user`	直接从相应的 JSON 字段映射。
`x-cs-app-object-id`	`additional.fields[].key`: "x-cs-app-object-id" `additional.fields[].value.string_value`: `x-cs-app-object-id`	直接从相应的 JSON 字段映射。
`x-cs-app-object-name`	`additional.fields[].key`: "x-cs-app-object-name" `additional.fields[].value.string_value`: `x-cs-app-object-name`	直接从相应的 JSON 字段映射。
`x-cs-app-object-type`	`additional.fields[].key`: "x-cs-app-object-type" `additional.fields[].value.string_value`: `x-cs-app-object-type`	直接从相应的 JSON 字段映射。
`x-cs-app-suite`	`additional.fields[].key`: "x-cs-app-suite" `additional.fields[].value.string_value`: `x-cs-app-suite`	直接从相应的 JSON 字段映射。
`x-cs-app-tags`	`additional.fields[].key`: "x-cs-app-tags" `additional.fields[].value.string_value`: `x-cs-app-tags`	直接从相应的 JSON 字段映射。
`x-cs-app-to-user`	`additional.fields[].key`: "x-cs-app-to-user" `additional.fields[].value.string_value`: `x-cs-app-to-user`	直接从相应的 JSON 字段映射。
`x-cs-dst-ip`	`security_result.detection_fields[].key`：“x-cs-dst-ip” `security_result.detection_fields[].value`：`x-cs-dst-ip` `target.asset.ip[]`：`x-cs-dst-ip` `target.ip[]`：`x-cs-dst-ip`	直接从相应的 JSON 字段映射。
`x-cs-dst-port`	`security_result.detection_fields[].key`：“x-cs-dst-port” `security_result.detection_fields[].value`：`x-cs-dst-port` `target.port`：`x-cs-dst-port`	直接从相应的 JSON 字段映射。
`x-cs-http-version`	`security_result.detection_fields[].key`: "x-cs-http-version" `security_result.detection_fields[].value`: `x-cs-http-version`	直接从相应的 JSON 字段映射。
`x-cs-page-id`	`additional.fields[].key`: "x-cs-page-id" `additional.fields[].value.string_value`: `x-cs-page-id`	直接从相应的 JSON 字段映射。
`x-cs-session-id`	`network.session_id`：`x-cs-session-id`	直接从相应的 JSON 字段映射。
`x-cs-site`	`additional.fields[].key`: "x-cs-site" `additional.fields[].value.string_value`: `x-cs-site`	直接从相应的 JSON 字段映射。
`x-cs-sni`	`network.tls.client.server_name`：`x-cs-sni`	直接从相应的 JSON 字段映射。
`x-cs-src-ip`	`principal.asset.ip[]`: `x-cs-src-ip` `principal.ip[]`: `x-cs-src-ip` `security_result.detection_fields[].key`: "x-cs-src-ip" `security_result.detection_fields[].value`: `x-cs-src-ip`	直接从相应的 JSON 字段映射。
`x-cs-src-ip-egress`	`principal.asset.ip[]`: `x-cs-src-ip-egress` `principal.ip[]`: `x-cs-src-ip-egress` `security_result.detection_fields[].key`: "x-cs-src-ip-egress" `security_result.detection_fields[].value`: `x-cs-src-ip-egress`	直接从相应的 JSON 字段映射。
`x-cs-src-port`	`principal.port`: `x-cs-src-port` `security_result.detection_fields[].key`: "x-cs-src-port" `security_result.detection_fields[].value`: `x-cs-src-port`	直接从相应的 JSON 字段映射。
`x-cs-ssl-cipher`	`network.tls.cipher`：`x-cs-ssl-cipher`	直接从相应的 JSON 字段映射。
`x-cs-ssl-fronting-error`	`security_result.detection_fields[].key`: "x-cs-ssl-fronting-error" `security_result.detection_fields[].value`: `x-cs-ssl-fronting-error`	直接从相应的 JSON 字段映射。
`x-cs-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-cs-ssl-handshake-error" `security_result.detection_fields[].value`: `x-cs-ssl-handshake-error`	直接从相应的 JSON 字段映射。
`x-cs-ssl-ja3`	`network.tls.client.ja3`：`x-cs-ssl-ja3`	直接从相应的 JSON 字段映射。
`x-cs-ssl-version`	`network.tls.version`：`x-cs-ssl-version`	直接从相应的 JSON 字段映射。
`x-cs-timestamp`	`metadata.event_timestamp.seconds`：`x-cs-timestamp`	直接从相应的 JSON 字段映射。
`x-cs-traffic-type`	`additional.fields[].key`: "trafficType" `additional.fields[].value.string_value`: `x-cs-traffic-type`	直接从相应的 JSON 字段映射。
`x-cs-tunnel-src-ip`	`security_result.detection_fields[].key`: "x-cs-tunnel-src-ip" `security_result.detection_fields[].value`: `x-cs-tunnel-src-ip`	直接从相应的 JSON 字段映射。
`x-cs-uri-path`	`additional.fields[].key`: "x-cs-uri-path" `additional.fields[].value.string_value`: `x-cs-uri-path`	直接从相应的 JSON 字段映射。
`x-cs-url`	`target.url`：`x-cs-url`	直接从相应的 JSON 字段映射。
`x-cs-userip`	`security_result.detection_fields[].key`: "x-cs-userip" `security_result.detection_fields[].value`: `x-cs-userip`	直接从相应的 JSON 字段映射。
`x-other-category`	`security_result.category_details[]`：`x-other-category`	直接从相应的 JSON 字段映射。
`x-other-category-id`	`security_result.detection_fields[].key`: "x-other-category-id" `security_result.detection_fields[].value`: `x-other-category-id`	直接从相应的 JSON 字段映射。
`x-policy-action`	`security_result.action`：派生值 `security_result.action_details`：`x-policy-action`	`security_result.action` 是通过将 `x-policy-action` 转换为大写派生而来的。如果大写值为“ALLOW”或“BLOCK”，则直接使用。否则，它不会被映射。 `security_result.action_details` 直接从 `x-policy-action` 映射。
`x-policy-dst-host`	`security_result.detection_fields[].key`: "x-policy-dst-host" `security_result.detection_fields[].value`: `x-policy-dst-host`	直接从相应的 JSON 字段映射。
`x-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-policy-dst-host-source" `security_result.detection_fields[].value`: `x-policy-dst-host-source`	直接从相应的 JSON 字段映射。
`x-policy-dst-ip`	`security_result.detection_fields[].key`: "x-policy-dst-ip" `security_result.detection_fields[].value`: `x-policy-dst-ip`	直接从相应的 JSON 字段映射。
`x-policy-name`	`security_result.rule_name`：`x-policy-name`	直接从相应的 JSON 字段映射。
`x-policy-src-ip`	`security_result.detection_fields[].key`: "x-policy-src-ip" `security_result.detection_fields[].value`: `x-policy-src-ip`	直接从相应的 JSON 字段映射。
`x-r-cert-enddate`	`network.tls.server.certificate.not_after.seconds`：自 `x-r-cert-enddate` 以来的纪元秒数	日期会转换为纪元秒数。
`x-r-cert-expired`	`additional.fields[].key`: "x-r-cert-expired" `additional.fields[].value.string_value`: `x-r-cert-expired`	直接从相应的 JSON 字段映射。
`x-r-cert-incomplete-chain`	`additional.fields[].key`: "x-r-cert-incomplete-chain" `additional.fields[].value.string_value`: `x-r-cert-incomplete-chain`	直接从相应的 JSON 字段映射。
`x-r-cert-issuer-cn`	`network.tls.server.certificate.issuer`：`x-r-cert-issuer-cn`	直接从相应的 JSON 字段映射。
`x-r-cert-mismatch`	`additional.fields[].key`: "x-r-cert-mismatch" `additional.fields[].value.string_value`: `x-r-cert-mismatch`	直接从相应的 JSON 字段映射。
`x-r-cert-revoked`	`additional.fields[].key`: "x-r-cert-revoked" `additional.fields[].value.string_value`: `x-r-cert-revoked`	直接从相应的 JSON 字段映射。
`x-r-cert-self-signed`	`additional.fields[].key`: "x-r-cert-self-signed" `additional.fields[].value.string_value`: `x-r-cert-self-signed`	直接从相应的 JSON 字段映射。
`x-r-cert-startdate`	`network.tls.server.certificate.not_before.seconds`：自 `x-r-cert-startdate` 以来的纪元秒数	日期会转换为纪元秒数。
`x-r-cert-subject-cn`	`network.tls.server.certificate.subject`：`x-r-cert-subject-cn`	直接从相应的 JSON 字段映射。
`x-r-cert-untrusted-root`	`additional.fields[].key`: "x-r-cert-untrusted-root" `additional.fields[].value.string_value`: `x-r-cert-untrusted-root`	直接从相应的 JSON 字段映射。
`x-r-cert-valid`	`additional.fields[].key`: "x-r-cert-valid" `additional.fields[].value.string_value`: `x-r-cert-valid`	直接从相应的 JSON 字段映射。
`x-request-id`	`additional.fields[].key`: "requestId" `additional.fields[].value.string_value`: `x-request-id`	直接从相应的 JSON 字段映射。
`x-rs-file-category`	`additional.fields[].key`: "x-rs-file-category" `additional.fields[].value.string_value`: `x-rs-file-category`	直接从相应的 JSON 字段映射。
`x-rs-file-type`	`additional.fields[].key`: "x-rs-file-type" `additional.fields[].value.string_value`: `x-rs-file-type`	直接从相应的 JSON 字段映射。
`x-s-country`	`target.location.country_or_region`：`x-s-country`	直接从相应的 JSON 字段映射。
`x-s-dp-name`	`additional.fields[].key`: "x-s-dp-name" `additional.fields[].value.string_value`: `x-s-dp-name`	直接从相应的 JSON 字段映射。
`x-s-latitude`	`target.location.region_coordinates.latitude`：`x-s-latitude`	直接从相应的 JSON 字段映射。
`x-s-location`	`target.location.name`：`x-s-location`	直接从相应的 JSON 字段映射。
`x-s-longitude`	`target.location.region_coordinates.longitude`：`x-s-longitude`	直接从相应的 JSON 字段映射。
`x-s-region`	`target.location.state`：`x-s-region`	直接从相应的 JSON 字段映射。
`x-s-zipcode`	`additional.fields[].key`: "x-s-zipcode" `additional.fields[].value.string_value`: `x-s-zipcode`	直接从相应的 JSON 字段映射。
`x-sr-ssl-cipher`	`security_result.detection_fields[].key`: "x-sr-ssl-cipher" `security_result.detection_fields[].value`: `x-sr-ssl-cipher`	直接从相应的 JSON 字段映射。
`x-sr-ssl-client-certificate-error`	`security_result.detection_fields[].key`: "x-sr-ssl-client-certificate-error" `security_result.detection_fields[].value`: `x-sr-ssl-client-certificate-error`	直接从相应的 JSON 字段映射。
`x-sr-ssl-engine-action`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action`	直接从相应的 JSON 字段映射。
`x-sr-ssl-engine-action-reason`	`security_result.detection_fields[].key`: "x-sr-ssl-engine-action-reason" `security_result.detection_fields[].value`: `x-sr-ssl-engine-action-reason`	直接从相应的 JSON 字段映射。
`x-sr-ssl-handshake-error`	`security_result.detection_fields[].key`: "x-sr-ssl-handshake-error" `security_result.detection_fields[].value`: `x-sr-ssl-handshake-error`	直接从相应的 JSON 字段映射。
`x-sr-ssl-ja3s`	`network.tls.server.ja3s`：`x-sr-ssl-ja3s`	直接从相应的 JSON 字段映射。
`x-sr-ssl-malformed-ssl`	`security_result.detection_fields[].key`: "x-sr-ssl-malformed-ssl" `security_result.detection_fields[].value`: `x-sr-ssl-malformed-ssl`	直接从相应的 JSON 字段映射。
`x-sr-ssl-version`	`security_result.detection_fields[].key`: "x-sr-ssl-version" `security_result.detection_fields[].value`: `x-sr-ssl-version`	直接从相应的 JSON 字段映射。
`x-s-custom-signing-ca-error`	`security_result.detection_fields[].key`: "x-s-custom-signing-ca-error" `security_result.detection_fields[].value`: `x-s-custom-signing-ca-error`	直接从相应的 JSON 字段映射。
`x-ssl-bypass`	`security_result.detection_fields[].key`: "SSL BYPASS" `security_result.detection_fields[].value`: `x-ssl-bypass` 或 `x-ssl-bypass-reason`	如果 `x-ssl-bypass` 为“是”且存在 `x-ssl-bypass-reason`，则使用 `x-ssl-bypass-reason` 的值。否则，使用 `x-ssl-bypass` 的值。
`x-ssl-policy-action`	`security_result.detection_fields[].key`: "x-ssl-policy-action" `security_result.detection_fields[].value`: `x-ssl-policy-action`	直接从相应的 JSON 字段映射。
`x-ssl-policy-categories`	`security_result.category_details[]`：`x-ssl-policy-categories`	直接从相应的 JSON 字段映射。
`x-ssl-policy-dst-host`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host`	直接从相应的 JSON 字段映射。
`x-ssl-policy-dst-host-source`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-host-source" `security_result.detection_fields[].value`: `x-ssl-policy-dst-host-source`	直接从相应的 JSON 字段映射。
`x-ssl-policy-dst-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-dst-ip" `security_result.detection_fields[].value`: `x-ssl-policy-dst-ip`	直接从相应的 JSON 字段映射。
`x-ssl-policy-name`	`security_result.rule_name`：`x-ssl-policy-name`	直接从相应的 JSON 字段映射。
`x-ssl-policy-src-ip`	`security_result.detection_fields[].key`: "x-ssl-policy-src-ip" `security_result.detection_fields[].value`: `x-ssl-policy-src-ip`	直接从相应的 JSON 字段映射。
`x-sr-dst-ip`	`security_result.detection_fields[].key`: "x-sr-dst-ip" `security_result.detection_fields[].value`: `x-sr-dst-ip`	直接从相应的 JSON 字段映射。
`x-sr-dst-port`	`security_result.detection_fields[].key`: "x-sr-dst-port" `security_result.detection_fields[].value`: `x-sr-dst-port`	直接从相应的 JSON 字段映射。
`x-type`	`additional.fields[].key`: "xType" `additional.fields[].value.string_value`: `x-type`	直接从相应的 JSON 字段映射。
`x-transaction-id`	`additional.fields[].key`: "transactionId" `additional.fields[].value.string_value`: `x-transaction-id`	直接从相应的 JSON 字段映射。
不适用	`metadata.vendor_name`：“Netskope”	解析器中的硬编码值。
不适用	`metadata.product_name`：“Netskope Webproxy”	如果尚未设置，则设置为“Netskope Webproxy”。
不适用	`metadata.log_type`：“NETSKOPE_WEBPROXY”	解析器中的硬编码值。