收集 Netskope 網頁 Proxy 記錄

支援的國家/地區:

這個剖析器會處理 CEF 和非 CEF 格式的 Netskope 網路 Proxy 記錄。這項擴充功能會擷取欄位、執行資料轉換 (例如轉換時間戳記或合併欄位)、將欄位對應至 UDM,並新增 Netskope 專屬的中繼資料。剖析器會使用條件式邏輯處理不同的記錄格式和欄位可用性,並透過相關網路、安全性及應用程式詳細資料擴充 UDM。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您擁有 Netskope 的特殊權限。
  • 確認您已設定 Log Shipper 模組。
  • 確認您擁有 Google SecOps 服務帳戶金鑰 (請與 Google SecOps 團隊聯絡,取得具有下列範圍的服務帳戶:https://www.googleapis.com/auth/malachite-ingestion)。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

在 CE 中設定 Netskope 租戶

  1. 依序前往「設定」>「一般」
  2. 將「記錄檔寄送者」切換為「開啟」
  3. 在「設定」中,前往「Netskope Tenants」
  4. 如果未設定任何租戶,請按一下「新增租戶」
  5. 輸入下列值:
    • 名稱:為租戶提供容易記住的名稱。
    • 租戶名稱:輸入 Netskope 租戶的實際名稱。
    • V2 API 權杖:輸入 Netskope API 權杖。
    • 快訊篩選器:新增您要擷取的網路 Proxy 快訊。
    • 初始範圍:輸入要擷取的歷來資料量 (以天為單位)。
    • 按一下 [儲存]

設定 Netskope CLS 外掛程式

  1. 依序前往「設定」>「外掛程式」
  2. 搜尋並選取「Netskope (CLS)」方塊,開啟外掛程式建立頁面。
  3. 輸入下列詳細資料:
    • 設定名稱:輸入這個外掛程式的名稱,方便您記憶。
    • 租戶:從清單中選取您在上一步建立的租戶。
    • 點選「下一步」
    • 視需要更新「事件類型」清單。
    • 初始範圍:輸入要擷取的歷來資料量 (以小時為單位)。
    • 按一下 [儲存]

在 Netskope 中設定 Google SecOps 外掛程式

  1. 依序前往「設定」>「外掛程式」
  2. 搜尋並選取「Chronicle (CLS)」方塊,開啟外掛程式建立頁面。
  3. 輸入下列詳細資料:
    • 設定名稱:輸入這個外掛程式的名稱。
    • 對應:保留預設選取項目。
    • 將「開啟」切換為 When enabled logs will be transformed using the selected mapping file
    • 點選「下一步」
    • 區域:選取 Google SecOps 的區域。
    • 自訂區域網址:選用設定,只有在上一步選取「自訂區域」時才需要。
    • 服務帳戶金鑰:輸入 Google SecOps 提供的 JSON 金鑰。
    • 客戶 ID:輸入 Google SecOps 租戶的客戶 ID。
    • 按一下 [儲存]

為 Google SecOps 設定記錄檔運送工具業務規則

  1. 依序前往「Log Shipper」>「Business Rules」
  2. 根據預設,系統會使用業務規則篩選所有快訊和事件。
  3. 如要篩除任何特定類型的快訊或事件,請按一下「建立新規則」,然後新增規則名稱和篩選條件,設定新的業務規則。
  4. 按一下 [儲存]

為 Google SecOps 設定 Log Shipper SIEM 對應

  1. 依序前往「記錄檔傳送器」>「SIEM 對應」
  2. 按一下「新增 SIEM 對應」
  3. 輸入下列詳細資料:
    • 來源設定:選取 Netskope CLS 外掛程式。
    • 目的地設定:選取 Google SecOps 外掛程式。
    • 業務規則:選取您先前建立的規則。
    • 按一下 [儲存]

驗證在 Netskope 中提取事件和快訊,以及相關工作流程

  1. 前往 Netskope Cloud Exchange 的「Logging」
  2. 搜尋提取的記錄。
  3. 在「記錄」中,使用「訊息包含已擷取內容」篩選器,搜尋擷取的事件和快訊。
  4. 系統會篩選擷取的記錄。

UDM 對應表

記錄欄位 UDM 對應 邏輯
applicationType security_result.detection_fields[].key: "applicationType"
security_result.detection_fields[].value: applicationType		 直接對應至相應的 CEF 欄位。
appcategory security_result.category_details[]appcategory 直接對應至相應的 CEF 欄位。
browser security_result.detection_fields[].key:「browser」
security_result.detection_fields[].valuebrowser		 直接對應至相應的 CEF 欄位。
c-ip principal.asset.ip[]c-ip
principal.ip[]c-ip		 直接從對應的 JSON 欄位對應。
cci security_result.detection_fields[].key: "cci"
security_result.detection_fields[].value: cci		 直接對應至相應的 CEF 欄位。
ccl security_result.confidence:衍生值
security_result.confidence_detailsccl		 security_result.confidence 是根據 ccl 的值衍生而來:「excellent」或「high」會對應至 HIGH_CONFIDENCE、「medium」會對應至 MEDIUM_CONFIDENCE、「low」或「poor」會對應至 LOW_CONFIDENCE,而「unknown」或「not_defined」會對應至 UNKNOWN_CONFIDENCE
security_result.confidence_details 是直接從 ccl 對應而來。
clientBytes network.sent_bytesclientBytes 直接對應至相應的 CEF 欄位。
cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: cs-access-method		 直接從對應的 JSON 欄位對應。
cs-app additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: cs-app
principal.application: cs-app		 直接從對應的 JSON 欄位對應。
cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: cs-app-activity		 直接從對應的 JSON 欄位對應。
cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: cs-app-category		 直接從對應的 JSON 欄位對應。
cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: cs-app-cci		 直接從對應的 JSON 欄位對應。
cs-app-ccl additional.fields[].key: "x-cs-app-ccl"
additional.fields[].value.string_value: cs-app-ccl		 直接從對應的 JSON 欄位對應。
cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: cs-app-from-user
principal.user.email_addresses[]: cs-app-from-user		 直接從對應的 JSON 欄位對應。
cs-app-instance-id additional.fields[].key: "x-cs-app-instance-id"
additional.fields[].value.string_value: cs-app-instance-id		 直接從對應的 JSON 欄位對應。
cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: cs-app-object-name		 直接從對應的 JSON 欄位對應。
cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: cs-app-object-type		 直接從對應的 JSON 欄位對應。
cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: cs-app-suite		 直接從對應的 JSON 欄位對應。
cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: cs-app-tags		 直接從對應的 JSON 欄位對應。
cs-bytes network.sent_bytescs-bytes 直接從對應的 JSON 欄位對應。
cs-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: cs-content-type		 直接從對應的 JSON 欄位對應。
cs-dns target.asset.hostname[]cs-dns
target.hostnamecs-dns		 直接從對應的 JSON 欄位對應。
cs-host target.asset.hostname[]cs-host
target.hostnamecs-host		 直接從對應的 JSON 欄位對應。
cs-method network.http.methodcs-method 直接從對應的 JSON 欄位對應。
cs-referer network.http.referral_urlcs-referer 直接從對應的 JSON 欄位對應。
cs-uri additional.fields[].key: "cs-uri"
additional.fields[].value.string_value: cs-uri		 直接從對應的 JSON 欄位對應。
cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: cs-uri-path		 直接從對應的 JSON 欄位對應。
cs-uri-port additional.fields[].key: "cs-uri-port"
additional.fields[].value.string_value: cs-uri-port		 直接從對應的 JSON 欄位對應。
cs-uri-scheme network.application_protocolcs-uri-scheme 轉換為大寫後,直接從對應的 JSON 欄位對應。
cs-user-agent network.http.parsed_user_agent:已剖析的使用者代理程式
network.http.user_agentcs-user-agent		 network.http.parsed_user_agent 是透過「parseduseragent」篩選器剖析 cs-user-agent 欄位而得。
cs-username principal.user.useridcs-username 直接從對應的 JSON 欄位對應。
date metadata.event_timestamp.seconds:來自 datetime 欄位的 Epoch 秒數
metadata.event_timestamp.nanos:0		 系統會合併日期和時間,並轉換為紀元秒數和奈秒。奈秒設為 0。
device intermediary.hostnamedevice 直接對應至相應的 CEF 欄位。
dst target.ip[]dst 直接對應至相應的 CEF 欄位。
dst_country target.location.country_or_regiondst_country 直接對應至相應的 grokked 欄位。
dst_ip target.asset.ip[]dst_ip
target.ip[]dst_ip		 直接對應至相應的 grokked 欄位。
dst_location target.location.citydst_location 直接對應至相應的 grokked 欄位。
dst_region target.location.statedst_region 直接對應至相應的 grokked 欄位。
dst_zip 未對應 這個欄位未對應至 UDM。
duser target.user.email_addresses[]duser
target.user.user_display_nameduser		 直接對應至相應的 CEF 欄位。
dvchost about.hostnamedvchost
target.asset.hostname[]dvchost
target.hostnamedvchost		 直接對應至相應的 CEF 欄位。
event_timestamp metadata.event_timestamp.secondsevent_timestamp 直接對應至相應的 grokked 欄位。
hostname target.asset.hostname[]hostname
target.hostnamehostname		 直接對應至相應的 CEF 欄位。
IncidentID security_result.detection_fields[].key: "IncidentID"
security_result.detection_fields[].value: IncidentID		 直接對應至相應的 CEF 欄位。
intermediary intermediaryintermediary 直接對應至相應的 CEF 欄位。
md5 target.file.md5md5 直接對應至相應的 CEF 欄位。
message 各種 UDM 欄位 系統會根據 message 欄位是否包含「CEF」來剖析該欄位。如果有的話,系統會將其視為 CEF 記錄。否則,系統會將其剖析為以空格分隔的字串或 JSON。詳情請參閱「剖析邏輯」一節。
mime_type1 未對應 這個欄位未對應至 UDM。
mime_type2 未對應 這個欄位未對應至 UDM。
mwDetectionEngine additional.fields[].key: "mwDetectionEngine"
additional.fields[].value.string_value: mwDetectionEngine		 直接對應至相應的 CEF 欄位。
mwType metadata.descriptionmwType 直接對應至相應的 CEF 欄位。
os principal.platform:衍生值 平台是從 os 欄位衍生而來:「Windows」對應至 WINDOWS、「MAC」對應至 MAC,「LINUX」則對應至 LINUX
page network.http.referral_urlpage 直接對應至相應的 CEF 欄位。
port 未對應 這個欄位未對應至 UDM。
referer network.http.referral_urlreferer 直接對應至相應的 CEF 欄位。
requestClientApplication network.http.parsed_user_agent:已剖析的使用者代理程式
network.http.user_agentrequestClientApplication		 network.http.parsed_user_agent 是透過「parseduseragent」篩選器剖析 requestClientApplication 欄位而得。
request_method network.http.methodrequest_method 直接對應至相應的 grokked 欄位。
request_protocol 未對應 這個欄位未對應至 UDM。
rs-status additional.fields[].key: "rs-status"
additional.fields[].value.string_value: rs-status
network.http.response_code: rs-status		 直接從對應的 JSON 欄位對應。
s-ip target.asset.ip[]s-ip
target.ip[]s-ip		 直接從對應的 JSON 欄位對應。
sc-bytes network.received_bytessc-bytes 直接從對應的 JSON 欄位對應。
sc-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: sc-content-type		 直接從對應的 JSON 欄位對應。
sc-status network.http.response_codesc-status 直接從對應的 JSON 欄位對應。
serverBytes network.received_bytesserverBytes 直接對應至相應的 CEF 欄位。
sha256 target.file.sha256sha256 直接對應至相應的 CEF 欄位。
src principal.ip[]src 直接對應至相應的 CEF 欄位。
src_country principal.location.country_or_regionsrc_country 直接對應至相應的 grokked 欄位。
src_ip principal.asset.ip[]src_ip
principal.ip[]src_ip		 直接對應至相應的 grokked 欄位。
src_latitude 未對應 這個欄位未對應至 UDM。
src_location principal.location.citysrc_location 直接對應至相應的 grokked 欄位。
src_longitude 未對應 這個欄位未對應至 UDM。
src_region principal.location.statesrc_region 直接對應至相應的 grokked 欄位。
src_zip 未對應 這個欄位未對應至 UDM。
suser principal.user.user_display_namesuser 直接對應至相應的 CEF 欄位。
target_host target.asset.hostname[]target_host
target.hostnametarget_host		 直接對應至相應的 grokked 欄位。
time metadata.event_timestamp.seconds:來自 datetime 欄位的 Epoch 秒數
metadata.event_timestamp.nanos:0		 系統會合併日期和時間,並轉換為紀元秒數和奈秒。奈秒設為 0。
timestamp metadata.event_timestamp.secondstimestamp 直接對應至相應的 CEF 欄位。
ts metadata.event_timestamp.seconds:自 ts
metadata.event_timestamp.nanos 起的 Epoch 秒數:0		 時間戳記會轉換為 Epoch 秒數和奈秒。奈秒設為 0。
url target.urlurl 直接對應至相應的 CEF 欄位。
user_agent network.http.parsed_user_agent:已剖析的使用者代理程式
network.http.user_agentuser_agent		 network.http.parsed_user_agent 是透過「parseduseragent」篩選器剖析 user_agent 欄位而得。
user_ip 未對應 這個欄位未對應至 UDM。
user_key principal.user.email_addresses[]user_key 直接對應至相應的 grokked 欄位。
version 未對應 這個欄位未對應至 UDM。
x-c-browser additional.fields[].key: "x-c-browser"
additional.fields[].value.string_value: x-c-browser		 直接從對應的 JSON 欄位對應。
x-c-browser-version additional.fields[].key: "x-c-browser-version"
additional.fields[].value.string_value: x-c-browser-version		 直接從對應的 JSON 欄位對應。
x-c-country principal.location.country_or_regionx-c-country 直接從對應的 JSON 欄位對應。
x-c-device additional.fields[].key: "x-c-device"
additional.fields[].value.string_value: x-c-device		 直接從對應的 JSON 欄位對應。
x-c-latitude principal.location.region_coordinates.latitudex-c-latitude 直接從對應的 JSON 欄位對應。
x-c-local-time security_result.detection_fields[].key: "x-c-local-time"
security_result.detection_fields[].value: x-c-local-time		 直接從對應的 JSON 欄位對應。
x-c-location principal.location.namex-c-location 直接從對應的 JSON 欄位對應。
x-c-longitude principal.location.region_coordinates.longitudex-c-longitude 直接從對應的 JSON 欄位對應。
x-c-os principal.platform:衍生值 平台是從 x-c-os 欄位衍生而來:「Windows」對應至 WINDOWS、「MAC」對應至 MAC,「LINUX」則對應至 LINUX
x-c-region principal.location.statex-c-region 直接從對應的 JSON 欄位對應。
x-c-zipcode additional.fields[].key: "x-c-zipcode"
additional.fields[].value.string_value: x-c-zipcode		 直接從對應的 JSON 欄位對應。
x-category additional.fields[].key: "x-category"
additional.fields[].value.string_value: x-category		 直接從對應的 JSON 欄位對應。
x-category-id additional.fields[].key: "x-category-id"
additional.fields[].value.string_value: x-category-id		 直接從對應的 JSON 欄位對應。
x-cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: x-cs-access-method		 直接從對應的 JSON 欄位對應。
x-cs-app principal.application: x-cs-app
additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: x-cs-app		 直接從對應的 JSON 欄位對應。
x-cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: x-cs-app-activity		 直接從對應的 JSON 欄位對應。
x-cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: x-cs-app-category		 直接從對應的 JSON 欄位對應。
x-cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: x-cs-app-cci		 直接從對應的 JSON 欄位對應。
x-cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: x-cs-app-from-user		 直接從對應的 JSON 欄位對應。
x-cs-app-object-id additional.fields[].key: "x-cs-app-object-id"
additional.fields[].value.string_value: x-cs-app-object-id		 直接從對應的 JSON 欄位對應。
x-cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: x-cs-app-object-name		 直接從對應的 JSON 欄位對應。
x-cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: x-cs-app-object-type		 直接從對應的 JSON 欄位對應。
x-cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: x-cs-app-suite		 直接從對應的 JSON 欄位對應。
x-cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: x-cs-app-tags		 直接從對應的 JSON 欄位對應。
x-cs-app-to-user additional.fields[].key: "x-cs-app-to-user"
additional.fields[].value.string_value: x-cs-app-to-user		 直接從對應的 JSON 欄位對應。
x-cs-dst-ip security_result.detection_fields[].key: "x-cs-dst-ip"
security_result.detection_fields[].value: x-cs-dst-ip
target.asset.ip[]: x-cs-dst-ip
target.ip[]: x-cs-dst-ip		 直接從對應的 JSON 欄位對應。
x-cs-dst-port security_result.detection_fields[].key: "x-cs-dst-port"
security_result.detection_fields[].value: x-cs-dst-port
target.port: x-cs-dst-port		 直接從對應的 JSON 欄位對應。
x-cs-http-version security_result.detection_fields[].key: "x-cs-http-version"
security_result.detection_fields[].value: x-cs-http-version		 直接從對應的 JSON 欄位對應。
x-cs-page-id additional.fields[].key: "x-cs-page-id"
additional.fields[].value.string_value: x-cs-page-id		 直接從對應的 JSON 欄位對應。
x-cs-session-id network.session_idx-cs-session-id 直接從對應的 JSON 欄位對應。
x-cs-site additional.fields[].key: "x-cs-site"
additional.fields[].value.string_value: x-cs-site		 直接從對應的 JSON 欄位對應。
x-cs-sni network.tls.client.server_namex-cs-sni 直接從對應的 JSON 欄位對應。
x-cs-src-ip principal.asset.ip[]x-cs-src-ip
principal.ip[]x-cs-src-ip
security_result.detection_fields[].key:「x-cs-src-ip」
security_result.detection_fields[].valuex-cs-src-ip		 直接從對應的 JSON 欄位對應。
x-cs-src-ip-egress principal.asset.ip[]: x-cs-src-ip-egress
principal.ip[]: x-cs-src-ip-egress
security_result.detection_fields[].key: "x-cs-src-ip-egress"
security_result.detection_fields[].value: x-cs-src-ip-egress		 直接從對應的 JSON 欄位對應。
x-cs-src-port principal.port: x-cs-src-port
security_result.detection_fields[].key: "x-cs-src-port"
security_result.detection_fields[].value: x-cs-src-port		 直接從對應的 JSON 欄位對應。
x-cs-ssl-cipher network.tls.cipherx-cs-ssl-cipher 直接從對應的 JSON 欄位對應。
x-cs-ssl-fronting-error security_result.detection_fields[].key: "x-cs-ssl-fronting-error"
security_result.detection_fields[].value: x-cs-ssl-fronting-error		 直接從對應的 JSON 欄位對應。
x-cs-ssl-handshake-error security_result.detection_fields[].key: "x-cs-ssl-handshake-error"
security_result.detection_fields[].value: x-cs-ssl-handshake-error		 直接從對應的 JSON 欄位對應。
x-cs-ssl-ja3 network.tls.client.ja3x-cs-ssl-ja3 直接從對應的 JSON 欄位對應。
x-cs-ssl-version network.tls.versionx-cs-ssl-version 直接從對應的 JSON 欄位對應。
x-cs-timestamp metadata.event_timestamp.secondsx-cs-timestamp 直接從對應的 JSON 欄位對應。
x-cs-traffic-type additional.fields[].key: "trafficType"
additional.fields[].value.string_value: x-cs-traffic-type		 直接從對應的 JSON 欄位對應。
x-cs-tunnel-src-ip security_result.detection_fields[].key: "x-cs-tunnel-src-ip"
security_result.detection_fields[].value: x-cs-tunnel-src-ip		 直接從對應的 JSON 欄位對應。
x-cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: x-cs-uri-path		 直接從對應的 JSON 欄位對應。
x-cs-url target.urlx-cs-url 直接從對應的 JSON 欄位對應。
x-cs-userip security_result.detection_fields[].key: "x-cs-userip"
security_result.detection_fields[].value: x-cs-userip		 直接從對應的 JSON 欄位對應。
x-other-category security_result.category_details[]x-other-category 直接從對應的 JSON 欄位對應。
x-other-category-id security_result.detection_fields[].key: "x-other-category-id"
security_result.detection_fields[].value: x-other-category-id		 直接從對應的 JSON 欄位對應。
x-policy-action security_result.action:衍生值
security_result.action_detailsx-policy-action		 security_result.action 是將 x-policy-action 轉換為大寫而得。如果大寫值為「ALLOW」或「BLOCK」,系統會直接使用。否則不會對應。
security_result.action_details會直接對應至 x-policy-action
x-policy-dst-host security_result.detection_fields[].key: "x-policy-dst-host"
security_result.detection_fields[].value: x-policy-dst-host		 直接從對應的 JSON 欄位對應。
x-policy-dst-host-source security_result.detection_fields[].key:「x-policy-dst-host-source」
security_result.detection_fields[].valuex-policy-dst-host-source		 直接從對應的 JSON 欄位對應。
x-policy-dst-ip security_result.detection_fields[].key: "x-policy-dst-ip"
security_result.detection_fields[].value: x-policy-dst-ip		 直接從對應的 JSON 欄位對應。
x-policy-name security_result.rule_namex-policy-name 直接從對應的 JSON 欄位對應。
x-policy-src-ip security_result.detection_fields[].key: "x-policy-src-ip"
security_result.detection_fields[].value: x-policy-src-ip		 直接從對應的 JSON 欄位對應。
x-r-cert-enddate network.tls.server.certificate.not_after.seconds:自 x-r-cert-enddate 起的 Epoch 秒數 日期會轉換為紀元秒數。
x-r-cert-expired additional.fields[].key: "x-r-cert-expired"
additional.fields[].value.string_value: x-r-cert-expired		 直接從對應的 JSON 欄位對應。
x-r-cert-incomplete-chain additional.fields[].key:「x-r-cert-incomplete-chain」
additional.fields[].value.string_valuex-r-cert-incomplete-chain		 直接從對應的 JSON 欄位對應。
x-r-cert-issuer-cn network.tls.server.certificate.issuerx-r-cert-issuer-cn 直接從對應的 JSON 欄位對應。
x-r-cert-mismatch additional.fields[].key: "x-r-cert-mismatch"
additional.fields[].value.string_value: x-r-cert-mismatch		 直接從對應的 JSON 欄位對應。
x-r-cert-revoked additional.fields[].key:「x-r-cert-revoked」
additional.fields[].value.string_valuex-r-cert-revoked		 直接從對應的 JSON 欄位對應。
x-r-cert-self-signed additional.fields[].key:「x-r-cert-self-signed」
additional.fields[].value.string_valuex-r-cert-self-signed		 直接從對應的 JSON 欄位對應。
x-r-cert-startdate network.tls.server.certificate.not_before.seconds:自 x-r-cert-startdate 起的 Epoch 秒數 日期會轉換為紀元秒數。
x-r-cert-subject-cn network.tls.server.certificate.subjectx-r-cert-subject-cn 直接從對應的 JSON 欄位對應。
x-r-cert-untrusted-root additional.fields[].key: "x-r-cert-untrusted-root"
additional.fields[].value.string_value: x-r-cert-untrusted-root		 直接從對應的 JSON 欄位對應。
x-r-cert-valid additional.fields[].key: "x-r-cert-valid"
additional.fields[].value.string_value: x-r-cert-valid		 直接從對應的 JSON 欄位對應。
x-request-id additional.fields[].key: "requestId"
additional.fields[].value.string_value: x-request-id		 直接從對應的 JSON 欄位對應。
x-rs-file-category additional.fields[].key: "x-rs-file-category"
additional.fields[].value.string_value: x-rs-file-category		 直接從對應的 JSON 欄位對應。
x-rs-file-type additional.fields[].key: "x-rs-file-type"
additional.fields[].value.string_value: x-rs-file-type		 直接從對應的 JSON 欄位對應。
x-s-country target.location.country_or_regionx-s-country 直接從對應的 JSON 欄位對應。
x-s-dp-name additional.fields[].key: "x-s-dp-name"
additional.fields[].value.string_value: x-s-dp-name		 直接從對應的 JSON 欄位對應。
x-s-latitude target.location.region_coordinates.latitudex-s-latitude 直接從對應的 JSON 欄位對應。
x-s-location target.location.namex-s-location 直接從對應的 JSON 欄位對應。
x-s-longitude target.location.region_coordinates.longitudex-s-longitude 直接從對應的 JSON 欄位對應。
x-s-region target.location.statex-s-region 直接從對應的 JSON 欄位對應。
x-s-zipcode additional.fields[].key: "x-s-zipcode"
additional.fields[].value.string_value: x-s-zipcode		 直接從對應的 JSON 欄位對應。
x-sr-ssl-cipher security_result.detection_fields[].key:「x-sr-ssl-cipher」
security_result.detection_fields[].valuex-sr-ssl-cipher		 直接從對應的 JSON 欄位對應。
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error		 直接從對應的 JSON 欄位對應。
x-sr-ssl-engine-action security_result.detection_fields[].key: "x-sr-ssl-engine-action"
security_result.detection_fields[].value: x-sr-ssl-engine-action		 直接從對應的 JSON 欄位對應。
x-sr-ssl-engine-action-reason security_result.detection_fields[].key:「x-sr-ssl-engine-action-reason」
security_result.detection_fields[].valuex-sr-ssl-engine-action-reason		 直接從對應的 JSON 欄位對應。
x-sr-ssl-handshake-error security_result.detection_fields[].key: "x-sr-ssl-handshake-error"
security_result.detection_fields[].value: x-sr-ssl-handshake-error		 直接從對應的 JSON 欄位對應。
x-sr-ssl-ja3s network.tls.server.ja3sx-sr-ssl-ja3s 直接從對應的 JSON 欄位對應。
x-sr-ssl-malformed-ssl security_result.detection_fields[].key: "x-sr-ssl-malformed-ssl"
security_result.detection_fields[].value: x-sr-ssl-malformed-ssl		 直接從對應的 JSON 欄位對應。
x-sr-ssl-version security_result.detection_fields[].key: "x-sr-ssl-version"
security_result.detection_fields[].value: x-sr-ssl-version		 直接從對應的 JSON 欄位對應。
x-s-custom-signing-ca-error security_result.detection_fields[].key: "x-s-custom-signing-ca-error"
security_result.detection_fields[].value: x-s-custom-signing-ca-error		 直接從對應的 JSON 欄位對應。
x-ssl-bypass security_result.detection_fields[].key:「SSL BYPASS」
security_result.detection_fields[].valuex-ssl-bypassx-ssl-bypass-reason		 如果 x-ssl-bypass 為「Yes」且 x-ssl-bypass-reason 存在,系統會使用 x-ssl-bypass-reason 的值。否則會使用 x-ssl-bypass 的值。
x-ssl-policy-action security_result.detection_fields[].key:「x-ssl-policy-action」
security_result.detection_fields[].valuex-ssl-policy-action		 直接從對應的 JSON 欄位對應。
x-ssl-policy-categories security_result.category_details[]x-ssl-policy-categories 直接從對應的 JSON 欄位對應。
x-ssl-policy-dst-host security_result.detection_fields[].key: "x-ssl-policy-dst-host"
security_result.detection_fields[].value: x-ssl-policy-dst-host		 直接從對應的 JSON 欄位對應。
x-ssl-policy-dst-host-source security_result.detection_fields[].key: "x-ssl-policy-dst-host-source"
security_result.detection_fields[].value: x-ssl-policy-dst-host-source		 直接從對應的 JSON 欄位對應。
x-ssl-policy-dst-ip security_result.detection_fields[].key: "x-ssl-policy-dst-ip"
security_result.detection_fields[].value: x-ssl-policy-dst-ip		 直接從對應的 JSON 欄位對應。
x-ssl-policy-name security_result.rule_namex-ssl-policy-name 直接從對應的 JSON 欄位對應。
x-ssl-policy-src-ip security_result.detection_fields[].key: "x-ssl-policy-src-ip"
security_result.detection_fields[].value: x-ssl-policy-src-ip		 直接從對應的 JSON 欄位對應。
x-sr-dst-ip security_result.detection_fields[].key: "x-sr-dst-ip"
security_result.detection_fields[].value: x-sr-dst-ip		 直接從對應的 JSON 欄位對應。
x-sr-dst-port security_result.detection_fields[].key: "x-sr-dst-port"
security_result.detection_fields[].value: x-sr-dst-port		 直接從對應的 JSON 欄位對應。
x-type additional.fields[].key: "xType"
additional.fields[].value.string_value: x-type		 直接從對應的 JSON 欄位對應。
x-transaction-id additional.fields[].key: "transactionId"
additional.fields[].value.string_value: x-transaction-id		 直接從對應的 JSON 欄位對應。
不適用 metadata.vendor_name:「Netskope」 剖析器中的硬式編碼值。
不適用 metadata.product_name:「Netskope Webproxy」 如果尚未設定,請設為「Netskope Webproxy」。
不適用 metadata.log_type:「NETSKOPE_WEBPROXY」 剖析器中的硬式編碼值。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。