Recopila registros de Blue Coat ProxySG
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de Blue Coat ProxySG a Google Security Operations con el agente de Bindplane.
Blue Coat ProxySG (ahora Broadcom/Symantec) es un dispositivo proxy web que genera registros de acceso para el tráfico web, incluidas las solicitudes HTTP, las categorías, la autenticación y los eventos de seguridad. El analizador normaliza los campos y los asigna al modelo de datos unificado (UDM).
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Windows Server 2016 o versiones posteriores, o host de Linux con
systemd - Conectividad de red entre el agente de Bindplane y el dispositivo Blue Coat ProxySG
- Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
- Acceso administrativo a la consola de administración de Blue Coat ProxySG
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el comando siguiente:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sc query observiq-otel-collectorEl servicio debe mostrarse como RUNNING.
Instalación en Linux
- Abre una terminal con privilegios de administrador o sudo.
Ejecuta el comando siguiente:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sudo systemctl status observiq-otel-collectorEl servicio debería mostrarse como activo (en ejecución).
Recursos de instalación adicionales
Para obtener más opciones de instalación y solución de problemas, consulta la guía de instalación del agente de Bindplane.
Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps
Ubica el archivo de configuración
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edita el archivo de configuración
Reemplaza todo el contenido de
config.yamlpor la siguiente configuración:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/bluecoat_webproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: BLUECOAT_WEBPROXY raw_log_field: body service: pipelines: logs/bluecoat_webproxy_to_chronicle: receivers: - tcplog exporters: - chronicle/bluecoat_webproxy
Parámetros de configuración
Reemplaza los marcadores de posición que se indican más abajo:
Configuración del receptor:
listen_address: Dirección IP y puerto para escuchar:0.0.0.0para escuchar en todas las interfaces (recomendado)- El puerto
514es el puerto estándar de syslog (requiere acceso raíz en Linux; usa1514para acceso no raíz).
Configuración del exportador:
creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID de cliente copiado de la consola de Google SecOpsendpoint: URL del extremo regional:- EE.UU.:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulta Extremos regionales para obtener la lista completa.
- EE.UU.:
Guarda el archivo de configuración
- Después de editarlo, guarda el archivo:
- Linux: Presiona
Ctrl+O, luegoEntery, por último,Ctrl+X. - Windows: Haz clic en Archivo > Guardar
- Linux: Presiona
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart observiq-otel-collectorVerifica que el servicio esté en ejecución:
sudo systemctl status observiq-otel-collectorRevisa los registros en busca de errores:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
Símbolo del sistema o PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsola de Services:
- Presiona
Win+R, escribeservices.mscy presiona Intro. - Busca observIQ OpenTelemetry Collector.
- Haz clic con el botón derecho y selecciona Reiniciar.
Verifica que el servicio esté en ejecución:
sc query observiq-otel-collectorRevisa los registros en busca de errores:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Presiona
Configura syslog en Blue Coat ProxySG
- Accede a la consola de administración de Blue Coat ProxySG.
- Ve a Mantenimiento > Registro de eventos > Syslog.
- Haz clic en Nuevo.
- Proporciona los siguientes detalles de configuración:
- Loghost: Ingresa la dirección IP del agente de Bindplane.
- Haz clic en Aceptar.
- Selecciona la casilla de verificación Habilitar Syslog.
- Selecciona Nivel.
- Selecciona la casilla de verificación Verbose.
- Haz clic en Aplicar.
Cómo configurar un cliente personalizado en Blue Coat ProxySG
- Ve a Configuration > Access Logging > Logs > Upload Client.
- Selecciona Streaming en la lista de registros.
- Selecciona Cliente personalizado en la lista de tipos de cliente.
- Haz clic en Configuración.
- Selecciona para configurar el servidor personalizado principal o alternativo de la lista Configuración.
- Proporciona los siguientes detalles de configuración:
- Host: Ingresa el nombre de host o la dirección IP del destino de carga.
- Puerto: Configúralo en 514.
- Usar conexiones seguras (SSL): Configurado como Desactivado
- Haz clic en Aceptar.
- Haz clic en Aplicar para volver a la pestaña Subir cliente.
- Para cada formato de registro que desees usar entre principal, IM y transmisión, completa los siguientes pasos:
- Selecciona el registro.
- Asigna el cliente de carga para que sea el cliente personalizado.
- Selecciona
<No Encryption>y<No Signing>. - Guarda el archivo de registro como un archivo de texto.
- Haz clic en Upload Schedule > Upload Type.
- Selecciona Continuamente en Cargar el registro de acceso para transmitir los registros de acceso.
- Haz clic en Aceptar.
- Haz clic en Aplicar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Es la marca de tiempo del evento tal como la registró el dispositivo Blue Coat. Se analizó a partir de los datos JSON. |
application-name |
target.application |
Es el nombre de la aplicación asociada con el tráfico de red. Se analizó a partir de los datos JSON. |
c-ip |
principal.asset.ipprincipal.ip |
Dirección IP del cliente. Se analizó a partir de los datos JSON. |
c_ip |
principal.ipprincipal.asset.ip |
Dirección IP del cliente. Se analizan a partir de varios formatos de registro. |
c_ip_host |
principal.hostnameprincipal.asset.hostname |
Nombre de host del cliente, si está disponible. Se analizó a partir de los datos JSON. |
cs-auth-group |
principal_user_group_identifiers | Es el grupo de autenticación de clientes. Se analizó a partir de los datos JSON. |
cs-bytes |
network.sent_bytes |
Cantidad de bytes enviados por el cliente. Se analizó a partir de los datos JSON. |
cs-categories |
security_result.category_details |
Son las categorías que el dispositivo Blue Coat asigna a la solicitud web. Se analizó a partir de los datos JSON. |
cs-host |
target_hostname | Es el nombre de host que solicitó el cliente. Se analizó a partir de los datos JSON. |
cs-icap-error-details |
security_result.detection_fields |
Son los detalles del error de ICAP del cliente. Se analizó a partir de los datos JSON. La clave es "cs-icap-error-details". |
cs-icap-status |
security_result.description |
Es el estado de ICAP del cliente. Se analizó a partir de los datos JSON. |
cs-method |
network.http.method |
Método HTTP que se usa en la solicitud. Se analizó a partir de los datos JSON. |
cs-threat-risk |
security_result.risk_score |
Es la puntuación de riesgo de amenaza que asigna el dispositivo Blue Coat. Se analizó a partir de los datos JSON. |
cs-uri-extension |
cs_uri_extension | Es la extensión del URI solicitado. Se analizó a partir de los datos JSON. |
cs-uri-path |
_uri_path | Es la ruta del URI solicitado. Se analizó a partir de los datos JSON. |
cs-uri-port |
cs_uri_port | Es el puerto del URI solicitado. Se analizó a partir de los datos JSON. |
cs-uri-query |
_uri_query | Es la cadena de consulta del URI solicitado. Se analizó a partir de los datos JSON. |
cs-uri-scheme |
_uri_scheme | Scheme del URI solicitado (p.ej., http o https). Se analizó a partir de los datos JSON. |
cs-userdn |
principal_user_userid | Nombre de usuario del cliente. Se analizó a partir de los datos JSON. |
cs-version |
cs_version | Versión de HTTP que usa el cliente. Se analizó a partir de los datos JSON. |
cs(Referer) |
network.http.referral_url |
Es la URL de referencia. Se analizó a partir de los datos JSON. |
cs(User-Agent) |
network.http.user_agent |
Es la cadena de usuario-agente. Se analizó a partir de los datos JSON. |
cs(X-Requested-With) |
security_result.detection_fields |
Valor del encabezado X-Requested-With. Se analizó a partir de los datos JSON. La clave es "cs-X-Requested-With". |
cs_auth_group |
principal_user_group_identifiers | Es el grupo de autenticación de clientes. Se analizan a partir de varios formatos de registro. |
cs_bytes |
network.sent_bytes |
Cantidad de bytes enviados por el cliente. Se analizan a partir de varios formatos de registro. |
cs_categories |
security_result.category_details |
Son las categorías asignadas a la solicitud web. Se analizan a partir de varios formatos de registro. |
cs_host |
target_hostname | Es el nombre de host que solicitó el cliente. Se analizan a partir de varios formatos de registro. |
cs_method |
network.http.method |
Método HTTP que se usa en la solicitud. Se analizan a partir de varios formatos de registro. |
cs_referer |
network.http.referral_url |
Es la URL de referencia. Se analizan a partir de varios formatos de registro. |
cs_threat_risk |
security_result.risk_score |
Es la puntuación de riesgo de amenaza que asigna el dispositivo Blue Coat. Se analizó a partir del formato de registro de KV. |
cs_uri |
target.url |
Es el URI completo solicitado. Se analizó a partir del formato de registro de KV. |
cs_uri_extension |
cs_uri_extension | Es la extensión del URI solicitado. Se analizó a partir del formato de registro de KV. |
cs_uri_path |
_uri_path | Es la ruta del URI solicitado. Se analizan a partir de varios formatos de registro. |
cs_uri_port |
target_port | Es el puerto del URI solicitado. Se analizan a partir de varios formatos de registro. |
cs_uri_query |
_uri_query | Es la cadena de consulta del URI solicitado. Se analizan a partir de varios formatos de registro. |
cs_uri_scheme |
_uri_scheme | Scheme del URI solicitado (p.ej., http o https). Se analizan a partir de varios formatos de registro. |
cs_user |
principal_user_userid | Nombre de usuario del cliente. Se analiza a partir del formato de registro general. |
cs_user_agent |
network.http.user_agent |
Es la cadena de usuario-agente. Se analizan a partir de varios formatos de registro. |
cs_username |
principal_user_userid | Nombre de usuario del cliente. Se analizan a partir de varios formatos de registro. |
cs_x_forwarded_for |
_intermediary.ip |
Es el valor del encabezado X-Forwarded-For. Se analiza a partir del formato de registro general. |
deviceHostname |
_intermediary.hostname |
Es el nombre de host del dispositivo Blue Coat. Se analizó a partir del formato de registro de KV. |
dst |
ip_target | Dirección IP de destino. Se analizó a partir del formato de registro de KV. |
dst_ip |
ip_target | Dirección IP de destino. Se analizó a partir del formato de registro de SSL. |
dst_user |
target.user.userid |
ID de usuario de destino. Se analizó a partir del formato de registro de Proxy Reverse. |
dstport |
target_port | Es el puerto de destino. Se analizó a partir del formato de registro de KV. |
dstport |
target.port |
Es el puerto de destino. Se analizó a partir del formato de registro de SSL. |
exception-id |
_block_reason | Es el ID de excepción que indica una solicitud bloqueada. Se analizó a partir del formato de registro de KV. |
filter-category |
_categories | Es la categoría del filtro que activó el evento. Se analizó a partir del formato de registro de KV. |
filter-result |
_policy_action | Es el resultado del filtro aplicado a la solicitud. Se analizó a partir del formato de registro de KV. |
hostname |
principal.hostnameprincipal.asset.hostname |
Es el nombre de host del dispositivo que genera el registro. Se analizan a partir de los formatos de registro SSL y general. |
isolation-url |
isolation-url | Es la URL relacionada con el aislamiento, si corresponde. Se analizó a partir de los datos JSON. |
ma-detonated |
ma-detonated | Es el estado de detonación del software malicioso. Se analizó a partir de los datos JSON. |
page-views |
page-views | Es la cantidad de vistas de página. Se analizó a partir de los datos JSON. |
r-ip |
ip_target | Dirección IP remota. Se analizó a partir de los datos JSON. |
r-supplier-country |
r-supplier-country | Es el país del proveedor remoto. Se analizó a partir de los datos JSON. |
r_dns |
target_hostname | Nombre de DNS remoto. Se analizó a partir de los datos JSON. |
r_ip |
ip_target | Dirección IP remota. Se analizan a partir de varios formatos de registro. |
r_port |
target_port | Puerto remoto. Se analizó a partir de los datos JSON. |
risk-groups |
security_result.detection_fields |
Son los grupos de riesgo asociados con el evento. Se analizó a partir de los datos JSON. La clave es "risk-groups". |
rs-icap-error-details |
security_result.detection_fields |
Son los detalles del error de ICAP del servidor remoto. Se analiza a partir de los datos JSON. La clave es "rs-icap-error-details". |
rs-icap-status |
rs-icap-status | Es el estado de ICAP del servidor remoto. Se analizó a partir de los datos JSON. |
rs(Content-Type) |
target.file.mime_type |
Es el tipo de contenido de la respuesta del servidor remoto. Se analizó a partir del formato de registro de KV. |
rs_content_type |
target.file.mime_type |
Es el tipo de contenido de la respuesta del servidor remoto. Se analizan a partir de varios formatos de registro. |
rs_server |
rs_server | Es la información del servidor remoto. Se analizó a partir de los datos JSON. |
rs_status |
_network.http.response_code |
Es el código de estado de la respuesta del servidor remoto. Se analizó a partir de los datos JSON. |
r_supplier_country |
intermediary.location.country_or_region |
Es el país del proveedor remoto. Se analiza a partir del formato de registro general. |
r_supplier_ip |
intermediary.ip |
Es la dirección IP del proveedor remoto. Se analiza a partir del formato de registro general. |
s-action |
_metadata.product_event_type |
Es la acción que realizó el proxy. Se analizó a partir del formato de registro de KV. |
s-ip |
_intermediary.ip |
Dirección IP del servidor. Se analizó a partir del formato de registro de KV. |
s-source-ip |
_intermediary.ip |
Es la dirección IP de origen del servidor. Se analizó a partir de los datos JSON. |
s_action |
_metadata.product_event_type |
Es la acción que realizó el proxy. Se analizan a partir de varios formatos de registro. |
s_ip |
target.iptarget.asset.ip |
Dirección IP del servidor. Se analizan a partir de varios formatos de registro. |
s_ip_host |
_intermediary.hostname |
Es el nombre de host del servidor. Se analizó a partir de los datos JSON. |
s-supplier-country |
intermediary.location.country_or_region |
Es el país del servidor del proveedor. Se analizó a partir de los datos JSON. |
s-supplier-failures |
security_result.detection_fields |
Fallas del proveedor Se analizó a partir de los datos JSON. La clave es "s-supplier-failures". |
s-supplier-ip |
_intermediary.ip |
Es la dirección IP del servidor del proveedor. Se analizó a partir de los datos JSON. |
s_supplier_ip |
intermediary.ip |
Es la dirección IP del servidor del proveedor. Se analizó a partir de los datos JSON. |
s_supplier_name |
_intermediary.hostname |
Es el nombre del servidor del proveedor. Se analiza a partir del formato de registro general. |
sc-bytes |
network.received_bytes |
Cantidad de bytes que recibió el servidor. Se analizó a partir del formato de registro de KV. |
sc-filter-result |
_policy_action | Es el resultado del filtro del servidor. Se analizó a partir del formato de registro de KV. |
sc-status |
_network.http.response_code |
Es el código de estado que devolvió el servidor. Se analizó a partir del formato de registro de KV. |
sc_bytes |
network.received_bytes |
Cantidad de bytes que recibió el servidor. Se analizan a partir de varios formatos de registro. |
sc_connection |
sc_connection | Es la información de conexión del servidor. Se analiza a partir del formato de registro general. |
sc_filter_result |
_policy_action | Es el resultado del filtro del servidor. Se analizan a partir de varios formatos de registro. |
sc_status |
_network.http.response_code |
Es el código de estado que devolvió el servidor. Se analizan a partir de varios formatos de registro. |
search_query |
target.resource.attribute.labels |
Es la búsqueda, si está presente en la URL. Se extrae de target_url. La clave es "search_query". |
session_id |
network.session_id |
ID de sesión. Se analizó a partir del formato de registro de Proxy Reverse. |
src |
ip_principal | Dirección IP de origen. Se analizó a partir del formato de registro de KV. |
src_hostname |
principal.hostnameprincipal.asset.hostname |
Es el nombre de host de origen. Se analiza a partir del formato de registro general. |
src_ip |
ip_principal | Dirección IP de origen. Se analizó a partir del formato de registro de SSL. |
srcport |
principal_port | Es el puerto de origen. Se analizó a partir del formato de registro de KV. |
src_port |
principal.port |
Es el puerto de origen. Se analizó a partir del formato de registro de SSL. |
s_source_port |
intermediary.port |
Es el puerto de origen del servidor. Se analiza a partir del formato de registro general. |
summary |
security_result.summary |
Es un resumen del resultado de seguridad. Se analizan a partir de los formatos de registro de Proxy inverso y SSL. |
syslogtimestamp |
syslogtimestamp | Es la marca de tiempo de Syslog. Se analizó a partir del formato de registro de KV. |
target_application |
target.application |
Es la aplicación para la que se segmenta la solicitud. Se deriva de x_bluecoat_application_name o application-name. |
target_hostname |
target.hostnametarget.asset.hostname |
Es el nombre de host de destino. Se deriva de r_dns,cs-host o de otros campos, según el formato del registro. |
target_port |
target.port |
Es el puerto de destino. Se deriva de r_port, cs_uri_port y ordstport según el formato de registro. |
target_sip |
target.iptarget.asset.ip |
Es la dirección IP del servidor de destino. Se analiza a partir del formato de registro general. |
target_url |
target.url |
Es la URL de destino. Se deriva de target_hostname, uri_path, uri_query o cs_uri. |
time-taken |
network.session_duration |
Duración de la sesión o la solicitud Se analizó a partir del formato de registro de KV y se convirtió a segundos y nanosegundos. |
time_taken |
network.session_duration |
Duración de la sesión o la solicitud Se analiza a partir de varios formatos de registro y se convierte a segundos y nanosegundos. |
tls_version |
network.tls.version |
Versión de TLS que se usa en la conexión. Se analizó a partir del formato de registro de SSL. |
upload-source |
upload-source | Es la fuente de la carga. Se analizó a partir de los datos JSON. |
username |
principal_user_userid | Nombre de usuario. Se analizó a partir del formato de registro de KV. |
verdict |
security_result.detection_fields |
Es el veredicto del análisis de seguridad. Se analizó a partir de los datos JSON. La clave es "verdict". |
wf-env |
wf_env | Es el entorno del servicio de filtrado web. Se analizó a partir de los datos JSON. |
wf_id |
security_result.detection_fields |
Es el ID del filtro web. Se analizó a partir de los datos JSON. La clave es "wf_id". |
wrong_cs_host |
principal.hostnameprincipal.asset.hostname |
Nombre de host del cliente analizado de forma incorrecta, que se usa como nombre de host principal si no es una dirección IP. Se analiza a partir del formato de registro general. |
x-bluecoat-access-type |
x-bluecoat-access-type | Tipo de acceso. Se analizó a partir de los datos JSON. |
x-bluecoat-appliance-name |
intermediary.application |
Nombre del dispositivo Blue Coat. Se analizó a partir de los datos JSON. |
x-bluecoat-application-name |
target_application | Es el nombre de la aplicación. Se analizó a partir de los datos JSON. |
x-bluecoat-application-operation |
x_bluecoat_application_operation | Operación de la aplicación Se analizó a partir de los datos JSON. |
x-bluecoat-location-id |
x-bluecoat-location-id | Es el ID de ubicación. Se analizó a partir de los datos JSON. |
x-bluecoat-location-name |
x-bluecoat-location-name | Nombre de la ubicación. Se analizó a partir de los datos JSON. |
x-bluecoat-placeholder |
security_result.detection_fields |
Es información de marcador de posición. Se analizó a partir de los datos JSON. La clave es "x-bluecoat-placeholder". |
x-bluecoat-reference-id |
security_result.detection_fields |
ID de referencia Se analizó a partir de los datos JSON. La clave es "x-bluecoat-reference-id". |
x-bluecoat-request-tenant-id |
x-bluecoat-request-tenant-id | Es el ID del arrendatario de la solicitud. Se analizó a partir de los datos JSON. |
x-bluecoat-transaction-uuid |
metadata.product_log_id |
Es el UUID de la transacción. Se analizó a partir de los datos JSON. |
x-client-agent-sw |
software.name |
Software de agente del cliente Se analizó a partir de los datos JSON y se combinó en principal.asset.software. |
x-client-agent-type |
principal.application |
Es el tipo de agente del cliente. Se analizó a partir de los datos JSON. |
x-client-device-id |
principal.resource.product_object_id |
Es el ID del dispositivo del cliente. Se analizó a partir de los datos JSON. |
x-client-device-name |
x-client-device-name | Nombre del dispositivo cliente. Se analizó a partir de los datos JSON. |
x-client-device-type |
x-client-device-type | Es el tipo de dispositivo del cliente. Se analizó a partir de los datos JSON. |
x-client-os |
principal.asset.platform_software.platform |
Es el sistema operativo del cliente. Se analizó a partir de los datos JSON. Si contiene "Windows", establece la plataforma en WINDOWS. |
x-client-security-posture-details |
x-client-security-posture-details | Son los detalles de la postura de seguridad del cliente. Se analizó a partir de los datos JSON. |
x-client-security-posture-risk-score |
security_result.detection_fields |
Es la puntuación de riesgo de la postura de seguridad del cliente. Se analizó a partir de los datos JSON. La clave es "x-client-security-posture-risk-score". |
x-cloud-rs |
security_result.detection_fields |
Es información del servidor remoto relacionada con la nube. Se analizó a partir de los datos JSON. La clave es "x-cloud-rs". |
x-cs-certificate-subject |
x_cs_certificate_subject | Es el asunto del certificado del cliente. Se analizó a partir de los datos JSON. |
x-cs-client-ip-country |
x-cs-client-ip-country | Es el país de la IP del cliente. Se analizó a partir de los datos JSON. |
x-cs-connection-negotiated-cipher |
network.tls.cipher |
Es el algoritmo de encriptación negociado desde el cliente. Se analizó a partir de los datos JSON. |
x-cs-connection-negotiated-cipher-size |
security_result.detection_fields |
Es el tamaño del cifrado negociado desde el cliente. Se analizó a partir de los datos JSON. La clave es "x-cs-connection-negotiated-cipher-size". |
x-cs-connection-negotiated-ssl-version |
network.tls.version_protocol |
Versión de SSL negociada desde el cliente. Se analizó a partir de los datos JSON. |
x-cs-ocsp-error |
security_result.detection_fields |
Es un error de OCSP del cliente. Se analizó a partir de los datos JSON. La clave es "x-cs-ocsp-error". |
x-cs(referer)-uri-categories |
x-cs(referer)-uri-categories | Son las categorías de URI de referencia del cliente. Se analizó a partir de los datos JSON. |
x-data-leak-detected |
security_result.detection_fields |
Es el estado de la detección de filtración de datos. Se analizó a partir de los datos JSON. La clave es "x-data-leak-detected". |
x-exception-id |
x_exception_id | ID de excepción. Se analizó a partir de los datos JSON. |
x-http-connect-host |
x-http-connect-host | Es el host de conexión HTTP. Se analizó a partir de los datos JSON. |
x-http-connect-port |
x-http-connect-port | Es el puerto de conexión HTTP. Se analizó a partir de los datos JSON. |
x-icap-reqmod-header(x-icap-metadata) |
x_icap_reqmod_header | Es el encabezado de modificación de la solicitud ICAP que contiene metadatos. Se analizó a partir de los datos JSON. |
x-icap-respmod-header(x-icap-metadata) |
x_icap_respmod_header | Es el encabezado de modificación de la respuesta de ICAP que contiene metadatos. Se analizó a partir de los datos JSON. |
x-rs-certificate-hostname |
network.tls.client.server_name |
Es el nombre de host del certificado del servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-certificate-hostname-categories |
x_rs_certificate_hostname_category | Son las categorías de nombres de host de certificados del servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-certificate-hostname-category |
x_rs_certificate_hostname_category | Es la categoría del nombre de host del certificado del servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-certificate-hostname-threat-risk |
security_result.detection_fields |
Riesgo de amenaza del nombre de host del certificado desde el servidor remoto. Se analizó a partir de los datos JSON. La clave es "x-rs-certificate-hostname-threat-risk". |
x-rs-certificate-observed-errors |
x_rs_certificate_observed_errors | Se observaron errores de certificado del servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-certificate-validate-status |
network.tls.server.certificate.subject |
Es el estado de validación del certificado del servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-connection-negotiated-cipher |
x_rs_connection_negotiated_cipher | Es el algoritmo de cifrado negociado desde el servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-connection-negotiated-cipher-size |
security_result.detection_fields |
Tamaño del cifrado negociado desde el servidor remoto. Se analizó a partir de los datos JSON. La clave es "x-rs-connection-negotiated-cipher-size". |
x-rs-connection-negotiated-cipher-strength |
x_rs_connection_negotiated_cipher_strength | Es la intensidad del cifrado negociado desde el servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-connection-negotiated-ssl-version |
x_rs_connection_negotiated_ssl_version | Versión de SSL negociada desde el servidor remoto. Se analizó a partir de los datos JSON. |
x-rs-ocsp-error |
x_rs_ocsp_error | Error de OCSP del servidor remoto. Se analizó a partir de los datos JSON. |
x-sc-connection-issuer-keyring |
security_result.detection_fields |
Llavero de claves del emisor de la conexión. Se analizó a partir de los datos JSON. La clave es "x-sc-connection-issuer-keyring". |
x-sc-connection-issuer-keyring-alias |
x-sc-connection-issuer-keyring-alias | Es el alias del llavero de claves de la entidad emisora de la conexión. Se analizó a partir de los datos JSON. |
x-sr-vpop-country |
principal.location.country_or_region |
Es el país del VPOP. Se analizó a partir de los datos JSON. |
x-sr-vpop-country-code |
principal.location.country_or_region |
Es el código de país del VPOP. Se analizó a partir de los datos JSON. |
x-sr-vpop-ip |
principal.ipprincipal.asset.ip |
Es la dirección IP del VPOP. Se analizó a partir de los datos JSON. |
x-symc-dei-app |
x-symc-dei-app | Solicitud de DEI de Symantec. Se analizó a partir de los datos JSON. |
x-symc-dei-via |
security_result.detection_fields |
Symantec DEI a través de Se analizó a partir de los datos JSON. La clave es "x-symc-dei-via". |
x-tenant-id |
security_result.detection_fields |
ID de usuario. Se analizó a partir de los datos JSON. La clave es "x-tenant-id". |
x-timestamp-unix |
x-timestamp-unix | Es una marca de tiempo de Unix. Se analizó a partir de los datos JSON. |
x_bluecoat_application_name |
target_application | Es el nombre de la aplicación. Se analizan a partir de varios formatos de registro. |
x_bluecoat_application_operation |
x_bluecoat_application_operation | Operación de la aplicación Se analizan a partir de varios formatos de registro. |
x_bluecoat_transaction_uuid |
metadata.product_log_id |
Es el UUID de la transacción. Se analizan a partir de varios formatos de registro. |
x_cs_certificate_subject |
x_cs_certificate_subject | Es el asunto del certificado del cliente. Se analiza a partir del formato de registro general. |
x_cs_client_effective_ip |
ip_principal | Es la dirección IP efectiva del cliente. Se analiza a partir del formato de registro general. |
x_cs_connection_negotiated_cipher |
network.tls.cipher |
Es el algoritmo de encriptación negociado del cliente. Se analiza a partir del formato de registro general. |
x_cs_connection_negotiated_ssl_version |
network.tls.version_protocol |
Es la versión de SSL negociada del lado del cliente. Se analiza a partir del formato de registro general. |
x_exception_id |
_block_reason | ID de excepción. Se analizan a partir de varios formatos de registro. |
x_icap_reqmod_header |
x_icap_reqmod_header | Es el encabezado de modificación de la solicitud de ICAP. Se analiza a partir del formato de registro general. |
x_icap_respmod_header |
x_icap_respmod_header | Es el encabezado de modificación de respuesta de ICAP. Se analiza a partir del formato de registro general. |
x_rs_certificate_hostname |
network.tls.client.server_name |
Es el nombre de host del certificado del servidor remoto. Se analiza a partir del formato de registro general. |
x_rs_certificate_hostname_category |
x_rs_certificate_hostname_category | Es la categoría del nombre de host del certificado del servidor remoto. Se analiza a partir del formato de registro general. |
x_rs_certificate_observed_errors |
x_rs_certificate_observed_errors | Se observaron errores en el certificado del servidor remoto. Se analiza a partir del formato de registro general. |
x_rs_certificate_validate_status |
network.tls.server.certificate.subject |
Es el estado de validación del certificado del servidor remoto. Se analizan a partir de varios formatos de registro. |
x_rs_connection_negotiated_cipher_strength |
x_rs_connection_negotiated_cipher_strength | Es la potencia de cifrado negociada del servidor remoto. Se analiza a partir del formato de registro general. |
x_rs_connection_negotiated_ssl_version |
x_rs_connection_negotiated_ssl_version | Es la versión de SSL negociada por el servidor remoto. Se analiza a partir del formato de registro general. |
x_virus_id |
security_result.detection_fields |
Es el ID del virus. Se analizó a partir de varios formatos de registro. La clave es "x-virus-id". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.