Collecter les journaux Blue Coat ProxySG

Compatible avec :

Ce document explique comment ingérer des journaux Blue Coat ProxySG dans Google Security Operations à l'aide de l'agent Bindplane.

Blue Coat ProxySG (désormais Broadcom/Symantec) est un dispositif de proxy Web qui génère des journaux d'accès pour le trafic Web, y compris les requêtes HTTP, les catégories, l'authentification et les événements de sécurité. L'analyseur normalise les champs et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et l'appliance Blue Coat ProxySG
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès administrateur à la console de gestion Blue Coat ProxySG

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

  4. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.

  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

    Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

    Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bluecoat_webproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BLUECOAT_WEBPROXY
        raw_log_field: body

service:
    pipelines:
        logs/bluecoat_webproxy_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/bluecoat_webproxy

Paramètres de configuration

Remplacez les espaces réservés suivants :

  • Configuration du récepteur :

    • listen_address : adresse IP et port à écouter :
      • 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
      • Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non root).

  • Configuration de l'exportateur :

    • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
      • Linux : /etc/bindplane-agent/ingestion-auth.json
      • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • customer_id : ID client copié depuis la console Google SecOps
    • endpoint : URL du point de terminaison régional :
      • États-Unis : malachiteingestion-pa.googleapis.com
      • Europe : europe-malachiteingestion-pa.googleapis.com
      • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
      • Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

      sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

      sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commande ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez le collecteur observIQ OpenTelemetry.
      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer syslog dans Blue Coat ProxySG

  1. Connectez-vous à la console de gestion Blue Coat ProxySG.
  2. Accédez à Maintenance > Journalisation des événements > Syslog.
  3. Cliquez sur New (Nouveau).
  4. Fournissez les informations de configuration suivantes :
    • Loghost : saisissez l'adresse IP de l'agent Bindplane.
    • Cliquez sur OK.
  5. Cochez la case Activer Syslog.
  6. Sélectionnez Niveau.
  7. Cochez la case Verbose.
  8. Cliquez sur Appliquer.

Configurer un client personnalisé dans Blue Coat ProxySG

  1. Accédez à Configuration > Journalisation des accès > Journaux > Client d'importation.
  2. Sélectionnez Streaming dans la liste des journaux.
  3. Sélectionnez Client personnalisé dans la liste de types de clients.
  4. Cliquez sur Paramètres.
  5. Sélectionnez le serveur personnalisé principal ou secondaire à configurer dans la liste Paramètres.
  6. Fournissez les informations de configuration suivantes :
    • Hôte : saisissez le nom d'hôte ou l'adresse IP de la destination d'importation.
    • Port : définissez-le sur 514.
    • Utiliser des connexions sécurisées (SSL) : définissez cette option sur Désactivé.
    • Cliquez sur OK.
    • Cliquez sur Appliquer pour revenir à l'onglet Importer un client.
  7. Pour chaque format de journal que vous souhaitez utiliser parmi les formats "main", "im" et "streaming", procédez comme suit :
    • Sélectionnez le journal.
    • Attribuez le client d'importation en tant que client personnalisé.
    • Sélectionnez <No Encryption> et <No Signing>.
    • Enregistrez le fichier journal au format texte.
    • Cliquez sur Importer un programme > Type d'importation.
    • Sélectionnez En continu pour Importer le journal des accès afin de diffuser les journaux des accès.
    • Cliquez sur OK.
  8. Cliquez sur Appliquer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
@timestamp metadata.event_timestamp Code temporel de l'événement tel qu'enregistré par l'appliance Blue Coat. Analysé à partir des données JSON.
application-name target.application Nom de l'application associée au trafic réseau. Analysé à partir des données JSON.
c-ip principal.asset.ipprincipal.ip Adresse IP du client. Analysé à partir des données JSON.
c_ip principal.ipprincipal.asset.ip Adresse IP du client. Analysé à partir de différents formats de journaux.
c_ip_host principal.hostnameprincipal.asset.hostname Nom d'hôte du client, si disponible. Analysé à partir des données JSON.
cs-auth-group principal_user_group_identifiers Groupe d'authentification du client. Analysé à partir des données JSON.
cs-bytes network.sent_bytes Nombre d'octets envoyés par le client. Analysé à partir des données JSON.
cs-categories security_result.category_details Catégories attribuées à la requête Web par l'appliance Blue Coat. Analysé à partir des données JSON.
cs-host target_hostname Nom d'hôte demandé par le client. Analysé à partir des données JSON.
cs-icap-error-details security_result.detection_fields Détails des erreurs ICAP côté client. Analysé à partir des données JSON, la clé est "cs-icap-error-details".
cs-icap-status security_result.description État ICAP côté client. Analysé à partir des données JSON.
cs-method network.http.method Méthode HTTP utilisée dans la requête. Analysé à partir des données JSON.
cs-threat-risk security_result.risk_score Score de risque de menace attribué par l'appliance Blue Coat. Analysé à partir des données JSON.
cs-uri-extension cs_uri_extension Extension de l'URI demandé. Analysé à partir des données JSON.
cs-uri-path _uri_path Chemin de l'URI demandé. Analysé à partir des données JSON.
cs-uri-port cs_uri_port Port de l'URI demandé. Analysé à partir des données JSON.
cs-uri-query _uri_query Chaîne de requête de l'URI demandé. Analysé à partir des données JSON.
cs-uri-scheme _uri_scheme Scheme de l'URI demandée (par exemple, http ou https). Analysé à partir des données JSON.
cs-userdn principal_user_userid Nom d'utilisateur du client. Analysé à partir des données JSON.
cs-version cs_version Version HTTP utilisée par le client. Analysé à partir des données JSON.
cs(Referer) network.http.referral_url URL de provenance Analysé à partir des données JSON.
cs(User-Agent) network.http.user_agent Chaîne user-agent. Analysé à partir des données JSON.
cs(X-Requested-With) security_result.detection_fields Valeur de l'en-tête X-Requested-With. La clé "cs-X-Requested-With" est extraite des données JSON.
cs_auth_group principal_user_group_identifiers Groupe d'authentification du client. Analysé à partir de différents formats de journaux.
cs_bytes network.sent_bytes Nombre d'octets envoyés par le client. Analysé à partir de différents formats de journaux.
cs_categories security_result.category_details Catégories attribuées à la requête Web. Analysé à partir de différents formats de journaux.
cs_host target_hostname Nom d'hôte demandé par le client. Analysé à partir de différents formats de journaux.
cs_method network.http.method Méthode HTTP utilisée dans la requête. Analysé à partir de différents formats de journaux.
cs_referer network.http.referral_url URL de provenance Analysé à partir de différents formats de journaux.
cs_threat_risk security_result.risk_score Score de risque de menace attribué par l'appliance Blue Coat. Analysé à partir du format de journal KV.
cs_uri target.url URI complet demandé. Analysé à partir du format de journal KV.
cs_uri_extension cs_uri_extension Extension de l'URI demandé. Analysé à partir du format de journal KV.
cs_uri_path _uri_path Chemin de l'URI demandé. Analysé à partir de différents formats de journaux.
cs_uri_port target_port Port de l'URI demandé. Analysé à partir de différents formats de journaux.
cs_uri_query _uri_query Chaîne de requête de l'URI demandé. Analysé à partir de différents formats de journaux.
cs_uri_scheme _uri_scheme Scheme de l'URI demandée (par exemple, http ou https). Analysé à partir de différents formats de journaux.
cs_user principal_user_userid Nom d'utilisateur du client. Analysé à partir du format de journal général.
cs_user_agent network.http.user_agent Chaîne user-agent. Analysé à partir de différents formats de journaux.
cs_username principal_user_userid Nom d'utilisateur du client. Analysé à partir de différents formats de journaux.
cs_x_forwarded_for _intermediary.ip Valeur de l'en-tête X-Forwarded-For. Analysé à partir du format de journal général.
deviceHostname _intermediary.hostname Nom d'hôte de l'appliance Blue Coat. Analysé à partir du format de journal KV.
dst ip_target Adresse IP de destination. Analysé à partir du format de journal KV.
dst_ip ip_target Adresse IP de destination. Analysé à partir du format du journal SSL.
dst_user target.user.userid ID utilisateur de destination. Analysé à partir du format du journal de proxy inverse.
dstport target_port Port de destination. Analysé à partir du format de journal KV.
dstport target.port Port de destination. Analysé à partir du format du journal SSL.
exception-id _block_reason ID d'exception indiquant une requête bloquée. Analysé à partir du format de journal KV.
filter-category _categories Catégorie du filtre qui a déclenché l'événement. Analysé à partir du format de journal KV.
filter-result _policy_action Résultat du filtre appliqué à la requête. Analysé à partir du format de journal KV.
hostname principal.hostnameprincipal.asset.hostname Nom d'hôte de l'appareil qui génère le journal. Analysé à partir des formats de journaux SSL et généraux.
isolation-url isolation-url URL liée à l'isolement, le cas échéant. Analysé à partir des données JSON.
ma-detonated ma-detonated État de la détonation du logiciel malveillant. Analysé à partir des données JSON.
page-views page-views Nombre de pages vues. Analysé à partir des données JSON.
r-ip ip_target Adresse IP distante. Analysé à partir des données JSON.
r-supplier-country r-supplier-country Pays du fournisseur distant. Analysé à partir des données JSON.
r_dns target_hostname Nom DNS distant. Analysé à partir des données JSON.
r_ip ip_target Adresse IP distante. Analysé à partir de différents formats de journaux.
r_port target_port Port distant. Analysé à partir des données JSON.
risk-groups security_result.detection_fields Groupes à risque associés à l'événement. La clé "risk-groups" est extraite des données JSON.
rs-icap-error-details security_result.detection_fields Détails de l'erreur ICAP côté serveur distant. Analysé à partir des données JSON, la clé est "rs-icap-error-details".
rs-icap-status rs-icap-status État ICAP côté serveur distant. Analysé à partir des données JSON.
rs(Content-Type) target.file.mime_type Type de contenu de la réponse du serveur distant. Analysé à partir du format de journal KV.
rs_content_type target.file.mime_type Type de contenu de la réponse du serveur distant. Analysé à partir de différents formats de journaux.
rs_server rs_server Informations sur le serveur distant. Analysé à partir des données JSON.
rs_status _network.http.response_code Code d'état de la réponse du serveur distant. Analysé à partir des données JSON.
r_supplier_country intermediary.location.country_or_region Pays du fournisseur distant. Analysé à partir du format de journal général.
r_supplier_ip intermediary.ip Adresse IP du fournisseur distant. Analysé à partir du format de journal général.
s-action _metadata.product_event_type Action effectuée par le proxy. Analysé à partir du format de journal KV.
s-ip _intermediary.ip Adresse IP du serveur. Analysé à partir du format de journal KV.
s-source-ip _intermediary.ip Adresse IP source du serveur. Analysé à partir des données JSON.
s_action _metadata.product_event_type Action effectuée par le proxy. Analysé à partir de différents formats de journaux.
s_ip target.iptarget.asset.ip Adresse IP du serveur. Analysé à partir de différents formats de journaux.
s_ip_host _intermediary.hostname Nom d'hôte du serveur. Analysé à partir des données JSON.
s-supplier-country intermediary.location.country_or_region Pays du serveur du fournisseur. Analysé à partir des données JSON.
s-supplier-failures security_result.detection_fields Échecs des fournisseurs. Analysés à partir des données JSON, la clé est "s-supplier-failures".
s-supplier-ip _intermediary.ip Adresse IP du serveur du fournisseur. Analysée à partir des données JSON.
s_supplier_ip intermediary.ip Adresse IP du serveur du fournisseur. Analysée à partir des données JSON.
s_supplier_name _intermediary.hostname Nom du serveur du fournisseur. Analysé à partir du format de journal général.
sc-bytes network.received_bytes Nombre d'octets reçus par le serveur. Analysé à partir du format de journal KV.
sc-filter-result _policy_action Filtrer les résultats côté serveur. Analysé à partir du format de journal KV.
sc-status _network.http.response_code Code d'état renvoyé par le serveur. Analysé à partir du format de journal KV.
sc_bytes network.received_bytes Nombre d'octets reçus par le serveur. Analysé à partir de différents formats de journaux.
sc_connection sc_connection Informations sur la connexion au serveur. Analysé à partir du format de journal général.
sc_filter_result _policy_action Filtrer les résultats côté serveur. Analysé à partir de différents formats de journaux.
sc_status _network.http.response_code Code d'état renvoyé par le serveur. Analysé à partir de différents formats de journaux.
search_query target.resource.attribute.labels Requête de recherche, si elle est présente dans l'URL. Extrait de target_url, la clé est "search_query".
session_id network.session_id ID de session. Analysé à partir du format du journal de proxy inverse.
src ip_principal Adresse IP source. Analysé à partir du format de journal KV.
src_hostname principal.hostnameprincipal.asset.hostname Nom d'hôte source. Analysé à partir du format de journal général.
src_ip ip_principal Adresse IP source. Analysé à partir du format du journal SSL.
srcport principal_port Port source Analysé à partir du format de journal KV.
src_port principal.port Port source Analysé à partir du format du journal SSL.
s_source_port intermediary.port Port source du serveur. Analysé à partir du format de journal général.
summary security_result.summary Résumé du résultat de sécurité. Analysé à partir des formats de journaux Proxy Reverse et SSL.
syslogtimestamp syslogtimestamp Code temporel syslog. Analysé à partir du format de journal KV.
target_application target.application Application ciblée par la requête. Dérivé de fromx_bluecoat_application_name ou application-name.
target_hostname target.hostnametarget.asset.hostname Nom d'hôte cible. Dérivé de "r_dns", "cs-host" ou d'autres champs selon le format du journal.
target_port target.port Port cible. Dérivé de r_port, cs_uri_port ou ordstport selon le format du journal.
target_sip target.iptarget.asset.ip Adresse IP du serveur cible. Analysé à partir du format de journal général.
target_url target.url URL cible. Dérivé de target_hostname, uri_path et uri_query ou cs_uri.
time-taken network.session_duration Durée de la session ou de la requête. Elle est analysée à partir du format de journal KV et convertie en secondes et en nanosecondes.
time_taken network.session_duration Durée de la session ou de la requête. Elle est analysée à partir de différents formats de journaux et convertie en secondes et en nanosecondes.
tls_version network.tls.version Version de TLS utilisée dans la connexion. Analysée à partir du format du journal SSL.
upload-source upload-source Source de l'importation. Analysé à partir des données JSON.
username principal_user_userid Nom d'utilisateur. Analysé à partir du format de journal KV.
verdict security_result.detection_fields Verdict de l'analyse de sécurité. Analysé à partir des données JSON, la clé est "verdict".
wf-env wf_env Environnement du service de filtrage Web. Analysé à partir des données JSON.
wf_id security_result.detection_fields ID du filtrage Web. Analysé à partir des données JSON, la clé est "wf_id".
wrong_cs_host principal.hostnameprincipal.asset.hostname Nom d'hôte du client mal analysé, utilisé comme nom d'hôte principal s'il ne s'agit pas d'une adresse IP. Analysé à partir du format de journal général.
x-bluecoat-access-type x-bluecoat-access-type Type d'accès. Analysé à partir des données JSON.
x-bluecoat-appliance-name intermediary.application Nom de l'appliance Blue Coat. Analysé à partir des données JSON.
x-bluecoat-application-name target_application Nom de l'application. Analysé à partir des données JSON.
x-bluecoat-application-operation x_bluecoat_application_operation Opération de l'application. Analysé à partir des données JSON.
x-bluecoat-location-id x-bluecoat-location-id ID de zone géographique. Analysé à partir des données JSON.
x-bluecoat-location-name x-bluecoat-location-name Nom de l'établissement. Analysé à partir des données JSON.
x-bluecoat-placeholder security_result.detection_fields Informations de l'espace réservé. La clé "x-bluecoat-placeholder" est extraite des données JSON.
x-bluecoat-reference-id security_result.detection_fields ID de référence. La clé "x-bluecoat-reference-id" est extraite des données JSON.
x-bluecoat-request-tenant-id x-bluecoat-request-tenant-id ID du locataire de la requête. Il est analysé à partir des données JSON.
x-bluecoat-transaction-uuid metadata.product_log_id UUID de la transaction. Analysé à partir des données JSON.
x-client-agent-sw software.name Logiciel de l'agent client. Analysé à partir des données JSON et fusionné dans principal.asset.software.
x-client-agent-type principal.application Type d'agent client. Analysé à partir des données JSON.
x-client-device-id principal.resource.product_object_id ID de l'appareil client. Analysé à partir des données JSON.
x-client-device-name x-client-device-name Nom de l'appareil client. Analysé à partir des données JSON.
x-client-device-type x-client-device-type Type d'appareil client. Analysé à partir des données JSON.
x-client-os principal.asset.platform_software.platform Système d'exploitation du client. Analysé à partir des données JSON. Si le nom contient "Windows", la plate-forme est définie sur WINDOWS.
x-client-security-posture-details x-client-security-posture-details Détails sur le niveau de sécurité du client. Ils sont analysés à partir des données JSON.
x-client-security-posture-risk-score security_result.detection_fields Score de risque lié à la posture de sécurité du client. Il est analysé à partir des données JSON. La clé est "x-client-security-posture-risk-score".
x-cloud-rs security_result.detection_fields Informations sur le serveur distant liées au cloud. La clé "x-cloud-rs" est extraite des données JSON.
x-cs-certificate-subject x_cs_certificate_subject Sujet du certificat côté client. Analysé à partir des données JSON.
x-cs-client-ip-country x-cs-client-ip-country Pays de l'adresse IP du client. Analysé à partir des données JSON.
x-cs-connection-negotiated-cipher network.tls.cipher Chiffre négocié côté client. Analysé à partir des données JSON.
x-cs-connection-negotiated-cipher-size security_result.detection_fields Taille du chiffrement négociée côté client. Analysée à partir des données JSON, la clé est "x-cs-connection-negotiated-cipher-size".
x-cs-connection-negotiated-ssl-version network.tls.version_protocol Version SSL négociée côté client. Analysé à partir des données JSON.
x-cs-ocsp-error security_result.detection_fields Erreur OCSP côté client. La clé "x-cs-ocsp-error" est analysée à partir des données JSON.
x-cs(referer)-uri-categories x-cs(referer)-uri-categories Catégories d'URI de provenance côté client. Analysé à partir des données JSON.
x-data-leak-detected security_result.detection_fields État de la détection des fuites de données. La clé "x-data-leak-detected" est extraite des données JSON.
x-exception-id x_exception_id ID de l'exception. Analysé à partir des données JSON.
x-http-connect-host x-http-connect-host Hôte de connexion HTTP. Analysé à partir des données JSON.
x-http-connect-port x-http-connect-port Port de connexion HTTP. Analysé à partir des données JSON.
x-icap-reqmod-header(x-icap-metadata) x_icap_reqmod_header En-tête de modification de la requête ICAP contenant des métadonnées. Analysé à partir des données JSON.
x-icap-respmod-header(x-icap-metadata) x_icap_respmod_header En-tête de modification de la réponse ICAP contenant des métadonnées. Analysé à partir des données JSON.
x-rs-certificate-hostname network.tls.client.server_name Nom d'hôte du certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-certificate-hostname-categories x_rs_certificate_hostname_category Catégories de noms d'hôte de certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-certificate-hostname-category x_rs_certificate_hostname_category Catégorie du nom d'hôte du certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-certificate-hostname-threat-risk security_result.detection_fields Risque de menace lié au nom d'hôte du certificat côté serveur distant. Analysé à partir des données JSON, la clé est "x-rs-certificate-hostname-threat-risk".
x-rs-certificate-observed-errors x_rs_certificate_observed_errors Erreurs observées au niveau du certificat du serveur distant. Elles sont analysées à partir des données JSON.
x-rs-certificate-validate-status network.tls.server.certificate.subject État de validation du certificat côté serveur distant. Analysé à partir des données JSON.
x-rs-connection-negotiated-cipher x_rs_connection_negotiated_cipher Chiffre négocié côté serveur distant. Analysé à partir des données JSON.
x-rs-connection-negotiated-cipher-size security_result.detection_fields Taille du chiffrement négociée côté serveur distant. Analysée à partir des données JSON, la clé est "x-rs-connection-negotiated-cipher-size".
x-rs-connection-negotiated-cipher-strength x_rs_connection_negotiated_cipher_strength Intensité du chiffrement négocié côté serveur distant. Analysé à partir des données JSON.
x-rs-connection-negotiated-ssl-version x_rs_connection_negotiated_ssl_version Version SSL négociée côté serveur distant. Analysé à partir des données JSON.
x-rs-ocsp-error x_rs_ocsp_error Erreur OCSP côté serveur distant. Analysé à partir des données JSON.
x-sc-connection-issuer-keyring security_result.detection_fields Trousseau de clés de l'émetteur de la connexion. La clé "x-sc-connection-issuer-keyring" est extraite des données JSON.
x-sc-connection-issuer-keyring-alias x-sc-connection-issuer-keyring-alias Alias du trousseau de clés de l'émetteur de la connexion. Analysé à partir des données JSON.
x-sr-vpop-country principal.location.country_or_region Pays du VPOP. Analysé à partir des données JSON.
x-sr-vpop-country-code principal.location.country_or_region Code pays du VPOP. Analysé à partir des données JSON.
x-sr-vpop-ip principal.ipprincipal.asset.ip Adresse IP du VPOP. Analysé à partir des données JSON.
x-symc-dei-app x-symc-dei-app Application Symantec DEI. Analysé à partir des données JSON.
x-symc-dei-via security_result.detection_fields Symantec DEI via. La clé "x-symc-dei-via" est analysée à partir des données JSON.
x-tenant-id security_result.detection_fields ID du locataire. La clé "x-tenant-id" est extraite des données JSON.
x-timestamp-unix x-timestamp-unix Horodatage Unix. Analysé à partir des données JSON.
x_bluecoat_application_name target_application Nom de l'application. Analysé à partir de différents formats de journaux.
x_bluecoat_application_operation x_bluecoat_application_operation Opération de l'application. Analysé à partir de différents formats de journaux.
x_bluecoat_transaction_uuid metadata.product_log_id UUID de la transaction. Analysé à partir de différents formats de journaux.
x_cs_certificate_subject x_cs_certificate_subject Objet du certificat côté client. Analysé à partir du format de journal général.
x_cs_client_effective_ip ip_principal Adresse IP effective du client. Analysé à partir du format de journal général.
x_cs_connection_negotiated_cipher network.tls.cipher Chiffre négocié côté client. Analysé à partir du format de journal général.
x_cs_connection_negotiated_ssl_version network.tls.version_protocol Version SSL négociée côté client. Analysé à partir du format de journal général.
x_exception_id _block_reason ID de l'exception. Analysé à partir de différents formats de journaux.
x_icap_reqmod_header x_icap_reqmod_header En-tête de modification de la requête ICAP. Analysé à partir du format de journal général.
x_icap_respmod_header x_icap_respmod_header En-tête de modification de la réponse ICAP. Analysé à partir du format de journal général.
x_rs_certificate_hostname network.tls.client.server_name Nom d'hôte du certificat du serveur distant. Analysé à partir du format de journal général.
x_rs_certificate_hostname_category x_rs_certificate_hostname_category Catégorie du nom d'hôte du certificat de serveur distant. Analysé à partir du format de journal général.
x_rs_certificate_observed_errors x_rs_certificate_observed_errors Erreurs observées liées au certificat du serveur distant. Analysé à partir du format de journal général.
x_rs_certificate_validate_status network.tls.server.certificate.subject État de validation du certificat du serveur distant. Analysé à partir de différents formats de journaux.
x_rs_connection_negotiated_cipher_strength x_rs_connection_negotiated_cipher_strength Intensité du chiffrement négocié par le serveur distant. Analysé à partir du format de journal général.
x_rs_connection_negotiated_ssl_version x_rs_connection_negotiated_ssl_version Version SSL négociée par le serveur distant. Analysé à partir du format de journal général.
x_virus_id security_result.detection_fields ID du virus. Analysé à partir de différents formats de journaux, la clé est "x-virus-id".

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.