Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di Blue Coat ProxySG

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Blue Coat ProxySG in Google Security Operations utilizzando l'agente Bindplane.

Blue Coat ProxySG (ora Broadcom/Symantec) è un'appliance proxy web che genera log di accesso per il traffico web, tra cui richieste HTTP, categorie, autenticazione ed eventi di sicurezza. Il parser normalizza i campi e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e l'appliance Blue Coat ProxySG
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso amministrativo alla console di gestione di Blue Coat ProxySG

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bluecoat_webproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BLUECOAT_WEBPROXY
        raw_log_field: body

service:
    pipelines:
        logs/bluecoat_webproxy_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/bluecoat_webproxy

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare syslog in Blue Coat ProxySG

Accedi alla console di gestione Blue Coat ProxySG.
Vai a Manutenzione > Registrazione eventi > Syslog.
Fai clic su New (Nuovo).
Fornisci i seguenti dettagli di configurazione:
- Loghost: inserisci l'indirizzo IP dell'agente Bindplane.
- Fai clic su OK.
Seleziona la casella di controllo Abilita Syslog.
Seleziona Livello.
Seleziona la casella di controllo Verbose.
Fai clic su Applica.

Configurare un client personalizzato in Blue Coat ProxySG

Vai a Configurazione > Registrazione accessi > Log > Carica client.
Seleziona Streaming nell'elenco dei log.
Seleziona Cliente personalizzato dall'elenco Tipo di cliente.
Fai clic su Impostazioni.
Seleziona per configurare il server personalizzato principale o alternativo dall'elenco Impostazioni.
Fornisci i seguenti dettagli di configurazione:
- Host: inserisci il nome host o l'indirizzo IP della destinazione di caricamento.
- Porta: imposta su 514.
- Utilizza connessioni sicure (SSL): impostato su Off.
- Fai clic su OK.
- Fai clic su Applica per tornare alla scheda Carica cliente.
Per ogni formato di log che vuoi utilizzare tra principale, im e streaming, completa i seguenti passaggi:
- Seleziona il log.
- Assegna il ruolo Carica cliente al cliente Personalizzato.
- Seleziona <No Encryption> e <No Signing>.
- Salva il file di log come file di testo.
- Fai clic su Carica programma > Tipo di caricamento.
- Seleziona Continuamente per Carica il log degli accessi per trasmettere in streaming i log degli accessi.
- Fai clic su OK.
Fai clic su Applica.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`@timestamp`	`metadata.event_timestamp`	Il timestamp dell'evento registrato dall'appliance Blue Coat. Analizzato dai dati JSON.
`application-name`	`target.application`	Il nome dell'applicazione associata al traffico di rete. Analizzato dai dati JSON.
`c-ip`	`principal.asset.ipprincipal.ip`	Indirizzo IP client. Analizzato dai dati JSON.
`c_ip`	`principal.ipprincipal.asset.ip`	Indirizzo IP client. Analizzati da vari formati di log.
`c_ip_host`	`principal.hostnameprincipal.asset.hostname`	Nome host client, se disponibile. Analizzato dai dati JSON.
`cs-auth-group`	principal_user_group_identifiers	Gruppo di autenticazione client. Analizzato dai dati JSON.
`cs-bytes`	`network.sent_bytes`	Numero di byte inviati dal client. Analizzato dai dati JSON.
`cs-categories`	`security_result.category_details`	Categorie assegnate alla richiesta web dall'appliance Blue Coat. Analizzato dai dati JSON.
`cs-host`	target_hostname	Nome host richiesto dal client. Analizzato dai dati JSON.
`cs-icap-error-details`	`security_result.detection_fields`	Dettagli dell'errore ICAP dal lato client. Analizzata dai dati JSON, la chiave è "cs-icap-error-details".
`cs-icap-status`	`security_result.description`	Stato ICAP dal lato client. Analizzato dai dati JSON.
`cs-method`	`network.http.method`	Metodo HTTP utilizzato nella richiesta. Analizzato dai dati JSON.
`cs-threat-risk`	`security_result.risk_score`	Punteggio di rischio di minaccia assegnato dall'appliance Blue Coat. Analizzato dai dati JSON.
`cs-uri-extension`	cs_uri_extension	Estensione dell'URI richiesto. Analizzato dai dati JSON.
`cs-uri-path`	_uri_path	Percorso dell'URI richiesto. Analizzato dai dati JSON.
`cs-uri-port`	cs_uri_port	Porta dell'URI richiesto. Analizzato dai dati JSON.
`cs-uri-query`	_uri_query	Stringa di query dell'URI richiesto. Analizzato dai dati JSON.
`cs-uri-scheme`	_uri_scheme	Schema dell'URI richiesto (ad es. http, https). Analizzato dai dati JSON.
`cs-userdn`	principal_user_userid	Nome utente del cliente. Analizzato dai dati JSON.
`cs-version`	cs_version	La versione HTTP utilizzata dal client. Analizzato dai dati JSON.
`cs(Referer)`	`network.http.referral_url`	URL del referrer. Analizzato dai dati JSON.
`cs(User-Agent)`	`network.http.user_agent`	Stringa user agent. Analizzato dai dati JSON.
`cs(X-Requested-With)`	`security_result.detection_fields`	Valore dell'intestazione X-Requested-With. Analizzata dai dati JSON, la chiave è "cs-X-Requested-With".
`cs_auth_group`	principal_user_group_identifiers	Gruppo di autenticazione client. Analizzati da vari formati di log.
`cs_bytes`	`network.sent_bytes`	Numero di byte inviati dal client. Analizzati da vari formati di log.
`cs_categories`	`security_result.category_details`	Le categorie assegnate alla richiesta web. Analizzati da vari formati di log.
`cs_host`	target_hostname	Nome host richiesto dal client. Analizzati da vari formati di log.
`cs_method`	`network.http.method`	Metodo HTTP utilizzato nella richiesta. Analizzati da vari formati di log.
`cs_referer`	`network.http.referral_url`	URL del referrer. Analizzati da vari formati di log.
`cs_threat_risk`	`security_result.risk_score`	Punteggio di rischio di minaccia assegnato dall'appliance Blue Coat. Analizzato dal formato del log KV.
`cs_uri`	`target.url`	URI richiesto completo. Analizzato dal formato del log KV.
`cs_uri_extension`	cs_uri_extension	Estensione dell'URI richiesto. Analizzato dal formato del log KV.
`cs_uri_path`	_uri_path	Percorso dell'URI richiesto. Analizzati da vari formati di log.
`cs_uri_port`	target_port	Porta dell'URI richiesto. Analizzati da vari formati di log.
`cs_uri_query`	_uri_query	Stringa di query dell'URI richiesto. Analizzati da vari formati di log.
`cs_uri_scheme`	_uri_scheme	Schema dell'URI richiesto (ad es. http, https). Analizzati da vari formati di log.
`cs_user`	principal_user_userid	Nome utente del cliente. Analizzati dal formato di log generale.
`cs_user_agent`	`network.http.user_agent`	Stringa user agent. Analizzati da vari formati di log.
`cs_username`	principal_user_userid	Nome utente del cliente. Analizzati da vari formati di log.
`cs_x_forwarded_for`	`_intermediary.ip`	Valore dell'intestazione X-Forwarded-For. Analizzati dal formato di log generale.
`deviceHostname`	`_intermediary.hostname`	Nome host dell'appliance Blue Coat. Analizzato dal formato del log KV.
`dst`	ip_target	Indirizzo IP di destinazione. Analizzato dal formato del log KV.
`dst_ip`	ip_target	Indirizzo IP di destinazione. Analizzato dal formato dei log SSL.
`dst_user`	`target.user.userid`	ID utente dell'ambiente di destinazione. Analizzato dal formato del log proxy inverso.
`dstport`	target_port	Porta di destinazione. Analizzato dal formato del log KV.
`dstport`	`target.port`	Porta di destinazione. Analizzato dal formato dei log SSL.
`exception-id`	_block_reason	ID eccezione, che indica una richiesta bloccata. Analizzato dal formato del log KV.
`filter-category`	_categories	Categoria del filtro che ha attivato l'evento. Analizzato dal formato del log KV.
`filter-result`	_policy_action	Risultato del filtro applicato alla richiesta. Analizzato dal formato del log KV.
`hostname`	`principal.hostnameprincipal.asset.hostname`	Il nome host del dispositivo che genera il log. Analizzati dai formati di log SSL e generali.
`isolation-url`	isolation-url	URL relativo all'isolamento, se applicabile. Analizzato dai dati JSON.
`ma-detonated`	ma-detonated	Stato di detonazione del malware. Analizzato dai dati JSON.
`page-views`	visualizzazioni di pagina	Numero di visualizzazioni di pagina. Analizzato dai dati JSON.
`r-ip`	ip_target	Indirizzo IP remoto. Analizzato dai dati JSON.
`r-supplier-country`	r-supplier-country	Paese del fornitore remoto. Analizzato dai dati JSON.
`r_dns`	target_hostname	Nome DNS remoto. Analizzato dai dati JSON.
`r_ip`	ip_target	Indirizzo IP remoto. Analizzati da vari formati di log.
`r_port`	target_port	Porta remota. Analizzato dai dati JSON.
`risk-groups`	`security_result.detection_fields`	I gruppi di rischio associati all'evento. Analizzata dai dati JSON, la chiave è "risk-groups".
`rs-icap-error-details`	`security_result.detection_fields`	Dettagli dell'errore ICAP dal lato server remoto. Analizzata dai dati JSON, la chiave è "rs-icap-error-details".
`rs-icap-status`	rs-icap-status	Stato ICAP dal lato server remoto. Analizzato dai dati JSON.
`rs(Content-Type)`	`target.file.mime_type`	Il tipo di contenuto della risposta del server remoto. Analizzato dal formato del log KV.
`rs_content_type`	`target.file.mime_type`	Il tipo di contenuto della risposta del server remoto. Analizzati da vari formati di log.
`rs_server`	rs_server	Informazioni sul server remoto. Analizzato dai dati JSON.
`rs_status`	`_network.http.response_code`	Codice di stato della risposta del server remoto. Analizzato dai dati JSON.
`r_supplier_country`	`intermediary.location.country_or_region`	Paese del fornitore remoto. Analizzati dal formato di log generale.
`r_supplier_ip`	`intermediary.ip`	L'indirizzo IP del fornitore remoto. Analizzati dal formato di log generale.
`s-action`	`_metadata.product_event_type`	Azione intrapresa dal proxy. Analizzato dal formato del log KV.
`s-ip`	`_intermediary.ip`	Indirizzo IP server. Analizzato dal formato del log KV.
`s-source-ip`	`_intermediary.ip`	Indirizzo IP di origine del server. Analizzato dai dati JSON.
`s_action`	`_metadata.product_event_type`	Azione intrapresa dal proxy. Analizzati da vari formati di log.
`s_ip`	`target.iptarget.asset.ip`	Indirizzo IP server. Analizzati da vari formati di log.
`s_ip_host`	`_intermediary.hostname`	Nome host del server. Analizzato dai dati JSON.
`s-supplier-country`	`intermediary.location.country_or_region`	Paese del server del fornitore. Analizzato dai dati JSON.
`s-supplier-failures`	`security_result.detection_fields`	Errori del fornitore. Analizzata dai dati JSON, la chiave è "s-supplier-failures".
`s-supplier-ip`	`_intermediary.ip`	Indirizzo IP del server del fornitore. Analizzato dai dati JSON.
`s_supplier_ip`	`intermediary.ip`	Indirizzo IP del server del fornitore. Analizzato dai dati JSON.
`s_supplier_name`	`_intermediary.hostname`	Nome del server del fornitore. Analizzati dal formato di log generale.
`sc-bytes`	`network.received_bytes`	Numero di byte ricevuti dal server. Analizzato dal formato del log KV.
`sc-filter-result`	_policy_action	Filtra i risultati dal lato server. Analizzato dal formato del log KV.
`sc-status`	`_network.http.response_code`	Codice di stato restituito dal server. Analizzato dal formato del log KV.
`sc_bytes`	`network.received_bytes`	Numero di byte ricevuti dal server. Analizzati da vari formati di log.
`sc_connection`	sc_connection	Informazioni sulla connessione al server. Analizzati dal formato di log generale.
`sc_filter_result`	_policy_action	Filtra i risultati dal lato server. Analizzati da vari formati di log.
`sc_status`	`_network.http.response_code`	Codice di stato restituito dal server. Analizzati da vari formati di log.
`search_query`	`target.resource.attribute.labels`	Query di ricerca, se presente nell'URL. Estratto da target_url, la chiave è "search_query".
`session_id`	`network.session_id`	ID sessione. Analizzato dal formato del log proxy inverso.
`src`	ip_principal	Indirizzo IP di origine. Analizzato dal formato del log KV.
`src_hostname`	`principal.hostnameprincipal.asset.hostname`	Nome host di origine. Analizzati dal formato di log generale.
`src_ip`	ip_principal	Indirizzo IP di origine. Analizzato dal formato dei log SSL.
`srcport`	principal_port	Porta di origine. Analizzato dal formato del log KV.
`src_port`	`principal.port`	Porta di origine. Analizzato dal formato dei log SSL.
`s_source_port`	`intermediary.port`	Porta di origine del server. Analizzati dal formato di log generale.
`summary`	`security_result.summary`	Riepilogo del risultato di sicurezza. Analizzato dai formati dei log proxy inverso e SSL.
`syslogtimestamp`	syslogtimestamp	Timestamp Syslog. Analizzato dal formato del log KV.
`target_application`	`target.application`	Applicazione scelta come target dalla richiesta. Derivato da x_bluecoat_application_name o application-name.
`target_hostname`	`target.hostnametarget.asset.hostname`	Nome host di destinazione. Derivato da r_dns, cs-host o altri campi a seconda del formato del log.
`target_port`	`target.port`	Porta di destinazione. Derivato da r_port,cs_uri_port, ordstport a seconda del formato del log.
`target_sip`	`target.iptarget.asset.ip`	Indirizzo IP del server di destinazione. Analizzati dal formato di log generale.
`target_url`	`target.url`	URL di destinazione. Derivato da target_hostname, uri_path e uri_queryorcs_uri.
`time-taken`	`network.session_duration`	Durata della sessione o della richiesta. Analizzato dal formato log KV e convertito in secondi e nanosecondi.
`time_taken`	`network.session_duration`	Durata della sessione o della richiesta. Analizzati da vari formati di log e convertiti in secondi e nanosecondi.
`tls_version`	`network.tls.version`	Versione di TLS utilizzata nella connessione. Analizzato dal formato dei log SSL.
`upload-source`	upload-source	Origine del caricamento. Analizzato dai dati JSON.
`username`	principal_user_userid	Nome utente. Analizzato dal formato del log KV.
`verdict`	`security_result.detection_fields`	Verdetto dell'analisi della sicurezza. Analizzata dai dati JSON, la chiave è "verdict".
`wf-env`	wf_env	L'ambiente del servizio di filtro web. Analizzato dai dati JSON.
`wf_id`	`security_result.detection_fields`	ID filtro web. Analizzata dai dati JSON, la chiave è "wf_id".
`wrong_cs_host`	`principal.hostnameprincipal.asset.hostname`	Nome host client analizzato in modo errato, utilizzato come nome host principale se non è un indirizzo IP. Analizzati dal formato di log generale.
`x-bluecoat-access-type`	x-bluecoat-access-type	Tipo di accesso. Analizzato dai dati JSON.
`x-bluecoat-appliance-name`	`intermediary.application`	Nome dell'appliance Blue Coat. Analizzato dai dati JSON.
`x-bluecoat-application-name`	target_application	Nome dell'applicazione. Analizzato dai dati JSON.
`x-bluecoat-application-operation`	x_bluecoat_application_operation	Operazione dell'applicazione. Analizzato dai dati JSON.
`x-bluecoat-location-id`	x-bluecoat-location-id	ID località. Analizzato dai dati JSON.
`x-bluecoat-location-name`	x-bluecoat-location-name	Nome della sede. Analizzato dai dati JSON.
`x-bluecoat-placeholder`	`security_result.detection_fields`	Informazioni sul segnaposto. Analizzata dai dati JSON, la chiave è "x-bluecoat-placeholder".
`x-bluecoat-reference-id`	`security_result.detection_fields`	ID di riferimento. Analizzata dai dati JSON, la chiave è "x-bluecoat-reference-id".
`x-bluecoat-request-tenant-id`	x-bluecoat-request-tenant-id	ID tenant della richiesta. Analizzato dai dati JSON.
`x-bluecoat-transaction-uuid`	`metadata.product_log_id`	UUID transazione. Analizzato dai dati JSON.
`x-client-agent-sw`	`software.name`	Software agente client. Analizzato dai dati JSON e unito a principal.asset.software.
`x-client-agent-type`	`principal.application`	Tipo di agente client. Analizzato dai dati JSON.
`x-client-device-id`	`principal.resource.product_object_id`	ID dispositivo client. Analizzato dai dati JSON.
`x-client-device-name`	x-client-device-name	Nome del dispositivo client. Analizzato dai dati JSON.
`x-client-device-type`	x-client-device-type	Tipo di dispositivo client. Analizzato dai dati JSON.
`x-client-os`	`principal.asset.platform_software.platform`	Sistema operativo client. Analizzato dai dati JSON. Se contiene "Windows", imposta la piattaforma su WINDOWS.
`x-client-security-posture-details`	x-client-security-posture-details	Dettagli sulla postura di sicurezza del client. Analizzato dai dati JSON.
`x-client-security-posture-risk-score`	`security_result.detection_fields`	Punteggio di rischio della strategia di sicurezza del client. Analizzata dai dati JSON, la chiave è "x-client-security-posture-risk-score".
`x-cloud-rs`	`security_result.detection_fields`	Informazioni sul server remoto correlate al cloud. Analizzata dai dati JSON, la chiave è "x-cloud-rs".
`x-cs-certificate-subject`	x_cs_certificate_subject	Oggetto del certificato lato client. Analizzato dai dati JSON.
`x-cs-client-ip-country`	x-cs-client-ip-country	Paese dell'IP client. Analizzato dai dati JSON.
`x-cs-connection-negotiated-cipher`	`network.tls.cipher`	Cifra negoziata dal lato client. Analizzato dai dati JSON.
`x-cs-connection-negotiated-cipher-size`	`security_result.detection_fields`	Dimensioni della crittografia negoziate dal lato client. Analizzata dai dati JSON, la chiave è "x-cs-connection-negotiated-cipher-size".
`x-cs-connection-negotiated-ssl-version`	`network.tls.version_protocol`	Versione SSL negoziata dal lato client. Analizzato dai dati JSON.
`x-cs-ocsp-error`	`security_result.detection_fields`	Errore OCSP lato client. Analizzata dai dati JSON, la chiave è "x-cs-ocsp-error".
`x-cs(referer)-uri-categories`	x-cs(referer)-uri-categories	Categorie di URI referrer dal lato client. Analizzato dai dati JSON.
`x-data-leak-detected`	`security_result.detection_fields`	Stato del rilevamento di fughe di dati. Analizzata dai dati JSON, la chiave è "x-data-leak-detected".
`x-exception-id`	x_exception_id	ID eccezione. Analizzato dai dati JSON.
`x-http-connect-host`	x-http-connect-host	Host di connessione HTTP. Analizzato dai dati JSON.
`x-http-connect-port`	x-http-connect-port	Porta di connessione HTTP. Analizzato dai dati JSON.
`x-icap-reqmod-header(x-icap-metadata)`	x_icap_reqmod_header	Intestazione di modifica della richiesta ICAP contenente i metadati. Analizzato dai dati JSON.
`x-icap-respmod-header(x-icap-metadata)`	x_icap_respmod_header	Intestazione di modifica della risposta ICAP contenente i metadati. Analizzato dai dati JSON.
`x-rs-certificate-hostname`	`network.tls.client.server_name`	Nome host del certificato dal lato server remoto. Analizzato dai dati JSON.
`x-rs-certificate-hostname-categories`	x_rs_certificate_hostname_category	Categorie di nomi host dei certificati dal lato server remoto. Analizzato dai dati JSON.
`x-rs-certificate-hostname-category`	x_rs_certificate_hostname_category	Categoria del nome host del certificato dal lato server remoto. Analizzato dai dati JSON.
`x-rs-certificate-hostname-threat-risk`	`security_result.detection_fields`	Rischio di minaccia del nome host del certificato dal lato server remoto. Analizzata dai dati JSON, la chiave è "x-rs-certificate-hostname-threat-risk".
`x-rs-certificate-observed-errors`	x_rs_certificate_observed_errors	Errori osservati nel certificato dal lato server remoto. Analizzato dai dati JSON.
`x-rs-certificate-validate-status`	`network.tls.server.certificate.subject`	Stato di convalida del certificato dal lato server remoto. Analizzato dai dati JSON.
`x-rs-connection-negotiated-cipher`	x_rs_connection_negotiated_cipher	Algoritmo di crittografia negoziato dal lato server remoto. Analizzato dai dati JSON.
`x-rs-connection-negotiated-cipher-size`	`security_result.detection_fields`	Dimensione della crittografia negoziata dal lato server remoto. Analizzata dai dati JSON, la chiave è "x-rs-connection-negotiated-cipher-size".
`x-rs-connection-negotiated-cipher-strength`	x_rs_connection_negotiated_cipher_strength	Intensità della crittografia negoziata dal lato server remoto. Analizzato dai dati JSON.
`x-rs-connection-negotiated-ssl-version`	x_rs_connection_negotiated_ssl_version	Versione SSL negoziata dal lato server remoto. Analizzato dai dati JSON.
`x-rs-ocsp-error`	x_rs_ocsp_error	Errore OCSP dal lato server remoto. Analizzato dai dati JSON.
`x-sc-connection-issuer-keyring`	`security_result.detection_fields`	Portachiavi dell'emittente della connessione. Analizzata dai dati JSON, la chiave è "x-sc-connection-issuer-keyring".
`x-sc-connection-issuer-keyring-alias`	x-sc-connection-issuer-keyring-alias	Alias del keyring dell'emittente della connessione. Analizzato dai dati JSON.
`x-sr-vpop-country`	`principal.location.country_or_region`	Paese del VPOP. Analizzato dai dati JSON.
`x-sr-vpop-country-code`	`principal.location.country_or_region`	Codice paese VPOP. Analizzato dai dati JSON.
`x-sr-vpop-ip`	`principal.ipprincipal.asset.ip`	Indirizzo IP VPOP. Analizzato dai dati JSON.
`x-symc-dei-app`	x-symc-dei-app	Applicazione DEI di Symantec. Analizzato dai dati JSON.
`x-symc-dei-via`	`security_result.detection_fields`	Symantec DEI via. Analizzata dai dati JSON, la chiave è "x-symc-dei-via".
`x-tenant-id`	`security_result.detection_fields`	ID tenant. Analizzata dai dati JSON, la chiave è "x-tenant-id".
`x-timestamp-unix`	x-timestamp-unix	Timestamp Unix. Analizzato dai dati JSON.
`x_bluecoat_application_name`	target_application	Nome dell'applicazione. Analizzati da vari formati di log.
`x_bluecoat_application_operation`	x_bluecoat_application_operation	Operazione dell'applicazione. Analizzati da vari formati di log.
`x_bluecoat_transaction_uuid`	`metadata.product_log_id`	UUID transazione. Analizzati da vari formati di log.
`x_cs_certificate_subject`	x_cs_certificate_subject	Soggetto del certificato lato client. Analizzati dal formato di log generale.
`x_cs_client_effective_ip`	ip_principal	Indirizzo IP effettivo del client. Analizzati dal formato di log generale.
`x_cs_connection_negotiated_cipher`	`network.tls.cipher`	Cifra negoziata lato client. Analizzati dal formato di log generale.
`x_cs_connection_negotiated_ssl_version`	`network.tls.version_protocol`	Versione SSL negoziata lato client. Analizzati dal formato di log generale.
`x_exception_id`	_block_reason	ID eccezione. Analizzati da vari formati di log.
`x_icap_reqmod_header`	x_icap_reqmod_header	Intestazione di modifica della richiesta ICAP. Analizzati dal formato di log generale.
`x_icap_respmod_header`	x_icap_respmod_header	Intestazione di modifica della risposta ICAP. Analizzati dal formato di log generale.
`x_rs_certificate_hostname`	`network.tls.client.server_name`	Nome host del certificato del server remoto. Analizzati dal formato di log generale.
`x_rs_certificate_hostname_category`	x_rs_certificate_hostname_category	Categoria Nome host del certificato del server remoto. Analizzati dal formato di log generale.
`x_rs_certificate_observed_errors`	x_rs_certificate_observed_errors	Sono stati rilevati errori nel certificato del server remoto. Analizzati dal formato di log generale.
`x_rs_certificate_validate_status`	`network.tls.server.certificate.subject`	Stato di convalida del certificato del server remoto. Analizzati da vari formati di log.
`x_rs_connection_negotiated_cipher_strength`	x_rs_connection_negotiated_cipher_strength	Intensità della crittografia negoziata del server remoto. Analizzati dal formato di log generale.
`x_rs_connection_negotiated_ssl_version`	x_rs_connection_negotiated_ssl_version	Versione SSL negoziata dal server remoto. Analizzati dal formato di log generale.
`x_virus_id`	`security_result.detection_fields`	ID virus. Analizzato da vari formati di log, la chiave è "x-virus-id".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.