Blue Coat ProxySG 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Blue Coat ProxySG 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Blue Coat ProxySG (현재 Broadcom/Symantec)는 HTTP 요청, 카테고리, 인증, 보안 이벤트 등 웹 트래픽의 액세스 로그를 생성하는 웹 프록시 어플라이언스입니다. 파서는 필드를 정규화하고 통합 데이터 모델 (UDM)에 매핑합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 Blue Coat ProxySG 어플라이언스 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Blue Coat ProxySG 관리 콘솔에 대한 관리 액세스 권한
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일 다운로드
Bindplane 에이전트가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/bluecoat_webproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: BLUECOAT_WEBPROXY raw_log_field: body service: pipelines: logs/bluecoat_webproxy_to_chronicle: receivers: - tcplog exporters: - chronicle/bluecoat_webproxy
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.0.0.0.0: 모든 인터페이스에서 수신 대기 (권장)- 포트
514는 표준 syslog 포트입니다 (Linux에서 루트 필요, 비루트의 경우1514사용).
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps 콘솔에서 복사한 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
구성 파일 저장
- 수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
- Linux:
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Blue Coat ProxySG에서 syslog 구성
- Blue Coat ProxySG 관리 콘솔에 로그인합니다.
- 유지관리 > 이벤트 로깅 > Syslog로 이동합니다.
- New(새로 만들기)를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- Loghost: Bindplane 에이전트 IP 주소를 입력합니다.
- 확인을 클릭합니다.
- Syslog 사용 설정 체크박스를 선택합니다.
- 레벨을 선택합니다.
- 자세한 정보 체크박스를 선택합니다.
- 적용을 클릭합니다.
Blue Coat ProxySG에서 맞춤 클라이언트 구성
- 구성 > 액세스 로깅 > 로그 > 클라이언트 업로드로 이동합니다.
- 로그 목록에서 스트리밍을 선택합니다.
- 클라이언트 유형 목록에서 맞춤 클라이언트를 선택합니다.
- 설정을 클릭합니다.
- 설정 목록에서 기본 또는 대체 맞춤 서버를 구성하도록 선택합니다.
- 다음 구성 세부정보를 제공합니다.
- 호스트: 업로드 대상의 호스트 이름 또는 IP 주소를 입력합니다.
- 포트: 514로 설정합니다.
- 보안 연결 (SSL) 사용: 사용 안함으로 설정합니다.
- 확인을 클릭합니다.
- 적용을 클릭하여 클라이언트 업로드 탭으로 돌아갑니다.
- main, im, streaming 중에서 사용할 각 로그 형식에 대해 다음 단계를 완료합니다.
- 로그를 선택합니다.
- 업로드 클라이언트를 맞춤 클라이언트로 할당합니다.
<No Encryption>과<No Signing>을 선택합니다.- 로그 파일을 텍스트 파일로 저장합니다.
- 업로드 일정 > 업로드 유형을 클릭합니다.
- 액세스 로그를 스트리밍하려면 액세스 로그 업로드에서 지속적으로를 선택합니다.
- 확인을 클릭합니다.
- 적용을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Blue Coat 어플라이언스에서 기록한 이벤트의 타임스탬프입니다. JSON 데이터에서 파싱됩니다. |
application-name |
target.application |
네트워크 트래픽과 연결된 애플리케이션의 이름입니다. JSON 데이터에서 파싱됩니다. |
c-ip |
principal.asset.ipprincipal.ip |
클라이언트 IP 주소입니다. JSON 데이터에서 파싱됩니다. |
c_ip |
principal.ipprincipal.asset.ip |
클라이언트 IP 주소입니다. 다양한 로그 형식에서 파싱됩니다. |
c_ip_host |
principal.hostnameprincipal.asset.hostname |
클라이언트 호스트 이름(사용 가능한 경우) JSON 데이터에서 파싱됩니다. |
cs-auth-group |
principal_user_group_identifiers | 클라이언트 인증 그룹입니다. JSON 데이터에서 파싱됩니다. |
cs-bytes |
network.sent_bytes |
클라이언트가 전송한 바이트 수입니다. JSON 데이터에서 파싱됩니다. |
cs-categories |
security_result.category_details |
Blue Coat 어플라이언스에서 웹 요청에 할당한 카테고리입니다. JSON 데이터에서 파싱됩니다. |
cs-host |
target_hostname | 클라이언트가 요청한 호스트 이름입니다. JSON 데이터에서 파싱됩니다. |
cs-icap-error-details |
security_result.detection_fields |
클라이언트 측의 ICAP 오류 세부정보입니다. JSON 데이터에서 파싱되며 키는 'cs-icap-error-details'입니다. |
cs-icap-status |
security_result.description |
클라이언트 측의 ICAP 상태입니다. JSON 데이터에서 파싱됩니다. |
cs-method |
network.http.method |
요청에 사용된 HTTP 메서드입니다. JSON 데이터에서 파싱됩니다. |
cs-threat-risk |
security_result.risk_score |
Blue Coat 어플라이언스에서 할당한 위협 위험 점수입니다. JSON 데이터에서 파싱됩니다. |
cs-uri-extension |
cs_uri_extension | 요청된 URI의 확장자입니다. JSON 데이터에서 파싱됩니다. |
cs-uri-path |
_uri_path | 요청된 URI의 경로입니다. JSON 데이터에서 파싱됩니다. |
cs-uri-port |
cs_uri_port | 요청된 URI의 포트입니다. JSON 데이터에서 파싱됩니다. |
cs-uri-query |
_uri_query | 요청된 URI의 쿼리 문자열입니다. JSON 데이터에서 파싱됩니다. |
cs-uri-scheme |
_uri_scheme | 요청된 URI의 스키마입니다 (예: http, https). JSON 데이터에서 파싱됩니다. |
cs-userdn |
principal_user_userid | 클라이언트 사용자 이름입니다. JSON 데이터에서 파싱됩니다. |
cs-version |
cs_version | 클라이언트에서 사용한 HTTP 버전입니다. JSON 데이터에서 파싱됩니다. |
cs(Referer) |
network.http.referral_url |
리퍼러 URL JSON 데이터에서 파싱됩니다. |
cs(User-Agent) |
network.http.user_agent |
사용자 에이전트 문자열입니다. JSON 데이터에서 파싱됩니다. |
cs(X-Requested-With) |
security_result.detection_fields |
X-Requested-With 헤더의 값입니다. JSON 데이터에서 파싱되며 키는 'cs-X-Requested-With'입니다. |
cs_auth_group |
principal_user_group_identifiers | 클라이언트 인증 그룹입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_bytes |
network.sent_bytes |
클라이언트가 전송한 바이트 수입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_categories |
security_result.category_details |
웹 요청에 할당된 카테고리입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_host |
target_hostname | 클라이언트가 요청한 호스트 이름입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_method |
network.http.method |
요청에 사용된 HTTP 메서드입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_referer |
network.http.referral_url |
리퍼러 URL 다양한 로그 형식에서 파싱됩니다. |
cs_threat_risk |
security_result.risk_score |
Blue Coat 어플라이언스에서 할당한 위협 위험 점수입니다. KV 로그 형식에서 파싱되었습니다. |
cs_uri |
target.url |
요청된 전체 URI입니다. KV 로그 형식에서 파싱되었습니다. |
cs_uri_extension |
cs_uri_extension | 요청된 URI의 확장자입니다. KV 로그 형식에서 파싱되었습니다. |
cs_uri_path |
_uri_path | 요청된 URI의 경로입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_uri_port |
target_port | 요청된 URI의 포트입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_uri_query |
_uri_query | 요청된 URI의 쿼리 문자열입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_uri_scheme |
_uri_scheme | 요청된 URI의 스키마입니다 (예: http, https). 다양한 로그 형식에서 파싱됩니다. |
cs_user |
principal_user_userid | 클라이언트 사용자 이름입니다. 일반 로그 형식에서 파싱됩니다. |
cs_user_agent |
network.http.user_agent |
사용자 에이전트 문자열입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_username |
principal_user_userid | 클라이언트 사용자 이름입니다. 다양한 로그 형식에서 파싱됩니다. |
cs_x_forwarded_for |
_intermediary.ip |
X-Forwarded-For 헤더 값입니다. 일반 로그 형식에서 파싱됩니다. |
deviceHostname |
_intermediary.hostname |
Blue Coat 어플라이언스의 호스트 이름입니다. KV 로그 형식에서 파싱되었습니다. |
dst |
ip_target | 대상 IP 주소입니다. KV 로그 형식에서 파싱되었습니다. |
dst_ip |
ip_target | 대상 IP 주소입니다. SSL 로그 형식에서 파싱됩니다. |
dst_user |
target.user.userid |
대상 사용자 ID입니다. 프록시 리버스 로그 형식에서 파싱됩니다. |
dstport |
target_port | 대상 포트. KV 로그 형식에서 파싱되었습니다. |
dstport |
target.port |
대상 포트. SSL 로그 형식에서 파싱됩니다. |
exception-id |
_block_reason | 차단된 요청을 나타내는 예외 ID입니다. KV 로그 형식에서 파싱되었습니다. |
filter-category |
_categories | 이벤트를 트리거한 필터의 카테고리입니다. KV 로그 형식에서 파싱되었습니다. |
filter-result |
_policy_action | 요청에 적용된 필터의 결과입니다. KV 로그 형식에서 파싱되었습니다. |
hostname |
principal.hostnameprincipal.asset.hostname |
로그를 생성하는 기기의 호스트 이름입니다. SSL 및 일반 로그 형식에서 파싱됩니다. |
isolation-url |
isolation-url | 격리와 관련된 URL(해당하는 경우) JSON 데이터에서 파싱됩니다. |
ma-detonated |
ma-detonated | 멀웨어 분석 상태입니다. JSON 데이터에서 파싱됩니다. |
page-views |
page-views | 페이지 조회수입니다. JSON 데이터에서 파싱됩니다. |
r-ip |
ip_target | 원격 IP 주소입니다. JSON 데이터에서 파싱됩니다. |
r-supplier-country |
r-supplier-country | 원격 공급업체의 국가입니다. JSON 데이터에서 파싱됩니다. |
r_dns |
target_hostname | 원격 DNS 이름입니다. JSON 데이터에서 파싱됩니다. |
r_ip |
ip_target | 원격 IP 주소입니다. 다양한 로그 형식에서 파싱됩니다. |
r_port |
target_port | 원격 포트입니다. JSON 데이터에서 파싱됩니다. |
risk-groups |
security_result.detection_fields |
이벤트와 관련된 위험 그룹입니다. JSON 데이터에서 파싱되며 키는 'risk-groups'입니다. |
rs-icap-error-details |
security_result.detection_fields |
원격 서버 측의 ICAP 오류 세부정보입니다. JSON 데이터에서 파싱되며 키는 'rs-icap-error-details'입니다. |
rs-icap-status |
rs-icap-status | 원격 서버 측의 ICAP 상태입니다. JSON 데이터에서 파싱됩니다. |
rs(Content-Type) |
target.file.mime_type |
원격 서버의 응답 콘텐츠 유형입니다. KV 로그 형식에서 파싱되었습니다. |
rs_content_type |
target.file.mime_type |
원격 서버의 응답 콘텐츠 유형입니다. 다양한 로그 형식에서 파싱됩니다. |
rs_server |
rs_server | 원격 서버 정보입니다. JSON 데이터에서 파싱됩니다. |
rs_status |
_network.http.response_code |
원격 서버의 응답 상태 코드입니다. JSON 데이터에서 파싱됩니다. |
r_supplier_country |
intermediary.location.country_or_region |
원격 공급업체의 국가입니다. 일반 로그 형식에서 파싱됩니다. |
r_supplier_ip |
intermediary.ip |
원격 공급업체의 IP 주소입니다. 일반 로그 형식에서 파싱됩니다. |
s-action |
_metadata.product_event_type |
프록시에서 취한 조치입니다. KV 로그 형식에서 파싱되었습니다. |
s-ip |
_intermediary.ip |
서버 IP 주소입니다. KV 로그 형식에서 파싱되었습니다. |
s-source-ip |
_intermediary.ip |
서버의 소스 IP 주소입니다. JSON 데이터에서 파싱됩니다. |
s_action |
_metadata.product_event_type |
프록시에서 취한 조치입니다. 다양한 로그 형식에서 파싱됩니다. |
s_ip |
target.iptarget.asset.ip |
서버 IP 주소입니다. 다양한 로그 형식에서 파싱됩니다. |
s_ip_host |
_intermediary.hostname |
서버 호스트 이름입니다. JSON 데이터에서 파싱됩니다. |
s-supplier-country |
intermediary.location.country_or_region |
공급업체 서버의 국가입니다. JSON 데이터에서 파싱됩니다. |
s-supplier-failures |
security_result.detection_fields |
공급업체 오류 JSON 데이터에서 파싱되었으며 키는 's-supplier-failures'입니다. |
s-supplier-ip |
_intermediary.ip |
공급업체 서버 IP 주소입니다. JSON 데이터에서 파싱됩니다. |
s_supplier_ip |
intermediary.ip |
공급업체 서버 IP 주소입니다. JSON 데이터에서 파싱됩니다. |
s_supplier_name |
_intermediary.hostname |
공급업체 서버 이름입니다. 일반 로그 형식에서 파싱됩니다. |
sc-bytes |
network.received_bytes |
서버에서 수신한 바이트 수입니다. KV 로그 형식에서 파싱되었습니다. |
sc-filter-result |
_policy_action | 서버 측에서 결과를 필터링합니다. KV 로그 형식에서 파싱되었습니다. |
sc-status |
_network.http.response_code |
서버에서 반환된 상태 코드입니다. KV 로그 형식에서 파싱되었습니다. |
sc_bytes |
network.received_bytes |
서버에서 수신한 바이트 수입니다. 다양한 로그 형식에서 파싱됩니다. |
sc_connection |
sc_connection | 서버 연결 정보입니다. 일반 로그 형식에서 파싱됩니다. |
sc_filter_result |
_policy_action | 서버 측에서 결과를 필터링합니다. 다양한 로그 형식에서 파싱됩니다. |
sc_status |
_network.http.response_code |
서버에서 반환된 상태 코드입니다. 다양한 로그 형식에서 파싱됩니다. |
search_query |
target.resource.attribute.labels |
URL에 있는 경우 검색어입니다. target_url에서 추출되며 키는 'search_query'입니다. |
session_id |
network.session_id |
세션 ID입니다. 프록시 리버스 로그 형식에서 파싱됩니다. |
src |
ip_principal | 소스 IP 주소입니다. KV 로그 형식에서 파싱되었습니다. |
src_hostname |
principal.hostnameprincipal.asset.hostname |
소스 호스트 이름입니다. 일반 로그 형식에서 파싱됩니다. |
src_ip |
ip_principal | 소스 IP 주소입니다. SSL 로그 형식에서 파싱됩니다. |
srcport |
principal_port | 소스 포트. KV 로그 형식에서 파싱되었습니다. |
src_port |
principal.port |
소스 포트. SSL 로그 형식에서 파싱됩니다. |
s_source_port |
intermediary.port |
서버의 소스 포트입니다. 일반 로그 형식에서 파싱됩니다. |
summary |
security_result.summary |
보안 결과 요약입니다. 프록시 리버스 및 SSL 로그 형식에서 파싱됩니다. |
syslogtimestamp |
syslogtimestamp | 시스템 로그 타임스탬프입니다. KV 로그 형식에서 파싱되었습니다. |
target_application |
target.application |
요청에서 타겟팅하는 애플리케이션입니다. x_bluecoat_application_name 또는 application-name에서 파생됩니다. |
target_hostname |
target.hostnametarget.asset.hostname |
대상 호스트 이름입니다. 로그 형식에 따라 r_dns, cs-host 또는 기타 필드에서 파생됩니다. |
target_port |
target.port |
대상 포트입니다. 로그 형식에 따라 r_port,cs_uri_port, ordstport에서 파생됩니다. |
target_sip |
target.iptarget.asset.ip |
타겟 서버 IP 주소입니다. 일반 로그 형식에서 파싱됩니다. |
target_url |
target.url |
타겟 URL입니다. target_hostname,_uri_path, _uri_query 또는 cs_uri에서 파생됩니다. |
time-taken |
network.session_duration |
세션 또는 요청의 지속 시간입니다. KV 로그 형식에서 파싱되어 초 및 나노초로 변환됩니다. |
time_taken |
network.session_duration |
세션 또는 요청의 지속 시간입니다. 다양한 로그 형식에서 파싱되어 초 및 나노초로 변환됩니다. |
tls_version |
network.tls.version |
연결에 사용된 TLS 버전입니다. SSL 로그 형식에서 파싱됩니다. |
upload-source |
upload-source | 업로드 소스입니다. JSON 데이터에서 파싱됩니다. |
username |
principal_user_userid | 사용자 이름입니다. KV 로그 형식에서 파싱되었습니다. |
verdict |
security_result.detection_fields |
보안 분석 결과입니다. JSON 데이터에서 파싱되었으며 키는 'verdict'입니다. |
wf-env |
wf_env | 웹 필터링 서비스의 환경입니다. JSON 데이터에서 파싱됩니다. |
wf_id |
security_result.detection_fields |
웹 필터링 ID입니다. JSON 데이터에서 파싱되며 키는 'wf_id'입니다. |
wrong_cs_host |
principal.hostnameprincipal.asset.hostname |
잘못 파싱된 클라이언트 호스트 이름으로, IP 주소가 아닌 경우 주 구성원 호스트 이름으로 사용됩니다. 일반 로그 형식에서 파싱됩니다. |
x-bluecoat-access-type |
x-bluecoat-access-type | 액세스 유형입니다. JSON 데이터에서 파싱됩니다. |
x-bluecoat-appliance-name |
intermediary.application |
Blue Coat 어플라이언스의 이름입니다. JSON 데이터에서 파싱됩니다. |
x-bluecoat-application-name |
target_application | 애플리케이션의 이름입니다. JSON 데이터에서 파싱됩니다. |
x-bluecoat-application-operation |
x_bluecoat_application_operation | 애플리케이션 작업 JSON 데이터에서 파싱됩니다. |
x-bluecoat-location-id |
x-bluecoat-location-id | 위치 ID입니다. JSON 데이터에서 파싱됩니다. |
x-bluecoat-location-name |
x-bluecoat-location-name | 위치 이름입니다. JSON 데이터에서 파싱됩니다. |
x-bluecoat-placeholder |
security_result.detection_fields |
자리표시자 정보입니다. JSON 데이터에서 파싱되었으며 키는 'x-bluecoat-placeholder'입니다. |
x-bluecoat-reference-id |
security_result.detection_fields |
참조 ID입니다. JSON 데이터에서 파싱되며 키는 'x-bluecoat-reference-id'입니다. |
x-bluecoat-request-tenant-id |
x-bluecoat-request-tenant-id | 요청의 테넌트 ID입니다. JSON 데이터에서 파싱됩니다. |
x-bluecoat-transaction-uuid |
metadata.product_log_id |
트랜잭션 UUID입니다. JSON 데이터에서 파싱됩니다. |
x-client-agent-sw |
software.name |
클라이언트 에이전트 소프트웨어입니다. JSON 데이터에서 파싱되어 principal.asset.software로 병합됩니다. |
x-client-agent-type |
principal.application |
클라이언트 에이전트 유형입니다. JSON 데이터에서 파싱됩니다. |
x-client-device-id |
principal.resource.product_object_id |
클라이언트 기기 ID입니다. JSON 데이터에서 파싱됩니다. |
x-client-device-name |
x-client-device-name | 클라이언트 기기 이름입니다. JSON 데이터에서 파싱됩니다. |
x-client-device-type |
x-client-device-type | 클라이언트 기기 유형입니다. JSON 데이터에서 파싱됩니다. |
x-client-os |
principal.asset.platform_software.platform |
클라이언트 운영체제입니다. JSON 데이터에서 파싱됩니다. 'Windows'가 포함된 경우 플랫폼을 WINDOWS로 설정합니다. |
x-client-security-posture-details |
x-client-security-posture-details | 클라이언트 보안 상황 세부정보입니다. JSON 데이터에서 파싱됩니다. |
x-client-security-posture-risk-score |
security_result.detection_fields |
클라이언트 보안 상태 위험 점수입니다. JSON 데이터에서 파싱되며 키는 'x-client-security-posture-risk-score'입니다. |
x-cloud-rs |
security_result.detection_fields |
클라우드 관련 원격 서버 정보입니다. JSON 데이터에서 파싱되었으며 키는 'x-cloud-rs'입니다. |
x-cs-certificate-subject |
x_cs_certificate_subject | 클라이언트 측의 인증서 주체입니다. JSON 데이터에서 파싱됩니다. |
x-cs-client-ip-country |
x-cs-client-ip-country | 클라이언트 IP 국가입니다. JSON 데이터에서 파싱됩니다. |
x-cs-connection-negotiated-cipher |
network.tls.cipher |
클라이언트 측에서 협상된 암호입니다. JSON 데이터에서 파싱됩니다. |
x-cs-connection-negotiated-cipher-size |
security_result.detection_fields |
클라이언트 측에서 협상된 암호 크기입니다. JSON 데이터에서 파싱되며 키는 'x-cs-connection-negotiated-cipher-size'입니다. |
x-cs-connection-negotiated-ssl-version |
network.tls.version_protocol |
클라이언트 측에서 협상된 SSL 버전입니다. JSON 데이터에서 파싱됩니다. |
x-cs-ocsp-error |
security_result.detection_fields |
클라이언트 측의 OCSP 오류입니다. JSON 데이터에서 파싱되었으며 키는 'x-cs-ocsp-error'입니다. |
x-cs(referer)-uri-categories |
x-cs(referer)-uri-categories | 클라이언트 측의 리퍼러 URI 카테고리입니다. JSON 데이터에서 파싱됩니다. |
x-data-leak-detected |
security_result.detection_fields |
데이터 유출 감지 상태입니다. JSON 데이터에서 파싱되며 키는 'x-data-leak-detected'입니다. |
x-exception-id |
x_exception_id | 예외 ID입니다. JSON 데이터에서 파싱됩니다. |
x-http-connect-host |
x-http-connect-host | HTTP 연결 호스트입니다. JSON 데이터에서 파싱됩니다. |
x-http-connect-port |
x-http-connect-port | HTTP 연결 포트입니다. JSON 데이터에서 파싱됩니다. |
x-icap-reqmod-header(x-icap-metadata) |
x_icap_reqmod_header | 메타데이터가 포함된 ICAP 요청 수정 헤더입니다. JSON 데이터에서 파싱됩니다. |
x-icap-respmod-header(x-icap-metadata) |
x_icap_respmod_header | 메타데이터가 포함된 ICAP 응답 수정 헤더입니다. JSON 데이터에서 파싱됩니다. |
x-rs-certificate-hostname |
network.tls.client.server_name |
원격 서버 측의 인증서 호스트 이름입니다. JSON 데이터에서 파싱됩니다. |
x-rs-certificate-hostname-categories |
x_rs_certificate_hostname_category | 원격 서버 측의 인증서 호스트 이름 카테고리입니다. JSON 데이터에서 파싱됩니다. |
x-rs-certificate-hostname-category |
x_rs_certificate_hostname_category | 원격 서버 측의 인증서 호스트 이름 카테고리입니다. JSON 데이터에서 파싱됩니다. |
x-rs-certificate-hostname-threat-risk |
security_result.detection_fields |
원격 서버 측의 인증서 호스트 이름 위협 위험입니다. JSON 데이터에서 파싱되며 키는 'x-rs-certificate-hostname-threat-risk'입니다. |
x-rs-certificate-observed-errors |
x_rs_certificate_observed_errors | 원격 서버 측에서 인증서 오류가 관찰되었습니다. JSON 데이터에서 파싱됩니다. |
x-rs-certificate-validate-status |
network.tls.server.certificate.subject |
원격 서버 측의 인증서 유효성 검사 상태입니다. JSON 데이터에서 파싱됩니다. |
x-rs-connection-negotiated-cipher |
x_rs_connection_negotiated_cipher | 원격 서버 측에서 협상된 암호입니다. JSON 데이터에서 파싱됩니다. |
x-rs-connection-negotiated-cipher-size |
security_result.detection_fields |
원격 서버 측에서 협상된 암호 크기입니다. JSON 데이터에서 파싱되며 키는 'x-rs-connection-negotiated-cipher-size'입니다. |
x-rs-connection-negotiated-cipher-strength |
x_rs_connection_negotiated_cipher_strength | 원격 서버 측에서 협상된 암호 강도입니다. JSON 데이터에서 파싱됩니다. |
x-rs-connection-negotiated-ssl-version |
x_rs_connection_negotiated_ssl_version | 원격 서버 측에서 협상된 SSL 버전입니다. JSON 데이터에서 파싱됩니다. |
x-rs-ocsp-error |
x_rs_ocsp_error | 원격 서버 측의 OCSP 오류입니다. JSON 데이터에서 파싱됩니다. |
x-sc-connection-issuer-keyring |
security_result.detection_fields |
연결 발급자 키링입니다. JSON 데이터에서 파싱되며 키는 'x-sc-connection-issuer-keyring'입니다. |
x-sc-connection-issuer-keyring-alias |
x-sc-connection-issuer-keyring-alias | 연결 발급자 키링 별칭입니다. JSON 데이터에서 파싱됩니다. |
x-sr-vpop-country |
principal.location.country_or_region |
VPOP 국가입니다. JSON 데이터에서 파싱됩니다. |
x-sr-vpop-country-code |
principal.location.country_or_region |
VPOP 국가 코드입니다. JSON 데이터에서 파싱됩니다. |
x-sr-vpop-ip |
principal.ipprincipal.asset.ip |
VPOP IP 주소입니다. JSON 데이터에서 파싱됩니다. |
x-symc-dei-app |
x-symc-dei-app | Symantec DEI 애플리케이션 JSON 데이터에서 파싱됩니다. |
x-symc-dei-via |
security_result.detection_fields |
Symantec DEI via. JSON 데이터에서 파싱되며 키는 'x-symc-dei-via'입니다. |
x-tenant-id |
security_result.detection_fields |
테넌트 ID입니다. JSON 데이터에서 파싱되었으며 키는 'x-tenant-id'입니다. |
x-timestamp-unix |
x-timestamp-unix | Unix 타임스탬프입니다. JSON 데이터에서 파싱됩니다. |
x_bluecoat_application_name |
target_application | 애플리케이션 이름입니다. 다양한 로그 형식에서 파싱됩니다. |
x_bluecoat_application_operation |
x_bluecoat_application_operation | 애플리케이션 작업 다양한 로그 형식에서 파싱됩니다. |
x_bluecoat_transaction_uuid |
metadata.product_log_id |
트랜잭션 UUID입니다. 다양한 로그 형식에서 파싱됩니다. |
x_cs_certificate_subject |
x_cs_certificate_subject | 클라이언트 측 인증서 주체입니다. 일반 로그 형식에서 파싱됩니다. |
x_cs_client_effective_ip |
ip_principal | 클라이언트의 유효 IP 주소입니다. 일반 로그 형식에서 파싱됩니다. |
x_cs_connection_negotiated_cipher |
network.tls.cipher |
클라이언트 측에서 협상된 암호입니다. 일반 로그 형식에서 파싱됩니다. |
x_cs_connection_negotiated_ssl_version |
network.tls.version_protocol |
클라이언트 측에서 협상된 SSL 버전입니다. 일반 로그 형식에서 파싱됩니다. |
x_exception_id |
_block_reason | 예외 ID입니다. 다양한 로그 형식에서 파싱됩니다. |
x_icap_reqmod_header |
x_icap_reqmod_header | ICAP 요청 수정 헤더입니다. 일반 로그 형식에서 파싱됩니다. |
x_icap_respmod_header |
x_icap_respmod_header | ICAP 응답 수정 헤더입니다. 일반 로그 형식에서 파싱됩니다. |
x_rs_certificate_hostname |
network.tls.client.server_name |
원격 서버 인증서 호스트 이름입니다. 일반 로그 형식에서 파싱됩니다. |
x_rs_certificate_hostname_category |
x_rs_certificate_hostname_category | 원격 서버 인증서 호스트 이름 카테고리입니다. 일반 로그 형식에서 파싱됩니다. |
x_rs_certificate_observed_errors |
x_rs_certificate_observed_errors | 원격 서버 인증서에 오류가 있습니다. 일반 로그 형식에서 파싱됩니다. |
x_rs_certificate_validate_status |
network.tls.server.certificate.subject |
원격 서버 인증서 검증 상태입니다. 다양한 로그 형식에서 파싱됩니다. |
x_rs_connection_negotiated_cipher_strength |
x_rs_connection_negotiated_cipher_strength | 원격 서버에서 협상한 암호 강도입니다. 일반 로그 형식에서 파싱됩니다. |
x_rs_connection_negotiated_ssl_version |
x_rs_connection_negotiated_ssl_version | 원격 서버에서 협상한 SSL 버전입니다. 일반 로그 형식에서 파싱됩니다. |
x_virus_id |
security_result.detection_fields |
바이러스 ID입니다. 다양한 로그 형식에서 파싱되며 키는 'x-virus-id'입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.