Netskope ウェブプロキシのログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Cloud Storage V2 を使用して Netskope ウェブ プロキシログを Google Security Operations に取り込む方法について説明します。
Netskope は、ウェブ トラフィックをリアルタイムで検査して制御するクラウドネイティブの安全なウェブ ゲートウェイを提供します。Web トランザクション(WebTx)ログは、Netskope プロキシで処理されたすべての HTTP セッションと HTTPS セッションの詳細なレコードをキャプチャします。これには、ユーザー ID、アプリケーション、URL カテゴリ、脅威と DLP の判定、ネットワーク メタデータが含まれます。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Cloud Storage API が有効になっている GCP プロジェクト
- GCS バケットを作成および管理する権限
- GCS バケットの IAM ポリシーを管理する権限
- 管理者認証情報を使用した Netskope テナントへの特権アクセス
オプション - Netskope ログの Google Cloud Storage へのストリーミング
テナントで Netskope Log Streaming サブスクリプションが有効になっている場合は、このオプションを使用します。Netskope Log Streaming は、WebTx ログファイルを圧縮された .gzip ファイルとして、240 秒の固定間隔で GCS バケットに直接プッシュします。
Google Cloud Storage バケットを作成する
- Google Cloud Console に移動します。
- プロジェクトを選択するか、新しいプロジェクトを作成します。
- ナビゲーション メニューで、[Cloud Storage > バケット] に移動します。
- [バケットを作成] をクリックします。
次の構成情報を提供してください。
設定 値 バケットに名前を付ける グローバルに一意の名前( netskope-webtx-logsなど)を入力します。ロケーション タイプ ニーズに基づいて選択します(リージョン、デュアルリージョン、マルチリージョン)。 ロケーション 組織に最も近いロケーションを選択します(例: us-central1)。ストレージ クラス Standard(アクセス頻度の高いログにおすすめ) アクセス制御 均一(推奨) 保護ツール 省略可: オブジェクトのバージョニングまたは保持ポリシーを有効にする [作成] をクリックします。
GCP サービス アカウントを作成する
Netskope ログ ストリーミングには、GCS バケットへの書き込み権限を持つ GCP サービス アカウントが必要です。このサービス アカウントの秘密鍵は、ログファイルの push 時に Netskope が認証するために使用されます。
- GCP Console で、[IAM と管理>サービス アカウント] に移動します。
- [サービス アカウントを作成] をクリックします。
- 次の構成の詳細を指定します。
- サービス アカウント名: 「
netskope-log-streaming」と入力します。 - サービス アカウントの説明:
Service account for Netskope Log Streaming to push WebTx logs to GCSと入力します。
- サービス アカウント名: 「
- [作成して続行] をクリックします。
- [このサービス アカウントにプロジェクトへのアクセスを許可する] セクションで、次の操作を行います。
- [ロールを選択] をクリックします。
- [ストレージ オブジェクト作成者] を検索して選択します。
- [続行] をクリックします。
- [完了] をクリックします。
JSON キーを生成する
- [IAM と管理 > サービス アカウント] で、サービス アカウント
netskope-log-streamingをクリックします。 - [キー] タブを選択します。
- [鍵を追加] > [新しい鍵を作成] の順にクリックします。
- キーのタイプとして [JSON] を選択します。
- [作成] をクリックします。
- JSON 鍵ファイルが自動的にダウンロードされます。このファイルは安全な場所に保存してください。
- テキスト エディタで JSON キーファイルを開き、
private_keyフィールドを探します。この値は次のセクションで必要になります。
GCS バケットに対する書き込み権限を付与する
- [Cloud Storage] > [バケット] に移動します。
- バケット名(
netskope-webtx-logsなど)をクリックします。 - [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルを追加: サービス アカウントのメールアドレス(例:
netskope-log-streaming@YOUR_PROJECT_ID.iam.gserviceaccount.com)を入力します。 - ロールを割り当てる: [ストレージ オブジェクト作成者] を選択します。
- プリンシパルを追加: サービス アカウントのメールアドレス(例:
- [保存] をクリックします。
ログストリームを作成する
- 管理者認証情報を使用して Netskope テナントにログインします。
- [設定> ツール> ログ ストリーミング] に移動します。
- [ストリームを作成] をクリックします。
- [名前] フィールドに、ストリームの人間が読める名前(例:
Chronicle WebTx GCS)を入力します。 - 転送先の種類として [GCP Cloud Storage] を選択します。
次の構成情報を提供してください。
バケット: GCS バケットの名前(
netskope-webtx-logsなど)を入力します。パス(省略可): ログが保存されるバケット内のフォルダパスを入力します(例:
netskope/webtx/{%Y})。秘密鍵: 前のセクションで生成された JSON キーファイルの
private_key値を入力します。改行(\n)記号を含む PEM 形式で鍵を入力します。-----BEGIN PRIVATE KEY-----\nprivate_key_content\n-----END PRIVATE KEY-----\n
[Delivery Options] を確認します。プッシュ頻度は 240 秒です。
[保存](または [作成])をクリックして、ストリームを有効にします。
GCS から Netskope WebTx ログを取り込むように Google SecOps でフィードを構成する
Google SecOps サービス アカウントを取得する
Google SecOps は、一意のサービス アカウントを使用して GCS バケットからデータを読み取ります。このサービス アカウントにバケットへのアクセス権を付与する必要があります。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Netskope WebTx Logs)。 - [ソースタイプ] として [Google Cloud Storage V2] を選択します。
- [ログタイプ] として [Netskope web proxy] を選択します。
[サービス アカウントを取得する] をクリックします。一意のサービス アカウント メールアドレスが表示されます(例:)。
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comこのメールアドレスをコピーして、次のステップで使用します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
ストレージ バケットの URL: 接頭辞パスを含む GCS バケット URI を入力します。
gs://netskope-webtx-logs/netskope/webtx/- 次のように置き換えます。
netskope-webtx-logs: GCS バケット名。netskope/webtx/: Netskope Log Streaming で構成されたパスの接頭辞(ルートの場合は空のままにします)。
- 次のように置き換えます。
Source deletion option: 必要に応じて削除オプションを選択します。
- なし: 転送後にファイルを削除しません(テストにおすすめ)。
- 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます(デフォルトは 180 日)。
アセットの名前空間: アセットの名前空間
Ingestion labels: このフィードのイベントに適用されるラベル
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
Google SecOps サービス アカウントに IAM 権限を付与する
Google SecOps サービス アカウントには、GCS バケットに対する Storage オブジェクト閲覧者ロールが必要です。
- [Cloud Storage] > [バケット] に移動します。
- バケット名(
netskope-webtx-logsなど)をクリックします。 - [権限] タブに移動します。
- [アクセス権を付与] をクリックします。
- 次の構成の詳細を指定します。
- プリンシパルの追加: Google SecOps サービス アカウントのメールアドレス(例:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com)を貼り付けます。 - ロールを割り当てる: [Storage オブジェクト閲覧者] を選択します。
- プリンシパルの追加: Google SecOps サービス アカウントのメールアドレス(例:
- [保存] をクリックします。
オプション - Cloud Exchange Log Shipper から Google Cloud Storage
Netskope Cloud Exchange プラットフォームがデプロイされ、Log Shipper モジュールが構成されている場合は、このオプションを使用します。Log Shipper は、Netskope テナントから WebTx ログを取得し、圧縮された .gzip ファイルとして GCS バケットに push します。Google SecOps は、Google Cloud Storage V2 フィードを介してこのファイルを読み取ります。
始める前に(Cloud Exchange)
このオプションには、次の追加の前提条件があります。
- テナント プラグインと ログ シッパー モジュールがすでに構成されている Netskope Cloud Exchange テナント。
- Log Shipper で構成された Netskope CLS ソース プラグイン(Netskope テナントからデータを pull します)。
- WebTx ログを保存するために作成された GCS バケット。作成していない場合は、Google Cloud Storage バケットを作成するの手順に沿って作成します。
- GCS バケットに対する書き込み権限を持つ GCP サービス アカウント。作成していない場合は、GCP サービス アカウントを作成する、JSON キーを生成する、GCS バケットに対する書き込み権限を付与するの手順に沿って操作します。
GCS 宛先プラグインを構成する
- Cloud Exchange で、[Settings > Plugin Store] に移動します。
- [Google Cloud SCC (Google GCS)] プラグイン ボックスを検索して選択します。
- [Configure New Plugin] をクリックします(または、新しいプラグイン構成を追加します)。
- 次の構成の詳細を指定します。
- 構成名: わかりやすい名前を入力します(例:
GCS WebTx Destination)。 - マッピング: マッピング ファイルを選択します。元の
.gzipファイルとしてプッシュされる WebTx ログには、マッピング変換は適用されません。 - バケット: GCS バケットの名前(
netskope-webtx-logsなど)を入力します。 - パス(省略可): フォルダパスを入力します(例:
netskope/webtx/)。 - 秘密鍵: サービス アカウントの JSON キーファイルから
private_key値を入力します。
- 構成名: わかりやすい名前を入力します(例:
- [保存] をクリックします。
- 新しいプラグイン構成が [Log Shipper > Plugins] ページに表示されます。
ビジネスルールを構成する(省略可)
デフォルトでは、[すべて] ビジネスルールはすべてのアラートとイベントをフィルタします。WebTx ログをフィルタする場合は、新しいビジネスルールを作成します。
- Log Shipper で、[Business Rules] に移動します。
- [新しいルールを作成] をクリックします。
- [Rule Name] に入力します(例:
WebTx Only)。 - WebTx データのみを含めるように、必要なフィルタを設定します。
- [保存] をクリックします。
ログ配信を構成する
- [ログ シッパー] で、[ログ配信] に移動します。
- [ログ配信構成を追加] をクリックします。
- 次の構成の詳細を指定します。
- ソース構成: Netskope CLS ソース プラグイン(
WebTxCLSやNetskope CLSなど)を選択します。 - 宛先構成: 構成した GCS 宛先プラグイン(
GCS WebTx Destinationなど)を選択します。 - ビジネスルール: ビジネスルール(
AllやWebTx Onlyなど)を選択します。
- ソース構成: Netskope CLS ソース プラグイン(
[保存] をクリックします。
過去のデータを追加で取得するには、[ログ配信] アクションから [過去のデータを取得] アイコンをクリックします。
[Historical From] と [To] の期間を選択し、[Pull] をクリックします。
GCS から Netskope WebTx ログを取り込むように Google SecOps でフィードを構成する
Netskope ログ ストリーミング オプションと同じ手順で、Google SecOps フィードを作成し、IAM 権限を付与します。
- Google SecOps サービス アカウントを取得する - ソースタイプとして Google Cloud Storage V2、ログタイプとして Netskope ウェブ プロキシを使用してフィードを作成します。
- Google SecOps サービス アカウントに IAM 権限を付与する - GCS バケットに対するストレージ オブジェクト閲覧者ロール(削除オプションを使用する場合はストレージ オブジェクト管理者)を Google SecOps サービス アカウントに付与します。
ログ配信を確認する
WebTx ログが GCS バケットに配信されていることを確認するには:
- Cloud Exchange で、[Log Shipper] > [Log Delivery] に移動します。
- [Total Logs/WebTx Sent to External Receiver] 列と [Total WebTx Sent to Storage Bucket] 列を確認して、データが宛先に push されていることを確認します。
- GCS バケットで、Log Shipper によって
.gzipファイルが書き込まれていることを確認します。
ログシッパーのグローバル設定を構成する(省略可)
ログシッパーのグローバル設定を変更できるのは管理者のみです。[設定> Log Shipper] に移動します。[General] タブと [Mappings] タブがあります。
[全般] タブで、ログ配信の再試行戦略を構成できます。
- デフォルト(3 回の再試行): ログの配信に失敗した場合、Log Shipper はログを宛先にプッシュする試行を 3 回開始します。3 回の再試行がすべて失敗した場合、対応するログのバッチは破棄されます。
Retry till Successful Delivery: ログが正常に配信されるまで無制限に再試行します。
アラート、イベント、WebTx で UTF-8 エンコードを有効にして、UTF-8 エンコードされたデータをシームレスに処理することもできます。この機能はデフォルトでは無効になっています。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| applicationType | security_result.detection_fields[].key: "applicationType", security_result.detection_fields[].value: applicationType | 対応する CEF フィールドから直接マッピングされます |
| appcategory | security_result.category_details[]: appcategory | 対応する CEF フィールドから直接マッピングされます |
| browser | security_result.detection_fields[].key: "browser", security_result.detection_fields[].value: browser | 対応する CEF フィールドから直接マッピングされます |
| c-ip | principal.asset.ip[]: c-ip、principal.ip[]: c-ip | 対応する JSON フィールドから直接マッピングされます |
| cci | security_result.detection_fields[].key: "cci", security_result.detection_fields[].value: cci | 対応する CEF フィールドから直接マッピングされます |
| ccl | security_result.confidence: 派生値、security_result.confidence_details: ccl | security_result.confidence は ccl の値に基づいて導出されます。「excellent」または「high」は HIGH_CONFIDENCE に、「medium」は MEDIUM_CONFIDENCE に、「low」または「poor」は LOW_CONFIDENCE に、「unknown」または「not_defined」は UNKNOWN_CONFIDENCE にマッピングされます。security_result.confidence_details は ccl から直接マッピングされます。 |
| clientBytes | network.sent_bytes: clientBytes | 対応する CEF フィールドから直接マッピングされます |
| cs-access-method | additional.fields[].key: "accessMethod"、additional.fields[].value.string_value: cs-access-method | 対応する JSON フィールドから直接マッピングされます |
| cs-app | additional.fields[].key: "x-cs-app", additional.fields[].value.string_value: cs-app, principal.application: cs-app | 対応する JSON フィールドから直接マッピングされます |
| cs-app-activity | additional.fields[].key: "x-cs-app-activity", additional.fields[].value.string_value: cs-app-activity | 対応する JSON フィールドから直接マッピングされます |
| cs-app-category | additional.fields[].key: "x-cs-app-category", additional.fields[].value.string_value: cs-app-category | 対応する JSON フィールドから直接マッピングされます |
| cs-app-cci | additional.fields[].key: "x-cs-app-cci"、additional.fields[].value.string_value: cs-app-cci | 対応する JSON フィールドから直接マッピングされます |
| cs-app-ccl | additional.fields[].key: "x-cs-app-ccl"、additional.fields[].value.string_value: cs-app-ccl | 対応する JSON フィールドから直接マッピングされます |
| cs-app-from-user | additional.fields[].key: "x-cs-app-from-user"、additional.fields[].value.string_value: cs-app-from-user、principal.user.email_addresses[]: cs-app-from-user | 対応する JSON フィールドから直接マッピングされます |
| cs-app-instance-id | additional.fields[].key: "x-cs-app-instance-id"、additional.fields[].value.string_value: cs-app-instance-id | 対応する JSON フィールドから直接マッピングされます |
| cs-app-object-name | additional.fields[].key: "x-cs-app-object-name", additional.fields[].value.string_value: cs-app-object-name | 対応する JSON フィールドから直接マッピングされます |
| cs-app-object-type | additional.fields[].key: "x-cs-app-object-type"、additional.fields[].value.string_value: cs-app-object-type | 対応する JSON フィールドから直接マッピングされます |
| cs-app-suite | additional.fields[].key: "x-cs-app-suite", additional.fields[].value.string_value: cs-app-suite | 対応する JSON フィールドから直接マッピングされます |
| cs-app-tags | additional.fields[].key: "x-cs-app-tags"、additional.fields[].value.string_value: cs-app-tags | 対応する JSON フィールドから直接マッピングされます |
| cs-bytes | network.sent_bytes: cs-bytes | 対応する JSON フィールドから直接マッピングされます |
| cs-content-type | additional.fields[].key: "sc-content-type"、additional.fields[].value.string_value: cs-content-type | 対応する JSON フィールドから直接マッピングされます |
| cs-dns | target.asset.hostname[]: cs-dns, target.hostname: cs-dns | 対応する JSON フィールドから直接マッピングされます |
| cs-host | target.asset.hostname[]: cs-host、target.hostname: cs-host | 対応する JSON フィールドから直接マッピングされます |
| cs-method | network.http.method: cs-method | 対応する JSON フィールドから直接マッピングされます |
| cs-referer | network.http.referral_url: cs-referer | 対応する JSON フィールドから直接マッピングされます |
| cs-uri | additional.fields[].key: "cs-uri", additional.fields[].value.string_value: cs-uri | 対応する JSON フィールドから直接マッピングされます |
| cs-uri-path | additional.fields[].key: "x-cs-uri-path", additional.fields[].value.string_value: cs-uri-path | 対応する JSON フィールドから直接マッピングされます |
| cs-uri-port | additional.fields[].key: "cs-uri-port"、additional.fields[].value.string_value: cs-uri-port | 対応する JSON フィールドから直接マッピングされます |
| cs-uri-scheme | network.application_protocol: cs-uri-scheme | 対応する JSON フィールドから直接マッピングされ、大文字に変換されます。 |
| cs-user-agent | network.http.parsed_user_agent: パースされたユーザー エージェント、network.http.user_agent: cs-user-agent | network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して cs-user-agent フィールドを解析することで得られます |
| cs-username | principal.user.userid: cs-username | 対応する JSON フィールドから直接マッピングされます |
| 日付 | metadata.event_timestamp.seconds: 日付と時刻のフィールドからのエポック秒数、metadata.event_timestamp.nanos: 0 | 日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。 |
| device | intermediary.hostname: device | 対応する CEF フィールドから直接マッピングされます |
| dst | target.ip[]: dst | 対応する CEF フィールドから直接マッピングされます |
| dst_country | target.location.country_or_region: dst_country | 対応する grokked フィールドから直接マッピングされます。 |
| dst_ip | target.asset.ip[]: dst_ip、target.ip[]: dst_ip | 対応する grokked フィールドから直接マッピングされます。 |
| dst_location | target.location.city: dst_location | 対応する grokked フィールドから直接マッピングされます。 |
| dst_region | target.location.state: dst_region | 対応する grokked フィールドから直接マッピングされます。 |
| dst_zip | マッピングされていません | このフィールドは UDM にマッピングされません |
| duser | target.user.email_addresses[]: duser、target.user.user_display_name: duser | 対応する CEF フィールドから直接マッピングされます |
| dvchost | about.hostname: dvchost、target.asset.hostname[]: dvchost、target.hostname: dvchost | 対応する CEF フィールドから直接マッピングされます |
| event_timestamp | metadata.event_timestamp.seconds: event_timestamp | 対応する grokked フィールドから直接マッピングされます。 |
| hostname | target.asset.hostname[]: ホスト名、target.hostname: ホスト名 | 対応する CEF フィールドから直接マッピングされます |
| インシデント ID | security_result.detection_fields[].key: "IncidentID", security_result.detection_fields[].value: IncidentID | 対応する CEF フィールドから直接マッピングされます |
| intermediary | intermediary: intermediary | 対応する CEF フィールドから直接マッピングされます |
| md5 | target.file.md5: md5 | 対応する CEF フィールドから直接マッピングされます |
| メッセージ | さまざまな UDM フィールド | メッセージ フィールドは、「CEF」が含まれているかどうかに基づいて解析されます。該当する場合は、CEF ログとして扱われます。それ以外の場合は、スペース区切りの文字列または JSON として解析されます。 |
| mwDetectionEngine | additional.fields[].key: "mwDetectionEngine", additional.fields[].value.string_value: mwDetectionEngine | 対応する CEF フィールドから直接マッピングされます |
| mwType | metadata.description: mwType | 対応する CEF フィールドから直接マッピングされます |
| os | principal.platform: 派生値 | プラットフォームは os フィールドから導出されます。「Windows」は WINDOWS に、「MAC」は MAC に、「LINUX」は LINUX にマッピングされます。 |
| ページ | network.http.referral_url: page | 対応する CEF フィールドから直接マッピングされます |
| リファラー | network.http.referral_url: referer | 対応する CEF フィールドから直接マッピングされます |
| requestClientApplication | network.http.parsed_user_agent: パースされたユーザー エージェント、network.http.user_agent: requestClientApplication | network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して requestClientApplication フィールドを解析することで得られます。 |
| request_method | network.http.method: request_method | 対応する grokked フィールドから直接マッピングされます。 |
| rs-status | additional.fields[].key: 「rs-status」、additional.fields[].value.string_value: rs-status、network.http.response_code: rs-status | 対応する JSON フィールドから直接マッピングされます |
| s-ip | target.asset.ip[]: s-ip、target.ip[]: s-ip | 対応する JSON フィールドから直接マッピングされます |
| sc-bytes | network.received_bytes: sc-bytes | 対応する JSON フィールドから直接マッピングされます |
| sc-content-type | additional.fields[].key: "sc-content-type"、additional.fields[].value.string_value: sc-content-type | 対応する JSON フィールドから直接マッピングされます |
| sc-status | network.http.response_code: sc-status | 対応する JSON フィールドから直接マッピングされます |
| serverBytes | network.received_bytes: serverBytes | 対応する CEF フィールドから直接マッピングされます |
| sha256 | target.file.sha256: sha256 | 対応する CEF フィールドから直接マッピングされます |
| src | principal.ip[]: src | 対応する CEF フィールドから直接マッピングされます |
| src_country | principal.location.country_or_region: src_country | 対応する grokked フィールドから直接マッピングされます。 |
| src_ip | principal.asset.ip[]: src_ip、principal.ip[]: src_ip | 対応する grokked フィールドから直接マッピングされます。 |
| src_location | principal.location.city: src_location | 対応する grokked フィールドから直接マッピングされます。 |
| src_region | principal.location.state: src_region | 対応する grokked フィールドから直接マッピングされます。 |
| src_latitude | マッピングされていません | このフィールドは UDM にマッピングされません |
| src_longitude | マッピングされていません | このフィールドは UDM にマッピングされません |
| src_zip | マッピングされていません | このフィールドは UDM にマッピングされません |
| suser | principal.user.user_display_name: suser | 対応する CEF フィールドから直接マッピングされます |
| target_host | target.asset.hostname[]: target_host、target.hostname: target_host | 対応する grokked フィールドから直接マッピングされます。 |
| 時間 | metadata.event_timestamp.seconds: 日付と時刻のフィールドからのエポック秒数、metadata.event_timestamp.nanos: 0 | 日付と時刻が結合され、エポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。 |
| timestamp | metadata.event_timestamp.seconds: timestamp | 対応する CEF フィールドから直接マッピングされます |
| ts | metadata.event_timestamp.seconds: ts からのエポック秒数、metadata.event_timestamp.nanos: 0 | タイムスタンプはエポック秒とナノ秒に変換されます。ナノ秒は 0 に設定されます。 |
| URL | target.url: url | 対応する CEF フィールドから直接マッピングされます |
| user_agent | network.http.parsed_user_agent: パースされたユーザー エージェント、network.http.user_agent: ユーザー エージェント | network.http.parsed_user_agent は、「parseduseragent」フィルタを使用して user_agent フィールドを解析することで得られます |
| user_key | principal.user.email_addresses[]: user_key | 対応する grokked フィールドから直接マッピングされます。 |
| version | マッピングされていません | このフィールドは UDM にマッピングされません |
| x-c-browser | additional.fields[].key: "x-c-browser", additional.fields[].value.string_value: x-c-browser | 対応する JSON フィールドから直接マッピングされます |
| x-c-browser-version | additional.fields[].key: "x-c-browser-version"、additional.fields[].value.string_value: x-c-browser-version | 対応する JSON フィールドから直接マッピングされます |
| x-c-country | principal.location.country_or_region: x-c-country | 対応する JSON フィールドから直接マッピングされます |
| x-c-device | additional.fields[].key: "x-c-device"、additional.fields[].value.string_value: x-c-device | 対応する JSON フィールドから直接マッピングされます |
| x-c-latitude | principal.location.region_coordinates.latitude: x-c-latitude | 対応する JSON フィールドから直接マッピングされます |
| x-c-local-time | security_result.detection_fields[].key: "x-c-local-time", security_result.detection_fields[].value: x-c-local-time | 対応する JSON フィールドから直接マッピングされます |
| x-c-location | principal.location.name: x-c-location | 対応する JSON フィールドから直接マッピングされます |
| x-c-longitude | principal.location.region_coordinates.longitude: x-c-longitude | 対応する JSON フィールドから直接マッピングされます |
| x-c-os | principal.platform: 派生値 | プラットフォームは x-c-os フィールドから導出されます。「Windows」は WINDOWS に、「MAC」は MAC に、「LINUX」は LINUX にマッピングされます。 |
| x-c-region | principal.location.state: x-c-region | 対応する JSON フィールドから直接マッピングされます |
| x-c-zipcode | additional.fields[].key: "x-c-zipcode", additional.fields[].value.string_value: x-c-zipcode | 対応する JSON フィールドから直接マッピングされます |
| x-category | additional.fields[].key: "x-category"、additional.fields[].value.string_value: x-category | 対応する JSON フィールドから直接マッピングされます |
| x-category-id | additional.fields[].key: "x-category-id", additional.fields[].value.string_value: x-category-id | 対応する JSON フィールドから直接マッピングされます |
| x-cs-access-method | additional.fields[].key: "accessMethod", additional.fields[].value.string_value: x-cs-access-method | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app | principal.application: x-cs-app、additional.fields[].key: "x-cs-app"、additional.fields[].value.string_value: x-cs-app | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-activity | additional.fields[].key: "x-cs-app-activity"、additional.fields[].value.string_value: x-cs-app-activity | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-category | additional.fields[].key: "x-cs-app-category", additional.fields[].value.string_value: x-cs-app-category | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-cci | additional.fields[].key: "x-cs-app-cci"、additional.fields[].value.string_value: x-cs-app-cci | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-from-user | additional.fields[].key: "x-cs-app-from-user", additional.fields[].value.string_value: x-cs-app-from-user | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-object-id | additional.fields[].key: "x-cs-app-object-id"、additional.fields[].value.string_value: x-cs-app-object-id | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-object-name | additional.fields[].key: "x-cs-app-object-name", additional.fields[].value.string_value: x-cs-app-object-name | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-object-type | additional.fields[].key: "x-cs-app-object-type"、additional.fields[].value.string_value: x-cs-app-object-type | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-suite | additional.fields[].key: "x-cs-app-suite"、additional.fields[].value.string_value: x-cs-app-suite | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-tags | additional.fields[].key: "x-cs-app-tags"、additional.fields[].value.string_value: x-cs-app-tags | 対応する JSON フィールドから直接マッピングされます |
| x-cs-app-to-user | additional.fields[].key: "x-cs-app-to-user", additional.fields[].value.string_value: x-cs-app-to-user | 対応する JSON フィールドから直接マッピングされます |
| x-cs-dst-ip | security_result.detection_fields[].key: "x-cs-dst-ip", security_result.detection_fields[].value: x-cs-dst-ip, target.asset.ip[]: x-cs-dst-ip, target.ip[]: x-cs-dst-ip | 対応する JSON フィールドから直接マッピングされます |
| x-cs-dst-port | security_result.detection_fields[].key: "x-cs-dst-port", security_result.detection_fields[].value: x-cs-dst-port, target.port: x-cs-dst-port | 対応する JSON フィールドから直接マッピングされます |
| x-cs-http-version | security_result.detection_fields[].key: "x-cs-http-version", security_result.detection_fields[].value: x-cs-http-version | 対応する JSON フィールドから直接マッピングされます |
| x-cs-page-id | additional.fields[].key: "x-cs-page-id"、additional.fields[].value.string_value: x-cs-page-id | 対応する JSON フィールドから直接マッピングされます |
| x-cs-session-id | network.session_id: x-cs-session-id | 対応する JSON フィールドから直接マッピングされます |
| x-cs-site | additional.fields[].key: "x-cs-site", additional.fields[].value.string_value: x-cs-site | 対応する JSON フィールドから直接マッピングされます |
| x-cs-sni | network.tls.client.server_name: x-cs-sni | 対応する JSON フィールドから直接マッピングされます |
| x-cs-src-ip | principal.asset.ip[]: x-cs-src-ip、principal.ip[]: x-cs-src-ip、security_result.detection_fields[].key: "x-cs-src-ip"、security_result.detection_fields[].value: x-cs-src-ip | 対応する JSON フィールドから直接マッピングされます |
| x-cs-src-ip-egress | principal.asset.ip[]: x-cs-src-ip-egress、principal.ip[]: x-cs-src-ip-egress、security_result.detection_fields[].key: "x-cs-src-ip-egress"、security_result.detection_fields[].value: x-cs-src-ip-egress | 対応する JSON フィールドから直接マッピングされます |
| x-cs-src-port | principal.port: x-cs-src-port、security_result.detection_fields[].key: "x-cs-src-port"、security_result.detection_fields[].value: x-cs-src-port | 対応する JSON フィールドから直接マッピングされます |
| x-cs-ssl-cipher | network.tls.cipher: x-cs-ssl-cipher | 対応する JSON フィールドから直接マッピングされます |
| x-cs-ssl-fronting-error | security_result.detection_fields[].key: 「x-cs-ssl-fronting-error」、security_result.detection_fields[].value: x-cs-ssl-fronting-error | 対応する JSON フィールドから直接マッピングされます |
| x-cs-ssl-handshake-error | security_result.detection_fields[].key: 「x-cs-ssl-handshake-error」、security_result.detection_fields[].value: x-cs-ssl-handshake-error | 対応する JSON フィールドから直接マッピングされます |
| x-cs-ssl-ja3 | network.tls.client.ja3: x-cs-ssl-ja3 | 対応する JSON フィールドから直接マッピングされます |
| x-cs-ssl-version | network.tls.version: x-cs-ssl-version | 対応する JSON フィールドから直接マッピングされます |
| x-cs-timestamp | metadata.event_timestamp.seconds: x-cs-timestamp | 対応する JSON フィールドから直接マッピングされます |
| x-cs-traffic-type | additional.fields[].key: "trafficType", additional.fields[].value.string_value: x-cs-traffic-type | 対応する JSON フィールドから直接マッピングされます |
| x-cs-tunnel-src-ip | security_result.detection_fields[].key: "x-cs-tunnel-src-ip", security_result.detection_fields[].value: x-cs-tunnel-src-ip | 対応する JSON フィールドから直接マッピングされます |
| x-cs-uri-path | additional.fields[].key: "x-cs-uri-path", additional.fields[].value.string_value: x-cs-uri-path | 対応する JSON フィールドから直接マッピングされます |
| x-cs-url | target.url: x-cs-url | 対応する JSON フィールドから直接マッピングされます |
| x-cs-userip | security_result.detection_fields[].key: "x-cs-userip", security_result.detection_fields[].value: x-cs-userip | 対応する JSON フィールドから直接マッピングされます |
| x-other-category | security_result.category_details[]: x-other-category | 対応する JSON フィールドから直接マッピングされます |
| x-other-category-id | security_result.detection_fields[].key: 「x-other-category-id」、security_result.detection_fields[].value: x-other-category-id | 対応する JSON フィールドから直接マッピングされます |
| x-policy-action | security_result.action: 派生値、security_result.action_details: x-policy-action | security_result.action は、x-policy-action を大文字に変換することで導出されます。大文字の値が「ALLOW」または「BLOCK」の場合、その値が直接使用されます。それ以外の場合はマッピングされません。security_result.action_details は x-policy-action から直接マッピングされます。 |
| x-policy-dst-host | security_result.detection_fields[].key: "x-policy-dst-host", security_result.detection_fields[].value: x-policy-dst-host | 対応する JSON フィールドから直接マッピングされます |
| x-policy-dst-host-source | security_result.detection_fields[].key: "x-policy-dst-host-source", security_result.detection_fields[].value: x-policy-dst-host-source | 対応する JSON フィールドから直接マッピングされます |
| x-policy-dst-ip | security_result.detection_fields[].key: "x-policy-dst-ip", security_result.detection_fields[].value: x-policy-dst-ip | 対応する JSON フィールドから直接マッピングされます |
| x-policy-name | security_result.rule_name: x-policy-name | 対応する JSON フィールドから直接マッピングされます |
| x-policy-src-ip | security_result.detection_fields[].key: "x-policy-src-ip", security_result.detection_fields[].value: x-policy-src-ip | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-enddate | network.tls.server.certificate.not_after.seconds: x-r-cert-enddate からのエポック秒数 | 日付がエポック秒に変換されます |
| x-r-cert-expired | additional.fields[].key: 「x-r-cert-expired」、additional.fields[].value.string_value: x-r-cert-expired | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-incomplete-chain | additional.fields[].key: "x-r-cert-incomplete-chain"、additional.fields[].value.string_value: x-r-cert-incomplete-chain | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-issuer-cn | network.tls.server.certificate.issuer: x-r-cert-issuer-cn | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-mismatch | additional.fields[].key: "x-r-cert-mismatch", additional.fields[].value.string_value: x-r-cert-mismatch | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-revoked | additional.fields[].key: "x-r-cert-revoked", additional.fields[].value.string_value: x-r-cert-revoked | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-self-signed | additional.fields[].key: "x-r-cert-self-signed"、additional.fields[].value.string_value: x-r-cert-self-signed | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-startdate | network.tls.server.certificate.not_before.seconds: x-r-cert-startdate からのエポック秒数 | 日付がエポック秒に変換されます |
| x-r-cert-subject-cn | network.tls.server.certificate.subject: x-r-cert-subject-cn | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-untrusted-root | additional.fields[].key: "x-r-cert-untrusted-root", additional.fields[].value.string_value: x-r-cert-untrusted-root | 対応する JSON フィールドから直接マッピングされます |
| x-r-cert-valid | additional.fields[].key: "x-r-cert-valid"、additional.fields[].value.string_value: x-r-cert-valid | 対応する JSON フィールドから直接マッピングされます |
| x-request-id | additional.fields[].key: "requestId"、additional.fields[].value.string_value: x-request-id | 対応する JSON フィールドから直接マッピングされます |
| x-rs-file-category | additional.fields[].key: "x-rs-file-category"、additional.fields[].value.string_value: x-rs-file-category | 対応する JSON フィールドから直接マッピングされます |
| x-rs-file-type | additional.fields[].key: "x-rs-file-type"、additional.fields[].value.string_value: x-rs-file-type | 対応する JSON フィールドから直接マッピングされます |
| x-s-country | target.location.country_or_region: x-s-country | 対応する JSON フィールドから直接マッピングされます |
| x-s-dp-name | additional.fields[].key: "x-s-dp-name"、additional.fields[].value.string_value: x-s-dp-name | 対応する JSON フィールドから直接マッピングされます |
| x-s-latitude | target.location.region_coordinates.latitude: x-s-latitude | 対応する JSON フィールドから直接マッピングされます |
| x-s-location | target.location.name: x-s-location | 対応する JSON フィールドから直接マッピングされます |
| x-s-longitude | target.location.region_coordinates.longitude: x-s-longitude | 対応する JSON フィールドから直接マッピングされます |
| x-s-region | target.location.state: x-s-region | 対応する JSON フィールドから直接マッピングされます |
| x-s-zipcode | additional.fields[].key: "x-s-zipcode", additional.fields[].value.string_value: x-s-zipcode | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-cipher | security_result.detection_fields[].key: "x-sr-ssl-cipher", security_result.detection_fields[].value: x-sr-ssl-cipher | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-client-certificate-error | security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error", security_result.detection_fields[].value: x-sr-ssl-client-certificate-error | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-engine-action | security_result.detection_fields[].key: "x-sr-ssl-engine-action", security_result.detection_fields[].value: x-sr-ssl-engine-action | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-engine-action-reason | security_result.detection_fields[].key: "x-sr-ssl-engine-action-reason", security_result.detection_fields[].value: x-sr-ssl-engine-action-reason | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-handshake-error | security_result.detection_fields[].key: 「x-sr-ssl-handshake-error」、security_result.detection_fields[].value: x-sr-ssl-handshake-error | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-ja3s | network.tls.server.ja3s: x-sr-ssl-ja3s | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-malformed-ssl | security_result.detection_fields[].key: "x-sr-ssl-malformed-ssl", security_result.detection_fields[].value: x-sr-ssl-malformed-ssl | 対応する JSON フィールドから直接マッピングされます |
| x-sr-ssl-version | security_result.detection_fields[].key: 「x-sr-ssl-version」、security_result.detection_fields[].value: x-sr-ssl-version | 対応する JSON フィールドから直接マッピングされます |
| x-s-custom-signing-ca-error | security_result.detection_fields[].key: "x-s-custom-signing-ca-error", security_result.detection_fields[].value: x-s-custom-signing-ca-error | 対応する JSON フィールドから直接マッピングされます |
| x-ssl-bypass | security_result.detection_fields[].key: "SSL BYPASS"、security_result.detection_fields[].value: x-ssl-bypass または x-ssl-bypass-reason | x-ssl-bypass が「Yes」で、x-ssl-bypass-reason が存在する場合、x-ssl-bypass-reason の値が使用されます。それ以外の場合は、x-ssl-bypass の値が使用されます。 |
| x-ssl-policy-action | security_result.detection_fields[].key: "x-ssl-policy-action", security_result.detection_fields[].value: x-ssl-policy-action | 対応する JSON フィールドから直接マッピングされます |
| x-ssl-policy-categories | security_result.category_details[]: x-ssl-policy-categories | 対応する JSON フィールドから直接マッピングされます |
| x-ssl-policy-dst-host | security_result.detection_fields[].key: "x-ssl-policy-dst-host", security_result.detection_fields[].value: x-ssl-policy-dst-host | 対応する JSON フィールドから直接マッピングされます |
| x-ssl-policy-dst-host-source | security_result.detection_fields[].key: "x-ssl-policy-dst-host-source", security_result.detection_fields[].value: x-ssl-policy-dst-host-source | 対応する JSON フィールドから直接マッピングされます |
| x-ssl-policy-dst-ip | security_result.detection_fields[].key: "x-ssl-policy-dst-ip", security_result.detection_fields[].value: x-ssl-policy-dst-ip | 対応する JSON フィールドから直接マッピングされます |
| x-ssl-policy-name | security_result.rule_name: x-ssl-policy-name | 対応する JSON フィールドから直接マッピングされます |
| x-ssl-policy-src-ip | security_result.detection_fields[].key: "x-ssl-policy-src-ip", security_result.detection_fields[].value: x-ssl-policy-src-ip | 対応する JSON フィールドから直接マッピングされます |
| x-sr-dst-ip | security_result.detection_fields[].key: "x-sr-dst-ip", security_result.detection_fields[].value: x-sr-dst-ip | 対応する JSON フィールドから直接マッピングされます |
| x-sr-dst-port | security_result.detection_fields[].key: "x-sr-dst-port", security_result.detection_fields[].value: x-sr-dst-port | 対応する JSON フィールドから直接マッピングされます |
| x-type | additional.fields[].key: "xType", additional.fields[].value.string_value: x-type | 対応する JSON フィールドから直接マッピングされます |
| x-transaction-id | additional.fields[].key: "transactionId"、additional.fields[].value.string_value: x-transaction-id | 対応する JSON フィールドから直接マッピングされます |
| metadata.vendor_name | 「Netskope」に設定 | |
| metadata.product_name | まだ存在しない場合は「Netskope Webproxy」に設定します。 | |
| metadata.log_type | 「NETSKOPE_WEBPROXY」に設定 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。