Coletar registros de proxy da Web do Netskope

Compatível com:

Esse analisador processa registros de proxy da Web do Netskope formatados em CEF e não CEF. Ele extrai campos, realiza transformações de dados (por exemplo, conversão de carimbos de data/hora ou mesclagem de campos), os mapeia para o UDM e adiciona metadados específicos do Netskope. O analisador usa lógica condicional para processar diferentes formatos de registros e disponibilidade de campos, enriquecendo a UDM com detalhes relevantes de rede, segurança e aplicativos.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você tem acesso privilegiado ao Netskope.
  • Verifique se você tem um módulo Log Shipper configurado.
  • Verifique se você tem uma chave de conta de serviço do Google SecOps. Entre em contato com a equipe do Google SecOps para receber uma conta de serviço com os seguintes escopos: https://www.googleapis.com/auth/malachite-ingestion.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Configurar o locatário do Netskope no CE

  1. Acesse Configurações > Geral.
  2. Mude a chave Log Shipper para ON.
  3. Em Configurações, acesse Locatários do Netskope.
  4. Se nenhum locatário estiver configurado, clique em Adicionar locatário.
  5. Insira os seguintes valores:
    • Nome: forneça um nome fácil de lembrar para o locatário.
    • Nome do locatário: insira o nome real do seu locatário do Netskope.
    • Token da API V2: insira seu token da API do Netskope.
    • Filtros de alerta: adicione os alertas de proxy da Web que você quer ingerir.
    • Intervalo inicial: insira a quantidade de dados históricos que você quer ingerir (em dias).
    • Clique em Salvar.

Configurar o plug-in CLS do Netskope

  1. Acesse Configurações > Plug-ins.
  2. Pesquise e selecione a caixa Netskope (CLS) para abrir a página de criação de plug-in.
  3. Digite os seguintes detalhes:
    • Nome da configuração: digite um nome fácil de lembrar para esse plug-in.
    • Locatário: selecione na lista o locatário que você criou na etapa anterior.
    • Clique em Próxima.
    • Atualize a lista Tipo de evento conforme necessário.
    • Intervalo inicial: insira a quantidade de dados históricos que você quer ingerir (em horas).
    • Clique em Salvar.

Configurar um plug-in do Google SecOps no Netskope

  1. Acesse Configurações > Plug-ins.
  2. Pesquise e selecione a caixa Chronicle (CLS) para abrir a página de criação de plug-ins.
  3. Digite os seguintes detalhes:
    • Nome da configuração: digite um nome para o plug-in.
    • Mapeamento: deixe a seleção padrão.
    • Ative a opção ATIVADO When enabled logs will be transformed using the selected mapping file.
    • Clique em Próxima.
    • Região: selecione a região do Google SecOps.
    • URL da região personalizada: configuração opcional que só é obrigatória se Região personalizada foi selecionada na etapa anterior.
    • Chave da conta de serviço: insira a chave JSON fornecida pelo Google SecOps.
    • ID de cliente: insira o ID de cliente do seu locatário do Google SecOps.
    • Clique em Salvar.

Configurar uma regra de negócios do Log Shipper para o Google SecOps

  1. Acesse Log Shipper > Regras de negócios.
  2. Por padrão, há uma regra de negócios que filtra todos os alertas e eventos.
  3. Se quiser filtrar um tipo específico de alerta ou evento, clique em Criar nova regra e configure uma nova regra de negócios adicionando o nome e o filtro.
  4. Clique em Salvar.

Configurar mapeamentos de SIEM do Log Shipper para o Google SecOps

  1. Acesse Log Shipper > Mapeamentos do SIEM.
  2. Clique em Adicionar mapeamento do SIEM.
  3. Digite os seguintes detalhes:
    • Configuração da origem: selecione o plug-in CLS do Netskope.
    • Configuração de destino: selecione o plug-in do Google SecOps.
    • Regra de negócios: selecione a regra criada anteriormente.
    • Clique em Salvar.

Validar o pull e o fluxo de trabalho de eventos e alertas no Netskope

  1. Acesse Logging em Netskope Cloud Exchange.
  2. Pesquise os registros extraídos.
  3. Em Logging, pesquise eventos e alertas ingeridos com o filtro message contains ingested.
  4. Os registros ingeridos serão filtrados.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
applicationType security_result.detection_fields[].key: "applicationType"
security_result.detection_fields[].value: applicationType		 Mapeado diretamente do campo CEF correspondente.
appcategory security_result.category_details[]: appcategory Mapeado diretamente do campo CEF correspondente.
browser security_result.detection_fields[].key: "browser"
security_result.detection_fields[].value: browser		 Mapeado diretamente do campo CEF correspondente.
c-ip principal.asset.ip[]: c-ip
principal.ip[]: c-ip		 Mapeado diretamente do campo JSON correspondente.
cci security_result.detection_fields[].key: "cci"
security_result.detection_fields[].value: cci		 Mapeado diretamente do campo CEF correspondente.
ccl security_result.confidence: valor derivado
security_result.confidence_details: ccl		 security_result.confidence é derivado com base no valor de ccl: "excelente" ou "alta" corresponde a HIGH_CONFIDENCE, "média" corresponde a MEDIUM_CONFIDENCE, "baixa" ou "ruim" corresponde a LOW_CONFIDENCE e "desconhecida" ou "not_defined" corresponde a UNKNOWN_CONFIDENCE.
security_result.confidence_details é mapeado diretamente de ccl.
clientBytes network.sent_bytes: clientBytes Mapeado diretamente do campo CEF correspondente.
cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: cs-access-method		 Mapeado diretamente do campo JSON correspondente.
cs-app additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: cs-app
principal.application: cs-app		 Mapeado diretamente do campo JSON correspondente.
cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: cs-app-activity		 Mapeado diretamente do campo JSON correspondente.
cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: cs-app-category		 Mapeado diretamente do campo JSON correspondente.
cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: cs-app-cci		 Mapeado diretamente do campo JSON correspondente.
cs-app-ccl additional.fields[].key: "x-cs-app-ccl"
additional.fields[].value.string_value: cs-app-ccl		 Mapeado diretamente do campo JSON correspondente.
cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: cs-app-from-user
principal.user.email_addresses[]: cs-app-from-user		 Mapeado diretamente do campo JSON correspondente.
cs-app-instance-id additional.fields[].key: "x-cs-app-instance-id"
additional.fields[].value.string_value: cs-app-instance-id		 Mapeado diretamente do campo JSON correspondente.
cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: cs-app-object-name		 Mapeado diretamente do campo JSON correspondente.
cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: cs-app-object-type		 Mapeado diretamente do campo JSON correspondente.
cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: cs-app-suite		 Mapeado diretamente do campo JSON correspondente.
cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: cs-app-tags		 Mapeado diretamente do campo JSON correspondente.
cs-bytes network.sent_bytes: cs-bytes Mapeado diretamente do campo JSON correspondente.
cs-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: cs-content-type		 Mapeado diretamente do campo JSON correspondente.
cs-dns target.asset.hostname[]: cs-dns
target.hostname: cs-dns		 Mapeado diretamente do campo JSON correspondente.
cs-host target.asset.hostname[]: cs-host
target.hostname: cs-host		 Mapeado diretamente do campo JSON correspondente.
cs-method network.http.method: cs-method Mapeado diretamente do campo JSON correspondente.
cs-referer network.http.referral_url: cs-referer Mapeado diretamente do campo JSON correspondente.
cs-uri additional.fields[].key: "cs-uri"
additional.fields[].value.string_value: cs-uri		 Mapeado diretamente do campo JSON correspondente.
cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: cs-uri-path		 Mapeado diretamente do campo JSON correspondente.
cs-uri-port additional.fields[].key: "cs-uri-port"
additional.fields[].value.string_value: cs-uri-port		 Mapeado diretamente do campo JSON correspondente.
cs-uri-scheme network.application_protocol: cs-uri-scheme Mapeado diretamente do campo JSON correspondente após a conversão para maiúsculas.
cs-user-agent network.http.parsed_user_agent: user agent analisado
network.http.user_agent: cs-user-agent		 network.http.parsed_user_agent é derivado da análise do campo cs-user-agent usando o filtro "parseduseragent".
cs-username principal.user.userid: cs-username Mapeado diretamente do campo JSON correspondente.
date metadata.event_timestamp.seconds: segundos da Era Unix dos campos date e time
metadata.event_timestamp.nanos: 0		 A data e a hora são combinadas e convertidas em segundos e nanossegundos de época. Os nanossegundos são definidos como 0.
device intermediary.hostname: device Mapeado diretamente do campo CEF correspondente.
dst target.ip[]: dst Mapeado diretamente do campo CEF correspondente.
dst_country target.location.country_or_region: dst_country Mapeado diretamente do campo grokked correspondente.
dst_ip target.asset.ip[]: dst_ip
target.ip[]: dst_ip		 Mapeado diretamente do campo grokked correspondente.
dst_location target.location.city: dst_location Mapeado diretamente do campo grokked correspondente.
dst_region target.location.state: dst_region Mapeado diretamente do campo grokked correspondente.
dst_zip Não mapeado Esse campo não é mapeado para a UDM.
duser target.user.email_addresses[]: duser
target.user.user_display_name: duser		 Mapeado diretamente do campo CEF correspondente.
dvchost about.hostname: dvchost
target.asset.hostname[]: dvchost
target.hostname: dvchost		 Mapeado diretamente do campo CEF correspondente.
event_timestamp metadata.event_timestamp.seconds: event_timestamp Mapeado diretamente do campo grokked correspondente.
hostname target.asset.hostname[]: hostname
target.hostname: hostname		 Mapeado diretamente do campo CEF correspondente.
IncidentID security_result.detection_fields[].key: "IncidentID"
security_result.detection_fields[].value: IncidentID		 Mapeado diretamente do campo CEF correspondente.
intermediary intermediary: intermediary Mapeado diretamente do campo CEF correspondente.
md5 target.file.md5: md5 Mapeado diretamente do campo CEF correspondente.
message Vários campos do UDM O campo message é analisado com base na presença de "CEF". Se for, ele será tratado como um registro CEF. Caso contrário, ele será analisado como uma string delimitada por espaços ou JSON. Consulte a seção "Lógica de análise" para mais detalhes.
mime_type1 Não mapeado Esse campo não é mapeado para a UDM.
mime_type2 Não mapeado Esse campo não é mapeado para a UDM.
mwDetectionEngine additional.fields[].key: "mwDetectionEngine"
additional.fields[].value.string_value: mwDetectionEngine		 Mapeado diretamente do campo CEF correspondente.
mwType metadata.description: mwType Mapeado diretamente do campo CEF correspondente.
os principal.platform: valor derivado A plataforma é derivada do campo os: "Windows" é mapeado para WINDOWS, "MAC" é mapeado para MAC e "LINUX" é mapeado para LINUX.
page network.http.referral_url: page Mapeado diretamente do campo CEF correspondente.
port Não mapeado Esse campo não é mapeado para a UDM.
referer network.http.referral_url: referer Mapeado diretamente do campo CEF correspondente.
requestClientApplication network.http.parsed_user_agent: user agent analisado
network.http.user_agent: requestClientApplication		 network.http.parsed_user_agent é derivado da análise do campo requestClientApplication usando o filtro "parseduseragent".
request_method network.http.method: request_method Mapeado diretamente do campo grokked correspondente.
request_protocol Não mapeado Esse campo não é mapeado para a UDM.
rs-status additional.fields[].key: "rs-status"
additional.fields[].value.string_value: rs-status
network.http.response_code: rs-status		 Mapeado diretamente do campo JSON correspondente.
s-ip target.asset.ip[]: s-ip
target.ip[]: s-ip		 Mapeado diretamente do campo JSON correspondente.
sc-bytes network.received_bytes: sc-bytes Mapeado diretamente do campo JSON correspondente.
sc-content-type additional.fields[].key: "sc-content-type"
additional.fields[].value.string_value: sc-content-type		 Mapeado diretamente do campo JSON correspondente.
sc-status network.http.response_code: sc-status Mapeado diretamente do campo JSON correspondente.
serverBytes network.received_bytes: serverBytes Mapeado diretamente do campo CEF correspondente.
sha256 target.file.sha256: sha256 Mapeado diretamente do campo CEF correspondente.
src principal.ip[]: src Mapeado diretamente do campo CEF correspondente.
src_country principal.location.country_or_region: src_country Mapeado diretamente do campo grokked correspondente.
src_ip principal.asset.ip[]: src_ip
principal.ip[]: src_ip		 Mapeado diretamente do campo grokked correspondente.
src_latitude Não mapeado Esse campo não é mapeado para a UDM.
src_location principal.location.city: src_location Mapeado diretamente do campo grokked correspondente.
src_longitude Não mapeado Esse campo não é mapeado para a UDM.
src_region principal.location.state: src_region Mapeado diretamente do campo grokked correspondente.
src_zip Não mapeado Esse campo não é mapeado para a UDM.
suser principal.user.user_display_name: suser Mapeado diretamente do campo CEF correspondente.
target_host target.asset.hostname[]: target_host
target.hostname: target_host		 Mapeado diretamente do campo grokked correspondente.
time metadata.event_timestamp.seconds: segundos da Era Unix dos campos date e time
metadata.event_timestamp.nanos: 0		 A data e a hora são combinadas e convertidas em segundos e nanossegundos de época. Os nanossegundos são definidos como 0.
timestamp metadata.event_timestamp.seconds: timestamp Mapeado diretamente do campo CEF correspondente.
ts metadata.event_timestamp.seconds: segundos da Era Unix de ts
metadata.event_timestamp.nanos: 0		 O carimbo de data/hora é convertido em segundos e nanossegundos de época. Os nanossegundos são definidos como 0.
url target.url: url Mapeado diretamente do campo CEF correspondente.
user_agent network.http.parsed_user_agent: user agent analisado
network.http.user_agent: user_agent		 network.http.parsed_user_agent é derivado da análise do campo user_agent usando o filtro "parseduseragent".
user_ip Não mapeado Esse campo não é mapeado para a UDM.
user_key principal.user.email_addresses[]: user_key Mapeado diretamente do campo grokked correspondente.
version Não mapeado Esse campo não é mapeado para a UDM.
x-c-browser additional.fields[].key: "x-c-browser"
additional.fields[].value.string_value: x-c-browser		 Mapeado diretamente do campo JSON correspondente.
x-c-browser-version additional.fields[].key: "x-c-browser-version"
additional.fields[].value.string_value: x-c-browser-version		 Mapeado diretamente do campo JSON correspondente.
x-c-country principal.location.country_or_region: x-c-country Mapeado diretamente do campo JSON correspondente.
x-c-device additional.fields[].key: "x-c-device"
additional.fields[].value.string_value: x-c-device		 Mapeado diretamente do campo JSON correspondente.
x-c-latitude principal.location.region_coordinates.latitude: x-c-latitude Mapeado diretamente do campo JSON correspondente.
x-c-local-time security_result.detection_fields[].key: "x-c-local-time"
security_result.detection_fields[].value: x-c-local-time		 Mapeado diretamente do campo JSON correspondente.
x-c-location principal.location.name: x-c-location Mapeado diretamente do campo JSON correspondente.
x-c-longitude principal.location.region_coordinates.longitude: x-c-longitude Mapeado diretamente do campo JSON correspondente.
x-c-os principal.platform: valor derivado A plataforma é derivada do campo x-c-os: "Windows" é mapeado para WINDOWS, "MAC" é mapeado para MAC e "LINUX" é mapeado para LINUX.
x-c-region principal.location.state: x-c-region Mapeado diretamente do campo JSON correspondente.
x-c-zipcode additional.fields[].key: "x-c-zipcode"
additional.fields[].value.string_value: x-c-zipcode		 Mapeado diretamente do campo JSON correspondente.
x-category additional.fields[].key: "x-category"
additional.fields[].value.string_value: x-category		 Mapeado diretamente do campo JSON correspondente.
x-category-id additional.fields[].key: "x-category-id"
additional.fields[].value.string_value: x-category-id		 Mapeado diretamente do campo JSON correspondente.
x-cs-access-method additional.fields[].key: "accessMethod"
additional.fields[].value.string_value: x-cs-access-method		 Mapeado diretamente do campo JSON correspondente.
x-cs-app principal.application: x-cs-app
additional.fields[].key: "x-cs-app"
additional.fields[].value.string_value: x-cs-app		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-activity additional.fields[].key: "x-cs-app-activity"
additional.fields[].value.string_value: x-cs-app-activity		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-category additional.fields[].key: "x-cs-app-category"
additional.fields[].value.string_value: x-cs-app-category		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-cci additional.fields[].key: "x-cs-app-cci"
additional.fields[].value.string_value: x-cs-app-cci		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-from-user additional.fields[].key: "x-cs-app-from-user"
additional.fields[].value.string_value: x-cs-app-from-user		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-object-id additional.fields[].key: "x-cs-app-object-id"
additional.fields[].value.string_value: x-cs-app-object-id		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-object-name additional.fields[].key: "x-cs-app-object-name"
additional.fields[].value.string_value: x-cs-app-object-name		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-object-type additional.fields[].key: "x-cs-app-object-type"
additional.fields[].value.string_value: x-cs-app-object-type		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-suite additional.fields[].key: "x-cs-app-suite"
additional.fields[].value.string_value: x-cs-app-suite		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-tags additional.fields[].key: "x-cs-app-tags"
additional.fields[].value.string_value: x-cs-app-tags		 Mapeado diretamente do campo JSON correspondente.
x-cs-app-to-user additional.fields[].key: "x-cs-app-to-user"
additional.fields[].value.string_value: x-cs-app-to-user		 Mapeado diretamente do campo JSON correspondente.
x-cs-dst-ip security_result.detection_fields[].key: "x-cs-dst-ip"
security_result.detection_fields[].value: x-cs-dst-ip
target.asset.ip[]: x-cs-dst-ip
target.ip[]: x-cs-dst-ip		 Mapeado diretamente do campo JSON correspondente.
x-cs-dst-port security_result.detection_fields[].key: "x-cs-dst-port"
security_result.detection_fields[].value: x-cs-dst-port
target.port: x-cs-dst-port		 Mapeado diretamente do campo JSON correspondente.
x-cs-http-version security_result.detection_fields[].key: "x-cs-http-version"
security_result.detection_fields[].value: x-cs-http-version		 Mapeado diretamente do campo JSON correspondente.
x-cs-page-id additional.fields[].key: "x-cs-page-id"
additional.fields[].value.string_value: x-cs-page-id		 Mapeado diretamente do campo JSON correspondente.
x-cs-session-id network.session_id: x-cs-session-id Mapeado diretamente do campo JSON correspondente.
x-cs-site additional.fields[].key: "x-cs-site"
additional.fields[].value.string_value: x-cs-site		 Mapeado diretamente do campo JSON correspondente.
x-cs-sni network.tls.client.server_name: x-cs-sni Mapeado diretamente do campo JSON correspondente.
x-cs-src-ip principal.asset.ip[]: x-cs-src-ip
principal.ip[]: x-cs-src-ip
security_result.detection_fields[].key: "x-cs-src-ip"
security_result.detection_fields[].value: x-cs-src-ip		 Mapeado diretamente do campo JSON correspondente.
x-cs-src-ip-egress principal.asset.ip[]: x-cs-src-ip-egress
principal.ip[]: x-cs-src-ip-egress
security_result.detection_fields[].key: "x-cs-src-ip-egress"
security_result.detection_fields[].value: x-cs-src-ip-egress		 Mapeado diretamente do campo JSON correspondente.
x-cs-src-port principal.port: x-cs-src-port
security_result.detection_fields[].key: "x-cs-src-port"
security_result.detection_fields[].value: x-cs-src-port		 Mapeado diretamente do campo JSON correspondente.
x-cs-ssl-cipher network.tls.cipher: x-cs-ssl-cipher Mapeado diretamente do campo JSON correspondente.
x-cs-ssl-fronting-error security_result.detection_fields[].key: "x-cs-ssl-fronting-error"
security_result.detection_fields[].value: x-cs-ssl-fronting-error		 Mapeado diretamente do campo JSON correspondente.
x-cs-ssl-handshake-error security_result.detection_fields[].key: "x-cs-ssl-handshake-error"
security_result.detection_fields[].value: x-cs-ssl-handshake-error		 Mapeado diretamente do campo JSON correspondente.
x-cs-ssl-ja3 network.tls.client.ja3: x-cs-ssl-ja3 Mapeado diretamente do campo JSON correspondente.
x-cs-ssl-version network.tls.version: x-cs-ssl-version Mapeado diretamente do campo JSON correspondente.
x-cs-timestamp metadata.event_timestamp.seconds: x-cs-timestamp Mapeado diretamente do campo JSON correspondente.
x-cs-traffic-type additional.fields[].key: "trafficType"
additional.fields[].value.string_value: x-cs-traffic-type		 Mapeado diretamente do campo JSON correspondente.
x-cs-tunnel-src-ip security_result.detection_fields[].key: "x-cs-tunnel-src-ip"
security_result.detection_fields[].value: x-cs-tunnel-src-ip		 Mapeado diretamente do campo JSON correspondente.
x-cs-uri-path additional.fields[].key: "x-cs-uri-path"
additional.fields[].value.string_value: x-cs-uri-path		 Mapeado diretamente do campo JSON correspondente.
x-cs-url target.url: x-cs-url Mapeado diretamente do campo JSON correspondente.
x-cs-userip security_result.detection_fields[].key: "x-cs-userip"
security_result.detection_fields[].value: x-cs-userip		 Mapeado diretamente do campo JSON correspondente.
x-other-category security_result.category_details[]: x-other-category Mapeado diretamente do campo JSON correspondente.
x-other-category-id security_result.detection_fields[].key: "x-other-category-id"
security_result.detection_fields[].value: x-other-category-id		 Mapeado diretamente do campo JSON correspondente.
x-policy-action security_result.action: valor derivado
security_result.action_details: x-policy-action		 security_result.action é derivado da conversão de x-policy-action em letras maiúsculas. Se o valor em maiúsculas for "ALLOW" ou "BLOCK", ele será usado diretamente. Caso contrário, ele não será mapeado.
security_result.action_details é mapeado diretamente de x-policy-action.
x-policy-dst-host security_result.detection_fields[].key: "x-policy-dst-host"
security_result.detection_fields[].value: x-policy-dst-host		 Mapeado diretamente do campo JSON correspondente.
x-policy-dst-host-source security_result.detection_fields[].key: "x-policy-dst-host-source"
security_result.detection_fields[].value: x-policy-dst-host-source		 Mapeado diretamente do campo JSON correspondente.
x-policy-dst-ip security_result.detection_fields[].key: "x-policy-dst-ip"
security_result.detection_fields[].value: x-policy-dst-ip		 Mapeado diretamente do campo JSON correspondente.
x-policy-name security_result.rule_name: x-policy-name Mapeado diretamente do campo JSON correspondente.
x-policy-src-ip security_result.detection_fields[].key: "x-policy-src-ip"
security_result.detection_fields[].value: x-policy-src-ip		 Mapeado diretamente do campo JSON correspondente.
x-r-cert-enddate network.tls.server.certificate.not_after.seconds: segundos da Era Unix desde x-r-cert-enddate A data é convertida em segundos de época.
x-r-cert-expired additional.fields[].key: "x-r-cert-expired"
additional.fields[].value.string_value: x-r-cert-expired		 Mapeado diretamente do campo JSON correspondente.
x-r-cert-incomplete-chain additional.fields[].key: "x-r-cert-incomplete-chain"
additional.fields[].value.string_value: x-r-cert-incomplete-chain		 Mapeado diretamente do campo JSON correspondente.
x-r-cert-issuer-cn network.tls.server.certificate.issuer: x-r-cert-issuer-cn Mapeado diretamente do campo JSON correspondente.
x-r-cert-mismatch additional.fields[].key: "x-r-cert-mismatch"
additional.fields[].value.string_value: x-r-cert-mismatch		 Mapeado diretamente do campo JSON correspondente.
x-r-cert-revoked additional.fields[].key: "x-r-cert-revoked"
additional.fields[].value.string_value: x-r-cert-revoked		 Mapeado diretamente do campo JSON correspondente.
x-r-cert-self-signed additional.fields[].key: "x-r-cert-self-signed"
additional.fields[].value.string_value: x-r-cert-self-signed		 Mapeado diretamente do campo JSON correspondente.
x-r-cert-startdate network.tls.server.certificate.not_before.seconds: segundos da Era Unix desde x-r-cert-startdate A data é convertida em segundos de época.
x-r-cert-subject-cn network.tls.server.certificate.subject: x-r-cert-subject-cn Mapeado diretamente do campo JSON correspondente.
x-r-cert-untrusted-root additional.fields[].key: "x-r-cert-untrusted-root"
additional.fields[].value.string_value: x-r-cert-untrusted-root		 Mapeado diretamente do campo JSON correspondente.
x-r-cert-valid additional.fields[].key: "x-r-cert-valid"
additional.fields[].value.string_value: x-r-cert-valid		 Mapeado diretamente do campo JSON correspondente.
x-request-id additional.fields[].key: "requestId"
additional.fields[].value.string_value: x-request-id		 Mapeado diretamente do campo JSON correspondente.
x-rs-file-category additional.fields[].key: "x-rs-file-category"
additional.fields[].value.string_value: x-rs-file-category		 Mapeado diretamente do campo JSON correspondente.
x-rs-file-type additional.fields[].key: "x-rs-file-type"
additional.fields[].value.string_value: x-rs-file-type		 Mapeado diretamente do campo JSON correspondente.
x-s-country target.location.country_or_region: x-s-country Mapeado diretamente do campo JSON correspondente.
x-s-dp-name additional.fields[].key: "x-s-dp-name"
additional.fields[].value.string_value: x-s-dp-name		 Mapeado diretamente do campo JSON correspondente.
x-s-latitude target.location.region_coordinates.latitude: x-s-latitude Mapeado diretamente do campo JSON correspondente.
x-s-location target.location.name: x-s-location Mapeado diretamente do campo JSON correspondente.
x-s-longitude target.location.region_coordinates.longitude: x-s-longitude Mapeado diretamente do campo JSON correspondente.
x-s-region target.location.state: x-s-region Mapeado diretamente do campo JSON correspondente.
x-s-zipcode additional.fields[].key: "x-s-zipcode"
additional.fields[].value.string_value: x-s-zipcode		 Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-cipher security_result.detection_fields[].key: "x-sr-ssl-cipher"
security_result.detection_fields[].value: x-sr-ssl-cipher		 Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-client-certificate-error security_result.detection_fields[].key: "x-sr-ssl-client-certificate-error"
security_result.detection_fields[].value: x-sr-ssl-client-certificate-error		 Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-engine-action security_result.detection_fields[].key: "x-sr-ssl-engine-action"
security_result.detection_fields[].value: x-sr-ssl-engine-action		 Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-engine-action-reason security_result.detection_fields[].key: "x-sr-ssl-engine-action-reason"
security_result.detection_fields[].value: x-sr-ssl-engine-action-reason		 Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-handshake-error security_result.detection_fields[].key: "x-sr-ssl-handshake-error"
security_result.detection_fields[].value: x-sr-ssl-handshake-error		 Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-ja3s network.tls.server.ja3s: x-sr-ssl-ja3s Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-malformed-ssl security_result.detection_fields[].key: "x-sr-ssl-malformed-ssl"
security_result.detection_fields[].value: x-sr-ssl-malformed-ssl		 Mapeado diretamente do campo JSON correspondente.
x-sr-ssl-version security_result.detection_fields[].key: "x-sr-ssl-version"
security_result.detection_fields[].value: x-sr-ssl-version		 Mapeado diretamente do campo JSON correspondente.
x-s-custom-signing-ca-error security_result.detection_fields[].key: "x-s-custom-signing-ca-error"
security_result.detection_fields[].value: x-s-custom-signing-ca-error		 Mapeado diretamente do campo JSON correspondente.
x-ssl-bypass security_result.detection_fields[].key: "SSL BYPASS"
security_result.detection_fields[].value: x-ssl-bypass ou x-ssl-bypass-reason		 Se x-ssl-bypass for "Sim" e x-ssl-bypass-reason estiver presente, o valor de x-ssl-bypass-reason será usado. Caso contrário, o valor de x-ssl-bypass será usado.
x-ssl-policy-action security_result.detection_fields[].key: "x-ssl-policy-action"
security_result.detection_fields[].value: x-ssl-policy-action		 Mapeado diretamente do campo JSON correspondente.
x-ssl-policy-categories security_result.category_details[]: x-ssl-policy-categories Mapeado diretamente do campo JSON correspondente.
x-ssl-policy-dst-host security_result.detection_fields[].key: "x-ssl-policy-dst-host"
security_result.detection_fields[].value: x-ssl-policy-dst-host		 Mapeado diretamente do campo JSON correspondente.
x-ssl-policy-dst-host-source security_result.detection_fields[].key: "x-ssl-policy-dst-host-source"
security_result.detection_fields[].value: x-ssl-policy-dst-host-source		 Mapeado diretamente do campo JSON correspondente.
x-ssl-policy-dst-ip security_result.detection_fields[].key: "x-ssl-policy-dst-ip"
security_result.detection_fields[].value: x-ssl-policy-dst-ip		 Mapeado diretamente do campo JSON correspondente.
x-ssl-policy-name security_result.rule_name: x-ssl-policy-name Mapeado diretamente do campo JSON correspondente.
x-ssl-policy-src-ip security_result.detection_fields[].key: "x-ssl-policy-src-ip"
security_result.detection_fields[].value: x-ssl-policy-src-ip		 Mapeado diretamente do campo JSON correspondente.
x-sr-dst-ip security_result.detection_fields[].key: "x-sr-dst-ip"
security_result.detection_fields[].value: x-sr-dst-ip		 Mapeado diretamente do campo JSON correspondente.
x-sr-dst-port security_result.detection_fields[].key: "x-sr-dst-port"
security_result.detection_fields[].value: x-sr-dst-port		 Mapeado diretamente do campo JSON correspondente.
x-type additional.fields[].key: "xType"
additional.fields[].value.string_value: x-type		 Mapeado diretamente do campo JSON correspondente.
x-transaction-id additional.fields[].key: "transactionId"
additional.fields[].value.string_value: x-transaction-id		 Mapeado diretamente do campo JSON correspondente.
N/A metadata.vendor_name: "Netskope" Valor codificado no analisador.
N/A metadata.product_name: "Netskope Webproxy" Defina como "Netskope Webproxy" se ainda não estiver presente.
N/A metadata.log_type: "NETSKOPE_WEBPROXY" Valor codificado no analisador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.