Mengumpulkan log Symantec Web Security Service (WSS)

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Symantec Web Security Service (WSS) ke Google Security Operations menggunakan Google Cloud Storage. Parser pertama-tama mencoba mengurai pesan log sebagai JSON. Jika gagal, alat ini akan menggunakan serangkaian pola grok yang semakin spesifik untuk mengekstrak kolom dari teks mentah, yang pada akhirnya memetakan data yang diekstrak ke Model Data Terpadu (UDM). Symantec Web Security Service (WSS) adalah solusi keamanan web berbasis cloud yang memberikan perlindungan real-time terhadap ancaman berbasis web, termasuk malware, phishing, dan kehilangan data.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses istimewa ke Portal Symantec Web Security Service

Kumpulkan kredensial API Symantec WSS

Mendapatkan URL situs Symantec WSS

Login ke portal Symantec Web Security Service Anda.
Catat URL portal Anda dari kolom URL browser.
- Format: https://portal.threatpulse.com atau URL khusus organisasi Anda
- Contoh: Jika Anda mengakses WSS di https://portal.threatpulse.com/reportpod, URL situs Anda adalah https://portal.threatpulse.com

Membuat kredensial API

Login ke Symantec Web Security Service Portal sebagai administrator.
Buka Account > API Credentials.
Klik Add API Credentials.
Portal menampilkan dialog Add API Credential dengan Username dan Password yang dibuat secara otomatis.
Salin dan simpan Nama Pengguna dan Sandi dengan aman.

Catatan: Kredensial ini hanya ditampilkan satu kali. Jika Anda kehilangan kredensial tersebut, Anda harus membuat kredensial baru.
Pilih opsi Masa Berlaku API:
- Berdasarkan waktu: Tentukan tanggal dan waktu saat masa berlaku token ini berakhir.
- Tidak pernah habis masa berlakunya: Token tetap valid tanpa batas waktu (direkomendasikan untuk produksi).
Untuk opsi Akses, pilih Log Akses Pelaporan.
Klik Simpan.

Verifikasi izin

Untuk memverifikasi bahwa akun memiliki izin yang diperlukan:

Login ke Portal Symantec Web Security Service.
Buka Account > API Credentials.
Jika Anda dapat melihat kredensial API yang Anda buat dengan Akses yang ditetapkan ke Akses Log Pelaporan, Anda memiliki izin yang diperlukan.
Jika Anda tidak dapat melihat opsi ini, hubungi administrator Anda untuk memberikan izin Akses Log Pelaporan.

Menguji akses API

Uji kredensial Anda sebelum melanjutkan integrasi:

# Replace with your actual credentials
WSS_USERNAME="your-api-username"
WSS_PASSWORD="your-api-password"
WSS_SYNC_URL="https://portal.threatpulse.com/reportpod/logs/sync"

# Test API access (note: sync endpoint requires time parameters)
curl -v -H "X-APIUsername: ${WSS_USERNAME}" \
  -H "X-APIPassword: ${WSS_PASSWORD}" \
  "${WSS_SYNC_URL}?startDate=0&endDate=1000&token=none"

Respons yang diharapkan: HTTP 200 dengan data log atau respons kosong jika tidak ada log dalam rentang waktu.

Membuat bucket Google Cloud Storage

Buka Google Cloud Console.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `symantec-wss-logs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Lokasi	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Buat.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan symantec-wss-collector-sa.
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Symantec WSS logs.
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Selesai.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, symantec-wss-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di GCP Console, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan symantec-wss-trigger.
- Biarkan setelan lainnya tetap default.
Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Symantec WSS Sync API dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan symantec-wss-collector

Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub (symantec-wss-trigger).
4. Klik Simpan.
Di bagian Authentication:
1. Pilih Wajibkan autentikasi.
2. Periksa Identity and Access Management (IAM).
Catatan: Pub/Sub secara otomatis menangani autentikasi saat memanggil fungsi.
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan (symantec-wss-collector-sa).

Setelan	Nilai
Nama layanan	`symantec-wss-collector`
Wilayah	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Buka tab Containers:

Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:

Nama Variabel	Nilai Contoh	Deskripsi
`GCS_BUCKET`	`symantec-wss-logs`	Nama bucket GCS
`GCS_PREFIX`	`symantec/wss/`	Awalan untuk file log
`STATE_KEY`	`symantec/wss/state.json`	Jalur file status
`WINDOW_SECONDS`	`3600`	Periode waktu dalam detik (1 jam)
`HTTP_TIMEOUT`	`60`	Waktu tunggu permintaan HTTP dalam detik
`MAX_RETRIES`	`3`	Upaya percobaan ulang maksimum
`USER_AGENT`	`symantec-wss-to-gcs/1.0`	String agen pengguna
`WSS_SYNC_URL`	`https://portal.threatpulse.com/reportpod/logs/sync`	Endpoint WSS Sync API
`WSS_API_USERNAME`	`your-api-username` (dari kredensial API)	Nama pengguna WSS API
`WSS_API_PASSWORD`	`your-api-password` (dari kredensial API)	Sandi WSS API
`WSS_TOKEN_PARAM`	`none`	Parameter token untuk API sinkronisasi

Di bagian Variabel & Secret, scroll ke Permintaan:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit).
Buka tab Setelan:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi.
  - CPU: Pilih 1.
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0.
- Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

Masukkan main di Function entry point

Di editor kode inline, buat dua file:

File pertama: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import uuid
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=60.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Symantec WSS Sync API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'symantec/wss/')
    state_key = os.environ.get('STATE_KEY', 'symantec/wss/state.json')
    window_sec = int(os.environ.get('WINDOW_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    max_retries = int(os.environ.get('MAX_RETRIES', '3'))
    user_agent = os.environ.get('USER_AGENT', 'symantec-wss-to-gcs/1.0')
    wss_sync_url = os.environ.get('WSS_SYNC_URL', 'https://portal.threatpulse.com/reportpod/logs/sync')
    api_username = os.environ.get('WSS_API_USERNAME')
    api_password = os.environ.get('WSS_API_PASSWORD')
    token_param = os.environ.get('WSS_TOKEN_PARAM', 'none')

    if not all([bucket_name, api_username, api_password]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        now = datetime.now(timezone.utc).timestamp()
        from_ts = float(state.get('last_to_ts', now - window_sec))
        to_ts = now

        # Convert to milliseconds for WSS API
        start_ms = int(from_ts * 1000)
        end_ms = int(to_ts * 1000)

        print(f'Fetching Symantec WSS logs from {start_ms} to {end_ms}')

        # Fetch logs from WSS Sync API
        blob_data, content_type, content_encoding = fetch_wss_logs(
            wss_sync_url, api_username, api_password, token_param,
            start_ms, end_ms, user_agent, http_timeout, max_retries
        )

        print(f'Retrieved {len(blob_data)} bytes with content-type: {content_type}')
        if content_encoding:
            print(f'Content encoding: {content_encoding}')

        # Write to GCS
        if blob_data:
            blob_name = write_wss_data(
                bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts
            )
            print(f'Wrote logs to {blob_name}')

        # Update state
        save_state(bucket, state_key, {
            'last_to_ts': to_ts,
            'last_successful_run': now
        })

        print(f'Successfully processed logs up to {to_ts}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, separators=(',', ':')),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def fetch_wss_logs(sync_url, username, password, token, start_ms, end_ms, user_agent, timeout, max_retries):
    """Fetch logs from WSS Sync API with retry logic using custom HTTP headers."""
    params = f"startDate={start_ms}&endDate={end_ms}&token={token}"
    url = f"{sync_url}?{params}"

    attempt = 0
    backoff = 1.0

    while True:
        try:
            headers = {
                'User-Agent': user_agent,
                'X-APIUsername': username,
                'X-APIPassword': password
            }

            response = http.request('GET', url, headers=headers, timeout=timeout)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429). Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status == 200:
                content_type = response.headers.get('Content-Type', 'application/octet-stream')
                content_encoding = response.headers.get('Content-Encoding', '')
                return response.data, content_type, content_encoding
            else:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8", errors="ignore")}')

        except Exception as e:
            attempt += 1
            print(f'HTTP error on attempt {attempt}: {e}')
            if attempt > max_retries:
                raise
            # Exponential backoff with jitter
            time.sleep(min(60, 2 ** attempt) + (time.time() % 1))

def determine_extension(content_type, content_encoding):
    """Determine file extension based on content type and encoding."""
    if 'zip' in content_type.lower():
        return '.zip'
    if 'gzip' in content_type.lower() or content_encoding.lower() == 'gzip':
        return '.gz'
    if 'json' in content_type.lower():
        return '.json'
    if 'csv' in content_type.lower():
        return '.csv'
    return '.bin'

def write_wss_data(bucket, prefix, blob_data, content_type, content_encoding, from_ts, to_ts):
    """Write WSS data to GCS with unique key."""
    ts_path = datetime.fromtimestamp(to_ts, tz=timezone.utc).strftime('%Y/%m/%d')
    uniq = f"{int(time.time() * 1e6)}_{uuid.uuid4().hex[:8]}"
    ext = determine_extension(content_type, content_encoding)
    blob_name = f"{prefix}{ts_path}/symantec_wss_{int(from_ts)}_{int(to_ts)}_{uniq}{ext}"

    blob = bucket.blob(blob_name)
    blob.upload_from_string(
        blob_data,
        content_type=content_type
    )

    # Set metadata
    blob.metadata = {
        'source': 'symantec-wss',
        'from_timestamp': str(int(from_ts)),
        'to_timestamp': str(int(to_ts)),
        'content_encoding': content_encoding
    }
    blob.patch()

    return blob_name

File kedua: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Catatan: Konfigurasi pemicu Pub/Sub akan otomatis membuat langganan dan izin yang diperlukan.

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`symantec-wss-collector-hourly`
Wilayah	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`0 * * * *` (setiap jam, tepat pada waktunya)
Zona waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih topik Pub/Sub (`symantec-wss-trigger`)
Isi pesan	`{}` (objek JSON kosong)

Klik Buat.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar (direkomendasikan)
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`0 0 * * *`	Pengumpulan data historis

Menguji integrasi

Di konsol Cloud Scheduler, temukan tugas Anda.
Klik Force run untuk memicu tugas secara manual.
Tunggu beberapa detik.
Buka Cloud Run > Services.
Klik nama fungsi Anda (symantec-wss-collector).
Klik tab Logs.

Pastikan fungsi berhasil dieksekusi. Cari hal berikut:

Fetching Symantec WSS logs from [start_ms] to [end_ms]
Retrieved X bytes with content-type: [type]
Wrote logs to symantec/wss/YYYY/MM/DD/symantec_wss_[timestamps].[ext]
Successfully processed logs up to [timestamp]

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka folder awalan (symantec/wss/).
Pastikan file baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

HTTP 401: Periksa kredensial API dalam variabel lingkungan. Verifikasi bahwa nama pengguna dan sandi sudah benar.
HTTP 403: Pastikan kredensial API telah mengaktifkan izin "Reporting Access Logs" di portal WSS.
HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan.
Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan dalam konfigurasi fungsi Cloud Run.

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Symantec WSS logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Symantec WSS sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Mengonfigurasi feed di Google SecOps untuk menyerap log Symantec WSS

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Symantec WSS logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Symantec WSS sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://symantec-wss-logs/symantec/wss/
```
  - Ganti:
    - symantec-wss-logs: Nama bucket GCS Anda.
    - symantec/wss/: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
  - Contoh:
    - Bucket root: gs://company-logs/
    - Dengan awalan: gs://company-logs/symantec-wss/
    - Dengan subfolder: gs://company-logs/symantec/wss/
    Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
category_id	read_only_udm.metadata.product_event_type	Jika category_id adalah 1, maka read_only_udm.metadata.product_event_type ditetapkan ke Security. Jika category_id adalah 5, maka read_only_udm.metadata.product_event_type ditetapkan ke Policy
collector_device_ip	read_only_udm.principal.ip, read_only_udm.principal.asset.ip	Nilai kolom collector_device_ip
connection.bytes_download	read_only_udm.network.received_bytes	Nilai kolom connection.bytes_download dikonversi menjadi bilangan bulat
connection.bytes_upload	read_only_udm.network.sent_bytes	Nilai kolom connection.bytes_upload dikonversi menjadi bilangan bulat
connection.dst_ip	read_only_udm.target.ip	Nilai kolom connection.dst_ip
connection.dst_location.country	read_only_udm.target.location.country_or_region	Nilai kolom connection.dst_location.country
connection.dst_name	read_only_udm.target.hostname	Nilai kolom connection.dst_name
connection.dst_port	read_only_udm.target.port	Nilai kolom connection.dst_port dikonversi menjadi bilangan bulat
connection.http_status	read_only_udm.network.http.response_code	Nilai kolom connection.http_status dikonversi menjadi bilangan bulat
connection.http_user_agent	read_only_udm.network.http.user_agent	Nilai kolom connection.http_user_agent
connection.src_ip	read_only_udm.principal.ip, read_only_udm.src.ip	Nilai kolom connection.src_ip. Jika src_ip atau collector_device_ip tidak kosong, maka akan dipetakan ke read_only_udm.src.ip
connection.tls.version	read_only_udm.network.tls.version_protocol	Nilai kolom connection.tls.version
connection.url.host	read_only_udm.target.hostname	Nilai kolom connection.url.host
connection.url.method	read_only_udm.network.http.method	Nilai kolom connection.url.method
connection.url.path	read_only_udm.target.url	Nilai kolom connection.url.path
connection.url.text	read_only_udm.target.url	Nilai kolom connection.url.text
cs_connection_negotiated_cipher	read_only_udm.network.tls.cipher	Nilai kolom cs_connection_negotiated_cipher
cs_icap_status	read_only_udm.security_result.description	Nilai kolom cs_icap_status
device_id	read_only_udm.target.resource.id, read_only_udm.target.resource.product_object_id	Nilai kolom device_id
device_ip	read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip	Nilai kolom device_ip
device_time	read_only_udm.metadata.collected_timestamp, read_only_udm.metadata.event_timestamp	Nilai kolom device_time dikonversi menjadi string. Jika when kosong, maka dipetakan ke read_only_udm.metadata.event_timestamp
hostname	read_only_udm.principal.hostname, read_only_udm.principal.asset.hostname	Nilai kolom nama host
log_time	read_only_udm.metadata.event_timestamp	Nilai kolom log_time dikonversi menjadi stempel waktu. Jika when dan device_time kosong, maka akan dipetakan ke read_only_udm.metadata.event_timestamp
msg_desc	read_only_udm.metadata.description	Nilai kolom msg_desc
os_details	read_only_udm.target.asset.platform_software.platform, read_only_udm.target.asset.platform_software.platform_version	Nilai kolom os_details. Jika os_details tidak kosong, maka os_details akan diuraikan untuk mengekstrak os_name dan os_ver. Jika os_name berisi Windows, maka read_only_udm.target.asset.platform_software.platform disetel ke WINDOWS. os_ver dipetakan ke read_only_udm.target.asset.platform_software.platform_version
product_data.cs(Referer)	read_only_udm.network.http.referral_url	Nilai kolom product_data.cs(Referer)
product_data.r-supplier-country	read_only_udm.principal.location.country_or_region	Nilai kolom product_data.r-supplier-country
product_data.s-supplier-ip	read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip	Nilai kolom product_data.s-supplier-ip
product_data.x-bluecoat-application-name	read_only_udm.target.application	Nilai kolom product_data.x-bluecoat-application-name
product_data.x-bluecoat-transaction-uuid	read_only_udm.metadata.product_log_id	Nilai kolom product_data.x-bluecoat-transaction-uuid
product_data.x-client-agent-sw	read_only_udm.observer.platform_version	Nilai kolom product_data.x-client-agent-sw
product_data.x-client-agent-type	read_only_udm.observer.application	Nilai kolom product_data.x-client-agent-type
product_data.x-client-device-id	read_only_udm.target.resource.type, read_only_udm.target.resource.id, read_only_udm.target.resource.product_object_id	Jika tidak kosong, read_only_udm.target.resource.type disetel ke DEVICE. Nilai kolom product_data.x-client-device-id dipetakan ke read_only_udm.target.resource.id dan read_only_udm.target.resource.product_object_id
product_data.x-client-device-name	read_only_udm.src.hostname, read_only_udm.src.asset.hostname	Nilai kolom product_data.x-client-device-name
product_data.x-cs-client-ip-country	read_only_udm.target.location.country_or_region	Nilai kolom product_data.x-cs-client-ip-country
product_data.x-cs-connection-negotiated-cipher	read_only_udm.network.tls.cipher	Nilai kolom product_data.x-cs-connection-negotiated-cipher
product_data.x-cs-connection-negotiated-ssl-version	read_only_udm.network.tls.version_protocol	Nilai kolom product_data.x-cs-connection-negotiated-ssl-version
product_data.x-exception-id	read_only_udm.security_result.summary	Nilai kolom product_data.x-exception-id
product_data.x-rs-certificate-hostname	read_only_udm.network.tls.client.server_name	Nilai kolom product_data.x-rs-certificate-hostname
product_data.x-rs-certificate-hostname-categories	read_only_udm.security_result.category_details	Nilai kolom product_data.x-rs-certificate-hostname-categories
product_data.x-rs-certificate-observed-errors	read_only_udm.network.tls.server.certificate.issuer	Nilai kolom product_data.x-rs-certificate-observed-errors
product_data.x-rs-certificate-validate-status	read_only_udm.network.tls.server.certificate.subject	Nilai kolom product_data.x-rs-certificate-validate-status
product_name	read_only_udm.metadata.product_name	Nilai kolom product_name
product_ver	read_only_udm.metadata.product_version	Nilai kolom product_ver
proxy_connection.src_ip	read_only_udm.intermediary.ip, read_only_udm.intermediary.asset.ip	Nilai kolom proxy_connection.src_ip
received_bytes	read_only_udm.network.received_bytes	Nilai kolom received_bytes dikonversi menjadi bilangan bulat
ref_uid	read_only_udm.metadata.product_log_id	Nilai kolom ref_uid
s_action	read_only_udm.metadata.description	Nilai kolom s_action
sent_bytes	read_only_udm.network.sent_bytes	Nilai kolom sent_bytes dikonversi menjadi bilangan bulat
severity_id	read_only_udm.security_result.severity	Jika severity_id adalah 1 atau 2, maka read_only_udm.security_result.severity disetel ke LOW. Jika severity_id adalah 3 atau 4, maka read_only_udm.security_result.severity akan ditetapkan ke MEDIUM. Jika severity_id adalah 5 atau 6, maka read_only_udm.security_result.severity akan disetel ke HIGH
supplier_country	read_only_udm.principal.location.country_or_region	Nilai kolom supplier_country
target_ip	read_only_udm.target.ip, read_only_udm.target.asset.ip	Nilai kolom target_ip
user.full_name	read_only_udm.principal.user.user_display_name	Nilai kolom user.full_name
user.name	read_only_udm.principal.user.user_display_name	Nilai kolom user.name
user_name	read_only_udm.principal.user.user_display_name	Nilai kolom user_name
uuid	read_only_udm.metadata.product_log_id	Nilai kolom uuid
kapan	read_only_udm.metadata.event_timestamp	Nilai kolom when dikonversi menjadi stempel waktu
read_only_udm.metadata.event_type		Disetel ke NETWORK_UNCATEGORIZED jika hostname kosong dan connection.dst_ip tidak kosong. Disetel ke SCAN_NETWORK jika nama host tidak kosong. Ditetapkan ke NETWORK_CONNECTION jika has_principal dan has_target bernilai benar (true). Disetel ke STATUS_UPDATE jika has_principal benar dan has_target salah. Ditetapkan ke GENERIC_EVENT jika has_principal dan has_target bernilai salah (false)
read_only_udm.metadata.log_type		Selalu ditetapkan ke SYMANTEC_WSS
read_only_udm.metadata.vendor_name		Selalu ditetapkan ke SYMANTEC
read_only_udm.security_result.action		Tetapkan ke ALLOW jika product_data.sc-filter_result adalah OBSERVED atau PROXIED. Setel ke BLOCK jika product_data.sc-filter_result adalah DENIED
read_only_udm.security_result.action_details		Nilai kolom product_data.sc-filter_result
read_only_udm.target.resource.type		Disetel ke DEVICE jika product_data.x-client-device-id tidak kosong

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.