« Netflow 集成 网络信标识别 »
Elastic 文档 Elastic 集成

Netskope

编辑

Netskope

编辑

版本

1.22.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此集成用于 Netskope。它可用于接收由 Netskope Cloud Log Shipper 在各自的 TCP 端口上发送的日志。

日志消息应为 JSON 格式。数据将映射到适用的 ECS 字段,其余字段写入 netskope.<data-stream-name>.* 下。

设置步骤

编辑
  1. 在 Kibana 中使用 TCP 输入配置此集成。
  2. 有关所有 Netskope Cloud Exchange 配置,请参阅 Log Shipper
  3. 在 Netskope Cloud Exchange 中,请启用 Log Shipper,添加您的 Netskope 租户。

  4. 配置输入连接器

    1. 首先使用所有事件类型,以及
    2. 其次使用所有警报类型。有关详细步骤,请参阅 为 Log Shipper 配置 Netskope 插件

  5. 配置输出连接器

    1. 导航到 设置 → 插件。
    2. 为警报和事件添加单独的输出连接器 Elastic CLS,并为两者选择映射 “Elastic 默认映射(推荐)”

  6. 创建业务规则

    1. 导航到 主页 > Log Shipper > 业务规则。
    2. 创建包含 Netskope 警报的业务规则。
    3. 创建包含 Netskope 事件的业务规则。有关详细步骤,请参阅 管理 Log Shipper 业务规则

  7. 添加 SIEM 映射

    1. 导航到 主页 > Log Shipper > SIEM 映射

    2. 为事件添加 SIEM 映射

      • 添加 规则,放入步骤 6 中创建的规则。
      • 添加 源配置,放入步骤 4 中为事件创建的输入。
      • 添加 目标配置,放入步骤 5 中为事件创建的输出。

有关详细步骤,请参阅 配置 Log Shipper SIEM 映射。请务必使用给定的响应格式。

兼容性

编辑

此软件包已针对 Netskope 版本 95.1.0.645Netskope Cloud Exchange 版本 3.4.0 进行了测试。

文档和配置

编辑

警报

编辑

默认端口:9020

事件

编辑

默认端口:9021

字段和示例事件

编辑

警报

编辑
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的映像 ID。

keyword

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是容器。

boolean

host.os.build

操作系统构建信息。

keyword

host.os.codename

操作系统代号(如果有)。

keyword

input.type

输入类型

keyword

log.offset

日志偏移量

long

log.source.address

读取/发送日志事件的源地址。

keyword

netskope.alerts.Url2Activity

如果 URL 的活动与某些活动匹配,则会填充。此字段仅适用于风险洞察。

keyword

netskope.alerts.access_method

可以使用不同的部署方法(例如客户端(Netskope 客户端)、安全转发器等)将云应用流量引导到 Netskope 云。管理员还可以上传防火墙和/或代理日志以进行日志分析。此字段显示触发事件的实际访问方法。对于日志上传,这会显示实际的日志类型,例如 PAN、Websense 等。

keyword

netskope.alerts.account.id

账户 ID(通常是云提供商提供的帐号)。

keyword

netskope.alerts.account.name

账户名称 - 对于 AWS,这是用户设置的实例名称。对于其他账户,账户名称由云提供商提供。

keyword

netskope.alerts.acked

用户是否确认警报。

boolean

netskope.alerts.acting.role

不适用

keyword

netskope.alerts.action

对策略事件采取的操作。

keyword

netskope.alerts.activities

不适用

keyword

netskope.alerts.activity.name

用户执行的活动描述。

keyword

netskope.alerts.activity.status

当用户在执行某些活动时被拒绝访问时显示。

keyword

netskope.alerts.activity.type

当只有管理员才能执行相关活动时显示。

keyword

netskope.alerts.agg.window

不适用

long

netskope.alerts.aggregated.user

不适用

boolean

netskope.alerts.alert.affected.entities

不适用

keyword

netskope.alerts.alert.category

不适用

keyword

netskope.alerts.alert.description

不适用

keyword

netskope.alerts.alert.detection.stage

不适用

keyword

netskope.alerts.alert.id

从代码生成的警报哈希值。

keyword

netskope.alerts.alert.name

警报的名称。

keyword

netskope.alerts.alert.notes

不适用

keyword

netskope.alerts.alert.query

不适用

keyword

netskope.alerts.alert.score

不适用

long

netskope.alerts.alert.source

不适用

keyword

netskope.alerts.alert.status

不适用

keyword

netskope.alerts.alert.type

显示它是应用程序事件还是连接事件。记录应用程序事件以跟踪云应用程序内的用户事件。连接事件显示实际的 HTTP 连接。

keyword

netskope.alerts.alert.window

不适用

long

netskope.alerts.algorithm

不适用

keyword

netskope.alerts.anomaly.efficacy

用于调试的完整异常详细信息。

keyword

netskope.alerts.anomaly.fields

异常字段的名称和值,通常列表中只有一个。

keyword

netskope.alerts.anomaly.id

不适用

keyword

netskope.alerts.anomaly.magnitude

不适用

double

netskope.alerts.anomaly.type

UBA 警报的类型。

keyword

netskope.alerts.app.activity

不适用

keyword

netskope.alerts.app.app_name

不适用

keyword

netskope.alerts.app.category

不适用

keyword

netskope.alerts.app.name

用户使用的特定云应用程序(例如,应用程序 = Dropbox)。

keyword

netskope.alerts.app.region

不适用

keyword

netskope.alerts.app.session.id

对于 traffic_type = CloudApp 和 Web,唯一的应用程序/站点会话 ID。当用户开始在云应用程序/站点上使用应用程序时,应用程序会话开始,并在用户不活动一段时间(15 分钟)后结束。使用 app_session_id 检查单个应用程序会话中的所有用户活动。app_session_id 对于用户、设备、浏览器和域是唯一的。

keyword

netskope.alerts.app.suite

不适用

keyword

netskope.alerts.asn

不适用

long

netskope.alerts.asset.id

不适用

keyword

netskope.alerts.asset.object.id

不适用

keyword

netskope.alerts.attachment

文件名。

keyword

netskope.alerts.audit.category

应用程序中的子类别,例如 AWS 中的 IAM、EC,Google 中的登录、令牌、文件等。

keyword

netskope.alerts.audit.type

根据 SaaS/IaaS 应用程序的审计中的子类别。

keyword

netskope.alerts.bin.timestamp

仅适用于:共享凭据、数据外泄、批量异常类型(批量上传/下载/删除)和失败登录异常类型。Bin TimeStamp(是用于某些类型异常的时间窗口 - 用于将一天/小时分成几个时间窗口)。

long

netskope.alerts.breach.date

泄露的凭据的泄露日期。

double

netskope.alerts.breach.description

不适用

keyword

netskope.alerts.breach.id

泄露的凭据的泄露 ID。

keyword

netskope.alerts.breach.media_references

泄露的媒体参考。

keyword

netskope.alerts.breach.score

泄露的凭据的泄露评分。

long

netskope.alerts.breach.target_references

泄露的凭据的泄露目标参考。

keyword

netskope.alerts.browser.session.id

浏览器会话 ID。如果空闲超时为 15 分钟,则会话将超时。

keyword

netskope.alerts.bucket

不适用

keyword

netskope.alerts.bypass.traffic

指示流量是否被 Netskope 绕过。

boolean

netskope.alerts.category.id

根据策略匹配的类别 ID。填充云和 Web 流量。

keyword

netskope.alerts.category.name

不适用

keyword

netskope.alerts.cci

不适用

keyword

netskope.alerts.ccl

云置信度级别。CCL 衡量云应用程序的企业就绪情况,并考虑这些应用程序的安全性、可审计性和业务连续性。每个应用程序都分配有五个云置信度级别之一:优秀、高、中、低或差。当用户正在访问 CCL 较低的云应用程序时,可以用于查询。

keyword

netskope.alerts.channel

用于 Slack 和 Slack 企业应用程序的用户渠道。

keyword

netskope.alerts.cloud.provider

不适用

keyword

netskope.alerts.compliance.standards

不适用

keyword

netskope.alerts.compute.instance

不适用

keyword

netskope.alerts.connection.duration

连接的持续时间(以毫秒为单位)。用于查询长期会话。

long

netskope.alerts.connection.endtime

连接结束时间。

long

netskope.alerts.connection.id

每个连接都有唯一的 ID。显示连接事件的 ID。

keyword

netskope.alerts.connection.starttime

连接开始时间。

long

netskope.alerts.count

在抑制间隔期间会话化或抑制的原始日志行/事件数。

long

netskope.alerts.created_at

不适用

keyword

netskope.alerts.data.type

上传/下载的内容类型。

keyword

netskope.alerts.data.version

不适用

long

netskope.alerts.description

不适用

keyword

netskope.alerts.destination.geoip_src

从中导出目标 IP 位置的来源。

long

netskope.alerts.detected-file-type

不适用

keyword

netskope.alerts.detection.engine

客户公开的检测引擎名称。

keyword

netskope.alerts.detection.type

与恶意软件类型相同。重复。

keyword

netskope.alerts.device.classification

由 Netskope 客户端确定的设备指定,以确定该设备是否受管理。

keyword

netskope.alerts.device.name

用户从中访问云应用程序的设备类型。它可以是 Macintosh Windows 设备、iPad 等。

keyword

netskope.alerts.dlp.file

从文件/对象中提取的文件/对象名称。

keyword

netskope.alerts.dlp.fingerprint.classification

指纹分类。

keyword

netskope.alerts.dlp.fingerprint.match

指纹分类匹配文件名。

keyword

netskope.alerts.dlp.fingerprint.score

指纹分类分数。

long

netskope.alerts.dlp.fv

不适用

long

netskope.alerts.dlp.incident.id

与子文件关联的事件 ID。对于主文件,这与父事件 ID 相同。

keyword

netskope.alerts.dlp.is_unique_count

真或假,取决于规则是否按规则数据进行唯一计数。

boolean

netskope.alerts.dlp.mail.parent.id

不适用

keyword

netskope.alerts.dlp.parent.id

与已扫描的主容器(或非容器)文件关联的事件 ID。

keyword

netskope.alerts.dlp.profile

DLP 配置文件名称。

keyword

netskope.alerts.dlp.rule.count

规则命中计数。

long

netskope.alerts.dlp.rule.name

触发的 DLP 规则。

keyword

netskope.alerts.dlp.rule.score

DLP 规则针对加权字典的分数。

long

netskope.alerts.dlp.rule.severity

规则的严重程度。

keyword

netskope.alerts.dlp.unique_count

每个规则数据中看到的唯一匹配项的数量的整数值。仅当规则被唯一计数时才存在。

long

netskope.alerts.doc.count

不适用

long

netskope.alerts.domain

域值。这将保存主机头值或 SNI 或从绝对 URI 中提取的值。

keyword

netskope.alerts.domain_shared_with

不适用

keyword

netskope.alerts.download.app

仅适用于数据泄露。下载应用程序(下载事件中的应用程序)。

keyword

netskope.alerts.drive.id

不适用

keyword

netskope.alerts.dynamic.classification

URL是否由 NSURLC 机器分类。

keyword

netskope.alerts.elastic_key

不适用

keyword

netskope.alerts.email.source

不适用

keyword

netskope.alerts.encrypt.failure

加密时失败的原因。

keyword

netskope.alerts.encryption.service.key

不适用

keyword

netskope.alerts.enterprise.id

Slack for Enterprise 的企业 ID。

keyword

netskope.alerts.enterprise.name

Slack for Enterprise 的企业名称。

keyword

netskope.alerts.entity.list

不适用

keyword

netskope.alerts.entity.type

不适用

keyword

netskope.alerts.entity.value

不适用

keyword

netskope.alerts.event.detail

不适用

keyword

netskope.alerts.event.id

不适用

keyword

netskope.alerts.event.type

异常类型。

keyword

netskope.alerts.event_source_channel

不适用

keyword

netskope.alerts.exposure

文档的暴露程度。

keyword

netskope.alerts.external.collaborator.count

文件/文件夹上的外部协作者的数量。支持某些应用程序。

long

netskope.alerts.external.email

不适用

long

netskope.alerts.feature.description

不适用

keyword

netskope.alerts.feature.id

不适用

keyword

netskope.alerts.feature.name

不适用

keyword

netskope.alerts.file.id

文件的唯一标识符。

keyword

netskope.alerts.file.lang

文件的语言。

keyword

netskope.alerts.file.name

不适用

keyword

netskope.alerts.file.password.protected

不适用

keyword

netskope.alerts.file.path.orignal

如果文件被移动,则在此字段中保留文件的原始路径。

keyword

netskope.alerts.file.size

文件的大小(以字节为单位)。

long

netskope.alerts.file.type

文件类型。

keyword

netskope.alerts.flow_status

不适用

keyword

netskope.alerts.from.logs

显示事件是否从风险洞察日志生成。

keyword

netskope.alerts.from.object

已重命名、复制或移动的对象的初始名称。

keyword

netskope.alerts.from.storage

不适用

keyword

netskope.alerts.from.user_category

from_user 的类型。

keyword

netskope.alerts.gateway

不适用

keyword

netskope.alerts.graph.id

不适用

keyword

netskope.alerts.http_status

不适用

keyword

netskope.alerts.http_transaction_count

HTTP 事务计数。

long

netskope.alerts.iaas.asset.tags

与引发警报的资产关联的标签列表。每个标签都是键/值对。

keyword

netskope.alerts.iaas.remediated

不适用

keyword

netskope.alerts.iam.session

不适用

keyword

netskope.alerts.id

不适用

keyword

netskope.alerts.insertion_epoch_timestamp

插入时间戳。

long

netskope.alerts.instance.id

与组织应用程序实例关联的唯一 ID。

keyword

netskope.alerts.instance.name

与组织应用程序实例关联的实例名称。

keyword

netskope.alerts.instance.type

实例类型。

keyword

netskope.alerts.instance_name

与组织应用程序实例关联的实例。

keyword

netskope.alerts.internal.collaborator.count

文件/文件夹上的内部协作者的数量。支持某些应用程序。

long

netskope.alerts.ip.protocol

不适用

keyword

netskope.alerts.ipblock

导致警报的 IPblock。

keyword

netskope.alerts.is_alert

指示是否生成警报。对于所有警报,填充为“是”。

boolean

netskope.alerts.is_file_passwd_protected

说明文件是否受密码保护。

boolean

netskope.alerts.is_malicious

仅当属于页面事件的某些 HTTP 事务导致恶意站点警报时才存在。

boolean

netskope.alerts.is_two_factor_auth

不适用

keyword

netskope.alerts.is_universal_connector

不适用

keyword

netskope.alerts.is_user_generated

说明它是否是用户生成的页面事件。

boolean

netskope.alerts.is_web_universal_connector

不适用

boolean

netskope.alerts.isp

不适用

keyword

netskope.alerts.item.id

不适用

keyword

netskope.alerts.justification.reason

用户提供的理由。对于以下策略,会引发理由事件。向用户显示通知弹出窗口,用户输入理由,可以选择继续或阻止:用户警报策略、DLP 阻止策略、包含理由文本框的自定义模板的阻止策略。

keyword

netskope.alerts.justification.type

当用户绕过策略阻止时,用户提供的理由类型。

keyword

netskope.alerts.last.app

上一个应用程序(第一个/较旧事件中的应用程序)。仅适用于接近异常警报。

keyword

netskope.alerts.last.coordinates

上一个位置坐标(纬度、经度)。仅适用于接近警报。

keyword

netskope.alerts.last.country

上一个位置(国家/地区)。仅适用于接近异常警报。

keyword

netskope.alerts.last.device

上一个设备名称(第一个/较旧事件中的设备名称)。仅适用于接近异常警报。

keyword

netskope.alerts.last.location

上一个位置(城市)。仅适用于接近异常警报。

keyword

netskope.alerts.last.modified_timestamp

确认警报的时间戳。

long

netskope.alerts.last.region

仅适用于接近异常警报。

keyword

netskope.alerts.last.timestamp

上一个时间戳(第一个/较旧事件中的时间戳)。仅适用于接近异常警报。

long

netskope.alerts.latency.max

连接的最大延迟(以毫秒为单位)。

long

netskope.alerts.latency.min

连接的最小延迟(以毫秒为单位)。

long

netskope.alerts.latency.total

从代理到应用程序的总延迟(以毫秒为单位)。

long

netskope.alerts.legal_hold.custodian_name

法律保留配置文件的保管人名称。

keyword

netskope.alerts.legal_hold.destination.app

法律保留操作的目标应用程序名称。

keyword

netskope.alerts.legal_hold.destination.instance

法律保留操作的目标实例。

keyword

netskope.alerts.legal_hold.file.id

法律保留文件的文件 ID。

keyword

netskope.alerts.legal_hold.file.name

法律保留文件的文件名。

keyword

netskope.alerts.legal_hold.file.name_original

法律保留文件的原始文件名。

keyword

netskope.alerts.legal_hold.file.path

法律保留文件的文件路径。

keyword

netskope.alerts.legal_hold.profile_name

法律保留配置文件名称。

keyword

netskope.alerts.legal_hold.shared

法律保留文件的共享类型。

keyword

netskope.alerts.legal_hold.shared_with

与法律保留文件共享的用户。

keyword

netskope.alerts.legal_hold.version

原始文件的文件版本。

keyword

netskope.alerts.list.id

不适用

keyword

netskope.alerts.local.md5

由恶意软件引擎生成的文件 md5 哈希。

keyword

netskope.alerts.local.sha1

由恶意软件引擎生成的文件 sha1 哈希。

keyword

netskope.alerts.local.sha256

由恶意软件引擎生成的文件 sha256 哈希。

keyword

netskope.alerts.log.file.name

风险洞察的日志文件名。

keyword

netskope.alerts.login.type

Salesforce 登录类型。

keyword

netskope.alerts.login.url.domain

keyword

netskope.alerts.login.url.extension

keyword

netskope.alerts.login.url.fragment

keyword

netskope.alerts.login.url.full

keyword

netskope.alerts.login.url.original

keyword

netskope.alerts.login.url.password

keyword

netskope.alerts.login.url.path

keyword

netskope.alerts.login.url.port

long

netskope.alerts.login.url.query

keyword

netskope.alerts.login.url.scheme

keyword

netskope.alerts.login.url.username

keyword

netskope.alerts.malsite.active

恶意站点处于活动状态的天数。

long

netskope.alerts.malsite.as.number

恶意站点 ASN 号。

keyword

netskope.alerts.malsite.category

恶意站点的类别 [ 网络钓鱼/僵尸网络/恶意 URL 等 ]。

keyword

netskope.alerts.malsite.city

恶意站点城市。

keyword

netskope.alerts.malsite.confidence

恶意站点置信度分数。

long

netskope.alerts.malsite.consecutive

看到恶意站点的次数。

long

netskope.alerts.malsite.country

恶意站点国家/地区。

keyword

netskope.alerts.malsite.dns.server

恶意站点 URL/域/IP 的 DNS 服务器。

keyword

netskope.alerts.malsite.first_seen

恶意站点首次看到的时间戳。

long

netskope.alerts.malsite.hostility

恶意站点敌意分数。

long

netskope.alerts.malsite.id

恶意站点 ID - 威胁匹配值的哈希值。

keyword

netskope.alerts.malsite.ip_host

恶意站点 IP。

keyword

netskope.alerts.malsite.isp

恶意站点 ISP 信息。

keyword

netskope.alerts.malsite.last.seen

恶意站点上次看到的时间戳。

long

netskope.alerts.malsite.latitude

恶意站点 URL/IP/域的纬度图。

double

netskope.alerts.malsite.longitude

恶意站点 URL/IP/域的经度图。

double

netskope.alerts.malsite.region

恶意站点 URL/IP/域的区域。

keyword

netskope.alerts.malsite.reputation

恶意站点 IP/域/URL 的信誉分数。

double

netskope.alerts.malsite.severity.level

恶意站点的严重程度级别(高/中/低)。

keyword

netskope.alerts.malware.id

扫描引擎提供的恶意软件名称的 md5 哈希值。

keyword

netskope.alerts.malware.name

Netskope 检测名称。

keyword

netskope.alerts.malware.profile

tss_profile:用户选择的配置文件。数据来自 WebUI。它是一个 json 结构。

keyword

netskope.alerts.malware.severity

恶意软件严重程度。

keyword

netskope.alerts.malware.type

恶意软件类型。

keyword

netskope.alerts.managed.app

相关应用程序是否已管理。

boolean

netskope.alerts.management.id

管理 ID。

keyword

netskope.alerts.matched.username

不适用

keyword

netskope.alerts.matrix.columns

不适用

keyword

netskope.alerts.matrix.rows

不适用

keyword

netskope.alerts.md5

文件的 md5。

keyword

netskope.alerts.md5_list

特定于自定义序列策略警报中文件的 md5 哈希列表。

keyword

netskope.alerts.mime.type

文件的 MIME 类型。

keyword

netskope.alerts.ml_detection

不适用

boolean

netskope.alerts.modified.date

不适用

long

netskope.alerts.modified.timestamp

与实体(文件等)的修改时间对应的时间戳。

long

netskope.alerts.netskope_pop

不适用

keyword

netskope.alerts.network.name

不适用

keyword

netskope.alerts.network.security.group

不适用

keyword

netskope.alerts.new.value

salesforce.com 的给定文件的新值。

keyword

netskope.alerts.nonzero.entries

不适用

long

netskope.alerts.nonzero.percentage

不适用

double

netskope.alerts.notify.template

不适用

keyword

netskope.alerts.ns_activity

将应用程序活动映射到 Netskope 标准活动。

keyword

netskope.alerts.ns_device_uid

macOS 和 Windows 上的设备标识符。

keyword

netskope.alerts.numbytes

连接传输的总字节数 - numbytes = client_bytes + server_bytes。

long

netskope.alerts.obfuscate

不适用

boolean

netskope.alerts.object.count

当活动为“删除”时显示。显示正在删除的对象数量。

long

netskope.alerts.object.id

与对象关联的唯一 ID。

keyword

netskope.alerts.object.name

正在对其执行操作的对象的名称。它可以是文件名、文件夹名称、报告名称、文档名称等。

keyword

netskope.alerts.object.type

正在对其执行操作的对象的类型。对象类型可以是文件、文件夹、报告、文档、消息等。

keyword

netskope.alerts.old.value

salesforce.com 的给定文件的旧值。

keyword

netskope.alerts.org

搜索来自特定组织的事件。组织名称从用户 ID 派生。

keyword

netskope.alerts.organization.unit

事件与之相关的组织单位。这与使用目录导入器/AD 连接器应用程序从 Active Directory 提取的用户信息相关。

keyword

netskope.alerts.orig_ty

原始事件的事件类型。

keyword

netskope.alerts.original.file_path

如果文件被移动,则在此字段中保留文件的原始路径。

keyword

netskope.alerts.os_version_hostname

导致警报的主机和操作系统版本。两个字段(主机名和操作系统)的串联。

keyword

netskope.alerts.other.categories

不适用

keyword

netskope.alerts.owner

文件所有者。

keyword

netskope.alerts.page.site

不适用

keyword

netskope.alerts.page.url.domain

keyword

netskope.alerts.page.url.extension

keyword

netskope.alerts.page.url.fragment

keyword

netskope.alerts.page.url.full

keyword

netskope.alerts.page.url.original

keyword

netskope.alerts.page.url.password

keyword

netskope.alerts.page.url.path

keyword

netskope.alerts.page.url.port

long

netskope.alerts.page.url.query

keyword

netskope.alerts.page.url.scheme

keyword

netskope.alerts.page.url.username

keyword

netskope.alerts.parameters

不适用

keyword

netskope.alerts.parent.id

不适用

keyword

netskope.alerts.path.id

不适用

keyword

netskope.alerts.policy.actions

不适用

keyword

netskope.alerts.policy.id

Netskope 管理员创建的策略的内部 ID。

keyword

netskope.alerts.policy.name

预定义或自定义策略名称。

keyword

netskope.alerts.pretty.sourcetype

不适用

keyword

netskope.alerts.processing.time

不适用

long

netskope.alerts.profile.emails

每个策略的配置文件电子邮件列表。

keyword

netskope.alerts.profile.id

异常配置文件 ID。

keyword

netskope.alerts.quarantine.action.reason

采取隔离措施的原因。

keyword

netskope.alerts.quarantine.admin

隔离配置文件保管人电子邮件/名称。

keyword

netskope.alerts.quarantine.app

隔离应用名称。

keyword

netskope.alerts.quarantine.failure

失败原因。

keyword

netskope.alerts.quarantine.file.id

隔离文件的文件 ID。

keyword

netskope.alerts.quarantine.file.name

隔离文件的文件名。

keyword

netskope.alerts.quarantine.instance

隔离实例名称。

keyword

netskope.alerts.quarantine.original.file.name

被隔离的原始文件名。

keyword

netskope.alerts.quarantine.original.file.path

被隔离的原始文件路径。

keyword

netskope.alerts.quarantine.original.shared

原始文件共享用户详细信息。

keyword

netskope.alerts.quarantine.original.version

被隔离的原始文件版本。

keyword

netskope.alerts.quarantine.profile.id

隔离配置文件 ID。

keyword

netskope.alerts.quarantine.profile.name

隔离操作的策略的隔离配置文件名称。

keyword

netskope.alerts.quarantine.shared.with

不适用

keyword

netskope.alerts.referer.domain

keyword

netskope.alerts.referer.extension

keyword

netskope.alerts.referer.fragment

keyword

netskope.alerts.referer.full

keyword

netskope.alerts.referer.original

keyword

netskope.alerts.referer.password

keyword

netskope.alerts.referer.path

keyword

netskope.alerts.referer.port

long

netskope.alerts.referer.query

keyword

netskope.alerts.referer.scheme

keyword

netskope.alerts.referer.username

keyword

netskope.alerts.region.id

区域 ID(由云提供商提供)。

keyword

netskope.alerts.region.name

不适用

keyword

netskope.alerts.reladb

不适用

keyword

netskope.alerts.repo

不适用

keyword

netskope.alerts.request.cnt

通过一个底层 TCP 连接从客户端发送到服务器的 HTTP 请求总数(等于此页面事件的事务事件数)。

long

netskope.alerts.request.id

事件的唯一请求 ID。

keyword

netskope.alerts.resource.category

在 DOM 中定义的资源类别。

keyword

netskope.alerts.resource.group

不适用

keyword

netskope.alerts.resources

不适用

keyword

netskope.alerts.response.cnt

从服务器到客户端的 HTTP 响应总数(等于此页面事件的事务事件数)。

long

netskope.alerts.response.content.length

不适用

long

netskope.alerts.response.content.type

不适用

keyword

netskope.alerts.retro.scan.name

回溯扫描名称。

keyword

netskope.alerts.risk_level.id

此字段由基于角色的访问 (RBA) 和 MLAD 设置。

keyword

netskope.alerts.risk_level.tag

risk_level_id 的相应字段。名称。

keyword

netskope.alerts.role

Box 的角色。

keyword

netskope.alerts.rule.id

不适用

keyword

netskope.alerts.sa.profile.id

CSA 配置文件 ID。

keyword

netskope.alerts.sa.profile.name

CSA 配置文件名称。

keyword

netskope.alerts.sa.rule.id

CSA 规则 ID。

keyword

netskope.alerts.sa.rule.name

CSA 规则名称。

keyword

netskope.alerts.sa.rule.remediation

不适用

keyword

netskope.alerts.sa.rule.severity

规则严重性。

keyword

netskope.alerts.scan.time

扫描完成的时间。

long

netskope.alerts.scan.type

在回溯扫描或新的持续活动期间生成。

keyword

netskope.alerts.scanner_result

不适用

keyword

netskope.alerts.scopes

Google 应用的权限列表。

keyword

netskope.alerts.serial

不适用

keyword

netskope.alerts.server.bytes

从服务器下载到客户端的总数。

long

netskope.alerts.session.id

由风险洞察填充。

keyword

netskope.alerts.severity.id

监视列表和恶意软件警报使用的严重性 ID。

keyword

netskope.alerts.severity.level

监视列表和恶意软件警报使用的严重性。

keyword

netskope.alerts.severity.level_id

如果“严重性级别 ID”为 1,则表示 URL/IP/域是从内部威胁源检测到的;如果“严重性级别 ID”为 2,则表示检测是基于 Zvelo DB 恶意网站类别进行的。

long

netskope.alerts.sfwder

不适用

keyword

netskope.alerts.shared.credential.user

仅适用于共享凭据。与其共享凭据的用户。

keyword

netskope.alerts.shared.domains

与其共享文档的用户的域列表。

keyword

netskope.alerts.shared.is_shared

文件是否共享。

boolean

netskope.alerts.shared.type

共享类型。

keyword

netskope.alerts.shared.with

与其共享文档的电子邮件数组。

keyword

netskope.alerts.shared_type

不适用

keyword

netskope.alerts.site

对于 traffic_type = CloudApp,site = app;对于 traffic_type = Web,它将是二级域名 + 顶级域名。例如,在“http://www.cnn.com[www.cnn.com]”中,它是“cnn.com”。

keyword

netskope.alerts.slc_latitude

不适用

keyword

netskope.alerts.slc_longitude

不适用

keyword

netskope.alerts.source.geoip_src

从中派生源 IP 位置的源。

long

netskope.alerts.source.time

不适用

keyword

netskope.alerts.srcip2

不适用

keyword

netskope.alerts.ssl.decrypt.policy

仅适用于绕过事件。有两种方法可以创建绕过规则:由于异常配置绕过,由于 SSL 解密策略绕过。现有的绕过流量标志仅提供有关已绕过流量的信息,但没有确切说明哪个策略负责绕过。ssl_decrypt_policy 字段将提供此额外信息。此外,还将为每个绕过事件设置策略字段。

keyword

netskope.alerts.start_time

警报时间段的开始时间。

long

netskope.alerts.statistics

此字段和摘要字段一起使用。此字段将说明文件数或文件大小。文件大小以字节为单位。

long

netskope.alerts.storage_service_bucket

不适用

keyword

netskope.alerts.sub.type

Facebook Workplace 帖子子类别(文件、评论、状态等)。

keyword

netskope.alerts.summary

说明异常是从文件计数还是文件大小衡量的。

keyword

netskope.alerts.suppression.end.time

当事件被抑制时(如协作应用),将设置抑制结束时间,并且只会发送一个包含抑制开始时间、结束时间和发生次数的事件。

long

netskope.alerts.suppression.key

限制事件数量。示例:禁止浏览的阻止事件。

keyword

netskope.alerts.suppression.start.time

当事件被抑制时(如协作应用),将设置抑制结束时间,并且只会发送一个包含抑制开始时间、结束时间和发生次数的事件。

long

netskope.alerts.target.entity.key

不适用

keyword

netskope.alerts.target.entity.type

不适用

keyword

netskope.alerts.target.entity.value

不适用

keyword

netskope.alerts.team

Slack 团队名称。

keyword

netskope.alerts.telemetry.app

通常,SaaS 应用网站会在页面中使用网络分析代码来收集分析数据。当显示 SaaS 应用操作或页面时,会生成后续流量到 doubleclick.net、Optimizely 等跟踪应用。如果适用,这些跟踪应用会列在“遥测应用”字段中。

keyword

netskope.alerts.temp.user

不适用

keyword

netskope.alerts.tenant.id

租户 ID。

keyword

netskope.alerts.threat.match.field

威胁匹配字段,来自域、URL 或 IP。

keyword

netskope.alerts.threat.match.value

不适用

keyword

netskope.alerts.threat.source.id

威胁源 ID:1 - NetskopeThreatIntel,2 - Zvelodb。

keyword

netskope.alerts.threshold.time

适用于:共享凭据、数据泄露、批量异常类型(批量上传/下载/删除)和失败的登录异常类型。阈值时间。

long

netskope.alerts.threshold.value

阈值(应触发异常的计数)。适用于批量异常类型(批量上传/下载/删除)和失败的登录异常类型。

long

netskope.alerts.title

文件的标题。

keyword

netskope.alerts.to.object

已重命名、复制或移动的对象的已更改名称。

keyword

netskope.alerts.to.storage

不适用

keyword

netskope.alerts.to.user

当文件从用户 A 移动到用户 B 时使用。显示用户 B 的电子邮件地址。

keyword

netskope.alerts.to.user_category

移动到的用户类型。

keyword

netskope.alerts.total.collaborator.count

文件/文件夹上的协作者计数。支持某些应用。

long

netskope.alerts.traffic.type

流量类型:CloudApp 或 Web。CloudApp 表示 CASB,Web 表示 HTTP 流量。仅针对内联访问方法捕获 Web 流量。目前未针对风险洞察捕获。

keyword

netskope.alerts.transaction.id

给定请求/响应的唯一 ID。

keyword

netskope.alerts.transformation

不适用

keyword

netskope.alerts.tss.mode

恶意软件扫描模式,指定是实时保护还是 API 数据保护。

keyword

netskope.alerts.tss.version

不适用

long

netskope.alerts.tunnel.id

显示客户端安装 ID。仅适用于客户端控制配置。

keyword

netskope.alerts.type

警报类型。

keyword

netskope.alerts.uba_ap1

不适用

keyword

netskope.alerts.uba_ap2

不适用

keyword

netskope.alerts.uba_inst1

不适用

keyword

netskope.alerts.uba_inst2

不适用

keyword

netskope.alerts.updated

不适用

long

netskope.alerts.url.domain

keyword

netskope.alerts.url.extension

keyword

netskope.alerts.url.fragment

keyword

netskope.alerts.url.full

keyword

netskope.alerts.url.original

keyword

netskope.alerts.url.password

keyword

netskope.alerts.url.path

keyword

netskope.alerts.url.port

long

netskope.alerts.url.query

keyword

netskope.alerts.url.scheme

keyword

netskope.alerts.url.username

keyword

netskope.alerts.user.category

企业中的用户类型 - 外部/内部。

keyword

netskope.alerts.user.geo.city_name

城市名称。

keyword

netskope.alerts.user.geo.continent_name

大洲名称。

keyword

netskope.alerts.user.geo.country_iso_code

国家/地区 ISO 代码。

keyword

netskope.alerts.user.geo.country_name

国家/地区名称。

keyword

netskope.alerts.user.geo.location

经度和纬度。

geo_point

netskope.alerts.user.geo.region_iso_code

区域 ISO 代码。

keyword

netskope.alerts.user.geo.region_name

区域名称。

keyword

netskope.alerts.user.group

不适用

keyword

netskope.alerts.user.ip

用户的 IP 地址。

keyword

netskope.alerts.value

不适用

double

netskope.alerts.violating_user.name

导致违规的用户。为 Workplace by Facebook 填充。

keyword

netskope.alerts.violating_user.type

导致违规的用户的类别。为 Workplace by Facebook 填充。

keyword

netskope.alerts.web.url.domain

keyword

netskope.alerts.web.url.extension

keyword

netskope.alerts.web.url.fragment

keyword

netskope.alerts.web.url.full

keyword

netskope.alerts.web.url.original

keyword

netskope.alerts.web.url.password

keyword

netskope.alerts.web.url.path

keyword

netskope.alerts.web.url.port

long

netskope.alerts.web.url.query

keyword

netskope.alerts.web.url.scheme

keyword

netskope.alerts.web.url.username

keyword

netskope.alerts.workspace.id

企业版 Slack 的工作区 ID。

keyword

netskope.alerts.workspace.name

企业版 Slack 的工作区名称。

keyword

netskope.alerts.zip.password

压缩恶意文件并为其设置密码,然后将其发送回调用方。

keyword
示例

alerts 的一个示例事件如下所示

{
    "@timestamp": "2021-12-23T16:27:09.000Z",
    "agent": {
        "ephemeral_id": "275c19c7-0f2c-467b-850f-c153e4a77147",
        "id": "7b99f48c-6c10-4dad-86c4-ee578beef412",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.0.0"
    },
    "data_stream": {
        "dataset": "netskope.alerts",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "address": "81.2.69.143",
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.143"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "7b99f48c-6c10-4dad-86c4-ee578beef412",
        "snapshot": false,
        "version": "8.0.0"
    },
    "event": {
        "agent_id_status": "verified",
        "id": "f621f259f5fbde850ad5593a",
        "ingested": "2024-03-29T07:17:15Z"
    },
    "file": {
        "hash": {
            "md5": "4bb5d9501bf7685ecaed55e3eda9ca01"
        },
        "mime_type": [
            "application\\\\\/vnd.apps.document"
        ],
        "path": "\\\\\/My Drive\\\\\/Clickhouse\\\\\/Tenant Migration across MPs",
        "size": 196869
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "source": {
            "address": "192.168.224.6:60788"
        }
    },
    "netskope": {
        "alerts": {
            "access_method": "API Connector",
            "acked": false,
            "action": "block",
            "activity": {
                "name": "Login Successful"
            },
            "alert": {
                "name": "policy-alert",
                "type": "nspolicy"
            },
            "app": {
                "category": "Cloud Storage",
                "name": "SomeApp"
            },
            "category": {
                "name": "Cloud Storage"
            },
            "cci": "81",
            "ccl": "high",
            "count": 1,
            "destination": {
                "geoip_src": 2
            },
            "device": {
                "name": "Other"
            },
            "exposure": "organization_wide_link",
            "file": {
                "lang": "ENGLISH"
            },
            "insertion_epoch_timestamp": 1640277131,
            "instance": {
                "id": "example.com",
                "name": "example.com"
            },
            "is_alert": true,
            "modified": {
                "timestamp": 1613760236
            },
            "object": {
                "id": "GxyjNjJxKg14W3Mb57aLY9_klcxToPEyqIoNAcF82rGg",
                "name": "HjBuUvDLWgpudzQr",
                "type": "File"
            },
            "organization": {
                "unit": "example.local\\\\\/example\\\\\/Active Users"
            },
            "owner": "foobar",
            "policy": {
                "name": "Some Policy"
            },
            "request": {
                "id": "9262245914980288500"
            },
            "scan": {
                "type": "Ongoing"
            },
            "shared": {
                "with": "none"
            },
            "site": "Example",
            "source": {
                "geoip_src": 2
            },
            "suppression": {
                "key": "Tenant Migration across MPs"
            },
            "traffic": {
                "type": "CloudApp"
            },
            "type": "policy",
            "url": {
                "extension": "com\\\\\/open",
                "original": "http:\\\\\/\\\\\/www.example.com\\\\\/open?id=WLb5Mc7aPGx914gEyYNjJxTo32yjF8xKAcqIoN_klrGg",
                "path": "\\\\\/\\\\\/www.example.com\\\\\/open",
                "query": "id=WLb5Mc7aPGx914gEyYNjJxTo32yjF8xKAcqIoN_klrGg",
                "scheme": "http"
            }
        }
    },
    "related": {
        "ip": [
            "81.2.69.143"
        ]
    },
    "source": {
        "address": "81.2.69.143",
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.143"
    },
    "tags": [
        "forwarded",
        "netskope-alerts"
    ],
    "user": {
        "email": [
            "[email protected]"
        ]
    },
    "user_agent": {
        "name": "unknown",
        "os": {
            "name": "unknown"
        }
    }
}

事件

编辑
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的映像 ID。

keyword

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是容器。

boolean

host.os.build

操作系统构建信息。

keyword

host.os.codename

操作系统代号(如果有)。

keyword

input.type

输入类型

keyword

log.offset

日志偏移量

long

log.source.address

读取/发送日志事件的源地址。

keyword

netskope.events.access_method

可以使用不同的部署方法(例如客户端(Netskope 客户端)、安全转发器等)将云应用流量引导到 Netskope 云。管理员还可以上传防火墙和/或代理日志以进行日志分析。此字段显示触发事件的实际访问方法。对于日志上传,这会显示实际的日志类型,例如 PAN、Websense 等。

keyword

netskope.events.ack

用户是否确认警报。

boolean

netskope.events.activity.name

用户执行的活动描述。

keyword

netskope.events.activity.status

当用户在执行某些活动时被拒绝访问时显示。

keyword

netskope.events.activity.type

当只有管理员才能执行相关活动时显示。

keyword

netskope.events.alarm.description

不适用

keyword

netskope.events.alarm.name

不适用

keyword

netskope.events.alert.is_present

指示是否生成警报。对于所有警报,填充为“是”。

boolean

netskope.events.alert.name

警报的名称。

keyword

netskope.events.alert.type

警报类型。

keyword

netskope.events.app.activity

不适用

keyword

netskope.events.app.category

不适用

keyword

netskope.events.app.name

用户使用的特定云应用程序(例如,应用程序 = Dropbox)。

keyword

netskope.events.app.region

不适用

keyword

netskope.events.app.session.id

对于 traffic_type = CloudApp 和 Web,唯一的应用程序/站点会话 ID。当用户开始在云应用程序/站点上使用应用程序时,应用程序会话开始,并在用户不活动一段时间(15 分钟)后结束。使用 app_session_id 检查单个应用程序会话中的所有用户活动。app_session_id 对于用户、设备、浏览器和域是唯一的。

keyword

netskope.events.attachment

文件名。

keyword

netskope.events.audit.category

应用程序中的子类别,例如 AWS 中的 IAM、EC,Google 中的登录、令牌、文件等。

keyword

netskope.events.audit.log.event

不适用

keyword

netskope.events.audit.type

根据 SaaS/IaaS 应用程序的审计中的子类别。

keyword

netskope.events.browser.session.id

浏览器会话 ID。如果空闲超时为 15 分钟,则会话将超时。

keyword

netskope.events.bucket

不适用

keyword

netskope.events.category.id

根据策略匹配的类别 ID。填充云和 Web 流量。

keyword

netskope.events.category.name

不适用

keyword

netskope.events.cci

不适用

keyword

netskope.events.ccl

云置信度级别。CCL 衡量云应用程序的企业就绪情况,并考虑这些应用程序的安全性、可审计性和业务连续性。每个应用程序都分配有五个云置信度级别之一:优秀、高、中、低或差。当用户正在访问 CCL 较低的云应用程序时,可以用于查询。

keyword

netskope.events.channel

用于 Slack 和 Slack 企业应用程序的用户渠道。

keyword

netskope.events.client.bytes

客户端上传到服务器的总字节数。

long

netskope.events.client.packets

不适用

long

netskope.events.connection.duration

连接的持续时间(以毫秒为单位)。用于查询长期会话。

long

netskope.events.connection.end_time

连接结束时间。

long

netskope.events.connection.id

每个连接都有唯一的 ID。显示连接事件的 ID。

keyword

netskope.events.connection.start_time

连接开始时间。

long

netskope.events.count

在抑制间隔期间会话化或抑制的原始日志行/事件数。

long

netskope.events.description

不适用

keyword

netskope.events.destination.geoip.source

从中导出目标 IP 位置的来源。

long

netskope.events.detail

不适用

keyword

netskope.events.detection.engine

客户公开的检测引擎名称。

keyword

netskope.events.detection.type

与恶意软件类型相同。重复。

keyword

netskope.events.device.classification

由 Netskope 客户端确定的设备指定,以确定该设备是否受管理。

keyword

netskope.events.device.name

不适用

keyword

netskope.events.device.type

用户从中访问云应用程序的设备类型。它可以是 Macintosh Windows 设备、iPad 等。

keyword

netskope.events.dlp.count

规则命中计数。

long

netskope.events.dlp.file

从文件/对象中提取的文件/对象名称。

keyword

netskope.events.dlp.fingerprint.classificaiton

指纹分类。

keyword

netskope.events.dlp.fingerprint.match

指纹分类匹配文件名。

keyword

netskope.events.dlp.fingerprint.score

指纹分类分数。

long

netskope.events.dlp.fv

不适用

long

netskope.events.dlp.incident.id

与子文件关联的事件 ID。对于主文件,这与父事件 ID 相同。

keyword

netskope.events.dlp.is_unique_count

真或假,取决于规则是否按规则数据进行唯一计数。

boolean

netskope.events.dlp.mail.parent_id

不适用

keyword

netskope.events.dlp.parent.id

与已扫描的主容器(或非容器)文件关联的事件 ID。

keyword

netskope.events.dlp.profile

DLP 配置文件名称。

keyword

netskope.events.dlp.score

DLP 规则针对加权字典的分数。

long

netskope.events.dlp.severity

规则的严重程度。

keyword

netskope.events.dlp.unique_count

每个规则数据中看到的唯一匹配项的数量的整数值。仅当规则被唯一计数时才存在。

long

netskope.events.domain

域值。这将保存主机头值或 SNI 或从绝对 URI 中提取的值。

keyword

netskope.events.domain_shared_with

不适用

long

netskope.events.drive.id

不适用

keyword

netskope.events.encrypt.failure

加密时失败的原因。

keyword

netskope.events.end_time

不适用

keyword

netskope.events.enterprise.id

Slack for Enterprise 的企业 ID。

keyword

netskope.events.enterprise.name

Slack for Enterprise 的企业名称。

keyword

netskope.events.event.type

异常类型。

keyword

netskope.events.event_type

不适用

keyword

netskope.events.exposure

文档的暴露程度。

keyword

netskope.events.external_collaborator_count

文件/文件夹上的外部协作者的数量。支持某些应用程序。

long

netskope.events.file.id

文件的唯一标识符。

keyword

netskope.events.file.is_password_protected

不适用

keyword

netskope.events.file.lang

文件的语言。

keyword

netskope.events.from.logs

显示事件是否从风险洞察日志生成。

keyword

netskope.events.from.object

已重命名、复制或移动的对象的初始名称。

keyword

netskope.events.from.storage

不适用

keyword

netskope.events.from.user_category

from_user 的类型。

keyword

netskope.events.gateway

不适用

keyword

netskope.events.graph.id

不适用

keyword

netskope.events.http_status

不适用

keyword

netskope.events.http_transaction_count

HTTP 事务计数。

long

netskope.events.iaas_asset_tags

与引发警报的资产关联的标签列表。每个标签都是键/值对。

keyword

netskope.events.id

不适用

keyword

netskope.events.insertion.timestamp

插入时间戳。

long

netskope.events.instance.id

与组织应用程序实例关联的唯一 ID。

keyword

netskope.events.instance.name

与组织应用程序实例关联的实例名称。

keyword

netskope.events.instance.type

实例类型。

keyword

netskope.events.instance_name

与组织应用程序实例关联的实例。

keyword

netskope.events.internal_collaborator_count

文件/文件夹上的内部协作者的数量。支持某些应用程序。

long

netskope.events.ip.protocol

不适用

keyword

netskope.events.is_bypass_traffic

指示流量是否被 Netskope 绕过。

boolean

netskope.events.is_malicious

仅当属于页面事件的某些 HTTP 事务导致恶意站点警报时才存在。

boolean

netskope.events.item.id

不适用

keyword

netskope.events.justification.reason

用户提供的理由。对于以下策略,会引发理由事件。向用户显示通知弹出窗口,用户输入理由,可以选择继续或阻止:用户警报策略、DLP 阻止策略、包含理由文本框的自定义模板的阻止策略。

keyword

netskope.events.justification.type

当用户绕过策略阻止时,用户提供的理由类型。

keyword

netskope.events.last.app

上一个应用程序(第一个/较旧事件中的应用程序)。仅适用于接近异常警报。

keyword

netskope.events.last.country

上一个位置(国家/地区)。仅适用于接近异常警报。

keyword

netskope.events.last.device

上一个设备名称(第一个/较旧事件中的设备名称)。仅适用于接近异常警报。

keyword

netskope.events.last.location

上一个位置(城市)。仅适用于接近异常警报。

keyword

netskope.events.last.region

仅适用于接近异常警报。

keyword

netskope.events.last.timestamp

上一个时间戳(第一个/较旧事件中的时间戳)。仅适用于接近异常警报。

long

netskope.events.latency.max

连接的最大延迟(以毫秒为单位)。

long

netskope.events.latency.min

连接的最小延迟(以毫秒为单位)。

long

netskope.events.latency.total

从代理到应用程序的总延迟(以毫秒为单位)。

long

netskope.events.legal_hold_profile_name

法律保留配置文件名称。

keyword

netskope.events.lh.custodian.name

法律保留配置文件的保管人名称。

keyword

netskope.events.lh.destination.app

法律保留操作的目标应用程序名称。

keyword

netskope.events.lh.destination.instance

法律保留操作的目标实例。

keyword

netskope.events.lh.file_id

法律保留文件的文件 ID。

keyword

netskope.events.lh.filename

法律保留文件的文件名。

keyword

netskope.events.lh.filename_original

法律保留文件的原始文件名。

keyword

netskope.events.lh.filepath

法律保留文件的文件路径。

keyword

netskope.events.lh.shared

法律保留文件的共享类型。

keyword

netskope.events.lh.shared_with

与法律保留文件共享的用户。

keyword

netskope.events.lh.version

原始文件的文件版本。

keyword

netskope.events.list.id

不适用

keyword

netskope.events.log_file.name

风险洞察的日志文件名。

keyword

netskope.events.login.type

Salesforce 登录类型。

keyword

netskope.events.login.url.domain

keyword

netskope.events.login.url.extension

keyword

netskope.events.login.url.fragment

keyword

netskope.events.login.url.full

keyword

netskope.events.login.url.original

keyword

netskope.events.login.url.password

keyword

netskope.events.login.url.path

keyword

netskope.events.login.url.port

long

netskope.events.login.url.query

keyword

netskope.events.login.url.scheme

keyword

netskope.events.login.url.username

keyword

netskope.events.malsite_category

恶意站点的类别 [ 网络钓鱼/僵尸网络/恶意 URL 等 ]。

keyword

netskope.events.malware.id

扫描引擎提供的恶意软件名称的 md5 哈希值。

keyword

netskope.events.malware.name

Netskope 检测名称。

keyword

netskope.events.malware.profile

tss_profile:用户选择的配置文件。数据来自 WebUI。它是一个 json 结构。

keyword

netskope.events.malware.severity

恶意软件严重程度。

keyword

netskope.events.malware.type

恶意软件类型。

keyword

netskope.events.managed_app

相关应用程序是否已管理。

boolean

netskope.events.management.id

管理 ID。

keyword

netskope.events.metric_value

不适用

long

netskope.events.modified_at

与实体(文件等)的修改时间对应的时间戳。

日期

netskope.events.netskope_pop

不适用

keyword

netskope.events.network

不适用

keyword

netskope.events.new_value

salesforce.com 的给定文件的新值。

keyword

netskope.events.notify_template

不适用

keyword

netskope.events.ns.activity

将应用程序活动映射到 Netskope 标准活动。

keyword

netskope.events.ns.device_uid

macOS 和 Windows 上的设备标识符。

keyword

netskope.events.num_sessions

不适用

long

netskope.events.numbytes

连接传输的总字节数 - numbytes = client_bytes + server_bytes。

long

netskope.events.obfuscate

不适用

boolean

netskope.events.object.count

当活动为“删除”时显示。显示正在删除的对象数量。

long

netskope.events.object.id

与对象关联的唯一 ID。

keyword

netskope.events.object.name

正在对其执行操作的对象的名称。它可以是文件名、文件夹名称、报告名称、文档名称等。

keyword

netskope.events.object.type

正在对其执行操作的对象的类型。对象类型可以是文件、文件夹、报告、文档、消息等。

keyword

netskope.events.old_value

salesforce.com 的给定文件的旧值。

keyword

netskope.events.org

搜索来自特定组织的事件。组织名称从用户 ID 派生。

keyword

netskope.events.organization_unit

事件与之相关的组织单位。这与使用目录导入器/AD 连接器应用程序从 Active Directory 提取的用户信息相关。

keyword

netskope.events.orig_ty

原始事件的事件类型。

keyword

netskope.events.original_file_path

如果文件被移动,则在此字段中保留文件的原始路径。

keyword

netskope.events.other.categories

不适用

keyword

netskope.events.owner

文件所有者。

keyword

netskope.events.page

原始页面的 URL。

keyword

netskope.events.page_site

不适用

keyword

netskope.events.parent.id

不适用

keyword

netskope.events.path_id

应用程序中文件的路径 ID。

long

netskope.events.policy.id

Netskope 管理员创建的策略的内部 ID。

keyword

netskope.events.policy.name

由管理员配置的策略的名称。

keyword

netskope.events.profile.emails

每个策略的配置文件电子邮件列表。

keyword

netskope.events.profile.id

异常配置文件 ID。

keyword

netskope.events.publisher_cn

不适用

keyword

netskope.events.qar

不适用

keyword

netskope.events.quarantine.action.reason

采取隔离措施的原因。

keyword

netskope.events.quarantine.admin

隔离配置文件保管人电子邮件/名称。

keyword

netskope.events.quarantine.app

隔离应用名称。

keyword

netskope.events.quarantine.app_name

不适用

keyword

netskope.events.quarantine.failure

失败原因。

keyword

netskope.events.quarantine.file.id

隔离文件的文件 ID。

keyword

netskope.events.quarantine.file.name

隔离文件的文件名。

keyword

netskope.events.quarantine.instance

隔离实例名称。

keyword

netskope.events.quarantine.original.file.name

被隔离的原始文件名。

keyword

netskope.events.quarantine.original.file.path

被隔离的原始文件路径。

keyword

netskope.events.quarantine.original.shared

原始文件共享用户详细信息。

keyword

netskope.events.quarantine.original.version

被隔离的原始文件版本。

keyword

netskope.events.quarantine.profile.id

隔离配置文件 ID。

keyword

netskope.events.quarantine.profile.name

隔离操作的策略的隔离配置文件名称。

keyword

netskope.events.quarantine.shared_with

不适用

keyword

netskope.events.referer.domain

keyword

netskope.events.referer.extension

keyword

netskope.events.referer.fragment

keyword

netskope.events.referer.full

keyword

netskope.events.referer.original

keyword

netskope.events.referer.password

keyword

netskope.events.referer.path

keyword

netskope.events.referer.port

long

netskope.events.referer.query

keyword

netskope.events.referer.scheme

keyword

netskope.events.referer.username

keyword

netskope.events.repo

不适用

keyword

netskope.events.request.count

通过一个底层 TCP 连接从客户端发送到服务器的 HTTP 请求总数(等于此页面事件的事务事件数)。

long

netskope.events.request.id

事件的唯一请求 ID。

keyword

netskope.events.response.content.length

不适用

long

netskope.events.response.content.type

不适用

keyword

netskope.events.response.count

从服务器到客户端的 HTTP 响应总数(等于此页面事件的事务事件数)。

long

netskope.events.retro_scan_name

回溯扫描名称。

keyword

netskope.events.risk_level

risk_level_id 的相应字段。名称。

keyword

netskope.events.risk_level_id

此字段由基于角色的访问 (RBA) 和 MLAD 设置。

keyword

netskope.events.role

Box 的角色。

keyword

netskope.events.run_id

运行 ID。

long

netskope.events.sa.profile.id

CSA 配置文件 ID。

keyword

netskope.events.sa.profile.name

CSA 配置文件名称。

keyword

netskope.events.sa.rule.severity

规则严重性。

keyword

netskope.events.scan.time

扫描完成的时间。

long

netskope.events.scan.type

在回溯扫描或新的持续活动期间生成。

keyword

netskope.events.scopes

Google 应用的权限列表。

keyword

netskope.events.serial

不适用

keyword

netskope.events.server.bytes

从服务器下载到客户端的总数。

long

netskope.events.server.packets

不适用

long

netskope.events.session.duration

不适用

long

netskope.events.session.id

Dropbox 应用程序的会话 ID。

keyword

netskope.events.session.packets

不适用

long

netskope.events.severity.id

监视列表和恶意软件警报使用的严重性 ID。

keyword

netskope.events.severity.level

监视列表和恶意软件警报使用的严重性。

keyword

netskope.events.severity.type

监视列表和恶意软件警报使用的严重性类型

keyword

netskope.events.sfwder

不适用

keyword

netskope.events.shared.domains

与其共享文档的用户的域列表。

keyword

netskope.events.shared.is_shared

文件是否共享。

boolean

netskope.events.shared.type

共享类型。

keyword

netskope.events.shared.with

与其共享文档的电子邮件数组。

keyword

netskope.events.site

对于 traffic_type = CloudApp,site = app;对于 traffic_type = Web,它将是二级域名 + 顶级域名。例如,在“http://www.cnn.com[www.cnn.com]”中,它是“cnn.com”。

keyword

netskope.events.slc.geo.location

经度和纬度。

geo_point

netskope.events.source.geoip_src

从中派生源 IP 位置的源。

long

netskope.events.ssl_decrypt_policy

仅适用于旁路事件。创建旁路规则有两种方法:由于异常配置而旁路,由于 SSL 解密策略而旁路。现有的标志 bypass_traffic 仅提供有关流量已被旁路的信息,但不确切说明是哪个策略导致旁路。ssl_decrypt_policy 字段将提供此额外信息。此外,策略字段也将针对每个旁路事件设置。

keyword

netskope.events.start_time

不适用

keyword

netskope.events.sub_type

Facebook Workplace 帖子子类别(文件、评论、状态等)。

keyword

netskope.events.supporting_data

不适用

keyword

netskope.events.suppression.end_time

当事件被抑制时(如协作应用),将设置抑制结束时间,并且只会发送一个包含抑制开始时间、结束时间和发生次数的事件。

long

netskope.events.suppression.key

限制事件数量。示例:禁止浏览的阻止事件。

keyword

netskope.events.suppression.start_time

当事件被抑制时(如协作应用),将设置抑制结束时间,并且只会发送一个包含抑制开始时间、结束时间和发生次数的事件。

long

netskope.events.team

Slack 团队名称。

keyword

netskope.events.telemetry_app

通常,SaaS 应用网站会在页面中使用网络分析代码来收集分析数据。当显示 SaaS 应用操作或页面时,会生成后续流量到 doubleclick.net、Optimizely 等跟踪应用。如果适用,这些跟踪应用会列在“遥测应用”字段中。

keyword

netskope.events.temp_user

不适用

keyword

netskope.events.tenant.id

租户 ID。

keyword

netskope.events.threat.match_field

威胁匹配字段,来自域、URL 或 IP。

keyword

netskope.events.threat.source.id

威胁源 ID:1 - NetskopeThreatIntel,2 - Zvelodb。

keyword

netskope.events.threshold

阈值(应触发异常的计数)。适用于批量异常类型(批量上传/下载/删除)和失败的登录异常类型。

long

netskope.events.tnetwork_session_id

不适用

keyword

netskope.events.to.object

已重命名、复制或移动的对象的已更改名称。

keyword

netskope.events.to.storage

不适用

keyword

netskope.events.to.user

当文件从用户 A 移动到用户 B 时使用。显示用户 B 的电子邮件地址。

keyword

netskope.events.to.user_category

移动到的用户类型。

keyword

netskope.events.total.collaborator_count

文件/文件夹上的协作者计数。支持某些应用。

long

netskope.events.total_packets

不适用

long

netskope.events.traffic.type

流量类型:CloudApp 或 Web。CloudApp 表示 CASB,Web 表示 HTTP 流量。仅针对内联访问方法捕获 Web 流量。目前未针对风险洞察捕获。

keyword

netskope.events.transaction.id

给定请求/响应的唯一 ID。

keyword

netskope.events.tss_mode

恶意软件扫描模式,指定是实时保护还是 API 数据保护。

keyword

netskope.events.tunnel.id

显示客户端安装 ID。仅适用于客户端控制配置。

keyword

netskope.events.tunnel.type

不适用

keyword

netskope.events.tunnel.up_time

不适用

long

netskope.events.two_factor_auth

不适用

keyword

netskope.events.type

显示它是应用程序事件还是连接事件。记录应用程序事件以跟踪云应用程序内的用户事件。连接事件显示实际的 HTTP 连接。

keyword

netskope.events.universal_connector

不适用

keyword

netskope.events.url.domain

keyword

netskope.events.url.extension

keyword

netskope.events.url.fragment

keyword

netskope.events.url.full

keyword

netskope.events.url.original

keyword

netskope.events.url.password

keyword

netskope.events.url.path

keyword

netskope.events.url.port

long

netskope.events.url.query

keyword

netskope.events.url.scheme

keyword

netskope.events.url.username

keyword

netskope.events.url_to_activity

如果 URL 的活动与某些活动匹配,则会填充。此字段仅适用于风险洞察。

keyword

netskope.events.user.category

企业中的用户类型 - 外部/内部。

keyword

netskope.events.user.generated

说明它是否是用户生成的页面事件。

boolean

netskope.events.user.geo.city_name

不适用

keyword

netskope.events.user.geo.continent_name

不适用

keyword

netskope.events.user.geo.country_iso_code

不适用

keyword

netskope.events.user.geo.country_name

不适用

keyword

netskope.events.user.geo.location

经度和纬度。

geo_point

netskope.events.user.geo.region_iso_code

不适用

keyword

netskope.events.user.geo.region_name

不适用

keyword

netskope.events.user.group

不适用

keyword

netskope.events.user.ip

用户的 IP 地址。

keyword

netskope.events.user.is_aggregated

不适用

boolean

netskope.events.violating.user.name

导致违规的用户。为 Workplace by Facebook 填充。

keyword

netskope.events.violating.user.type

导致违规的用户的类别。为 Workplace by Facebook 填充。

keyword

netskope.events.web.url.domain

keyword

netskope.events.web.url.extension

keyword

netskope.events.web.url.fragment

keyword

netskope.events.web.url.full

keyword

netskope.events.web.url.original

keyword

netskope.events.web.url.password

keyword

netskope.events.web.url.path

keyword

netskope.events.web.url.port

long

netskope.events.web.url.query

keyword

netskope.events.web.url.scheme

keyword

netskope.events.web.url.username

keyword

netskope.events.web_universal_connector

不适用

keyword

netskope.events.workspace.id

企业版 Slack 的工作区 ID。

keyword

netskope.events.workspace.name

企业版 Slack 的工作区名称。

keyword

netskope.events.zip_password

压缩恶意文件并为其设置密码,然后将其发送回调用者。

keyword
示例

一个 events 的示例事件如下

{
    "@timestamp": "2021-12-24T00:29:56.000Z",
    "agent": {
        "ephemeral_id": "c286de6a-2b0b-406e-89e6-ee0d2b13bd2d",
        "id": "7b99f48c-6c10-4dad-86c4-ee578beef412",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.0.0"
    },
    "data_stream": {
        "dataset": "netskope.events",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "7b99f48c-6c10-4dad-86c4-ee578beef412",
        "snapshot": false,
        "version": "8.0.0"
    },
    "event": {
        "agent_id_status": "verified",
        "dataset": "netskope.events",
        "ingested": "2024-03-29T07:18:17Z"
    },
    "event.id": "613ee55ec9d868fc47654a73",
    "input": {
        "type": "tcp"
    },
    "log": {
        "source": {
            "address": "192.168.224.6:57252"
        }
    },
    "netskope": {
        "events": {
            "alarm": {
                "description": "Events from device not received in the last 24 hours",
                "name": "No_events_from_device"
            },
            "device": {
                "name": "device-1"
            },
            "event_type": "infrastructure",
            "metric_value": 43831789,
            "serial": "FFFFFFFFFFFFFFFF",
            "severity": {
                "level": "high"
            },
            "supporting_data": "abc"
        }
    },
    "tags": [
        "forwarded",
        "netskope-events"
    ]
}

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.22.0

增强功能 (查看拉取请求)
不要在主摄取管道中删除 event.original

8.13.0 或更高版本

1.21.0

增强功能 (查看拉取请求)
event.kind 设置为“pipeline_error”的文档添加“preserve_original_event”标签。

8.13.0 或更高版本

1.20.2

错误修复 (查看拉取请求)
在摄取管道中引用变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.20.1

错误修复 (查看拉取请求)
在摄取管道中引用变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.20.0

增强功能 (查看拉取请求)
改进消息解析,以添加 related.user 和 user.name 字段。

8.13.0 或更高版本

1.19.0

增强功能 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板使其冗余的 ECS 字段。

8.13.0 或更高版本

1.18.0

增强功能 (查看拉取请求)
添加了对自定义 TCP 选项的支持。

8.7.0 或更高版本

1.17.2

错误修复 (查看拉取请求)
在 json 处理器中添加 on_failure,并处理 user.email 字段的字符串类型值

7.17.0 或更高版本
8.0.0 或更高版本

1.17.1

错误修复 (查看拉取请求)
修复日期处理器以支持 UNIX 格式

7.17.0 或更高版本
8.0.0 或更高版本

1.17.0

增强功能 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

7.17.0 或更高版本
8.0.0 或更高版本

1.16.1

增强功能 (查看拉取请求)
更改了所有者

7.17.0 或更高版本
8.0.0 或更高版本

1.16.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.15.0

增强 (查看拉取请求)
改进对 event.original 的检查,以避免在设置时出现错误。

7.17.0 或更高版本
8.0.0 或更高版本

1.14.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.13.0

增强 (查看拉取请求)
包清单中的 format_version 从 2.11.0 更改为 3.0.0。从包清单中删除了带点的 YAML 键。在包清单中添加了 owner.type: elastic

7.17.0 或更高版本
8.0.0 或更高版本

1.12.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便集成的仪表板和已保存的搜索标记为 “Security Solution”,并在安全解决方案 UI 中显示。

7.17.0 或更高版本
8.0.0 或更高版本

1.11.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.9.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.10.0

增强 (查看拉取请求)
将 package-spec 更新至 2.9.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.9.1

Bug 修复 (查看拉取请求)
删除 netskope.events.regionnetskope.events.region.id 字段。

7.17.0 或更高版本
8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

7.17.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.8.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.7.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.6.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.17.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.6.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
向 date 处理器添加 on_failure 处理器,向 convert 处理器添加 on_failure 处理器,删除不必要的空格,删除可视化效果,并将双引号转换为单引号。

7.17.0 或更高版本
8.0.0 或更高版本

1.4.1

Bug 修复 (查看拉取请求)
删除重复字段。

7.17.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.3.1

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.17.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.4.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
添加了对处理 ip 字段中 null 值的支持。

增强 (查看拉取请求)
添加了保留 *.url.original 中无法解析的 URL 的支持。

7.17.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.0.1

增强 (查看拉取请求)
添加了指向供应商文档的链接。

7.17.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
使其正式可用。

7.17.0 或更高版本
8.0.0 或更高版本

0.1.3

增强 (查看拉取请求)
删除了自述文件中超链接中的斜体文本。

0.1.2

Bug 修复 (查看拉取请求)
修复布尔值转换逻辑,以接受 “true”、“false”、“yes” 和 “no” 作为字符串。将 is_alertis_web_universal_connector 的类型更正为布尔值。

0.1.1

增强 (查看拉取请求)
添加了多字段的文档。

0.1.0

增强 (查看拉取请求)
软件包的初始草案。

« Netflow 集成 网络信标识别 »