Interroger les données Protected Browser avec Live Discover
Vous pouvez interroger les données Protected Browser avec Live Discover dans le Centre d’analyse des menaces. Live Discover vous permet d’utiliser des requêtes SQL pour obtenir des données plus précises que les rapports dans Journaux et rapports.
Pour utiliser Live Discover avec Protected Browser, allez dans Centre d’analyse des menaces > Live Discover et cliquez sur ZTNA.
Vous devez créer de nouvelles requêtes pour obtenir les données de Protected Browser. Pour créer de nouvelles requêtes, activez le Mode concepteur. Retrouvez plus de renseignements sur l’utilisation de Live Discover sur Live Discover.
Remarque
Lorsque vous créez une nouvelle requête pour Protected Browser, sélectionnez Data Lake comme Source.
Schéma Data Lake
Retrouvez plus de renseignements sur les tables et les données disponibles sur le schéma Data Lake dans le visualiseur de schéma.
Pour ouvrir le visualiseur de schéma, procédez comme suit :
- Allez dans Centre d’analyse des menaces > Live Discover et cliquez sur ZTNA.
- Assurez-vous que le Mode concepteur est activé.
- Dans la section Demande, cliquez sur Créer une nouvelle demande.
-
Dans le coin supérieur droit de la boîte de dialogue SQL, cliquez sur Schéma.
Le visualiseur de schéma s’ouvre dans un nouvel onglet.
-
Dans la liste déroulante Data Lake, sélectionnez ZTNA.
Pendant l’EAP, les noms de champs de Protected Browser sont inclus dans le tableau ZTNA.
Noms des champs relatifs à Protected Browser
Le tableau suivant offre une description des champs relatifs à Protected Browser dans le Data Lake :
| Nom du champ | Description |
|---|---|
| customer_id | UUID du client |
| gateway id | UUID de la passerelle |
| timestamp | Horodatage de l’accès à l’application |
| component | Composant Protected Browser |
| gateway_name | Nom de la passerelle ZTNA utilisée pour accéder à l’application RDP ou SSH sans agent |
| user_name | Nom de l’utilisateur qui a accédé à l’application |
| application_name | Nom de l’application accédée |
| operating_system | Système d’exploitation de l’appareil qui a accédé à l’application |
| browser_version | Version de Protected Browser |
| sync_sec_health_status | État d’intégrité de l’endpoint à partir duquel l’application a été accédée, disponible uniquement si Sophos Intercept X est installé |
| log_type | Type du journal. Valeurs possibles : Navigation, SSH, RDP, Connexion ou Déconnexion |
| log_subtype | État du verdict d’accès à l’application, indiquant si l’utilisateur a été autorisé ou non à accéder à l’application. |
| log_version | Version du journal |
| user_email | Adresse email de l’utilisateur qui a accédé à l’application |
| user_full_name | Nom complet de l’utilisateur qui a accédé à l’application |
| policy_id | ID de la stratégie appliquée à l’application accédée |
| policy_name | Nom de la stratégie ou stratégie de base appliquée à l’application accédée |
| http_category | Nom de la catégorie Web SXL |
| http_risk_score | Score de risque de l’URL accédée |
| http_risk_level | Niveau de risque de l’URL accédée dérivé du score de risque |
| url | URL de l’application accédée |
| domain | Domaine de l’application accédée |
| frame_url | URL affichée dans la barre d’adresse |
| src_ip | Adresse IP privée de l’utilisateur qui a accédé à l’application |
| public_src_ip | Adresse IP publique de l’utilisateur qui a accédé à l’application |
| application_category | Nom de la catégorie de l’application accédée |
| application_category_id | ID de catégorie de l’application accédée |
| zt_used | Indique si l’application RDP ou SSH demandée a été accédée ou non |
| sophos_endpoint_detected | Indique si Sophos Endpoint Protection a été détecté ou non dans le cadre de la stratégie de posture de l’appareil |
| other_endpoint_detected | Indique si une protection Endpoint tierce a été détectée ou non dans le cadre de la stratégie de posture de l’appareil |
| session_username | Nom d’utilisateur utilisé pour la connexion via SSH ou RDP |
| user_country | Pays à partir duquel l’application a été accédée |
| user_country_code | Code pays du pays à partir duquel l’application a été accédée |
| chromium_version | Version Chromium fonctionnant sur Protected Browser |
| disk_encryption_enabled | Indique si le chiffrement disque a été activé ou non sur l’appareil de l’utilisateur final |