使用 Live Discover 查詢受保護的瀏覽器數據
您可以使用威脅 分析 中心的即時發現功能查詢受保護瀏覽器資料。Live Discover 可讓您使用 SQL 查詢來取得比「日誌和報表」中的報表更細緻的資料。
若要使用 Live Discover for Protected Browser,請前往威脅 分析 中心> Live Discover ,然後按一下ZTNA 。
您必須建立新的查詢才能取得受保護的瀏覽器資料。若要建立新查詢,請啟用設計器模式。有關如何使用 Live Discover 的信息,請參閱Live Discover 。
注意
在為受保護瀏覽器建立新查詢時,選擇 Data Lake 作為 來源 。
Data Lake 架構
有關可用表和資料的信息,您可以在架構檢視器中查看Data Lake架構。
若要開啟架構檢視器,請執行下列操作:
- 前往威脅 分析 中心 > 即時發現,然後點擊ZTNA 。
- 請確保已開啟設計模式。
- 在「查詢」部分,按一下「建立新查詢」 。
-
在SQL對話框的右上角,按一下「架構」 。
架構檢視器將在新索引標籤中開啟。
-
在Data Lake下拉清單中,選擇ZTNA 。
在 EAP 期間,受保護的瀏覽器欄位名稱包含在ZTNA表中。
受保護的瀏覽器欄位名稱
下表描述了Data Lake中受保護瀏覽器欄位的名稱:
| 欄位名稱 | 說明 |
|---|---|
| customer_id | 客戶UUID |
| gateway id | 網關的 UUID |
| timestamp | 應用程式存取時間戳 |
| component | 受保護的瀏覽器元件 |
| gateway_name | 用於存取無代理RDP 或 SSH 應用程式的ZTNA 閘道的名稱 |
| user_name | 訪問該應用程式的用戶的姓名 |
| application_name | 被存取應用程式的名稱 |
| operating_system | 存取該應用程式的裝置的作業系統 |
| browser_version | Protected Browser 版本 |
| sync_sec_health_status | 應用程式存取端點的健康狀況(僅當安裝了Sophos Intercept X時可用) |
| log_type | 日誌類型。可能的值:導航、SSH、RDP、登入或登出 |
| log_subtype | 應用程式存取權限判定狀態,指示使用者是否被允許存取該應用程式。 |
| log_version | 日誌版本 |
| user_email | 訪問該應用程式的使用者的電子郵件地址 |
| user_full_name | 訪問該應用程式的用戶的全名 |
| policy_id | 應用於所存取應用程式的原則ID |
| policy_name | 應用於所存取應用程式的原則或基本 原則的名稱 |
| http_category | SXL 網站類別的名稱 |
| http_risk_score | 所訪問URL的風險評分 |
| http_risk_level | 所訪問 URL 的風險等級由風險評分得出 |
| URL | 所訪問應用程式的 URL |
| 網域 | 被存取應用程式的網域 |
| frame_url | 網址列中顯示的網址 |
| src_ip | 存取該應用程式的使用者的私人 IP 位址 |
| public_src_ip | 存取該應用程式的用戶的公共 IP 位址 |
| application_category | 所訪問應用程式的類別名稱 |
| application_category_id | 所訪問應用程式的類別 ID |
| zt_used | 無論是否存取了所請求的 RDP 或 SSH 應用程式 |
| sophos_endpoint_detected | 無論Sophos Endpoint Protection 是否作為裝置姿態原則的一部分被偵測到 |
| other_endpoint_detected | 裝置姿態原則中是否偵測到第三方端點 保護 |
| session_username | 用於透過 SSH 或 RDP 登入的使用者名 |
| user_country | 應用程式存取所在國家/地區 |
| user_country_code | 應用程式存取所在國家/地區的國家/地區代碼 |
| chromium_version | 運行在受保護瀏覽器上的 Chromium 版本 |
| disk_encryption_enabled | 終端用戶裝置上是否啟用了磁碟加密 |