Esecuzione di query sui dati di Protected Browser utilizzando Live Discover
È possibile eseguire query sui dati di Protected Browser utilizzando Live Discover nel Centro di analisi delle minacce. Live Discover consente di utilizzare le query SQL per ottenere dati più granulari rispetto ai report di Log e report.
Per utilizzare Live Discover per Protected Browser, aprire Centro di analisi delle minacce > Live Discover e cliccare su ZTNA.
Note
Durante l’Early Access Program (EAP), è necessario selezionare ZTNA. L’opzione di selezionare Protected Browser sarà disponibile nel prossimo rilascio in disponibilità generale (General Availability, GA).
Occorre creare nuove query per ottenere i dati del Protected Browser. Per creare nuove query, attivare la Modalità progettazione. Per informazioni su come utilizzare Live Discover, vedere Live Discover.
Note
Quando si crea una nuova query per Protected Browser, selezionare Data Lake come Origine.
Schema del Data Lake
Per informazioni sulle tabelle e sui dati disponibili, è possibile consultare lo schema del Data Lake nel visualizzatore schema.
Per aprire il visualizzatore schema, procedere come segue:
-
Aprire Centro di analisi delle minacce > Live Discover e cliccare su ZTNA.
Note
Durante l’Early Access Program (EAP), è necessario selezionare ZTNA. L’opzione di selezionare Protected Browser sarà disponibile nel prossimo rilascio in disponibilità generale (General Availability, GA).
-
Verificare che la Modalità progettazione sia attivata.
- Nella sezione Query, cliccare su Crea nuova query.
-
Nell’angolo in alto a destra della finestra di dialogo SQL, cliccare su Schema.
Il visualizzatore schema si aprirà in una nuova scheda.
-
Nell’elenco a discesa Data Lake, selezionare ZTNA.
Durante l’EAP, i nomi dei campi del Protected Browser vengono inclusi nella tabella di ZTNA.
Nomi dei campi di Protected Browser
La tabella riportata di seguito descrive i nomi dei campi per Protected Browser nel Data Lake:
| Nome campo | Descrizione |
|---|---|
| customer_id | UUID del cliente |
| gateway id | UUID del gateway |
| timestamp | Timestamp dell’accesso all’applicazione |
| component | Componente Protected Browser |
| gateway_name | Nome del gateway ZTNA utilizzato per accedere all’applicazione RDP o SSH senza agente |
| user_name | Nome dell’utente che ha effettuato l’accesso all’applicazione |
| application_name | Nome dell’applicazione alla quale è stato effettuato l’accesso |
| operating_system | Sistema operativo del dispositivo che ha effettuato l’accesso all’applicazione |
| browser_version | Versione di Protected Browser |
| sync_sec_health_status | Stato di integrità dell’endpoint dal quale è stato effettuato l’accesso all’applicazione, disponibile solo se è installata Sophos Intercept X |
| log_type | Tipo di log. Valori possibili: Navigazione, SSH, RDP, Accesso o Disconnessione |
| log_subtype | Stato del verdetto sull’accesso all’applicazione, che indica se all’utente è stato consentito o meno di accedere all’applicazione. |
| log_version | Versione log |
| user_email | Indirizzo e-mail dell’utente che ha effettuato l’accesso all’applicazione |
| user_full_name | Nome e cognome dell’utente che ha effettuato l’accesso all’applicazione |
| policy_id | ID del criterio implementato nell’applicazione alla quale è stato effettuato l’accesso |
| policy_name | Nome del criterio o del criterio di base implementato nell’applicazione alla quale è stato effettuato l’accesso |
| http_category | Nome della categoria web di SXL |
| http_risk_score | Punteggio di rischio dell’URL visitato |
| http_risk_level | Livello di rischio dell’URL visitato, derivato dal punteggio di rischio |
| url | URL dell’applicazione alla quale è stato effettuato l’accesso |
| dominio | Dominio dell’applicazione alla quale è stato effettuato l’accesso |
| frame_url | URL mostrato nella barra degli indirizzi |
| src_ip | Indirizzo IP privato dell’utente che ha effettuato l’accesso all’applicazione |
| public_src_ip | Indirizzo IP pubblico dell’utente che ha effettuato l’accesso all’applicazione |
| application_category | Nome della categoria dell’applicazione alla quale è stato effettuato l’accesso |
| application_category_id | ID della categoria dell’applicazione alla quale è stato effettuato l’accesso |
| zt_used | Se è stato effettuato o meno l’accesso all’applicazione RDP o SSH richiesta |
| sophos_endpoint_detected | Se Sophos Endpoint Protection è stato rilevato o meno come parte del criterio del profilo di sicurezza del dispositivo |
| other_endpoint_detected | Se la protezione endpoint di terze parti è stata rilevata o meno come parte del criterio del profilo di sicurezza del dispositivo |
| session_username | Nome utente utilizzato per accedere tramite SSH o RDP |
| user_country | Paese dal quale è stato effettuato l’accesso all’applicazione |
| user_country_code | Codice del paese dal quale è stato effettuato l’accesso all’applicazione |
| chromium_version | Versione Chromium in esecuzione su Protected Browser |
| disk_encryption_enabled | Se la crittografia del disco era abilitata o meno sul dispositivo dell’utente finale |