Pular para o conteúdo

Consultar dados do Protected Browser usando o Live Discover

Você pode consultar os dados do Protected Browser usando o Live Discover no Centro de Análise de Ameaças. O Live Discover permite que você use consultas SQL para obter dados mais granulares do que os relatórios em Logs e Relatórios.

Para usar o Live Discover com o Protected Browser, vá para Centro de Análise de Ameaças > Live Discover e clique em ZTNA.

Você precisa criar novas consultas para obter os dados do Protected Browser. Para criar novas consultas, ative o Modo Designer. Para obter informações sobre como usar o Live Discover, consulte Live Discover.

Nota

Ao criar uma nova consulta para o Protected Browser, selecione Data Lake como Origem.

Esquema do Data Lake

Para obter informações sobre as tabelas e dados disponíveis, você pode ver o esquema do Data Lake no visualizador de esquemas.

Para abrir o visualizador de esquemas, siga este procedimento:

  1. Vá para Centro de Análise de Ameaças > Live Discover e clique em ZTNA.
  2. Confirme que o Modo Designer está ativado.
  3. Na seção Consulta, clique em Criar nova consulta.
  4. No canto superior direito da caixa de diálogo SQL, clique em Esquema.

    Abra o visualizador de esquemas.

    O visualizador de esquemas é aberto em uma nova guia.

  5. Na lista suspensa Data Lake, selecione ZTNA.

    Durante o EAP, os nomes dos campos do Protected Browser são incluídos na tabela ZTNA.

Nomes de campos do Protected Browser

A tabela a seguir descreve os nomes dos campos do Protected Browser no Data Lake:

Nome do Campo Descrição
customer_id UUID do cliente
gateway id UUID do gateway
timestamp Data e hora em que o aplicativo foi acessado
component Componente Protected Browser
gateway_name Nome do gateway ZTNA usado para acessar o aplicativo RDP ou SSH sem agente
user_name Nome do usuário que acessou o aplicativo
application_name Nome do aplicativo acessado
operating_system Sistema operacional do dispositivo que acessou o aplicativo
browser_version Versão do Protected Browser
sync_sec_health_status Verificação de integridade do endpoint a partir do qual a aplicação foi acessada, disponível apenas se o Sophos Intercept X estiver instalado
log_type Tipo de Log. Valores possíveis: Navegação, SSH, RDP, Login ou Logout
log_subtype Status do veredicto de acesso ao aplicativo, indicando se o usuário foi autorizado ou não a acessar o aplicativo.
log_version Versão de log
user_email Endereço de e-mail do usuário que acessou o aplicativo
user_full_name Nome completo do usuário que acessou o aplicativo
policy_id ID da política aplicada ao aplicativo acessado
policy_name Nome da política ou política de base aplicada ao aplicativo acessado
http_category Nome da categoria da Web SXL
http_risk_score Pontuação de risco da URL acessada
http_risk_level Nível de risco da URL acessada derivado da pontuação de risco
url URL do aplicativo acessado
domínio Domínio do aplicativo acessado
device_posture_matched Se a postura do dispositivo foi correspondida quando o aplicativo foi acessado
frame_url URL exibida na barra de endereço
src_ip Endereço IP privado do usuário que acessou o aplicativo
public_src_ip Endereço IP público do usuário que acessou o aplicativo
application_category Nome da categoria do aplicativo acessado
application_category_id ID da categoria do aplicativo acessado
zt_used Se o aplicativo RDP ou SSH solicitado foi acessado ou não
sophos_endpoint_detected Se o Sophos Endpoint Protection foi detectado ou não como parte da política de postura do dispositivo
other_endpoint_detected Se uma proteção de endpoint de terceiros foi detectada ou não como parte da política de postura do dispositivo
session_username Nome de usuário usado para fazer login via SSH ou RDP
user_country País a partir do qual o aplicativo foi acessado
user_country_code Código do país a partir do qual o aplicativo foi acessado
chromium_version Versão do Chromium em execução no Protected Browser
disk_encryption_enabled Se a criptografia de disco estava ou não habilitada no dispositivo do usuário final
file_size Tamanho do arquivo transferido
file_name Nome do arquivo transferido
file_mimetype Tipo de mídia do arquivo transferido
file_sha256 Checksum SHA256 do arquivo transferido