Consultar dados do Protected Browser usando o Live Discover
Você pode consultar os dados do Protected Browser usando o Live Discover no Centro de Análise de Ameaças. O Live Discover permite que você use consultas SQL para obter dados mais granulares do que os relatórios em Logs e Relatórios.
Para usar o Live Discover com o Protected Browser, vá para Centro de Análise de Ameaças > Live Discover e clique em ZTNA.
Você precisa criar novas consultas para obter os dados do Protected Browser. Para criar novas consultas, ative o Modo Designer. Para obter informações sobre como usar o Live Discover, consulte Live Discover.
Nota
Ao criar uma nova consulta para o Protected Browser, selecione Data Lake como Origem.
Esquema do Data Lake
Para obter informações sobre as tabelas e dados disponíveis, você pode ver o esquema do Data Lake no visualizador de esquemas.
Para abrir o visualizador de esquemas, siga este procedimento:
- Vá para Centro de Análise de Ameaças > Live Discover e clique em ZTNA.
- Confirme que o Modo Designer está ativado.
- Na seção Consulta, clique em Criar nova consulta.
-
No canto superior direito da caixa de diálogo SQL, clique em Esquema.
O visualizador de esquemas é aberto em uma nova guia.
-
Na lista suspensa Data Lake, selecione ZTNA.
Durante o EAP, os nomes dos campos do Protected Browser são incluídos na tabela ZTNA.
Nomes de campos do Protected Browser
A tabela a seguir descreve os nomes dos campos do Protected Browser no Data Lake:
| Nome do Campo | Descrição |
|---|---|
| customer_id | UUID do cliente |
| gateway id | UUID do gateway |
| timestamp | Data e hora em que o aplicativo foi acessado |
| component | Componente Protected Browser |
| gateway_name | Nome do gateway ZTNA usado para acessar o aplicativo RDP ou SSH sem agente |
| user_name | Nome do usuário que acessou o aplicativo |
| application_name | Nome do aplicativo acessado |
| operating_system | Sistema operacional do dispositivo que acessou o aplicativo |
| browser_version | Versão do Protected Browser |
| sync_sec_health_status | Verificação de integridade do endpoint a partir do qual a aplicação foi acessada, disponível apenas se o Sophos Intercept X estiver instalado |
| log_type | Tipo de Log. Valores possíveis: Navegação, SSH, RDP, Login ou Logout |
| log_subtype | Status do veredicto de acesso ao aplicativo, indicando se o usuário foi autorizado ou não a acessar o aplicativo. |
| log_version | Versão de log |
| user_email | Endereço de e-mail do usuário que acessou o aplicativo |
| user_full_name | Nome completo do usuário que acessou o aplicativo |
| policy_id | ID da política aplicada ao aplicativo acessado |
| policy_name | Nome da política ou política de base aplicada ao aplicativo acessado |
| http_category | Nome da categoria da Web SXL |
| http_risk_score | Pontuação de risco da URL acessada |
| http_risk_level | Nível de risco da URL acessada derivado da pontuação de risco |
| url | URL do aplicativo acessado |
| domínio | Domínio do aplicativo acessado |
| device_posture_matched | Se a postura do dispositivo foi correspondida quando o aplicativo foi acessado |
| frame_url | URL exibida na barra de endereço |
| src_ip | Endereço IP privado do usuário que acessou o aplicativo |
| public_src_ip | Endereço IP público do usuário que acessou o aplicativo |
| application_category | Nome da categoria do aplicativo acessado |
| application_category_id | ID da categoria do aplicativo acessado |
| zt_used | Se o aplicativo RDP ou SSH solicitado foi acessado ou não |
| sophos_endpoint_detected | Se o Sophos Endpoint Protection foi detectado ou não como parte da política de postura do dispositivo |
| other_endpoint_detected | Se uma proteção de endpoint de terceiros foi detectada ou não como parte da política de postura do dispositivo |
| session_username | Nome de usuário usado para fazer login via SSH ou RDP |
| user_country | País a partir do qual o aplicativo foi acessado |
| user_country_code | Código do país a partir do qual o aplicativo foi acessado |
| chromium_version | Versão do Chromium em execução no Protected Browser |
| disk_encryption_enabled | Se a criptografia de disco estava ou não habilitada no dispositivo do usuário final |
| file_size | Tamanho do arquivo transferido |
| file_name | Nome do arquivo transferido |
| file_mimetype | Tipo de mídia do arquivo transferido |
| file_sha256 | Checksum SHA256 do arquivo transferido |
