Consultar dados do Protected Browser usando o Live Discover
Você pode consultar os dados do Protected Browser usando o Live Discover no Centro de Análise de Ameaças. O Live Discover permite que você use consultas SQL para obter dados mais granulares do que os relatórios em Logs e Relatórios.
Para usar o Live Discover com o Protected Browser, vá para Centro de Análise de Ameaças > Live Discover e clique em ZTNA.
Note
Durante o Early Access Program (EAP), você deve selecionar ZTNA. A opção para selecionar Protected Browser estará disponível na próxima versão de Disponibilidade Geral (GA).
Você precisa criar novas consultas para obter os dados do Protected Browser. Para criar novas consultas, ative o Modo Designer. Para obter informações sobre como usar o Live Discover, consulte Live Discover.
Note
Ao criar uma nova consulta para o Protected Browser, selecione Data Lake como Origem.
Esquema do Data Lake
Para obter informações sobre as tabelas e dados disponíveis, você pode ver o esquema do Data Lake no visualizador de esquemas.
Para abrir o visualizador de esquemas, siga este procedimento:
-
Vá para Centro de Análise de Ameaças > Live Discover e clique em ZTNA.
Note
Durante o Early Access Program (EAP), você deve selecionar ZTNA. A opção para selecionar Protected Browser estará disponível na próxima versão de Disponibilidade Geral (GA).
-
Confirme que o Modo Designer está ativado.
- Na seção Consulta, clique em Criar nova consulta.
-
No canto superior direito da caixa de diálogo SQL, clique em Esquema.
O visualizador de esquemas é aberto em uma nova guia.
-
Na lista suspensa Data Lake, selecione ZTNA.
Durante o EAP, os nomes dos campos do Protected Browser são incluídos na tabela ZTNA.
Nomes de campos do Protected Browser
A tabela a seguir descreve os nomes dos campos do Protected Browser no Data Lake:
| Nome do Campo | Descrição |
|---|---|
| customer_id | UUID do cliente |
| gateway id | UUID do gateway |
| timestamp | Data e hora em que o aplicativo foi acessado |
| component | Componente Protected Browser |
| gateway_name | Nome do gateway ZTNA usado para acessar o aplicativo RDP ou SSH sem agente |
| user_name | Nome do usuário que acessou o aplicativo |
| application_name | Nome do aplicativo acessado |
| operating_system | Sistema operacional do dispositivo que acessou o aplicativo |
| browser_version | Versão do Protected Browser |
| sync_sec_health_status | Verificação de integridade do endpoint a partir do qual a aplicação foi acessada, disponível apenas se o Sophos Intercept X estiver instalado |
| log_type | Tipo de Log. Valores possíveis: Navegação, SSH, RDP, Login ou Logout |
| log_subtype | Status do veredicto de acesso ao aplicativo, indicando se o usuário foi autorizado ou não a acessar o aplicativo. |
| log_version | Versão de log |
| user_email | Endereço de e-mail do usuário que acessou o aplicativo |
| user_full_name | Nome completo do usuário que acessou o aplicativo |
| policy_id | ID da política aplicada ao aplicativo acessado |
| policy_name | Nome da política ou política de base aplicada ao aplicativo acessado |
| http_category | Nome da categoria da Web SXL |
| http_risk_score | Pontuação de risco da URL acessada |
| http_risk_level | Nível de risco da URL acessada derivado da pontuação de risco |
| url | URL do aplicativo acessado |
| domínio | Domínio do aplicativo acessado |
| frame_url | URL exibida na barra de endereço |
| src_ip | Endereço IP privado do usuário que acessou o aplicativo |
| public_src_ip | Endereço IP público do usuário que acessou o aplicativo |
| application_category | Nome da categoria do aplicativo acessado |
| application_category_id | ID da categoria do aplicativo acessado |
| zt_used | Se o aplicativo RDP ou SSH solicitado foi acessado ou não |
| sophos_endpoint_detected | Se o Sophos Endpoint Protection foi detectado ou não como parte da política de postura do dispositivo |
| other_endpoint_detected | Se uma proteção de endpoint de terceiros foi detectada ou não como parte da política de postura do dispositivo |
| session_username | Nome de usuário usado para fazer login via SSH ou RDP |
| user_country | País a partir do qual o aplicativo foi acessado |
| user_country_code | Código do país a partir do qual o aplicativo foi acessado |
| chromium_version | Versão do Chromium em execução no Protected Browser |
| disk_encryption_enabled | Se a criptografia de disco estava ou não habilitada no dispositivo do usuário final |