使用即時探索查詢受保護的瀏覽器資料
您可透過威脅分析中心的即時偵測功能查詢受保護瀏覽器的資料。即時探索功能讓您能使用 SQL 查詢,取得比「日誌與報告」中的報告更細緻的數據。
要使用受保護瀏覽器的即時偵測功能,請前往威脅 分析 中心 > 即時偵測,然後點擊ZTNA。
Note
在Early Access Program(EAP)期間,您必須選擇 ZTNA。選擇受保護瀏覽器的選項將於即將推出的正式版(GA)中提供。
您必須建立新的查詢才能取得受保護瀏覽器的資料。要建立新查詢,請開啟設計者模式。有關如何使用即時探索的資訊,請參閱 Live Discover。
Note
當您為受保護瀏覽器建立新查詢時,請選擇Data Lake作為來源。
Data Lake 架構
有關可用表格和資料的資訊,您可於架構檢視器中查閱Data Lake架構。
要開啟架構檢視器,請依下列步驟操作:
-
前往威脅分析中心 > 即時偵測,然後點擊ZTNA。
Note
在Early Access Program(EAP)期間,您必須選擇 ZTNA。選擇受保護瀏覽器的選項將於即將推出的正式版(GA)中提供。
-
請確保設計師模式已開啟。
- 在查詢區段中,點擊建立新查詢。
-
在SQL對話方塊的右上角,點擊「架構」。
架構檢視器將在新的索引標籤中開啟。
-
在「Data Lake」下拉式清單中,請選擇「ZTNA」。
在 EAP 期間,受保護瀏覽器的欄位名稱會包含在 ZTNA 表格中。
受保護的瀏覽器欄位名稱
下表說明Data Lake中受保護瀏覽器的欄位名稱:
| 欄位名稱 | 說明 |
|---|---|
| customer_id | 客戶的UUID |
| gateway id | 閘道的UUID |
| timestamp | 應用程式被存取的時間戳記 |
| component | 受保護的瀏覽器元件 |
| gateway_name | 用於存取無代理程式 RDP 或 SSH 應用程式的 ZTNA 閘道名稱 |
| user_name | 存取應用程式的使用者名稱 |
| application_name | 存取之應用程式名稱 |
| operating_system | 存取該應用程式的裝置之作業系統 |
| browser_version | Protected Browser 版本 |
| sync_sec_health_status | 應用程式存取來源端點的健康 狀態,僅在安裝 Sophos Intercept X 時可用 |
| log_type | 日誌類型。可能值:導航、SSH、RDP、登入或登出 |
| log_subtype | 應用程式存取判定狀態,顯示使用者是否獲准存取該應用程式。 |
| log_version | 日誌版本 |
| user_email | 存取應用程式的使用者電子郵件地址 |
| user_full_name | 存取本應用程式的使用者全名 |
| policy_id | 已存取應用程式所套用的原則識別碼 |
| policy_name | 所存取應用程式所套用的原則或基本原則名稱 |
| http_category | SXL 網頁類別名稱 |
| http_risk_score | 存取網址的風險評分 |
| http_risk_level | 根據風險評分推導出的已存取網址風險等級 |
| URL | 存取之應用程式的網址 |
| 網域 | 存取應用程式的網域 |
| frame_url | 網址列中顯示的網址 |
| src_ip | 存取應用程式的使用者之私人IP位址 |
| public_src_ip | 存取應用程式的使用者之公共IP位址 |
| application_category | 存取應用程式的類別名稱 |
| application_category_id | 存取應用程式的類別識別碼 |
| zt_used | 是否存取了所請求的遠端桌面協定(RDP)或安全殼(SSH)應用程式 |
| sophos_endpoint_detected | Sophos Endpoint Protection是否被偵測為裝置原則的一部分 |
| other_endpoint_detected | 第三方端點保護是否被偵測為裝置 原則的一部分 |
| session_username | 用於透過 SSH 或 RDP 簽入的用戶名稱 |
| user_country | 存取申請的國家 |
| user_country_code | 申請存取所在國家的國家代碼 |
| chromium_version | 在受保護瀏覽器上運行的Chromium版本 |
| disk_encryption_enabled | 終端用戶裝置上是否啟用了磁碟加密功能 |