موصل بيانات Netskope (باستخدام Azure Functions) ل Microsoft Sentinel
يوفر موصل بيانات Netskope الإمكانات التالية:
- NetskopeToAzureStorage : الحصول على بيانات Netskope Alerts and Events من Netskope ونشرها إلى تخزين Azure.
- StorageToSentinel : احصل على بيانات Netskope Alerts and Events من تخزين Azure ونشرها في جدول سجل مخصص في مساحة عمل تحليلات السجل.
- WebTxMetrics : احصل على بيانات WebTxMetrics من Netskope وانشرها في جدول سجل مخصص في مساحة عمل تحليلات السجل.
لمزيد من التفاصيل حول واجهات برمجة تطبيقات REST، راجع الوثائق أدناه:
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
سمة الموصل | الوصف |
---|---|
جدول (جداول) Log Analytics | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
دعم قواعد جمع البيانات | غير مدعوم حاليًا |
مدعومة من قبل | Netskope |
عينات الاستعلام
بيانات تنبيهات Netskope CompromisedCredential
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
بيانات تنبيهات Netskope CTEP
alertsctepdata_CL
| sort by TimeGenerated desc
بيانات تنبيهات Netskope DLP
alertsdlpdata_CL
| sort by TimeGenerated desc
بيانات تنبيهات Netskope Malsite
alertsmalsitedata_CL
| sort by TimeGenerated desc
بيانات تنبيهات البرامج الضارة Netskope
alertsmalwaredata_CL
| sort by TimeGenerated desc
بيانات تنبيهات نهج Netskope
alertspolicydata_CL
| sort by TimeGenerated desc
بيانات تنبيهات العزل Netskope
alertsquarantinedata_CL
| sort by TimeGenerated desc
بيانات تنبيهات معالجة Netskope
alertsremediationdata_CL
| sort by TimeGenerated desc
بيانات تنبيهات Netskope SecurityAssessment
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
بيانات تنبيهات Netskope Uba
alertsubadata_CL
| sort by TimeGenerated desc
بيانات أحداث تطبيق Netskope.
eventsapplicationdata_CL
| sort by TimeGenerated desc
بيانات أحداث تدقيق Netskope
eventsauditdata_CL
| sort by TimeGenerated desc
بيانات أحداث اتصال Netskope
eventsconnectiondata_CL
| sort by TimeGenerated desc
بيانات أحداث الحوادث Netskope
eventsincidentdata_CL
| sort by TimeGenerated desc
بيانات أحداث شبكة Netskope
eventsnetworkdata_CL
| sort by TimeGenerated desc
بيانات أحداث صفحة Netskope
eventspagedata_CL
| sort by TimeGenerated desc
بيانات مقاييس Netskope WebTransactions
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع Netskope Data Connector (باستخدام Azure Functions) تأكد من أن لديك:
- اشتراك Azure: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في azure active Directory() وتعيين دور المساهم في التطبيق في مجموعة الموارد.
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب Netskope Tenant وNetskope API Token . راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API
إرشادات تثبيت المورد
إشعار
يستخدم هذا الموصل Azure Functions للاتصال ب Netskope APIs لسحب بيانات التنبيهات والأحداث الخاصة به إلى جدول سجل مخصص. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.
(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.
الخطوة 1 - خطوات تسجيل التطبيق للتطبيق في معرف Microsoft Entra
يتطلب هذا التكامل تسجيل تطبيق في مدخل Microsoft Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في معرف Microsoft Entra:
- قم بتسجيل الدخول إلى بوابة Azure.
- ابحث عن Microsoft Entra ID وحدده.
- ضمن Manage، حدد App registrations > New registration.
- أدخل اسمالعرض لتطبيقك.
- حدد Register لإكمال تسجيل التطبيق الأولي.
- عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة لتسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ دليل المبادئ TriggersSync.
ارتباط المرجع: /azure/active-directory/develop/quickstart-register-app
الخطوة 2 - إضافة سر عميل للتطبيق في معرف Microsoft Entra
تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ دليل المبادئ TriggersSync. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:
- في مدخل Azure، حدد تطبيقك في App registrations.
- حدد Certificates and secrets > Client secrets > New client secret.
- إضافة وصف لسر العميل الخاص بك.
- حدد انتهاء صلاحية للسر أو حدد دورة حياة مخصصة. الحد هو 24 شهرا.
- حدد إضافة.
- سجّل قيمة السر لاستخدامها في التعليمة البرمجية لتطبيق عميلك. لا تُعرض هذه القيمة السرية مجدداًبعد مغادرة هذه الصفحة مطلقاً. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ دليل المبادئ TriggersSync.
الارتباط المرجعي: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
الخطوة 3 - تعيين دور المساهم في التطبيق في معرف Microsoft Entra
اتبع الخطوات الواردة في هذا القسم لتعيين الدور:
- في مدخل Microsoft Azure، انتقل إلى Resource Group وحدد مجموعة الموارد الخاصة بك.
- انتقل إلى Access control (IAM) من اللوحة اليسرى.
- انقر فوق إضافة، ثم حدد إضافة تعيين دور.
- حدد المساهم كدور وانقر على التالي.
- في تعيين الوصول إلى، حدد
User, group, or service principal
. - انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
- انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.
رابط المرجع: /azure/role-based-access-control/role-assignments-portal
الخطوة 4 - خطوات إنشاء/الحصول على بيانات الاعتماد لحساب Netskope
اتبع الخطوات الواردة في هذا القسم لإنشاء/الحصول على Netskope Hostname وNetskope API Token:
- سجل الدخول إلى مستأجر Netskope وانتقل إلى قائمة الإعدادات على شريط التنقل الأيسر.
- انقر فوق Tools ثم REST API v2
- الآن، انقر فوق زر الرمز المميز الجديد. ثم سيطلب اسم الرمز المميز ومدة انتهاء الصلاحية ونقاط النهاية التي تريد إحضار البيانات منها.
- بمجرد الانتهاء من ذلك، انقر فوق زر الحفظ، سيتم إنشاء الرمز المميز. انسخ الرمز المميز واحفظه في مكان آمن لمزيد من الاستخدام.
الخطوة 5 - خطوات إنشاء وظائف Azure ل Netskope Alerts and Events Data Collection
هام: قبل نشر موصل بيانات Netskope، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى مفتاح (مفاتيح) تخويل Netskope API.
استخدام قالب ARM نشر تطبيقات الوظائف لاستيعاب أحداث Netskope وتنبيهات البيانات إلى Sentinel.
انقر فوق الزر Deploy to Azure أدناه.
حدد الاشتراك المفضل ومجموعة الموارد والموقع.
أدخل المعلومات أدناه: Netskope HostName Netskope API Token حدد نعم في القائمة المنسدلة أنواع التنبيهات والأحداث لنقطة النهاية هذه التي تريد إحضار التنبيهات ومفتاح مساحة عمل معرف مساحة عمل مستوى سجل الأحداث
انقر فوق Review+Create.
ثم بعد التحقق من الصحة، انقر فوق إنشاء للنشر.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ