مشاركة عبر

موصل بيانات Netskope (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات Netskope الإمكانات التالية:

  1. NetskopeToAzureStorage : الحصول على بيانات Netskope Alerts and Events من Netskope ونشرها إلى تخزين Azure.
  2. StorageToSentinel : احصل على بيانات Netskope Alerts and Events من تخزين Azure ونشرها في جدول سجل مخصص في مساحة عمل تحليلات السجل.
  3. WebTxMetrics : احصل على بيانات WebTxMetrics من Netskope وانشرها في جدول سجل مخصص في مساحة عمل تحليلات السجل.

لمزيد من التفاصيل حول واجهات برمجة تطبيقات REST، راجع الوثائق أدناه:

  1. وثائق Netskope API
  2. وثائق تخزين Azure
  3. وثائق تحليلية لسجل Microsoft

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Netskope

عينات الاستعلام

بيانات تنبيهات Netskope CompromisedCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

بيانات تنبيهات Netskope CTEP

alertsctepdata_CL

| sort by TimeGenerated desc

بيانات تنبيهات Netskope DLP

alertsdlpdata_CL

| sort by TimeGenerated desc

بيانات تنبيهات Netskope Malsite

alertsmalsitedata_CL

| sort by TimeGenerated desc

بيانات تنبيهات البرامج الضارة Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

بيانات تنبيهات نهج Netskope

alertspolicydata_CL

| sort by TimeGenerated desc

بيانات تنبيهات العزل Netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

بيانات تنبيهات معالجة Netskope

alertsremediationdata_CL

| sort by TimeGenerated desc

بيانات تنبيهات Netskope SecurityAssessment

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

بيانات تنبيهات Netskope Uba

alertsubadata_CL

| sort by TimeGenerated desc

بيانات أحداث تطبيق Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

بيانات أحداث تدقيق Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

بيانات أحداث اتصال Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

بيانات أحداث الحوادث Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

بيانات أحداث شبكة Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

بيانات أحداث صفحة Netskope

eventspagedata_CL

| sort by TimeGenerated desc

بيانات مقاييس Netskope WebTransactions

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Netskope Data Connector (باستخدام Azure Functions) تأكد من أن لديك:

  • اشتراك Azure: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في azure active Directory() وتعيين دور المساهم في التطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب Netskope Tenant وNetskope API Token . راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب Netskope APIs لسحب بيانات التنبيهات والأحداث الخاصة به إلى جدول سجل مخصص. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات تسجيل التطبيق للتطبيق في معرف Microsoft Entra

يتطلب هذا التكامل تسجيل تطبيق في مدخل Microsoft Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في معرف Microsoft Entra:

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. ابحث عن Microsoft Entra ID وحدده.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسمالعرض لتطبيقك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة لتسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ دليل المبادئ TriggersSync.

ارتباط المرجع: /azure/active-directory/develop/quickstart-register-app

الخطوة 2 - إضافة سر عميل للتطبيق في معرف Microsoft Entra

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ دليل المبادئ TriggersSync. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، حدد تطبيقك في App registrations.
  2. حدد Certificates and secrets > Client secrets > New client secret.
  3. إضافة وصف لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للسر أو حدد دورة حياة مخصصة. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجّل قيمة السر لاستخدامها في التعليمة البرمجية لتطبيق عميلك. لا تُعرض هذه القيمة السرية مجدداًبعد مغادرة هذه الصفحة مطلقاً. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ دليل المبادئ TriggersSync.

الارتباط المرجعي: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 3 - تعيين دور المساهم في التطبيق في معرف Microsoft Entra

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Microsoft Azure، انتقل إلى Resource Group وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر على التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع: /azure/role-based-access-control/role-assignments-portal

الخطوة 4 - خطوات إنشاء/الحصول على بيانات الاعتماد لحساب Netskope

اتبع الخطوات الواردة في هذا القسم لإنشاء/الحصول على Netskope Hostname وNetskope API Token:

  1. سجل الدخول إلى مستأجر Netskope وانتقل إلى قائمة الإعدادات على شريط التنقل الأيسر.
  2. انقر فوق Tools ثم REST API v2
  3. الآن، انقر فوق زر الرمز المميز الجديد. ثم سيطلب اسم الرمز المميز ومدة انتهاء الصلاحية ونقاط النهاية التي تريد إحضار البيانات منها.
  4. بمجرد الانتهاء من ذلك، انقر فوق زر الحفظ، سيتم إنشاء الرمز المميز. انسخ الرمز المميز واحفظه في مكان آمن لمزيد من الاستخدام.

الخطوة 5 - خطوات إنشاء وظائف Azure ل Netskope Alerts and Events Data Collection

هام: قبل نشر موصل بيانات Netskope، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى مفتاح (مفاتيح) تخويل Netskope API.

استخدام قالب ARM نشر تطبيقات الوظائف لاستيعاب أحداث Netskope وتنبيهات البيانات إلى Sentinel.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Netskope HostName Netskope API Token حدد نعم في القائمة المنسدلة أنواع التنبيهات والأحداث لنقطة النهاية هذه التي تريد إحضار التنبيهات ومفتاح مساحة عمل معرف مساحة عمل مستوى سجل الأحداث

  4. انقر فوق Review+Create.

  5. ثم بعد التحقق من الصحة، انقر فوق إنشاء للنشر.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.