موصل Netskope (باستخدام Azure Functions) ل Microsoft Sentinel

يوفر موصل Netskope Cloud Security Platform القدرة على استيعاب سجلات وأحداث Netskope في Microsoft Sentinel. يوفر الموصل رؤية لأحداث وتنبيهات النظام الأساسي Netskope في Microsoft Sentinel لتحسين قدرات المراقبة والتحقيق.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل	‏‏الوصف
إعدادات التطبيق	apikey workspaceID workspaceKey URI timeInterval logTypes logAnalyticsUri (اختياري)
التعليمات البرمجية لتطبيق وظائف Azure	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
جدول (جداول) Log Analytics	Netskope_CL
دعم قواعد جمع البيانات	غير مدعوم حاليًا
مدعومة من قبل	Netskope

عينات الاستعلام

أفضل 10 مستخدمين

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

أفضل 10 تنبيهات

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

المتطلبات الأساسية

للتكامل مع Netskope (باستخدام Azure Functions) تأكد من أن لديك:

• أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
• Netskope API Token: مطلوب رمز Netskope API المميز. راجع الوثائق لمعرفة المزيد حول Netskope API. ملاحظة: مطلوب حساب Netskope

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب Netskope لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار Netskope وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا، في السطر الثاني من الاستعلام، أدخل اسم المضيف (أسماء) جهاز (أجهزة) Netskope وأي معرفات فريدة أخرى ل logstream. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Netskope

اتبع هذه الإرشادات التي يوفرها Netskope للحصول على رمز مميز لواجهة برمجة التطبيقات. ملاحظة: مطلوب حساب Netskope

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل Netskope، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى الرمز المميز لتخويل Netskope API، المتاح بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب توزيعا تلقائيا لموصل Netskope باستخدام ARM Tempate.

1. انقر فوق الزر Deploy to Azure أدناه.

   

2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

3. أدخل معرف مساحة العمل ومفتاح مساحة العمل ومفتاح واجهة برمجة التطبيقات وURI.

• استخدم المخطط التالي للقيمة uri : https://<Tenant Name>.goskope.com استبدل <Tenant Name> بمجالك.
• يتم تعيين الفاصل الزمني الافتراضي لسحب آخر خمس (5) دقائق من البيانات. إذا كان الفاصل الزمني يحتاج إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك (في ملف function.json، نشر النشر) لمنع استيعاب البيانات المتداخلة.
• يتم تعيين أنواع السجلات الافتراضية لسحب جميع أنواع السجلات المتوفرة الستة (alert, page, application, audit, infrastructure, network)، وإزالة أي منها غير مطلوبة.
• ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل.

4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
5. انقر فوق شراء للنشر.
6. بعد نشر الموصل بنجاح، قم بتنزيل Kusto Function لتطبيع حقول البيانات. اتبع الخطوات لاستخدام الاسم المستعار لدالة Kusto، Netskope.

الخيار 2 - النشر اليدوي لوظائف Azure

يوفر هذا الأسلوب إرشادات خطوة بخطوة لنشر موصل Netskope يدويا باستخدام Azure Function.

1. إنشاء تطبيق وظائف

1. من مدخل Microsoft Azure، انتقل إلى Function App، وحدد + Add.
2. في علامة التبويب Basics ، تأكد من تعيين مكدس وقت التشغيل إلى Powershell Core.
3. في علامة التبويب Hosting ، تأكد من تحديد نوع خطة Consumption (Serverless ).
4. قم بإجراء تغييرات تكوين أخرى مفضلة، إذا لزم الأمر، ثم انقر فوق إنشاء.

2. استيراد التعليمات البرمجية لتطبيق الوظائف

1. في تطبيق الوظائف الذي تم إنشاؤه حديثا، حدد Functions في الجزء الأيمن وانقر فوق + Add.
2. حدد Timer Trigger.
3. أدخل اسم دالة فريدا وعدل جدول cron، إذا لزم الأمر. يتم تعيين القيمة الافتراضية لتشغيل Function App كل 5 دقائق. (ملاحظة: يجب أن يتطابق مشغل المؤقت مع timeInterval القيمة أدناه لمنع تداخل البيانات)، وانقر فوق إنشاء.
4. انقر فوق Code + Test في الجزء الأيمن.
5. انسخ Function App Code والصقه في محرر Function App run.ps1 .
6. انقر فوق حفظ.

3. تكوين تطبيق الوظائف

1. في Function App، حدد Function App Name وحدد Configuration.
2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
3. أضف كل من إعدادات التطبيق السبعة التالية (7) بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (اختياري)

• أدخل URI الذي يتوافق مع منطقتك. uri يجب أن تتبع القيمة المخطط التالي: https://<Tenant Name>.goskope.com - ليست هناك حاجة لإضافة معلمات قائمة فرعية إلى Uri، سيقوم تطبيق الوظائف بإلحاق المعلمات بالتنسيق المناسب ديناميكيا.
• timeInterval قم بتعيين (بالدقائق) إلى القيمة الافتراضية 5 ل لتتوافق مع مشغل المؤقت الافتراضي لكل 5 دقيقة. إذا كان الفاصل الزمني يحتاج إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك لمنع استيعاب البيانات المتداخلة.
• logTypes قم بتعيين إلى alert, page, application, audit, infrastructure, network - تمثل هذه القائمة جميع أنواع سجلات avaliable. حدد أنواع السجلات استنادا إلى متطلبات التسجيل، وفصل كل منها بفاصلة واحدة.
• ملاحظة: إذا كنت تستخدم Azure Key Vault، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل.
• استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us. 4. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ. 5. بعد نشر الموصل بنجاح، قم بتنزيل Kusto Function لتطبيع حقول البيانات. اتبع الخطوات لاستخدام الاسم المستعار لدالة Kusto، Netskope.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.