مشاركة عبر

موصل Netskope Web Transactions Data الاتصال or (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات Netskope Web Transactions وظيفة صورة docker لسحب بيانات Netskope Web Transactions من google pubsublite ومعالجة البيانات واستيعاب البيانات المعالجة إلى Log Analytics. كجزء من موصل البيانات هذا، سيتم تشكيل جدولين في Log Analytics، أحدهما لبيانات معاملات الويب والآخر للأخطاء التي تمت مواجهتها أثناء التنفيذ.

لمزيد من التفاصيل المتعلقة بمعاملات الويب، راجع الوثائق أدناه: وثائق Netskope Web Transactions

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Netskope

عينات الاستعلام

Netskope Web Transactions Data

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Netskope Web Transactions Data الاتصال or Errors

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Netskope Web Transactions Data الاتصال or (باستخدام Azure Functions) تأكد من أن لديك:

إرشادات تثبيت المورد

إشعار

يوفر هذا الموصل وظيفة استيعاب بيانات Netskope Web Transactions باستخدام صورة docker ليتم نشرها على جهاز ظاهري (إما Azure VM/On Premise VM). تحقق من صفحة تسعير Azure VM للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات إنشاء/الحصول على بيانات الاعتماد لحساب Netskope

اتبع الخطوات الواردة في هذا القسم لإنشاء/الحصول على Netskope Hostname وNetskope API Token:

  1. سجل الدخول إلى Netskope Tenant وانتقل إلى قائمة الإعدادات على شريط التنقل الأيسر.
  2. انقر فوق Tools ثم REST API v2
  3. الآن، انقر فوق زر الرمز المميز الجديد. ثم سيطلب اسم الرمز المميز ومدة انتهاء الصلاحية ونقاط النهاية التي تريد إحضار البيانات منها.
  4. بمجرد الانتهاء من ذلك، انقر فوق زر الحفظ، سيتم إنشاء الرمز المميز. انسخ الرمز المميز واحفظه في مكان آمن لمزيد من الاستخدام.

**الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر موصل البيانات المستند إلى docker لاستيعاب بيانات Netskope Web Transactions **

هام: قبل نشر موصل بيانات Netskope، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة، بالإضافة إلى مفتاح (مفاتيح) تخويل Netskope API [تأكد من أن الرمز المميز لديه أذونات لأحداث المعاملة].

الخيار 1 - استخدام قالب Azure Resource Manager (ARM) لنشر الجهاز الظاهري [مستحسن]

باستخدام قالب ARM، قم بنشر Azure VM، وقم بتثبيت المتطلبات الأساسية وابدأ التنفيذ.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه:

    • اسم صورة Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Netskope HostName
    • رمز واجهة برمجة تطبيقات Netskope
    • البحث عن الطابع الزمني (يمكن ترك الطابع الزمني للعصر الذي تريد البحث عن مؤشر pubsublite فارغا)
    • Workspace ID
    • مفتاح مساحة العمل
    • عدد مرات إعادة المحاولة للتراجع (عدد مرات إعادة المحاولة للأخطاء المتعلقة بالرمز المميز قبل إعادة تشغيل التنفيذ.)
    • وقت السكون للتراجع (عدد الثوان التي يجب وضعها في وضع السكون قبل إعادة المحاولة)
    • مهلة الخمول (عدد الثوان التي يجب انتظارها لبيانات معاملات الويب قبل إعادة تشغيل التنفيذ)
    • اسم الجهاز الظاهري
    • نوع المصادقة
    • كلمة مرور أو مفتاح المسؤول
    • بادئة تسمية DNS
    • إصدار نظام التشغيل Ubuntu
    • الموقع
    • حجم الجهاز الظاهري
    • Subnet Name
    • اسم مجموعة أمان الشبكة
    • نوع الأمان

  4. انقر فوق Review+Create.

  5. ثم بعد التحقق من الصحة، انقر فوق إنشاء للنشر.

الخيار 2 - النشر اليدوي على الجهاز الظاهري الذي تم إنشاؤه مسبقا

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل البيانات المستند إلى docker يدويا على جهاز ظاهري تم إنشاؤه مسبقا.

1. تثبيت docker وسحب صورة docker

ملاحظة: تأكد من أن الجهاز الظاهري يستند إلى linux (يفضل أن يكون Ubuntu).

  1. أولا ستحتاج إلى SSH في الجهاز الظاهري.
  2. الآن قم بتثبيت محرك docker.
  3. الآن اسحب صورة docker من docker hub باستخدام الأمر: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
  4. الآن لتشغيل صورة docker استخدم الأمر: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. يمكنك استبدال mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions بمعرف الصورة. فيما يلي docker_persistent_volume اسم المجلد الذي سيتم إنشاؤه على الجهاز الظاهري الذي سيتم تخزين الملفات فيه.

2. تكوين المعلمات

  1. بمجرد تشغيل صورة docker، ستطلب المعلمات المطلوبة.
  2. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيمها الخاصة (حساسة لحالة الأحرف):
    • Netskope HostName
    • رمز واجهة برمجة تطبيقات Netskope
    • البحث عن الطابع الزمني (يمكن ترك الطابع الزمني للعصر الذي تريد البحث عن مؤشر pubsublite فارغا)
    • Workspace ID
    • مفتاح مساحة العمل
    • عدد مرات إعادة المحاولة للتراجع (عدد مرات إعادة المحاولة للأخطاء المتعلقة بالرمز المميز قبل إعادة تشغيل التنفيذ.)
    • وقت السكون للتراجع (عدد الثوان التي يجب وضعها في وضع السكون قبل إعادة المحاولة)
    • مهلة الخمول (عدد الثوان التي يجب انتظارها لبيانات معاملات الويب قبل إعادة تشغيل التنفيذ)
  3. الآن بدأ التنفيذ ولكنه في الوضع التفاعلي، بحيث لا يمكن إيقاف shell. لتشغيله كعملية خلفية، أوقف التنفيذ الحالي بالضغط على Ctrl+C ثم استخدم الأمر: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. إيقاف حاوية docker

  1. استخدم الأمر sudo docker container ps لسرد حاويات docker قيد التشغيل. دون معرف الحاوية.
  2. الآن أوقف الحاوية باستخدام الأمر : sudo docker stop *<*container-id*>*

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.