Konektor Netskope Data Connector (pomocí Azure Functions) pro Microsoft Sentinel

Datový konektor Netskope poskytuje následující možnosti:

1. NetskopeToAzureStorage: Získejte data výstrah a událostí Netskope z Netskope a post do úložiště Azure.
2. StorageToSentinel: Získejte data událostí a upozornění Netskope z úložiště Azure a publikujte je do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics.
3. WebTxMetrics: Získejte data WebTxMetrics z Netskope a publikujte je do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics.

Další podrobnosti o rozhraních REST API najdete v následujících dokumentech:

1. Dokumentace k rozhraní Netskope API
2. Dokumentace ke službě Azure Storage
3. Dokumentace k microsoft loganalytice

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru	Popis
Tabulky Log Analytics	alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Netskope

Ukázky dotazů

Data výstrah Netskope CompromisedCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Data upozornění CTEP Netskope

alertsctepdata_CL

| sort by TimeGenerated desc

Data upozornění netskope ochrany před únikem informací

alertsdlpdata_CL

| sort by TimeGenerated desc

Netskope Malsite – data upozornění

alertsmalsitedata_CL

| sort by TimeGenerated desc

Data výstrah malwaru Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

Data upozornění zásad Netskope

alertspolicydata_CL

| sort by TimeGenerated desc

Data výstrah karantény Netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

Netskope Remediation Alerts Data

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment – data výstrah

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba Alerts Data

alertsubadata_CL

| sort by TimeGenerated desc

Netskope Data událostí aplikace.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Data událostí auditu Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Data událostí připojení Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Data událostí incidentů Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Data síťových událostí Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Data událostí stránky Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Netskope WebTransactions Metrics Data

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat s datovým konektorem Netskope (pomocí Azure Functions), ujistěte se, že máte:

• Předplatné Azure: Předplatné Azure s rolí vlastníka se vyžaduje k registraci aplikace v Azure Active Directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
• Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se tenant Netskope a token rozhraní Netskope API. Další informace o rozhraní API v referenčních informacích k rozhraní REST API najdete v dokumentaci.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraním Netskope API k načtení dat výstrah a událostí do vlastní tabulky protokolů. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 : Kroky registrace aplikace pro aplikaci v Microsoft Entra ID

Tato integrace vyžaduje registraci aplikace na webu Azure Portal. Podle kroků v této části vytvořte novou aplikaci v MICROSOFT Entra ID:

1. Přihlaste se k portálu Azure.
2. Vyhledejte a vyberte Microsoft Entra ID.
3. V části Spravovat vyberte Registrace aplikací > Nová registrace.
4. Zadejte zobrazovaný název aplikace.
5. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.
6. Po dokončení registrace se na webu Azure Portal zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta) a ID tenanta. ID klienta a ID tenanta se vyžadují jako parametry konfigurace pro spuštění playbooku TriggersSync.

Referenční odkaz: /azure/active-directory/develop/quickstart-register-app

KROK 2 : Přidání tajného klíče klienta pro aplikaci v Microsoft Entra ID

Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota požadovaná pro spuštění playbooku TriggersSync. Podle kroků v této části vytvořte nový tajný klíč klienta:

1. Na webu Azure Portal v Registrace aplikací vyberte svou aplikaci.
2. Vyberte Certifikáty a tajné > klíče > klienta Nové tajné klíče klienta.
3. Přidejte popis tajného kódu klienta.
4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost. Limit je 24 měsíců.
5. Vyberte Přidat.
6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Po opuštění této stránky se tento tajný kód už nikdy nezobrazí. Hodnota tajného kódu se vyžaduje jako parametr konfigurace pro spuštění playbooku TriggersSync.

Referenční odkaz: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3 : Přiřazení role Přispěvatel k aplikaci v Microsoft Entra ID

Přiřaďte roli podle kroků v této části:

1. Na webu Azure Portal přejděte do skupiny prostředků a vyberte skupinu prostředků.
2. V levém panelu přejděte na Řízení přístupu (IAM ).
3. Klikněte na Přidat a pak vyberte Přidat přiřazení role.
4. Vyberte Přispěvatel jako roli a klikněte na další.
5. V možnosti Přiřadit přístup vyberte User, group, or service principal.
6. Klikněte na přidat členy a zadejte název aplikace, který jste vytvořili, a vyberte ho.
7. Teď klikněte na Zkontrolovat a přiřadit a pak znovu klikněte na Zkontrolovat a přiřadit.

Referenční odkaz: /azure/role-based-access-control/role-assignments-portal

KROK 4 – Postup vytvoření nebo získání přihlašovacích údajů pro účet Netskope

Postupujte podle kroků v této části a vytvořte/získejte název hostitele Netskope a token rozhraní NETskope API:

1. Přihlaste se ke svému tenantovi Netskope a přejděte do nabídky Nastavení na levém navigačním panelu.
2. Klikněte na Nástroje a pak na REST API v2.
3. Teď klikněte na nové tlačítko tokenu. Pak se zobrazí žádost o název tokenu, dobu trvání vypršení platnosti a koncové body, ze kterého chcete načíst data.
4. Po kliknutí na tlačítko Uložit se token vygeneruje. Zkopírujte token a uložte ho na bezpečné místo pro další použití.

KROK 5 – Kroky vytvoření služby Azure Functions pro shromažďování dat Netskope a upozornění a událostí

DŮLEŽITÉ: Před nasazením datového konektoru Netskope je možné snadno zkopírovat ID pracovního prostoru a primární klíč pracovního prostoru (z následujícího) a také autorizační klíče rozhraní Netskope API.

Pomocí šablony ARM nasaďte aplikace funkcí pro příjem událostí Netskope a upozornění na data do služby Sentinel.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

3. Zadejte následující informace: Netskope HostName Netskope API Token Select Yes in Alerts and Events types dropdown for that endpoint you want fetch Alerts and Events Level Workspace ID Key

4. Klikněte na Zkontrolovat a vytvořit.

5. Po ověření klikněte na Vytvořit a nasaďte.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.