Konnektor „Netskope Data Connector“ (über Azure Functions) für Microsoft Sentinel
Der Netskope-Datenkonnektor bietet die folgenden Funktionen:
- NetskopeToAzureStorage: Rufen Sie die Netskope-Warnungen und Ereignisdaten von Netskope ab, und posten Sie sie im Azure-Speicher.
- StorageToSentinel: Rufen Sie die Netskope-Warnungen und Ereignisdaten aus dem Azure-Speicher ab, und posten Sie sie in der benutzerdefinierten Protokolltabelle im Log Analytics-Arbeitsbereich.
- WebTxMetrics: Rufen Sie die WebTxMetrics-Daten aus Netskope ab, und posten Sie sie in einer benutzerdefinierten Protokolltabelle im Log Analytics-Arbeitsbereich.
Weitere Informationen zu den REST-APIs finden Sie in folgenden Dokumentation:
- Dokumentation zur Netskope-API
- Dokumentation zum Azure-Speicher
- Dokumentation zu Microsoft Log Analytics
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Netskope |
Abfragebeispiele
Netskope CompromisedCredential-Warnungsdaten
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
Netskope CTEP-Warnungsdaten
alertsctepdata_CL
| sort by TimeGenerated desc
Netskope DLP-Warnungsdaten
alertsdlpdata_CL
| sort by TimeGenerated desc
Netskope Malsite-Warnungsdaten
alertsmalsitedata_CL
| sort by TimeGenerated desc
Netskope Malware-Warnungsdaten
alertsmalwaredata_CL
| sort by TimeGenerated desc
Netskope-Richtlinien-Warnungsdaten
alertspolicydata_CL
| sort by TimeGenerated desc
Netskope-Quarantäne-Warnungsdaten
alertsquarantinedata_CL
| sort by TimeGenerated desc
Netskope-Behebungswarnungsdaten
alertsremediationdata_CL
| sort by TimeGenerated desc
Netskope SecurityAssessment-Warnungsdaten
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
Netskope Uba-Warnungsdaten
alertsubadata_CL
| sort by TimeGenerated desc
Netskope-Anwendungsereignisdaten.
eventsapplicationdata_CL
| sort by TimeGenerated desc
Netskope-Überprüfungsereignisdaten
eventsauditdata_CL
| sort by TimeGenerated desc
Netskope-Verbindungsereignisdaten
eventsconnectiondata_CL
| sort by TimeGenerated desc
Netskope-Vorfallereignisdaten
eventsincidentdata_CL
| sort by TimeGenerated desc
Netskope-Netzwerkereignisdaten
eventsnetworkdata_CL
| sort by TimeGenerated desc
Netskope-Seitenereignisdaten
eventspagedata_CL
| sort by TimeGenerated desc
Netskope WebTransactions-Metrikdaten
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
Voraussetzungen
Für die Integration mit Netskope Data Connector (über Azure Functions) müssen die folgenden Voraussetzungen erfüllt sein:
- Azure-Abonnement: Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Azure Active Directory() zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- REST-API-Anmeldeinformationen/-Berechtigungen: Netskope-Mandant und Netskope-API-Token sind erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation in der REST-API-Referenz.
Installationsanweisungen des Anbieters
Hinweis
Dieser Konnektor verwendet Azure Functions, um eine Verbindung mit den Netskope-APIs herzustellen, damit die zugehörigen Warnungs- und Ereignisdaten in eine benutzerdefinierte Protokolltabelle gepullt werden können. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1 – App-Registrierungsschritte für die Anwendung in Microsoft Entra ID
Für diese Integration ist eine App-Registrierung im Azure-Portal erforderlich. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:
- Melden Sie sich beim Azure-Portal an.
- Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
- Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.
- Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
- Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt. Hier werden die Anwendungs-ID (Client) und die Mandanten-ID angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.
Referenzlink:/azure/active-directory/develop/quickstart-register-app
SCHRITT 2 – Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID
Ein geheimer Clientschlüssel wird manchmal auch als Anwendungskennwort bezeichnet. Es handelt sich dabei um einen Zeichenfolgenwert, der für die Ausführung des TriggersSync-Playbooks erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:
- Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
- Wählen Sie Zertifikate und Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
- Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
- Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
- Wählen Sie Hinzufügen aus.
- Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.
Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
SCHRITT 3 – Zuweisen der Rolle „Mitwirkender“ zur Anwendung in Microsoft Entra ID
Um die Rolle zuzuweisen, führen Sie die Schritte in diesem Abschnitt aus:
- Wechseln Sie im Azure-Portal zu Ressourcengruppen, und wählen Sie Ihre Ressourcengruppe aus.
- Wechseln Sie im linken Bereich zu Zugriffssteuerung (IAM).
- Klicken Sie auf Hinzufügen, und wählen Sie anschließend Rollenzuweisung hinzufügen aus.
- Wählen Sie Mitwirkenden als Rolle aus, und klicken Sie auf „Weiter“.
- Wählen Sie unter Zugriff zuweisen zu die Option
User, group, or service principalaus. - Klicken Sie auf Mitglieder hinzufügen, geben Sie den von Ihnen erstellten App-Namen ein, und wählen Sie ihn aus.
- Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.
Referenzlink:/azure/role-based-access-control/role-assignments-portal
SCHRITT 4 – Schritte zum Erstellen/Abrufen von Anmeldeinformationen für das Netskope-Konto
Führen Sie die Schritte in diesem Abschnitt aus, um den Netskope-Hostnamen und das Netskope-API-Token zu erstellen und abzurufen:
- Melden Sie sich bei Ihrem Netskope-Mandanten an, und wechseln Sie in der linken Navigationsleiste zum Menü „Einstellungen“.
- Klicken Sie auf „Extras“ und dann auf REST-API V2.
- Klicken Sie jetzt auf die Schaltfläche „Neues Token“. Anschließend werden der Tokenname, die Ablaufdauer und die Endpunkte angefordert, von denen Sie Daten abrufen möchten.
- Wenn dies abgeschlossen ist, klicken Sie auf die Schaltfläche „Speichern“. Daraufhin wird das Token generiert. Kopieren Sie das Token, und speichern Sie es an einem sicheren Ort für die weitere Verwendung.
SCHRITT 5 – Schritte zum Erstellen der Azure-Funktionen für die Sammlung von Netskope-Warnungen und -Ereignisdaten
WICHTIG: Für die Bereitstellung des Netskope-Datenkonnektors müssen Sie die Arbeitsbereich-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können im Folgenden kopiert werden) sowie die Autorisierungsschlüssel für die Netskope-API zur Hand haben.
Verwenden Sie die ARM-Vorlage, um die Funktions-Apps bereitzustellen, mit denen die Netskope-Warnungen und -Ereignisdaten in Sentinel erfasst werden.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Geben Sie die folgenden Informationen ein: Netskope-Hostname und Netskope-API-Token. Wählen Sie die Option „Ja“ im Dropdownmenü für die Warnungs- und Ereignistypen aus, die Sie für den Endpunkt abrufen möchten. Protokollstufe für Warnungen und Ereignisse, Arbeitsbereich-ID sowie Schlüssel für den Arbeitsbereich.
Klicken Sie auf Überprüfen + erstellen.
Klicken Sie nach der Validierung auf Erstellen, um die Bereitstellung durchzuführen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für