Konnektor „Netskope Web Transactions Data Connector“ (über Azure Functions) für Microsoft Sentinel
Der Datenkonnektor Netskope Web Transactions bietet die Funktionalität eines Docker-Images, um die Netskope Web Transactions-Daten aus Google Pubsublite abzurufen, die Daten zu verarbeiten und die verarbeiteten Daten in Log Analytics zu erfassen. Mit diesem Datenkonnektor werden zwei Tabellen in Log Analytics gebildet, eine für Web Transactions-Daten und die andere für Fehler, die während der Ausführung aufgetreten sind.
Weitere Informationen zu Web Transactions finden Sie in der folgenden Dokumentation: Netskope Web Transactions-Dokumentation
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Netskope |
Abfragebeispiele
Netskope Web Transactions-Daten
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Fehler bei Netskope Web Transactions Data Connector
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration mit Netskope Web Transactions Data Connector (über Azure Functions) sicher, dass die folgenden Voraussetzungen erfüllt sind:
- Azure-Abonnement: Ein Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
- Microsoft.Compute-Berechtigungen: Lese- und Schreibberechtigungen für Azure-VMs sind erforderlich. Weitere Informationen zu Azure-VMs finden Sie in der Dokumentation.
- TransactionEvents-Anmeldeinformationen und -Berechtigungen: Netskope-Mandant und Netskope-API-Token sind erforderlich. Weitere Informationen zu Transaktionsereignissen finden Sie in der Dokumentation.
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Konnektor bietet die Funktionalität für die Erfassung von Netskope Web Transactions-Daten mithilfe eines Docker-Images, das auf einer VM bereitgestellt werden soll (entweder Azure-VM/lokale VM). Ausführliche Informationen finden Sie auf der Seite mit den Preisen für Azure-VMs.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1 – Schritte zum Erstellen/Abrufen von Anmeldeinformationen für das Netskope-Konto
Führen Sie die Schritte in diesem Abschnitt aus, um den Netskope-Hostnamen und das Netskope-API-Token zu erstellen und abzurufen:
- Melden Sie sich bei Ihrem Netskope-Mandanten an, und wechseln Sie in der linken Navigationsleiste zum Menü „Einstellungen“.
- Klicken Sie auf „Extras“ und dann auf REST-API V2.
- Klicken Sie jetzt auf die Schaltfläche „Neues Token“. Anschließend werden der Tokenname, die Ablaufdauer und die Endpunkte angefordert, von denen Sie Daten abrufen möchten.
- Wenn dies abgeschlossen ist, klicken Sie auf die Schaltfläche „Speichern“. Daraufhin wird das Token generiert. Kopieren Sie das Token, und speichern Sie es an einem sicheren Ort für die weitere Verwendung.
**SCHRITT 2 : Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Docker-basierten Datenkonnektor bereitzustellen, damit Netskope Web Transactions-Daten erfasst werden können **
WICHTIG: Für die Bereitstellung des Netskope-Datenkonnektors müssen Sie die Arbeitsbereich-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können im Folgenden kopiert werden) sowie die Autorisierungsschlüssel für die Netskope-API zur Hand haben. (Stellen Sie sicher, dass das Token Berechtigungen für Transaktionsereignisse hat.)
Option 1 – Verwenden einer ARM-Vorlage (Azure Resource Manager) zum Bereitstellen der VM [empfohlen]
Installieren Sie mithilfe der ARM-Vorlage eine Azure-VM, installieren Sie die erforderlichen Komponenten, und starten Sie die Ausführung.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Fügen Sie die folgenden Informationen hinzu:
- Docker-Image-Name (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope-Hostname
- Netskope-API-Token
- Suchzeitstempel (der Epochenzeitstempel für die Suche nach dem Pubsublite-Zeiger, kann leer bleiben)
- Arbeitsbereichs-ID
- Arbeitsbereichsschlüssel
- Anzahl der Backoff-Wiederholungsversuche (Wiederholungsanzahl für tokenbezogene Fehler vor dem Neustart der Ausführung.)
- Backoff-Ruhezustandszeit (Anzahl der Sekunden im Ruhezustand vor dem Wiederholen)
- Leerlauftimeout (Anzahl der Sekunden, die vor dem Neustart der Ausführung auf Web Transactions Data gewartet wird)
- VM-Name
- Authentifizierungstyp
- Administratorkennwort oder Schlüssel
- Präfix der DNS-Bezeichnung
- Ubuntu-Betriebssystemversion
- Location
- Größe des virtuellen Computers
- Subnetzname
- Name der Netzwerksicherheitsgruppe
- Sicherheitstyp
Klicken Sie auf Überprüfen + erstellen.
Klicken Sie nach der Validierung auf Erstellen, um die Bereitstellung durchzuführen.
Option 2 – Manuelle Bereitstellung auf zuvor erstellten VMs
Verwenden Sie die folgenden Schritt-für-Schritt-Anleitungen, um den Docker-basierten Datenkonnektor manuell auf einer zuvor erstellten VM bereitzustellen.
1. Installieren von Docker und Pullen des Docker-Images
HINWEIS: Stellen Sie sicher, dass die VM auf Linux basiert (vorzugsweise Ubuntu).
- Zunächst müssen Sie SSH auf der VM ausführen.
- Installieren Sie nun die Docker-Engine.
- Pullen Sie nun das Docker-Image vom Docker-Hub. Verwenden Sie dazu diesen Befehl: „sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions“.
- Führen Sie jetzt das Docker-Image mit diesem Befehl aus:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Sie könnenmgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactionsdurch die Image-ID ersetzen. Hier istdocker_persistent_volumeder Name des Ordners, der auf der VM erstellt wird, in der die Dateien gespeichert werden.
2. Konfigurieren der Parameter
- Sobald das Docker-Image ausgeführt wird, werden die erforderlichen Parameter angefordert.
- Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten):
- Netskope-Hostname
- Netskope-API-Token
- Suchzeitstempel (der Epochenzeitstempel für die Suche nach dem Pubsublite-Zeiger, kann leer bleiben)
- Arbeitsbereichs-ID
- Arbeitsbereichsschlüssel
- Anzahl der Backoff-Wiederholungsversuche (Wiederholungsanzahl für tokenbezogene Fehler vor dem Neustart der Ausführung.)
- Backoff-Ruhezustandszeit (Anzahl der Sekunden im Ruhezustand vor dem Wiederholen)
- Leerlauftimeout (Anzahl der Sekunden, die vor dem Neustart der Ausführung auf Web Transactions Data gewartet wird)
- Jetzt wurde die Ausführung gestartet, befindet sich aber im interaktiven Modus, sodass die Shell nicht beendet werden kann. Um sie als Hintergrundprozess auszuführen, beenden Sie die aktuelle Ausführung, indem Sie STRG+C drücken. Verwenden Sie dann diesen Befehl:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Beenden des Docker-Containers
- Verwenden Sie den Befehl
sudo docker container ps, um die Docker-Container aufzulisten, die ausgeführt werden. Notieren Sie sich die Container-ID. - Beenden Sie den Container jetzt mit diesem Befehl:
sudo docker stop *<*container-id*>*
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.