Connector „Netskope (mit Azure Functions)“ für Microsoft Sentinel

Der Netskope Cloud Security Platform-Connector bietet die Möglichkeit, Netskope-Protokolle und -Ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Netskope Platform-Ereignisse und -Warnungen in Microsoft Sentinel, sodass Sie Ihre Überwachungs- und Untersuchungsfunktionen verbessern können.

Connectorattribute

Connectorattribut	BESCHREIBUNG
Anwendungseinstellungen	apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (optional)
Azure-Funktions-App-Code	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Log Analytics-Tabellen	Netskope_CL
Unterstützung für Datensammlungsregeln	Derzeit nicht unterstützt
Unterstützt von	Netskope

Abfragebeispiele

Top 10: Benutzer

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

Top 10: Warnungen

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Voraussetzungen

Stellen Sie für die Integration in „Netskope (mit Azure Functions)“ sicher, dass Folgendes vorhanden ist:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
• Netskope-API-Token: Ein Netskope-API-Token ist erforderlich. Weitere Informationen zur Netskope-API finden Sie in der Dokumentation. Hinweis Ein Netskope-Konto ist erforderlich.

Installationsanweisungen des Anbieters

Hinweis

• Dieser Connector stellt über Azure Functions eine Verbindung mit Netskope her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
• Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „Netskope“, und laden Sie den Funktionscode, oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage den/die Hostnamen Ihrer Netskope-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

(Optionaler Schritt) Speichern Sie den/die Autorisierungsschlüssel oder das/die Token für den Arbeitsbereich und die API sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Netskope-API

Befolgen Sie diese Anweisungen von Netskope, um ein API-Token abzurufen. Hinweis Ein Netskope-Konto ist erforderlich.

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

Wichtig

Vor der Bereitstellung des Netskope-Connectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (diese Informationen können aus dem folgenden Beispiel kopiert werden) sowie das Autorisierungstoken der Netskope-API zur Hand haben.

Option 1: Azure Resource Manager-Vorlage (ARM)

Diese Methode stellt eine automatisierte Bereitstellung des Netskope-Connectors mithilfe einer ARM-Vorlage bereit.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   

2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.

3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Schlüssel und den URI ein.

• Verwenden Sie das folgende Schema für den uri-Wert: https://<Tenant Name>.goskope.com. Ersetzen Sie <Tenant Name> durch Ihre Domäne.
• Das standardmäßige Zeitintervall ist so festgelegt, dass immer die Daten der letzten fünf (5) Minuten gepullt werden. Wenn das Zeitintervall geändert werden muss, empfiehlt es sich, den Timertrigger der Funktions-App entsprechend zu ändern (in der Datei „function.json“, nach der Bereitstellung), um Überschneidungen bei der Datenerfassung zu verhindern.
• Die Einstellung für Standardprotokolltypen sind so festgelegt, dass alle 6 verfügbaren Protokolltypen (alert, page, application, audit, infrastructure, network) abgerufen werden. Entfernen Sie nicht erforderliche Typen.

  Hinweis

  Wenn Sie für einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen.
6. Nachdem Sie den Connector erfolgreich bereitgestellt haben, laden Sie die Kusto-Funktion herunter, um die Datenfelder zu normalisieren. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias Netskope zu verwenden.

Option 2: Manuelle Bereitstellung von Azure Functions

Diese Methode bietet eine Schrittanleitung für die manuelle Bereitstellung des Netskope-Connectors mit einer Azure-Funktion.

1. Erstellen einer Funktions-App

1. Navigieren Sie im Azure-Portal zu Funktions-App, und wählen Sie + Hinzufügen aus.
2. Stellen Sie auf der Registerkarte Grundlagen sicher, dass der Runtimestapel auf PowerShell Core festgelegt ist.
3. Stellen Sie auf der Registerkarte Hosting sicher, dass der Plantyp Verbrauch (serverlos) ausgewählt ist.
4. Nehmen Sie bei Bedarf weitere Konfigurationsänderungen vor, und klicken Sie dann auf Erstellen.

2. Importieren von Funktions-App-Code

1. Wählen Sie in der neu erstellten Funktions-App im linken Bereich Funktionen aus, und klicken Sie auf + Hinzufügen.
2. Wählen Sie Zeitgebertrigger.
3. Geben Sie einen eindeutigen Funktionsnamen ein, und ändern Sie den Cron-Zeitplan bei Bedarf. Der Standardwert ist so festgelegt, dass die Funktions-App alle 5 Minuten ausgeführt wird. (Hinweis: Der Timertrigger sollte mit dem folgenden timeInterval-Wert übereinstimmen, um Überschneidungen bei Daten zu verhindern). Klicken Sie auf Erstellen.
4. Klicken Sie im linken Bereich auf Programmieren und testen.
5. Kopieren Sie den Funktions-App-Code, und fügen Sie ihn in den Funktions-App-Editor run.ps1 ein.
6. Klicken Sie auf Speichern.

3. Konfigurieren der Funktions-App

1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden sieben (7) Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (optional).

• Geben Sie den URI für Ihre Region ein. Der uri-Wert muss dem folgenden Schema entsprechen: https://<Tenant Name>.goskope.com. Es ist nicht erforderlich, dem URI weitere Parameter hinzuzufügen. Die Funktions-App fügt die Parameter dynamisch im richtigen Format an.
• Legen Sie timeInterval (in Minuten) auf den Standardwert 5 fest, entsprechend dem standardmäßigen Timertrigger „Alle 5 Minuten“. Wenn das Zeitintervall geändert werden muss, empfiehlt es sich, den Timertrigger der Funktions-App entsprechend zu ändern, um Überschneidungen bei der Datenerfassung zu verhindern.
• Legen Sie logTypes auf alert, page, application, audit, infrastructure, network fest. Diese Liste repräsentiert alle verfügbaren Protokolltypen. Wählen Sie die Protokolltypen basierend auf Ihren Protokollierungsanforderungen aus, und trennen Sie die Einträge durch ein einzelnes Komma.

  Hinweis

  Bei Verwendung von Azure Key Vault verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.
5. Nachdem Sie den Connector erfolgreich bereitgestellt haben, laden Sie die Kusto-Funktion herunter, um die Datenfelder zu normalisieren. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias Netskope zu verwenden.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.