Compartir a través de


Conector de datos Netskope Web Transactions (mediante Azure Functions) para Microsoft Sentinel

El conector de datos Netskope Web Transactions proporciona la funcionalidad de una imagen de Docker para extraer los datos de Netskope Web Transactions de google pubsublite, procesarlos e ingerir los datos procesados en Log Analytics. Como parte de este conector de datos, se formarán dos tablas en Log Analytics, una para los datos de Web Transactions y otra para los errores detectados durante la ejecución.

Para más información relacionada con Web Transactions, vea la siguiente documentación: Documentación de Netskope Web Transactions

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Netskope

Ejemplos de consultas

Datos de Netskope Web Transactions

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Errores del conector de datos de Netskope Web Transaction

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con el conector de datos de Netskope Web Transaction (mediante Azure Functions), asegúrese de que tiene lo siguiente:

Instrucciones de instalación del proveedor

Nota:

Este conector proporciona la funcionalidad de ingerir datos de Netskope Web Transactions mediante una imagen de Docker que se va a implementar en una máquina virtual (de Azure o local). Consulte la página Precios de máquinas virtuales de Azure para obtener los detalles.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos para crear u obtener credenciales para la cuenta de Netskope

Siga los pasos de esta sección para crear u obtener el Nombre de host de Netskope y el Token de API de Netskope:

  1. Inicie sesión en el inquilino de Netskope y vaya al menú Configuración en la barra de navegación de la izquierda.
  2. Haga clic en Herramientas y después en API REST v2
  3. Ahora, haga clic en el botón Nuevo token. Después, se le solicitará el nombre del token, la duración de la expiración y los puntos de conexión de los que quiere capturar datos.
  4. Una vez que haya hecho esto, haga clic en el botón Guardar; se generará el token. Copie el token y guárdelo en un lugar seguro para su uso posterior.

**PASO 2: Elija una de las dos opciones de implementación siguientes para implementar el conector de datos basado en Docker a fin de ingerir datos de Netskope Web Transactions **

IMPORTANTE: Antes de implementar el conector de datos de Netskope, tenga disponibles el id. y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización de la API de Netskope [Asegúrese de que el token tenga permisos para los eventos de transacción].

Opción 1: Uso de una plantilla de Azure Resource Manager (ARM) para implementar la máquina virtual [Recomendado]

Con la plantilla de ARM, implemente una máquina virtual de Azure, instale los requisitos previos e inicie la ejecución.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Introduzca la siguiente información:

    • Nombre de la imagen de Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Nombre de host de Netskope
    • Token de API de Netskope
    • Buscar marca de tiempo (la marca de tiempo de época que quiere buscar el puntero pubsublite, se puede dejar vacío)
    • Id. de área de trabajo
    • Clave del área de trabajo
    • Recuento de reintentos de retroceso (recuento de reintentos para errores relacionados con el token antes de reiniciar la ejecución).
    • Tiempo de suspensión de retroceso (número de segundos de suspensión antes del reintento)
    • Tiempo de espera de inactividad (número de segundos de espera de datos de transacciones web antes de reiniciar la ejecución)
    • Nombre de la máquina virtual
    • Tipo de autenticación
    • Contraseña o clave de administrador
    • Prefijo de etiqueta DNS
    • Versión del sistema operativo Ubuntu
    • Location
    • Tamaño de VM
    • Nombre de subred
    • Nombre del grupo de seguridad de red
    • Tipo de seguridad
  4. Haga clic en Revisar y crear.

  5. Después de la validación, haga clic en Crear para realizar la implementación.

Opción 2: Implementación manual en una máquina virtual creada anteriormente

Use las siguientes instrucciones paso a paso para implementar de forma manual el conector de datos basado en Docker en una máquina virtual creada anteriormente.

1. Instalación de Docker y extracción de la imagen de Docker

NOTA: Asegúrese de que la máquina virtual está basada en Linux (preferiblemente Ubuntu).

  1. En primer lugar, deberá acceder mediante SSH a la máquina virtual.
  2. Ahora, instale el motor de Docker.
  3. Después, extraiga la imagen de Docker desde Docker Hub mediante el comando: "sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".
  4. Ahora para ejecutar la imagen de Docker, use el comando: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Puede reemplazar mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions por el id. de imagen. Aquí docker_persistent_volume es el nombre de la carpeta que se creará en la máquina virtual en la que se almacenarán los archivos.

2. Configuración de los parámetros

  1. Una vez que la imagen de Docker esté en ejecución, se le pedirán los parámetros obligatorios.
  2. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores (distingue mayúsculas de minúsculas):
    • Nombre de host de Netskope
    • Token de API de Netskope
    • Buscar marca de tiempo (la marca de tiempo de época que quiere buscar el puntero pubsublite, se puede dejar vacío)
    • Id. de área de trabajo
    • Clave del área de trabajo
    • Recuento de reintentos de retroceso (recuento de reintentos para errores relacionados con el token antes de reiniciar la ejecución).
    • Tiempo de suspensión de retroceso (número de segundos de suspensión antes del reintento)
    • Tiempo de espera de inactividad (número de segundos de espera de datos de transacciones web antes de reiniciar la ejecución)
  3. Ya se ha iniciado la ejecución, pero está en modo interactivo, por lo que no se puede detener el shell. Para que se ejecute como un proceso en segundo plano, presione Ctrl+C para detener la ejecución actual y, después, use el comando: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Detención del contenedor de Docker

  1. Use el comando sudo docker container ps para enumerar los contenedores de Docker en ejecución. Anote el id. del contenedor.
  2. Ahora, detenga el contenedor mediante el comando: sudo docker stop *<*container-id*>*

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.