Connecteur Netskope (avec Azure Functions) pour Microsoft Sentinel

Le connecteur Netskope Cloud Security Platform permet d’ingérer les journaux et les événements Netskope dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les événements et alertes de la plateforme Netskope dans Microsoft Sentinel afin d’améliorer les fonctionnalités de surveillance et d’investigation.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur	Description
Paramètres d’application	apikey workspaceID workspaceKey URI timeInterval logTypes logAnalyticsUri (facultatif)
Code d’application de fonction Azure	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Table(s) Log Analytics	Netskope_CL
Support des Règles de collecte de données	Non prise en charge pour le moment
Pris en charge par	Netskope

Exemples de requête

10 principaux utilisateurs

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

10 principales alertes

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Prérequis

Pour intégrer Netskope (avec Azure Functions), assurez-vous de disposer des éléments suivants :

• Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
• Jeton d’API Netskope : un jeton d’API Netskope est requis. Consultez la documentation pour en savoir plus sur l’API Netskope. REMARQUE : Un compte Netskope est requis

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter aux solutions Netskope et ainsi extraire les journaux dans Microsoft Sentinel. Il peut en résulter des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui est déployé dans le cadre de la solution, pour fonctionner comme prévu. Pour afficher le code de la fonction dans l’analytique des journaux d’activité, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias Netskope et chargez le code de la fonction ou cliquez ici, sur la deuxième ligne de la requête, entrez le ou les noms d’hôte de vos appareils Netskope et tous les autres identificateurs uniques du flux de journaux. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 - Étapes de configuration pour l’API Netskope

Suivez ces instructions fournies par Netskope pour obtenir un jeton d’API. REMARQUE : Un compte Netskope est requis

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant de déployer le connecteur de données Netskope, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation d’API Netskope, déjà disponibles.

Option 1 – Modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur Netskope à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   

2. Sélectionnez les valeurs de votre choix pour Abonnement, Groupe de ressources et Emplacement.

3. Entrez l’ID d’espace de travail, la Clé d’espace de travail, la Clé d’API et l’URI.

• Utilisez le schéma suivant pour la valeur uri : https://<Tenant Name>.goskope.com Remplacez <Tenant Name> par votre domaine.
• L’Intervalle de temps par défaut est défini pour extraire les cinq (5) dernières minutes de données. Si l’intervalle de temps doit être modifié, il est recommandé de modifier le déclencheur du minuteur d’application de fonction en conséquence (dans le fichier function.json, post-déploiement) pour éviter le chevauchement de l’ingestion des données.
• Les Types de journaux par défaut sont définis pour extraire les 6 types de journaux disponibles (alert, page, application, audit, infrastructure, network), et supprimer ceux qui ne sont pas obligatoires.
• Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.

4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
5. Cliquez sur Acheter pour déployer.
6. Après avoir correctement déployé le connecteur, téléchargez la fonction Kusto pour normaliser les champs de données. Suivez les étapes pour utiliser l’alias de fonction Kusto, Netskope.

Option 2 – Déploiement manuel d’Azure Functions

Cette méthode fournit les instructions pas à pas permettant de déployer manuellement le connecteur Netskope avec Azure Function.

1. Créer une application de fonction

1. Dans le portail Azure, accédez à Application de fonction, puis sélectionnez + Ajouter.
2. Sous l’onglet Informations de base, vérifiez que la pile d’exécution est définie sur PowerShell Core.
3. Sous l’onglet Hébergement, vérifiez que le type de plan Consommation (serverless) est sélectionné.
4. Apportez d’autres modifications de configuration si nécessaire, puis cliquez sur Créer.

2. Importer le code de l’application de fonction

1. Dans l’application de fonction nouvellement créée, sélectionnez Fonctions dans le volet gauche, puis cliquez sur + Ajouter.
2. Sélectionnez Déclencheur de minuteur.
3. Entrez un Nom de fonction unique et modifiez la planification cron si nécessaire. La valeur par défaut est définie pour exécuter l’application de fonction toutes les 5 minutes. (Remarque : Le déclencheur du minuteur doit correspondre à la valeur timeInterval ci-dessous pour éviter les chevauchements de données). Cliquez sur Créer.
4. Cliquez sur Code + Test dans le volet gauche.
5. Copiez le Code de l’application de fonction et collez-le dans l’éditeur d’application de fonction run.ps1.
6. Cliquez sur Enregistrer.

3. Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des sept (7) paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) : apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (facultatif)

• Entrez l’URI qui correspond à votre région. La valeur uri doit suivre le schéma suivant : https://<Tenant Name>.goskope.com - Il n’est pas nécessaire d’ajouter d’autres paramètres à l’URI ; l’application de fonction ajoute dynamiquement les paramètres dans le format approprié.
• Définissez timeInterval (en minutes) sur la valeur par défaut de 5 pour correspondre au déclencheur du minuteur par défaut de toutes les 5 minutes. Si l’intervalle de temps doit être modifié, il est recommandé de modifier le déclencheur du minuteur d’application de fonction en conséquence pour éviter le chevauchement de l’ingestion des données.
• Définissez logTypes sur alert, page, application, audit, infrastructure, network : cette liste représente tous les types de journaux valides. Sélectionnez les types de journaux en fonction des exigences de journalisation, en séparant chacun par une seule virgule.
• Remarque : Si vous utilisez des secrets Azure Key Vault, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.
• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us. 4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer. 5. Après avoir correctement déployé le connecteur, téléchargez la fonction Kusto pour normaliser les champs de données. Suivez les étapes pour utiliser l’alias de fonction Kusto, Netskope.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.