Netskope Data Connector (à l’aide d’Azure Functions) pour Microsoft Sentinel
Le connecteur de données Netskope fournit les capacités suivantes :
- NetskopeToAzureStorage : obtenez les données d’alertes et d’événements de Netskope et publiez-les dans le stockage Azure.
- StorageToSentinel : obtenez les données d’alertes et d’événements de Netskope à partir du stockage Azure et publiez-les dans une table de journaux personnalisée dans l’espace de travail Log Analytics.
- WebTxMetrics : obtenez les données WebTxMetrics de Netskope et publiez-les dans une table de journaux personnalisée dans l’espace de travail Log Analytics.
Pour plus d’informations sur les API REST, consultez les documentations ci-dessous :
- Documentation de l'API Netskope
- Documentation sur le stockage Azure
- Documentation d’analyse des journaux Microsoft
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Netskope |
Exemples de requête
Données d’alertes Netskope CompromisedCredential
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope CTEP
alertsctepdata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope DLP
alertsdlpdata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope Malsite
alertsmalsitedata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope Malware
alertsmalwaredata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope Policy
alertspolicydata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope Quarantine
alertsquarantinedata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope Remediation
alertsremediationdata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope SecurityAssessment
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
Données d’alertes Netskope Uba
alertsubadata_CL
| sort by TimeGenerated desc
Données d’événements Netskope Application.
eventsapplicationdata_CL
| sort by TimeGenerated desc
Données d’événements Netskope Audit
eventsauditdata_CL
| sort by TimeGenerated desc
Données d’événements Netskope Connection
eventsconnectiondata_CL
| sort by TimeGenerated desc
Données d’événements Netskope Incident
eventsincidentdata_CL
| sort by TimeGenerated desc
Données d’événements Netskope Network
eventsnetworkdata_CL
| sort by TimeGenerated desc
Données d’événements Netskope Page
eventspagedata_CL
| sort by TimeGenerated desc
Données de métriques Netskope WebTransactions
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
Prérequis
Pour l’intégration à Netskope Data Connector (à l’aide d’Azure Functions), assurez-vous de disposer des éléments suivants :
- Abonnement Azure : un abonnement Azure avec un rôle de propriétaire est requis pour inscrire une application dans Azure Active Directory() et attribuer un rôle de contributeur à une application dans un groupe de ressources.
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de l’API REST : le tenant Netskope et le jeton d’API Netskope sont nécessaires. Consultez la documentation pour découvrir plus d’informations sur la référence de l’API REST
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter aux API Netskope afin d’extraire ses données d’alertes et d’événements dans une table de journaux personnalisée. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 : étapes d’enregistrement d’une application pour une application dans Microsoft Entra ID
Cette intégration nécessite l’enregistrement de l’application dans le portail Microsoft Azure. Suivez les étapes de cette section pour créer une nouvelle application dans Microsoft Entra ID :
- Connectez-vous au portail Azure.
- Recherchez et sélectionnez Microsoft Entra ID.
- Sous Gérer, sélectionnez Inscriptions d’applications> Nouvelle inscription.
- Entrez un nom d’affichage pour votre application.
- Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.
- Une fois l’inscription terminée, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Copiez l'ID d'application (client) et l'ID de locataire. L’ID client et l’ID tenant sont des paramètres de configuration nécessaires pour l’exécution du playbook TriggersSync.
Lien de référence :/azure/active-directory/develop/quickstart-register-app
ÉTAPE 2 : ajouter une clé secrète client pour l’application dans Microsoft Entra ID
Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne nécessaire pour l’exécution du playbook TriggersSync. Suivez les étapes de cette section pour créer une nouvelle clé secrète client :
- Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.
- Sélectionnez Certificats et clés secrètes client > Clé secrète client > Nouvelle clé secrète client.
- Ajoutez une description pour votre clé secrète client.
- Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
- Sélectionnez Ajouter.
- Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page. La valeur secrète est un paramètre de configuration nécessaire pour l’exécution du playbook TriggersSync.
Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ÉTAPE 3 : attribuer le rôle de contributeur à l’application dans Microsoft Entra ID
Suivez les étapes décrites dans cette section pour attribuer le rôle :
- Dans le portail Microsoft Azure, accédez à Groupes de ressources, puis sélectionnez le groupe de ressources.
- Accédez au contrôle d’accès (IAM) dans le panneau de gauche.
- Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
- Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
- Dans Attribuer l’accès à, sélectionnez
User, group, or service principal. - Cliquez sur Ajouter des membres et tapez le nom de l’application que vous avez créé et sélectionnez-le.
- Cliquez maintenant sur Évaluer + attribuer, puis cliquez à nouveau sur Évaluer + attribuer.
Lien de référence :/azure/role-based-access-control/role-assignments-portal
ÉTAPE 4 : étapes de création/d’obtention d’informations d’identification pour le compte Netskope
Suivez les étapes décrites dans cette section pour créer/obtenir le nom d'hôte de Netskope et le jeton d’API de Netskope :
- Connectez-vous à votre tenant Netskope et accédez au menu Paramètres dans la barre de navigation de gauche.
- Cliquez sur Outils, puis sur API REST v2
- À présent, cliquez sur le bouton du nouveau jeton. Vous devez ensuite fournir le nom du jeton, la durée d’expiration et les points de terminaison à partir desquels vous souhaitez extraire des données.
- Une fois que vous avez terminé, cliquez sur le bouton Enregistrer afin de générer le jeton. Copiez le jeton et enregistrez-le à un emplacement sécurisé pour une utilisation ultérieure.
ÉTAPE 5 : étapes de création des fonctions Azure pour la collecte de données d’alertes et d’événement Netskope
IMPORTANT : avant de déployer le connecteur de données Netskope, ayez à disposition l’ID d’espace de travail et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que la ou les clés d’autorisation d’API Netskope.
À l’aide du modèle ARM, déployez les applications de fonction pour l’ingestion des données d’alertes et d’événements Netskope sur Sentinel.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez les informations ci-dessous : nom d'hôte Netskope, jeton d’API Netskope ; sélectionnez Oui dans la liste déroulante Types d’alertes et événements pour le point de terminaison que vous souhaitez extraire ; niveau de journal des alertes et des événements, ID de l'espace de travail, clé de l'espace de travail
Cliquez sur Vérifier + créer.
Ensuite, après la validation, cliquez sur Créer pour déployer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour