Partager via

Netskope Data Connector (à l’aide d’Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur de données Netskope fournit les capacités suivantes :

  1. NetskopeToAzureStorage : obtenez les données d’alertes et d’événements de Netskope et publiez-les dans le stockage Azure.
  2. StorageToSentinel : obtenez les données d’alertes et d’événements de Netskope à partir du stockage Azure et publiez-les dans une table de journaux personnalisée dans l’espace de travail Log Analytics.
  3. WebTxMetrics : obtenez les données WebTxMetrics de Netskope et publiez-les dans une table de journaux personnalisée dans l’espace de travail Log Analytics.

Pour plus d’informations sur les API REST, consultez les documentations ci-dessous :

  1. Documentation de l'API Netskope
  2. Documentation sur le stockage Azure
  3. Documentation d’analyse des journaux Microsoft

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Netskope

Exemples de requête

Données d’alertes Netskope CompromisedCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope CTEP

alertsctepdata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope DLP

alertsdlpdata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope Malsite

alertsmalsitedata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope Malware

alertsmalwaredata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope Policy

alertspolicydata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope Quarantine

alertsquarantinedata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope Remediation

alertsremediationdata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope SecurityAssessment

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Données d’alertes Netskope Uba

alertsubadata_CL

| sort by TimeGenerated desc

Données d’événements Netskope Application.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Données d’événements Netskope Audit

eventsauditdata_CL

| sort by TimeGenerated desc

Données d’événements Netskope Connection

eventsconnectiondata_CL

| sort by TimeGenerated desc

Données d’événements Netskope Incident

eventsincidentdata_CL

| sort by TimeGenerated desc

Données d’événements Netskope Network

eventsnetworkdata_CL

| sort by TimeGenerated desc

Données d’événements Netskope Page

eventspagedata_CL

| sort by TimeGenerated desc

Données de métriques Netskope WebTransactions

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Prérequis

Pour l’intégration à Netskope Data Connector (à l’aide d’Azure Functions), assurez-vous de disposer des éléments suivants :

  • Abonnement Azure : un abonnement Azure avec un rôle de propriétaire est requis pour inscrire une application dans Azure Active Directory() et attribuer un rôle de contributeur à une application dans un groupe de ressources.
  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Informations d’identification/autorisations de l’API REST : le tenant Netskope et le jeton d’API Netskope sont nécessaires. Consultez la documentation pour découvrir plus d’informations sur la référence de l’API REST

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter aux API Netskope afin d’extraire ses données d’alertes et d’événements dans une table de journaux personnalisée. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 : étapes d’enregistrement d’une application pour une application dans Microsoft Entra ID

Cette intégration nécessite l’enregistrement de l’application dans le portail Microsoft Azure. Suivez les étapes de cette section pour créer une nouvelle application dans Microsoft Entra ID :

  1. Connectez-vous au portail Azure.
  2. Recherchez et sélectionnez Microsoft Entra ID.
  3. Sous Gérer, sélectionnez Inscriptions d’applications> Nouvelle inscription.
  4. Entrez un nom d’affichage pour votre application.
  5. Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.
  6. Une fois l’inscription terminée, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Copiez l'ID d'application (client) et l'ID de locataire. L’ID client et l’ID tenant sont des paramètres de configuration nécessaires pour l’exécution du playbook TriggersSync.

Lien de référence : /azure/active-directory/develop/quickstart-register-app

ÉTAPE 2 : ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne nécessaire pour l’exécution du playbook TriggersSync. Suivez les étapes de cette section pour créer une nouvelle clé secrète client :

  1. Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.
  2. Sélectionnez Certificats et clés secrètes client > Clé secrète client > Nouvelle clé secrète client.
  3. Ajoutez une description pour votre clé secrète client.
  4. Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
  5. Sélectionnez Ajouter.
  6. Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page. La valeur secrète est un paramètre de configuration nécessaire pour l’exécution du playbook TriggersSync.

Lien de référence : /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 3 : attribuer le rôle de contributeur à l’application dans Microsoft Entra ID

Suivez les étapes décrites dans cette section pour attribuer le rôle :

  1. Dans le portail Microsoft Azure, accédez à Groupes de ressources, puis sélectionnez le groupe de ressources.
  2. Accédez au contrôle d’accès (IAM) dans le panneau de gauche.
  3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
  4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
  5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
  6. Cliquez sur Ajouter des membres et tapez le nom de l’application que vous avez créé et sélectionnez-le.
  7. Cliquez maintenant sur Évaluer + attribuer, puis cliquez à nouveau sur Évaluer + attribuer.

Lien de référence : /azure/role-based-access-control/role-assignments-portal

ÉTAPE 4 : étapes de création/d’obtention d’informations d’identification pour le compte Netskope

Suivez les étapes décrites dans cette section pour créer/obtenir le nom d'hôte de Netskope et le jeton d’API de Netskope :

  1. Connectez-vous à votre locataire Netskope et accédez au menu Paramètres dans la barre de navigation de gauche.
  2. Cliquez sur Outils, puis sur API REST v2
  3. À présent, cliquez sur le bouton du nouveau jeton. Vous devez ensuite fournir le nom du jeton, la durée d’expiration et les points de terminaison à partir desquels vous souhaitez extraire des données.
  4. Une fois que vous avez terminé, cliquez sur le bouton Enregistrer afin de générer le jeton. Copiez le jeton et enregistrez-le à un emplacement sécurisé pour une utilisation ultérieure.

ÉTAPE 5 : étapes de création des fonctions Azure pour la collecte de données d’alertes et d’événement Netskope

IMPORTANT : avant de déployer le connecteur de données Netskope, ayez à disposition l’ID d’espace de travail et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que la ou les clés d’autorisation d’API Netskope.

À l’aide du modèle ARM, déployez les applications de fonction pour l’ingestion des données d’alertes et d’événements Netskope sur Sentinel.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les informations ci-dessous : nom d'hôte Netskope, jeton d’API Netskope ; sélectionnez Oui dans la liste déroulante Types d’alertes et événements pour le point de terminaison que vous souhaitez extraire ; niveau de journal des alertes et des événements, ID de l'espace de travail, clé de l'espace de travail

  4. Cliquez sur Vérifier + créer.

  5. Ensuite, après la validation, cliquez sur Créer pour déployer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.