Connecteur Netskope Web Transactions Data Connector (à l’aide d’Azure Functions) pour Microsoft Sentinel
Le connecteur de données Netskope Web Transactions fournit les fonctionnalités d’une image Docker pour extraire les données Netskope Web Transactions de google pubsublite, traiter les données et ingérer les données traitées dans Log Analytics. Dans le cadre de ce connecteur de données, deux tables sont créées dans Log Analytics, une pour les données Web Transactions et une autre pour les erreurs rencontrées pendant l’exécution.
Pour plus d’informations sur Web Transactions, reportez-vous à la documentation ci-dessous : Documentation Netskope Web Transactions
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Netskope |
Exemples de requête
Données Netskope Web Transactions
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Erreurs Netskope Web Transactions Data Connector
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Prérequis
Pour l’intégration à Netskope Web Transactions Data Connector (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :
- Abonnement à Azure : un abonnement à Azure avec un rôle de propriétaire est requis pour enregistrer une application dans Microsoft Entra ID et attribuer un rôle de contributeur à une application dans un groupe de ressources.
- Autorisations Microsoft.Compute : les autorisations de lecture et d’écriture sur les machines virtuelles Azure sont requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur les machines virtuelles Azure.
- Informations d’identification et autorisations TransactionEvents : le locataire Netskope et le jeton d’API Netskope API sont requis. Consultez la documentation pour en savoir plus sur les événements de transaction.
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
Instructions d’installation du fournisseur
Remarque
Ce connecteur fournit les fonctionnalités d’ingestion de données Netskope Web Transactions à l’aide d’une image Docker à déployer sur une machine virtuelle (soit une machine virtuelle Azure, soit une machine virtuelle locale). Pour plus d’informations, consultez la page Tarifs d’une machine virtuelle Azure.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 : étapes pour créer/obtenir les informations d’identification pour le compte Netskope
Suivez les étapes décrites dans cette section pour créer/obtenir le nom d’hôte de Netskope et le jeton d’API de Netskope :
- Connectez-vous à votre locataire Netskope et accédez au menu Paramètres dans la barre de navigation de gauche.
- Cliquez sur Outils, puis sur API REST v2
- À présent, cliquez sur le bouton du nouveau jeton. Vous devez ensuite fournir le nom du jeton, la durée d’expiration et les points de terminaison à partir desquels vous souhaitez extraire des données.
- Une fois que vous avez terminé, cliquez sur le bouton Enregistrer afin de générer le jeton. Copiez le jeton et enregistrez-le à un emplacement sécurisé pour une utilisation ultérieure.
**ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur de données docker pour ingérer les données Netskope Web Transactions **
IMPORTANT : avant de déployer le connecteur de données Netskope, vous devez disposer de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir des éléments suivants), ainsi que des clés d’autorisation de l’API Netskope [Assurez-vous que le jeton dispose d’autorisations pour les événements de transaction].
Option 1 : utiliser le modèle Azure Resource Manager (ARM) pour déployer une machine virtuelle [recommandé]
À l’aide du modèle ARM, déployez une machine virtuelle Azure, installez les prérequis et démarrez l’exécution.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez les informations ci–dessous :
- Nom de l’image Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Nom d’hôte Netskope
- Jeton d’API Netskope
- Timestamp de recherche (le timestamp d’époque pour lequel vous souhaitez rechercher le pointeur pubsublite, peut être laissé vide)
- ID de l’espace de travail
- Clé d'espace de travail
- Nombre de nouvelles tentatives d’interruption (nombre de nouvelles tentatives pour les erreurs liées au jeton avant de redémarrer l’exécution.)
- Temps de veille d’interruption (nombre de secondes de veille avant de réessayer)
- Délai d’inactivité (nombre de secondes d’attente des données des transactions web avant de relancer l’exécution)
- Nom de la machine virtuelle
- Type d’authentification
- Mot de passe ou clé d’administrateur
- DNS Label Prefix
- Version du système d’exploitation Ubuntu
- Emplacement
- Taille de la machine virtuelle
- Nom du sous-réseau
- Nom du groupe de sécurité réseau
- Type de sécurité
Cliquez sur Vérifier + créer.
Ensuite, après la validation, cliquez sur Créer pour déployer.
Option 2 : déploiement manuel sur une machine virtuelle créée précédemment
Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données basé sur Docker sur une machine virtuelle créée précédemment.
1. Installer docker et extraire l’image docker
REMARQUE : vérifiez que la machine virtuelle est basée sur Linux (de préférence Ubuntu).
- Tout d’abord, vous devez établir une connexion SSH dans la machine virtuelle.
- Installez le moteur Docker.
- Maintenant, extrayez l’image Docker à partir du hub Docker à l’aide de la commande : « sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions ».
- Maintenant, pour exécuter l’image Docker, utilisez la commande :
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
. Vous pouvez remplacermgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
par l’ID de l’image. Ici,docker_persistent_volume
est le nom du dossier qui serai créé sur la machine virtuelle dans laquelle les fichiers seront stockés.
2. Configurer les paramètres
- Une fois que l’image Docker est en cours d’exécution, elle demande les paramètres requis.
- Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (en respectant la casse) :
- Nom d’hôte Netskope
- Jeton d’API Netskope
- Timestamp de recherche (le timestamp d’époque pour lequel vous souhaitez rechercher le pointeur pubsublite, peut être laissé vide)
- ID de l’espace de travail
- Clé d'espace de travail
- Nombre de nouvelles tentatives d’interruption (nombre de nouvelles tentatives pour les erreurs liées au jeton avant de redémarrer l’exécution.)
- Temps de veille d’interruption (nombre de secondes de veille avant de réessayer)
- Délai d’inactivité (nombre de secondes d’attente des données des transactions web avant de relancer l’exécution)
- Maintenant, l’exécution a démarré mais est en mode interactif, afin que l’interpréteur de commandes ne puisse pas être arrêté. Pour l’exécuter en tant que processus en arrière-plan, arrêtez l’exécution actuelle en appuyant sur Ctrl+C, puis utilisez la commande :
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Arrêter le conteneur Docker
- Utilisez la commande
sudo docker container ps
pour répertorier les conteneurs Docker en cours d’exécution. Notez votre ID de conteneur. - Maintenant, arrêtez le conteneur à l’aide de la commande :
sudo docker stop *<*container-id*>*
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.