Partager via


Connecteur Netskope Web Transactions Data Connector (à l’aide d’Azure Functions) pour Microsoft Sentinel

Le connecteur de données Netskope Web Transactions fournit les fonctionnalités d’une image Docker pour extraire les données Netskope Web Transactions de google pubsublite, traiter les données et ingérer les données traitées dans Log Analytics. Dans le cadre de ce connecteur de données, deux tables sont créées dans Log Analytics, une pour les données Web Transactions et une autre pour les erreurs rencontrées pendant l’exécution.

Pour plus d’informations sur Web Transactions, reportez-vous à la documentation ci-dessous : Documentation Netskope Web Transactions

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Netskope

Exemples de requête

Données Netskope Web Transactions

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Erreurs Netskope Web Transactions Data Connector

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Prérequis

Pour l’intégration à Netskope Web Transactions Data Connector (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :

Instructions d’installation du fournisseur

Remarque

Ce connecteur fournit les fonctionnalités d’ingestion de données Netskope Web Transactions à l’aide d’une image Docker à déployer sur une machine virtuelle (soit une machine virtuelle Azure, soit une machine virtuelle locale). Pour plus d’informations, consultez la page Tarifs d’une machine virtuelle Azure.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 : étapes pour créer/obtenir les informations d’identification pour le compte Netskope

Suivez les étapes décrites dans cette section pour créer/obtenir le nom d’hôte de Netskope et le jeton d’API de Netskope :

  1. Connectez-vous à votre locataire Netskope et accédez au menu Paramètres dans la barre de navigation de gauche.
  2. Cliquez sur Outils, puis sur API REST v2
  3. À présent, cliquez sur le bouton du nouveau jeton. Vous devez ensuite fournir le nom du jeton, la durée d’expiration et les points de terminaison à partir desquels vous souhaitez extraire des données.
  4. Une fois que vous avez terminé, cliquez sur le bouton Enregistrer afin de générer le jeton. Copiez le jeton et enregistrez-le à un emplacement sécurisé pour une utilisation ultérieure.

**ÉTAPE 2 : choisissez l’une des deux options de déploiement suivantes pour déployer le connecteur de données docker pour ingérer les données Netskope Web Transactions **

IMPORTANT : avant de déployer le connecteur de données Netskope, vous devez disposer de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir des éléments suivants), ainsi que des clés d’autorisation de l’API Netskope [Assurez-vous que le jeton dispose d’autorisations pour les événements de transaction].

Option 1 : utiliser le modèle Azure Resource Manager (ARM) pour déployer une machine virtuelle [recommandé]

À l’aide du modèle ARM, déployez une machine virtuelle Azure, installez les prérequis et démarrez l’exécution.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les informations ci–dessous :

    • Nom de l’image Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Nom d’hôte Netskope
    • Jeton d’API Netskope
    • Timestamp de recherche (le timestamp d’époque pour lequel vous souhaitez rechercher le pointeur pubsublite, peut être laissé vide)
    • ID de l’espace de travail
    • Clé d'espace de travail
    • Nombre de nouvelles tentatives d’interruption (nombre de nouvelles tentatives pour les erreurs liées au jeton avant de redémarrer l’exécution.)
    • Temps de veille d’interruption (nombre de secondes de veille avant de réessayer)
    • Délai d’inactivité (nombre de secondes d’attente des données des transactions web avant de relancer l’exécution)
    • Nom de la machine virtuelle
    • Type d’authentification
    • Mot de passe ou clé d’administrateur
    • DNS Label Prefix
    • Version du système d’exploitation Ubuntu
    • Emplacement
    • Taille de la machine virtuelle
    • Nom du sous-réseau
    • Nom du groupe de sécurité réseau
    • Type de sécurité
  4. Cliquez sur Vérifier + créer.

  5. Ensuite, après la validation, cliquez sur Créer pour déployer.

Option 2 : déploiement manuel sur une machine virtuelle créée précédemment

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données basé sur Docker sur une machine virtuelle créée précédemment.

1. Installer docker et extraire l’image docker

REMARQUE : vérifiez que la machine virtuelle est basée sur Linux (de préférence Ubuntu).

  1. Tout d’abord, vous devez établir une connexion SSH dans la machine virtuelle.
  2. Installez le moteur Docker.
  3. Maintenant, extrayez l’image Docker à partir du hub Docker à l’aide de la commande : « sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions ».
  4. Maintenant, pour exécuter l’image Docker, utilisez la commande : sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Vous pouvez remplacer mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions par l’ID de l’image. Ici, docker_persistent_volume est le nom du dossier qui serai créé sur la machine virtuelle dans laquelle les fichiers seront stockés.

2. Configurer les paramètres

  1. Une fois que l’image Docker est en cours d’exécution, elle demande les paramètres requis.
  2. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (en respectant la casse) :
    • Nom d’hôte Netskope
    • Jeton d’API Netskope
    • Timestamp de recherche (le timestamp d’époque pour lequel vous souhaitez rechercher le pointeur pubsublite, peut être laissé vide)
    • ID de l’espace de travail
    • Clé d'espace de travail
    • Nombre de nouvelles tentatives d’interruption (nombre de nouvelles tentatives pour les erreurs liées au jeton avant de redémarrer l’exécution.)
    • Temps de veille d’interruption (nombre de secondes de veille avant de réessayer)
    • Délai d’inactivité (nombre de secondes d’attente des données des transactions web avant de relancer l’exécution)
  3. Maintenant, l’exécution a démarré mais est en mode interactif, afin que l’interpréteur de commandes ne puisse pas être arrêté. Pour l’exécuter en tant que processus en arrière-plan, arrêtez l’exécution actuelle en appuyant sur Ctrl+C, puis utilisez la commande : sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Arrêter le conteneur Docker

  1. Utilisez la commande sudo docker container ps pour répertorier les conteneurs Docker en cours d’exécution. Notez votre ID de conteneur.
  2. Maintenant, arrêtez le conteneur à l’aide de la commande : sudo docker stop *<*container-id*>*

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.