Megosztás a következőn keresztül:

Netskope (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Netskope Cloud Security Platform-összekötő lehetővé teszi a Netskope-naplók és -események Microsoft Sentinelbe való betöltését. Az összekötő betekintést nyújt a Microsoft Sentinel Netskope platformeseményeibe és riasztásaiba a figyelési és vizsgálati képességek javítása érdekében.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Alkalmazásbeállítások apikey
workspaceID
workspaceKey
Uri
timeInterval
logTypes
logAnalyticsUri (nem kötelező)
Azure-függvényalkalmazás kódja https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Log Analytics-tábla(ok) Netskope_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Netskope

Példák lekérdezésekre

A 10 legjobb felhasználó

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

A 10 legjobb riasztás

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Előfeltételek

A Netskope-tal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Netskope API-jogkivonat: Netskope API-jogkivonat szükséges. A Netskope API-val kapcsolatos további információkért tekintse meg a dokumentációt. Megjegyzés: Netskope-fiók szükséges

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Netskope-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Logs panelt, kattintson a Functions elemre, keresse meg a Netskope aliast, és töltse be a függvénykódot, vagy kattintson ide, a lekérdezés második sorában adja meg a Netskope-eszköz(ek) állomásnevét és a naplóstream bármely más egyedi azonosítóját. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A Netskope API konfigurációs lépései

Az API-jogkivonat beszerzéséhez kövesse a Netskope által megadott utasításokat . Megjegyzés: Netskope-fiók szükséges

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A Netskope-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a Netskope API engedélyezési jogkivonatával, amely könnyen elérhető.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ez a módszer a Netskope-összekötő automatikus üzembe helyezését biztosítja ARM Tempate használatával.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a munkaterület azonosítóját, a munkaterületkulcsot, az API-kulcsot és az URI-t.

  • Használja a következő sémát az uri értékhez: https://<Tenant Name>.goskope.com Cserélje le <Tenant Name> a tartományra.
  • Az alapértelmezett időintervallum az utolsó öt (5) perc adat lekérésére van beállítva. Ha módosítani kell az időintervallumot, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját (a function.json fájlban, az üzembe helyezés után), hogy megakadályozza az átfedésben lévő adatbetöltést.
  • Az alapértelmezett naplótípusok úgy vannak beállítva, hogy lekérje mind a 6 elérhető naplótípust (alert, page, application, audit, infrastructure, network), távolítsa el a nem kötelező naplótípusokat.
  • Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
  1. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.
  2. Kattintson a Vásárlás gombra az üzembe helyezéshez.
  3. Az összekötő sikeres üzembe helyezése után töltse le a Kusto függvényt az adatmezők normalizálásához. Kövesse az alábbi lépéseket a Kusto függvény aliasának, a Netskope-nak a használatához.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

Ez a módszer részletes útmutatást nyújt a Netskope-összekötő manuális üzembe helyezéséhez az Azure-függvényben.

1. Függvényalkalmazás létrehozása

  1. Az Azure Portalon lépjen a Függvényalkalmazásra, és válassza a + Hozzáadás lehetőséget.
  2. Az Alapok lapon győződjön meg arról, hogy a Futtatókörnyezet verem PowerShell Core-ra van állítva.
  3. Az Üzemeltetés lapon győződjön meg arról, hogy a Használat (Kiszolgáló nélküli) csomagtípus van kiválasztva.
  4. Szükség esetén végezze el az egyéb előnyben részesíthető konfigurációs módosításokat, majd kattintson a Létrehozás gombra.

2. Függvényalkalmazás kódjának importálása

  1. Az újonnan létrehozott függvényalkalmazásban válassza a Függvények lehetőséget a bal oldali panelen, és kattintson a + Hozzáadás gombra.
  2. Válassza az Időzítő eseményindítót.
  3. Adjon meg egy egyedi függvénynevet, és szükség esetén módosítsa a cron ütemezését. Az alapértelmezett érték úgy van beállítva, hogy 5 percenként futtassa a függvényalkalmazást. (Megjegyzés: az időzítő eseményindítójának meg kell egyeznie az alábbi értékkel az átfedésben lévő adatok elkerülése érdekében), kattintson a timeIntervalLétrehozás.
  4. Kattintson a kód + teszt elemre a bal oldali panelen.
  5. Másolja ki a függvényalkalmazás kódját , és illessze be a függvényalkalmazás-szerkesztőbe run.ps1 .
  6. Kattintson a Mentés gombra.

3. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
  2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
  3. Adja hozzá egyenként a következő hét (7) alkalmazásbeállítást a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetésével): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (nem kötelező)
  • Adja meg a régiónak megfelelő URI-t. Az uri értéknek a következő sémát kell követnie: https://<Tenant Name>.goskope.com – Az Uri-hoz nem szükséges mellékparamétereket hozzáadni, a függvényalkalmazás dinamikusan hozzáfűzi a paramétereket a megfelelő formátumban.
  • Állítsa a timeInterval (percekben megadott) értéket az alapértelmezett értékre 5 , amely megfelel a percek 5 alapértelmezett időzítő eseményindítójának. Ha az időintervallumot módosítani kell, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját az átfedésben lévő adatbetöltés megakadályozása érdekében.
  • Állítsa a következőre alert, page, application, audit, infrastructure, network : Ez a logTypes lista az összes elérhető naplótípust jelöli. Válassza ki a naplótípusokat a naplózási követelmények alapján, és egymástól vesszővel elválasztva.
  • Megjegyzés: Az Azure Key Vault használata esetén a sztringértékek@Microsoft.KeyVault(SecretUri={Security Identifier})helyett használja a sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us. 4. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra. 5. Az összekötő sikeres üzembe helyezése után töltse le a Kusto függvényt az adatmezők normalizálásához. Kövesse az alábbi lépéseket a Kusto függvény aliasának, a Netskope-nak a használatához.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.