Megosztás a következőn keresztül:

Netskope Data Connector (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Netskope adatösszekötő a következő képességeket biztosítja:

  1. NetskopeToAzureStorage: A Netskope riasztásainak és eseményeinek adatainak lekérése a Netskope-ból, és közzététel az Azure Storage-ba.
  2. StorageToSentinel: Szerezze be a Netskope-riasztások és események adatait az Azure Storage-ból, és tegye közzé az egyéni naplótáblába a Log Analytics-munkaterületen.
  3. WebTxMetrics: A WebTxMetrics adatainak lekérése a Netskope-ból, és közzététel az egyéni naplótáblába a Log Analytics-munkaterületen.

A REST API-k további részleteiért tekintse meg az alábbi dokumentációkat:

  1. A Netskope API dokumentációja
  2. Az Azure Storage dokumentációja
  3. Microsoft log analitikus dokumentáció

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Netskope

Példák lekérdezésekre

Netskope CompromisedCredential Riasztások adatai

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Netskope CTEP-riasztások adatai

alertsctepdata_CL

| sort by TimeGenerated desc

Netskope DLP-riasztások adatai

alertsdlpdata_CL

| sort by TimeGenerated desc

Netskope Malsite-riasztások adatai

alertsmalsitedata_CL

| sort by TimeGenerated desc

Netskope Malware-riasztások adatai

alertsmalwaredata_CL

| sort by TimeGenerated desc

Netskope Policy-riasztások adatai

alertspolicydata_CL

| sort by TimeGenerated desc

Netskope karanténriasztások adatai

alertsquarantinedata_CL

| sort by TimeGenerated desc

Netskope Szervizelési riasztások adatai

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment-riasztások adatai

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba-riasztások adatai

alertsubadata_CL

| sort by TimeGenerated desc

Netskope alkalmazásesemények adatai.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Netskope naplózási események adatai

eventsauditdata_CL

| sort by TimeGenerated desc

Netskope kapcsolati események adatai

eventsconnectiondata_CL

| sort by TimeGenerated desc

Netskope incidensesemények adatai

eventsincidentdata_CL

| sort by TimeGenerated desc

Netskope hálózati események adatai

eventsnetworkdata_CL

| sort by TimeGenerated desc

Netskope-lapesemények adatai

eventspagedata_CL

| sort by TimeGenerated desc

Netskope WebTransactions Metrics Data

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Előfeltételek

A Netskope Data Connectornal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Azure-előfizetés: A tulajdonosi szerepkörrel rendelkező Azure-előfizetésnek regisztrálnia kell egy alkalmazást az Azure Active Directory() szolgáltatásban, és hozzá kell rendelnie a közreműködői szerepkört az alkalmazáshoz az erőforráscsoportban.
  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • REST API hitelesítő adatok/engedélyek: Netskope-bérlő és Netskope API-jogkivonat szükséges. További információ az API-ról a Rest API-referencia dokumentációjában

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Netskope API-khoz a riasztások és események adatainak egyéni naplótáblába való lekéréséhez. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – Az alkalmazás alkalmazásregisztrációs lépései a Microsoft Entra-azonosítóban

Ehhez az integrációhoz alkalmazásregisztrációra van szükség az Azure Portalon. Az ebben a szakaszban ismertetett lépéseket követve hozzon létre egy új alkalmazást a Microsoft Entra-azonosítóban:

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg és válassza ki a Microsoft Entra ID-t.
  3. A Kezelés területen válassza Alkalmazásregisztrációk > Új regisztráció lehetőséget.
  4. Adja meg az alkalmazás megjelenítendő nevét .
  5. Válassza a Regisztráció lehetőséget a kezdeti alkalmazásregisztráció befejezéséhez.
  6. Amikor a regisztráció befejeződik, az Azure Portal megjeleníti az alkalmazásregisztráció Áttekintés paneljét. Megjelenik az alkalmazás (ügyfél) azonosítója és a bérlő azonosítója. A TriggersSync forgatókönyv végrehajtásához konfigurációs paraméterekként szükség van az ügyfél-azonosítóra és a bérlőazonosítóra.

Hivatkozás: /azure/active-directory/develop/quickstart-register-app

2. LÉPÉS – Ügyfélkód hozzáadása az alkalmazáshoz a Microsoft Entra-azonosítóban

Néha alkalmazásjelszónak is nevezik, az ügyfélkód egy sztringérték, amely a TriggersSync forgatókönyv végrehajtásához szükséges. Kövesse az ebben a szakaszban leírt lépéseket egy új titkos ügyfélkód létrehozásához:

  1. Az Azure Portalon Alkalmazásregisztrációk válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos > ügyfélkulcsok új ügyféltitkot>.
  3. Adja meg titkos ügyfélkódja leírását.
  4. Válasszon lejáratot a titkos kódhoz, vagy adjon meg egy egyéni élettartamot. A korlát 24 hónap.
  5. Válassza a Hozzáadás lehetőséget.
  6. Jegyezze fel a titkos kód értékét az ügyfélalkalmazás kódjában való használatra. Ez a titkos érték soha többé nem jelenik meg a lap elhagyása után. A titkos kód értéke konfigurációs paraméterként szükséges a TriggersSync forgatókönyv végrehajtásához.

Hivatkozás: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3. LÉPÉS – Közreműködői szerepkör hozzárendelése az alkalmazáshoz a Microsoft Entra-azonosítóban

A szerepkör hozzárendeléséhez kövesse az ebben a szakaszban leírt lépéseket:

  1. Az Azure Portalon nyissa meg az Erőforráscsoportot , és válassza ki az erőforráscsoportot.
  2. Nyissa meg a hozzáférés-vezérlést (IAM) a bal oldali panelen.
  3. Kattintson a Hozzáadás gombra, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
  4. Válassza a Közreműködő szerepkört, és kattintson a következőre.
  5. A Hozzáférés hozzárendelése területen válassza a lehetőséget User, group, or service principal.
  6. Kattintson a tagok hozzáadására, és írja be a létrehozott alkalmazásnevet, és jelölje ki.
  7. Ezután kattintson a Véleményezés + hozzárendelés elemre, majd ismét a Véleményezés + hozzárendelés elemre.

Referenciahivatkozás: /azure/role-based-access-control/role-assignments-portal

4. LÉPÉS – A Netskope-fiók hitelesítő adatainak létrehozásának/lekérésének lépései

Kövesse az ebben a szakaszban leírt lépéseket a Netskope Hostname és a Netskope API Token létrehozásához/lekéréséhez:

  1. Jelentkezzen be a Netskope-bérlőbe , és nyissa meg a bal oldali navigációs sáv Beállítások menüjét .
  2. Kattintson az Eszközök, majd a REST API 2-es verzióra
  3. Most kattintson az új jogkivonat gombra. Ezután kéri a jogkivonat nevét, a lejárati időtartamot és azokat a végpontokat, amelyekből adatokat szeretne lekérni.
  4. Ha ez megtörtént, kattintson a Mentés gombra, a jogkivonat létre lesz hozva. Másolja ki a jogkivonatot, és mentsen biztonságos helyen a további használat érdekében.

5. LÉPÉS – A Netskope-riasztások és események adatgyűjtéséhez szükséges Azure-függvények létrehozásának lépései

FONTOS: A Netskope-adatösszekötő üzembe helyezése előtt a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható) könnyen elérhető legyen.., valamint a Netskope API engedélyezési kulcs(ok) is.

Az ARM-sablonnal üzembe helyezheti a függvényalkalmazásokat a Netskope-események betöltéséhez, és riasztásokat küld a Sentinelnek.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg az alábbi információkat: Netskope HostName Netskope API-jogkivonat Válassza az Igen lehetőséget a Riasztások és események típusok legördülő menüben ahhoz a végponthoz, amelyet le szeretne kérni a riasztások és események naplószintű munkaterület-azonosítójának munkaterület-kulcsához

  4. Kattintson a Véleményezés+Létrehozás gombra.

  5. Ezután az ellenőrzés után kattintson a Létrehozás gombra az üzembe helyezéshez.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.