Netskope Web Transactions Data Csatlakozás or (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

A Netskope Web Transactions adatösszekötő egy docker-rendszerkép funkcióit biztosítja a Netskope Web Transactions adatainak lekéréséhez a Google pubsublite-ból, az adatok feldolgozásához és a feldolgozott adatok Log Analyticsbe való betöltéséhez. Ennek az adatösszekötőnek a részeként két tábla jön létre a Log Analyticsben, az egyik a webtranzakciók adataihoz, a másik pedig a végrehajtás során előforduló hibákhoz.

A webtranzakciókkal kapcsolatos további részletekért tekintse meg az alábbi dokumentációt: Netskope Web Transactions dokumentáció

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum	Leírás
Log Analytics-tábla(ok)	NetskopeWebtxData_CL NetskopeWebtxErrors_CL
Adatgyűjtési szabályok támogatása	Jelenleg nem támogatott
Támogatja:	Netskope

Példák lekérdezésekre

Netskope webtranzakciók adatai

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Netskope Web Transactions Data Csatlakozás or errors

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Előfeltételek

A Netskope Web Transactions Data Csatlakozás ornal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

• Azure-előfizetés: A tulajdonosi szerepkörrel rendelkező Azure-előfizetésnek regisztrálnia kell egy alkalmazást a Microsoft Entra-azonosítóban, és hozzá kell rendelnie a közreműködői szerepkört az erőforráscsoportbeli alkalmazáshoz.
• Microsoft.Compute-engedélyek: Olvasási és írási engedélyek szükségesek az Azure-beli virtuális gépekhez. Az Azure-beli virtuális gépekről további információt a dokumentációban talál.
• TransactionEvents hitelesítő adatok és engedélyek: Netskope-bérlő és Netskope API-jogkivonat szükséges. A tranzakciós eseményekről további információt a dokumentációban talál.
• Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő lehetővé teszi a Netskope Web Transactions-adatok betöltését egy docker-rendszerkép használatával egy virtuális gépen (Akár Azure-beli virtuális gépen, akár helyszíni virtuális gépen). A részletekért tekintse meg az Azure-beli virtuális gépek díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A Netskope-fiók hitelesítő adatainak létrehozásának/lekérésének lépései

Kövesse az ebben a szakaszban leírt lépéseket a Netskope Hostname és a Netskope API Token létrehozásához/lekéréséhez:

1. Jelentkezzen be a Netskope-bérlőbe, és nyissa meg a bal oldali navigációs sáv Gépház menüjét.
2. Kattintson az Eszközök, majd a REST API 2-es verzióra
3. Most kattintson az új jogkivonat gombra. Ezután kéri a jogkivonat nevét, a lejárati időtartamot és azokat a végpontokat, amelyekből adatokat szeretne lekérni.
4. Ha ez megtörtént, kattintson a Mentés gombra, a jogkivonat létre lesz hozva. Másolja ki a jogkivonatot, és mentsen biztonságos helyen a további használat érdekében.

**2. LÉPÉS – Válasszon egyet a következő két üzembehelyezési lehetőség közül a Docker-alapú adatösszekötő üzembe helyezéséhez a Netskope Web Transactions adatainak betöltéséhez **

FONTOS: A Netskope-adatösszekötő üzembe helyezése előtt a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (amely az alábbiakból másolható) könnyen elérhető legyen, valamint a Netskope API engedélyezési kulcs(ok) [Győződjön meg arról, hogy a jogkivonat rendelkezik a tranzakciós eseményekhez szükséges engedélyekkel].

1. lehetőség – Azure Resource Manager-sablon használata virtuális gép üzembe helyezéséhez [Ajánlott]

Az ARM-sablon használatával helyezzen üzembe egy Azure-beli virtuális gépet, telepítse az előfeltételeket, és indítsa el a végrehajtást.

1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

   

2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

3. Adja meg az alábbi adatokat:

   • Docker Image Name (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
   • Netskope HostName
   • Netskope API-jogkivonat
   • Időbélyeg keresése (A pubsublite mutatót keresni kívánt időbélyeg üresen hagyható)
   • Munkaterület azonosítója
   • Munkaterületkulcs
   • Backoff Retry Count (A jogkivonattal kapcsolatos hibák újrapróbálkozási száma a végrehajtás újraindítása előtt.)
   • Hátralépési alvási idő (Az újrapróbálkozás előtt alvó másodpercek száma)
   • Tétlen időtúllépés (A webtranzakciók adatainak várakozási ideje a végrehajtás újraindítása előtt)
   • Virtuális gép neve
   • Hitelesítés típusa
   • Rendszergazda jelszó vagy kulcs
   • DNS-címke előtagja
   • Ubuntu operációs rendszer verziója
   • Hely
   • Virtuális gép mérete
   • Alhálózat neve
   • Hálózati biztonsági csoport neve
   • Biztonsági típus

4. Kattintson a Véleményezés+Létrehozás gombra.

5. Ezután az ellenőrzés után kattintson a Létrehozás gombra az üzembe helyezéshez.

2. lehetőség – Manuális üzembe helyezés a korábban létrehozott virtuális gépen

A docker-alapú adatösszekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat egy korábban létrehozott virtuális gépen.

1. A docker és a lekéréses docker-rendszerkép telepítése

MEGJEGYZÉS: Győződjön meg arról, hogy a virtuális gép Linux-alapú (lehetőleg Ubuntu).

1. Először SSH-t kell használnia a virtuális gépre.
2. Most telepítse a Docker-motort.
3. Most kérje le a docker-rendszerképet a Docker Hubról a következő paranccsal: "sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".
4. A docker-rendszerkép futtatásához használja a következő parancsot: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Lecserélheti mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions a képazonosítót. Itt docker_persistent_volume látható annak a mappának a neve, amely azon a virtuális gépen jön létre, amelyben a fájlok tárolódnak.

2. A paraméterek konfigurálása

1. A Docker-rendszerkép futtatása után a rendszer kérni fogja a szükséges paramétereket.
2. Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő értékekkel (kis- és nagybetűk megkülönböztetése):
   • Netskope HostName
   • Netskope API-jogkivonat
   • Időbélyeg keresése (A pubsublite mutatót keresni kívánt időbélyeg üresen hagyható)
   • Munkaterület azonosítója
   • Munkaterületkulcs
   • Backoff Retry Count (A jogkivonattal kapcsolatos hibák újrapróbálkozási száma a végrehajtás újraindítása előtt.)
   • Hátralépési alvási idő (Az újrapróbálkozás előtt alvó másodpercek száma)
   • Tétlen időtúllépés (A webtranzakciók adatainak várakozási ideje a végrehajtás újraindítása előtt)
3. A végrehajtás most elindult, de interaktív módban van, így a rendszerhéj nem állítható le. Ha háttérfolyamatként szeretné futtatni, állítsa le az aktuális végrehajtást a Ctrl+C billentyűkombináció lenyomásával, majd használja a következő parancsot: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Állítsa le a docker-tárolót

1. A parancs használatával sudo docker container ps listázhatja a futó Docker-tárolókat. Jegyezze fel a tárolóazonosítót.
2. Most állítsa le a tárolót a következő paranccsal: sudo docker stop *<*container-id*>*

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.