Konektor Netskope (menggunakan Azure Functions) untuk Microsoft Azure Sentinel

Konektor Netskope Cloud Security Platform menyediakan kemampuan untuk menyerap log dan peristiwa Netskope ke Microsoft Azure Sentinel. Konektor ini memberikan visibilitas ke dalam Peristiwa dan Pemberitahuan Platform Netskope di Microsoft Azure Sentinel untuk meningkatkan kemampuan pemantauan dan investigasi.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor	Deskripsi
Pengaturan aplikasi	apikey #workspaceid workspaceKey uri timeInterval logTypes logAnalyticsUri (opsional)
Kode aplikasi fungsi Azure	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Tabel Log Analytics	Netskope_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Netskope

Kueri sampel

10 Pengguna Teratas

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

10 Pemberitahuan Teratas

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Prasyarat

Untuk berintegrasi dengan Netskope (menggunakan Azure Functions) pastikan Anda memiliki:

• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
• Token NETSKOPE API: Token API Netskope diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Netskope API. Catatan: Akun Netskope diperlukan

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke Netskope untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

Catatan

Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan yang disebarkan sebagai bagian dari solusi. Untuk melihat kode fungsi di Log Analytics, buka bilah Log Analytics/Microsoft Sentinel Logs, klik Functions dan cari alias Netskope dan muat kode fungsi atau klik di sini, pada baris kedua kueri, masukkan nama host perangkat Netskope Anda dan pengidentifikasi unik lainnya untuk logstream. Fungsi ini biasanya membutuhkan waktu 10-15 menit untuk diaktifkan setelah penginstalan/pembaruan solusi.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1 - Langkah konfigurasi untuk NETSKOPE API

Ikuti instruksi ini yang disediakan oleh Netskope untuk mendapatkan Token API. Catatan: Akun Netskope diperlukan

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor Netskope, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Token Otorisasi NETSKOPE API, tersedia dengan mudah.

Opsi 1 - Templat Azure Resource Manager (ARM)

Metode ini menyediakan penyebaran otomatis konektor Netskope menggunakan ARM Tempate.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

3. Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Kunci API, dan URI.

• Gunakan skema berikut untuk uri nilai: https://<Tenant Name>.goskope.com Ganti <Tenant Name> dengan domain Anda.
• Interval Waktu default diatur untuk menarik lima (5) menit terakhir data. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai (dalam file function.json, pasca penyebaran) untuk mencegah penyerapan data yang tumpang tindih.
• Jenis Log default diatur untuk menarik semua 6 jenis log yang tersedia (alert, page, application, audit, infrastructure, network), hapus apa pun yang tidak diperlukan.
• Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.

4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.
5. Klik Beli untuk menyebarkan.
6. Setelah berhasil menyebarkan konektor, unduh Fungsi Kusto untuk menormalkan bidang data. Ikuti langkah-langkah untuk menggunakan alias fungsi Kusto, Netskope.

Opsi 2 - Penyebaran Manual Azure Functions

Metode ini menyediakan instruksi langkah demi langkah untuk menyebarkan konektor Netskope secara manual dengan Azure Function.

1. Buat Aplikasi Fungsi

1. Dari Portal Microsoft Azure, navigasikan ke Aplikasi Fungsi, dan pilih + Tambahkan.
2. Di tab Dasar , pastikan Tumpukan Runtime diatur ke Powershell Core.
3. Di tab Hosting , pastikan jenis paket Konsumsi (Tanpa Server) dipilih.
4. Buat perubahan konfigurasi lain yang lebih disukai, jika diperlukan, lalu klik Buat.

2. Impor Kode Aplikasi Fungsi

1. Di Aplikasi Fungsi yang baru dibuat, pilih Fungsi di panel kiri dan klik + Tambahkan.
2. Pilih Pemicu Timer.
3. Masukkan Nama Fungsi unik dan ubah jadwal cron, jika diperlukan. Nilai default diatur untuk menjalankan Aplikasi Fungsi setiap 5 menit. (Catatan: pemicu Timer harus cocok dengan nilai di timeInterval bawah ini untuk mencegah data yang tumpang tindih), klik Buat.
4. Klik Kode + Uji di panel kiri.
5. Salin Kode Aplikasi Fungsi dan tempelkan ke editor Aplikasi run.ps1 Fungsi.
6. Klik Simpan.

3. Mengonfigurasi Aplikasi Fungsi

1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
3. Tambahkan masing-masing dari tujuh (7) pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): ruang kerja apikeyID timeInterval logTypes logAnalyticsUri (opsional)

• Masukkan URI yang sesuai dengan wilayah Anda. Nilai uri harus mengikuti skema berikut: https://<Tenant Name>.goskope.com - Tidak perlu menambahkan parameter berikutnya ke Uri, Aplikasi Fungsi akan menambahkan parameter secara dinamis dalam format yang tepat.
• Atur timeInterval (dalam menit) ke nilai 5 default agar sesuai dengan Pemicu Timer default setiap 5 menit. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai untuk mencegah penyerapan data yang tumpang tindih.
• Atur ke logTypesalert, page, application, audit, infrastructure, network - Daftar ini mewakili semua jenis log yang dapat valid. Pilih jenis log berdasarkan persyaratan pengelogan, memisahkan masing-masing dengan satu koma.
• Catatan: Jika menggunakan Azure Key Vault, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.
• Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us. 4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan. 5. Setelah berhasil menyebarkan konektor, unduh Fungsi Kusto untuk menormalkan bidang data. Ikuti langkah-langkah untuk menggunakan alias fungsi Kusto, Netskope.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.