Koneksi or Data Transaksi Web Netskope (menggunakan Azure Functions) untuk Microsoft Azure Sentinel
Konektor data Netskope Web Transactions menyediakan fungsionalitas gambar docker untuk menarik data Netskope Web Transactions dari google pubsublite, memproses data dan menyerap data yang diproses ke Log Analytics. Sebagai bagian dari konektor data ini dua tabel akan dibentuk di Analitik Log, satu untuk data Transaksi Web dan lainnya untuk kesalahan yang ditemui selama eksekusi.
Untuk detail selengkapnya yang terkait dengan Transaksi Web, lihat dokumentasi di bawah ini: Dokumentasi Transaksi Web Netskope
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
Atribut konektor | Deskripsi |
---|---|
Tabel Log Analytics | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | Netskope |
Kueri sampel
Data Transaksi Web Netskope
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Kesalahan Koneksi or Data Transaksi Web Netskope
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Netskope Web Transactions Data Koneksi or (menggunakan Azure Functions) pastikan Anda memiliki:
- Langganan Azure: Langganan Azure dengan peran pemilik diperlukan untuk mendaftarkan aplikasi di ID Microsoft Entra dan menetapkan peran kontributor ke aplikasi dalam grup sumber daya.
- Izin Microsoft.Compute: Izin baca dan tulis ke Azure VM diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure VM.
- Kredensial dan Izin TransactionEvents: Penyewa Netskope dan Token API Netskope diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Peristiwa Transaksi.
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
Instruksi penginstalan vendor
Catatan
Konektor ini menyediakan fungsionalitas penyerapan data Netskope Web Transactions menggunakan gambar docker untuk disebarkan pada komputer virtual (VM Azure/VM Lokal). Periksa halaman harga Azure VM untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
LANGKAH 1 - Langkah-langkah untuk membuat/mendapatkan Kredensial untuk akun Netskope
Ikuti langkah-langkah di bagian ini untuk membuat/mendapatkan Nama Host Netskope dan Token API Netskope:
- Masuk ke Penyewa Netskope Anda dan buka menu Pengaturan di bilah navigasi kiri.
- Klik Alat lalu REST API v2
- Sekarang, klik tombol token baru. Kemudian akan meminta nama token, durasi kedaluwarsa, dan titik akhir yang ingin Anda ambil datanya.
- Setelah selesai klik tombol simpan, token akan dihasilkan. Salin token dan simpan di tempat yang aman untuk penggunaan lebih lanjut.
**LANGKAH 2 - Pilih satu dari dua opsi penyebaran berikut untuk menyebarkan konektor data berbasis docker untuk menyerap data Transaksi Web Netskope **
PENTING: Sebelum menyebarkan konektor data Netskope, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut) yang tersedia dengan mudah, serta Kunci Otorisasi NETSKOPE API [Pastikan token memiliki izin untuk peristiwa transaksi].
Opsi 1 - Menggunakan Templat Azure Resource Manager (ARM) untuk menyebarkan VM [Disarankan]
Menggunakan templat ARM menyebarkan Azure VM, instal prasyarat dan mulai eksekusi.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan informasi di bawah ini :
- Nama Gambar Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Nama Host Netskope
- Token Netskope API
- Cari Tanda Waktu (Tanda waktu epoch yang ingin Anda cari penunjuk pubsublite, dapat dibiarkan kosong)
- ID Ruang Kerja
- Kunci Ruang Kerja
- Jumlah Coba Lagi Backoff (Jumlah coba lagi untuk kesalahan terkait token sebelum memulai ulang eksekusi.)
- Backoff Waktu Tidur (Jumlah detik untuk tidur sebelum mencoba kembali)
- Batas Waktu Diam (Jumlah detik untuk menunggu Data Transaksi Web sebelum memulai ulang eksekusi)
- Nama VM
- Jenis Autentikasi
- Kunci atau Kata Sandi Admin
- Awalan Label DNS
- Versi OS Ubuntu
- Lokasi
- Ukuran Komputer Virtual
- Nama Subnet
- Nama Grup Keamanan Jaringan
- Jenis Keamanan
Klik Tinjau+Buat.
Kemudian setelah validasi klik Buat untuk menyebarkan.
Opsi 2 - Penyebaran Manual pada komputer virtual yang dibuat sebelumnya
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data berbasis docker secara manual pada komputer virtual yang dibuat sebelumnya.
1. Pasang docker dan tarik gambar docker
CATATAN: Pastikan VM berbasis linux (sebaiknya Ubuntu).
- Pertama, Anda harus SSH ke komputer virtual.
- Sekarang instal mesin docker.
- Sekarang tarik gambar docker dari docker hub menggunakan perintah: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
- Sekarang untuk menjalankan gambar docker, gunakan perintah :
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
. Anda dapat menggantimgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
dengan id gambar. Berikutdocker_persistent_volume
adalah nama folder yang akan dibuat pada vm tempat file akan disimpan.
2. Mengonfigurasi Parameter
- Setelah gambar docker berjalan, gambar tersebut akan meminta parameter yang diperlukan.
- Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai masing-masing (peka huruf besar/kecil):
- Nama Host Netskope
- Token Netskope API
- Cari Tanda Waktu (Tanda waktu epoch yang ingin Anda cari penunjuk pubsublite, dapat dibiarkan kosong)
- ID Ruang Kerja
- Kunci Ruang Kerja
- Jumlah Coba Lagi Backoff (Jumlah coba lagi untuk kesalahan terkait token sebelum memulai ulang eksekusi.)
- Backoff Waktu Tidur (Jumlah detik untuk tidur sebelum mencoba kembali)
- Batas Waktu Diam (Jumlah detik untuk menunggu Data Transaksi Web sebelum memulai ulang eksekusi)
- Sekarang eksekusi telah dimulai tetapi dalam mode interaktif, sehingga shell tidak dapat dihentikan. Untuk menjalankannya sebagai proses latar belakang, hentikan eksekusi saat ini dengan menekan Ctrl+C lalu gunakan perintah :
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Hentikan kontainer docker
- Gunakan perintah
sudo docker container ps
untuk mencantumkan kontainer docker yang sedang berjalan. Catat id kontainer Anda. - Sekarang hentikan kontainer menggunakan perintah :
sudo docker stop *<*container-id*>*
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.