Koneksi or Data Transaksi Web Netskope (menggunakan Azure Functions) untuk Microsoft Azure Sentinel

Konektor data Netskope Web Transactions menyediakan fungsionalitas gambar docker untuk menarik data Netskope Web Transactions dari google pubsublite, memproses data dan menyerap data yang diproses ke Log Analytics. Sebagai bagian dari konektor data ini dua tabel akan dibentuk di Analitik Log, satu untuk data Transaksi Web dan lainnya untuk kesalahan yang ditemui selama eksekusi.

Untuk detail selengkapnya yang terkait dengan Transaksi Web, lihat dokumentasi di bawah ini: Dokumentasi Transaksi Web Netskope

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor	Deskripsi
Tabel Log Analytics	NetskopeWebtxData_CL NetskopeWebtxErrors_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Netskope

Kueri sampel

Data Transaksi Web Netskope

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Kesalahan Koneksi or Data Transaksi Web Netskope

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan Netskope Web Transactions Data Koneksi or (menggunakan Azure Functions) pastikan Anda memiliki:

• Langganan Azure: Langganan Azure dengan peran pemilik diperlukan untuk mendaftarkan aplikasi di ID Microsoft Entra dan menetapkan peran kontributor ke aplikasi dalam grup sumber daya.
• Izin Microsoft.Compute: Izin baca dan tulis ke Azure VM diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure VM.
• Kredensial dan Izin TransactionEvents: Penyewa Netskope dan Token API Netskope diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Peristiwa Transaksi.
• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.

Instruksi penginstalan vendor

Catatan

Konektor ini menyediakan fungsionalitas penyerapan data Netskope Web Transactions menggunakan gambar docker untuk disebarkan pada komputer virtual (VM Azure/VM Lokal). Periksa halaman harga Azure VM untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1 - Langkah-langkah untuk membuat/mendapatkan Kredensial untuk akun Netskope

Ikuti langkah-langkah di bagian ini untuk membuat/mendapatkan Nama Host Netskope dan Token API Netskope:

1. Masuk ke Penyewa Netskope Anda dan buka menu Pengaturan di bilah navigasi kiri.
2. Klik Alat lalu REST API v2
3. Sekarang, klik tombol token baru. Kemudian akan meminta nama token, durasi kedaluwarsa, dan titik akhir yang ingin Anda ambil datanya.
4. Setelah selesai klik tombol simpan, token akan dihasilkan. Salin token dan simpan di tempat yang aman untuk penggunaan lebih lanjut.

**LANGKAH 2 - Pilih satu dari dua opsi penyebaran berikut untuk menyebarkan konektor data berbasis docker untuk menyerap data Transaksi Web Netskope **

PENTING: Sebelum menyebarkan konektor data Netskope, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut) yang tersedia dengan mudah, serta Kunci Otorisasi NETSKOPE API [Pastikan token memiliki izin untuk peristiwa transaksi].

Opsi 1 - Menggunakan Templat Azure Resource Manager (ARM) untuk menyebarkan VM [Disarankan]

Menggunakan templat ARM menyebarkan Azure VM, instal prasyarat dan mulai eksekusi.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

3. Masukkan informasi di bawah ini :

   • Nama Gambar Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
   • Nama Host Netskope
   • Token Netskope API
   • Cari Tanda Waktu (Tanda waktu epoch yang ingin Anda cari penunjuk pubsublite, dapat dibiarkan kosong)
   • ID Ruang Kerja
   • Kunci Ruang Kerja
   • Jumlah Coba Lagi Backoff (Jumlah coba lagi untuk kesalahan terkait token sebelum memulai ulang eksekusi.)
   • Backoff Waktu Tidur (Jumlah detik untuk tidur sebelum mencoba kembali)
   • Batas Waktu Diam (Jumlah detik untuk menunggu Data Transaksi Web sebelum memulai ulang eksekusi)
   • Nama VM
   • Jenis Autentikasi
   • Kunci atau Kata Sandi Admin
   • Awalan Label DNS
   • Versi OS Ubuntu
   • Lokasi
   • Ukuran Komputer Virtual
   • Nama Subnet
   • Nama Grup Keamanan Jaringan
   • Jenis Keamanan

4. Klik Tinjau+Buat.

5. Kemudian setelah validasi klik Buat untuk menyebarkan.

Opsi 2 - Penyebaran Manual pada komputer virtual yang dibuat sebelumnya

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data berbasis docker secara manual pada komputer virtual yang dibuat sebelumnya.

1. Pasang docker dan tarik gambar docker

CATATAN: Pastikan VM berbasis linux (sebaiknya Ubuntu).

1. Pertama, Anda harus SSH ke komputer virtual.
2. Sekarang instal mesin docker.
3. Sekarang tarik gambar docker dari docker hub menggunakan perintah: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
4. Sekarang untuk menjalankan gambar docker, gunakan perintah : sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Anda dapat mengganti mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions dengan id gambar. Berikut docker_persistent_volume adalah nama folder yang akan dibuat pada vm tempat file akan disimpan.

2. Mengonfigurasi Parameter

1. Setelah gambar docker berjalan, gambar tersebut akan meminta parameter yang diperlukan.
2. Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai masing-masing (peka huruf besar/kecil):
   • Nama Host Netskope
   • Token Netskope API
   • Cari Tanda Waktu (Tanda waktu epoch yang ingin Anda cari penunjuk pubsublite, dapat dibiarkan kosong)
   • ID Ruang Kerja
   • Kunci Ruang Kerja
   • Jumlah Coba Lagi Backoff (Jumlah coba lagi untuk kesalahan terkait token sebelum memulai ulang eksekusi.)
   • Backoff Waktu Tidur (Jumlah detik untuk tidur sebelum mencoba kembali)
   • Batas Waktu Diam (Jumlah detik untuk menunggu Data Transaksi Web sebelum memulai ulang eksekusi)
3. Sekarang eksekusi telah dimulai tetapi dalam mode interaktif, sehingga shell tidak dapat dihentikan. Untuk menjalankannya sebagai proses latar belakang, hentikan eksekusi saat ini dengan menekan Ctrl+C lalu gunakan perintah : sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Hentikan kontainer docker

1. Gunakan perintah sudo docker container ps untuk mencantumkan kontainer docker yang sedang berjalan. Catat id kontainer Anda.
2. Sekarang hentikan kontainer menggunakan perintah : sudo docker stop *<*container-id*>*

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.