Condividi tramite

Connettore dati Netskope (che utilizza Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore dati Netskope offre le funzionalità seguenti:

  1. NetskopeToAzureStorage: ottenere i dati di Netskope Alerts and Events da Netskope e post in Archiviazione di Azure.
  2. StorageToSentinel: ottenere i dati degli avvisi e degli eventi Netskope dall'archiviazione di Azure e inviare alla tabella dei log personalizzata nell'area di lavoro Log Analytics.
  3. WebTxMetrics: ottenere i dati WebTxMetrics da Netskope e pubblicare la tabella di log personalizzata nell'area di lavoro Log Analytics.

Per altri dettagli sulle API REST, vedere le documentazioni seguenti:

  1. Documentazione dell'API Netskope
  2. Documentazione di Archiviazione di Azure
  3. Documentazione di Microsoft Log Analytics

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Netskope

Esempi di query

Netskope CompromisedCredential Alerts Data

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Netskope CTEP Alerts Data

alertsctepdata_CL

| sort by TimeGenerated desc

Netskope DLP Alerts Data

alertsdlpdata_CL

| sort by TimeGenerated desc

Netskope Malsite Alerts Data

alertsmalsitedata_CL

| sort by TimeGenerated desc

Netskope Malware Alerts Data

alertsmalwaredata_CL

| sort by TimeGenerated desc

Netskope Policy Alerts Data

alertspolicydata_CL

| sort by TimeGenerated desc

Netskope Quarantine Alerts Data

alertsquarantinedata_CL

| sort by TimeGenerated desc

Netskope Remediation Alerts Data

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment Alerts Data

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba Alerts Data

alertsubadata_CL

| sort by TimeGenerated desc

Dati degli eventi dell'applicazione Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Dati degli eventi di audit Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Dati degli eventi di connessione Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Dati sugli incidenti Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Dati degli eventi di rete Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Dati degli eventi della pagina Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Netskope WebTransactions Metrics Data

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Netskope Data Connector (usando Funzioni di Azure) assicurarsi di disporre di:

  • Sottoscrizione di Azure: la sottoscrizione di Azure con ruolo proprietario è necessaria per registrare un'applicazione in Azure Active Directory() e assegnare il ruolo di collaboratore all'app nel gruppo di risorse.
  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • Credenziali/autorizzazioni dell'API REST: è necessario il tenant Netskope e il token API Netskope. Vedere la documentazione per altre informazioni sull'API nei riferimento API REST

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi alle API Netskope per eseguire il pull dei dati degli avvisi e degli eventi nella tabella dei log personalizzata. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di registrazione dell'app per l'applicazione in Microsoft Entra ID

Questa integrazione richiede una registrazione dell'app nel portale di Azure. Seguire la procedura descritta in questa sezione per creare una nuova applicazione in Microsoft Entra ID:

  1. Accedi al portale di Azure.
  2. Cerca e seleziona Microsoft Entra ID.
  3. Alla voce Gestisci, selezionare Registrazioni app > Nuova registrazione.
  4. Immettere un Nome visualizzato per l'applicazione.
  5. Selezionare Registra per completare la registrazione iniziale dell'app.
  6. Al termine della registrazione nel portale di Azure viene visualizzato il riquadro Panoramica della registrazione dell'app. Viene visualizzato l'ID applicazione (client) e l'ID tenant. L'ID client e l'ID tenant sono necessari come parametri di configurazione per l'esecuzione del playbook TriggersSync.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app

PASSAGGIO 2 - Aggiungere un segreto client per l'applicazione in Microsoft Entra ID

A volte chiamata password dell'applicazione, un segreto client è un valore stringa necessario per l'esecuzione del playbook TriggersSync. Seguire la procedura descritta in questa sezione per creare un nuovo segreto client:

  1. Nel portale di Azure selezionare l'applicazione in Registrazioni app.
  2. Selezionare Certificati e segreti> Segreti client > Nuovo segreto client.
  3. Aggiungere una descrizione per il segreto client.
  4. Selezionare una scadenza per il segreto o specificare una durata personalizzata. Il limite è di 24 mesi.
  5. Selezionare Aggiungi.
  6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina. Il valore del segreto è obbligatorio come parametro di configurazione per l'esecuzione del playbook TriggersSync.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSAGGIO 3 - Assegnare il ruolo collaboratore all'applicazione in Microsoft Entra ID

Seguire la procedura descritta in questa sezione per assegnare il ruolo:

  1. Nel portale di Azure andare a Gruppo di risorse e selezionare il gruppo di risorse.
  2. Andare a Controllo di accesso (IAM) nel pannello sinistro.
  3. Fare clic su Aggiungie selezionare Aggiungi assegnazione di ruolo.
  4. Selezionare Collaboratore come ruolo e fare clic su Avanti.
  5. Assegna accesso a: selezionare User, group, or service principal.
  6. Fare clic su Aggiungi membri e digitare il nome dell'app creato e selezionarlo.
  7. Fare clic su Rivedi + assegna, quindi fare di nuovo clic su Rivedi + assegna.

Collegamento di riferimento:/azure/role-based-access-control/role-assignments-portal

PASSAGGIO 4 - Passaggi per creare/ottenere le credenziali per l'account Netskope

Seguire la procedura descritta in questa sezione per creare/ottenere il nome host Netskope e il token API Netskope:

  1. Accedere al tenant Netskope e andare al menu Impostazioni nella barra di spostamento a sinistra.
  2. Fare clic su Strumenti e quindi sull'API REST v2
  3. Fare clic sul pulsante nuovo token. Richiederà quindi il nome del token, la durata della scadenza e gli endpoint da cui si vogliono recuperare i dati.
  4. Al termine, fare clic sul pulsante Salva, verrà generato il token. Copiare il token e salvarlo in un luogo sicuro per un ulteriore utilizzo.

PASSAGGIO 5 - Passaggi per creare le funzioni di Azure per la raccolta di dati sugli avvisi e sugli eventi Netskope

IMPORTANTE: prima di distribuire il connettore dati Netskope, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (è possibile copiarli da quanto segue) immediatamente disponibile, nonché le chiavi di autorizzazione API Netskope.

Usando il modello di ARM, distribuire le app per le funzioni per l'inserimento di dati di netskope e avvisi in Sentinel.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

  3. Immettere le informazioni seguenti: Netskope HostName Netskope API Token Selezionare Sì nell’elenco a discesa sui tipi di avvisi ed eventi per l’endpoint per cui si desidera recuperare avvisi ed eventi Log Livello ID area di lavoro Chiave area di lavoro

  4. Fare clic su Rivedi + crea.

  5. Quindi, dopo la convalida, fare clic su Crea per la distribuzione.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.