Microsoft Sentinel 用 Netskope (Azure Functions を使用) コネクタ

Netskope クラウド セキュリティ プラットフォーム コネクタには、Netskope のログとイベントを Microsoft Sentinel に取り込む機能があります。 このコネクタを使うと、Microsoft Sentinel の Netskope プラットフォーム イベントとアラートを可視化し、監視と調査の機能を向上させることができます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性	説明
アプリケーションの設定	apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (省略可能)
Azure 関数アプリのコード	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Log Analytics テーブル	Netskope_CL
データ収集ルールのサポート	現在、サポートされていません
サポートしているもの	Netskope

クエリのサンプル

上位 10 人のユーザー

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

上位 10 件のアラート

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

前提条件

Netskope (Azure Functions を使用) と統合する場合は、次を持っていることを確認してください。

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
• Netskope API トークン: Netskope API トークンが必要です。 Netskope API の詳細については、こちらのドキュメントを参照してください。 注: Netskope アカウントが必要です

ベンダーのインストール手順

注意

このコネクタは Azure Functions を使って Netskope に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

注意

このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、エイリアス Netskope を検索して関数コードを読み込みます。または、ここをクリックします。クエリの 2 行目で、Netskope デバイスのホスト名とログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。

手順 1 - Netskope API の構成手順

Netskope が提供しているこれらの手順に従って API トークンを取得します。 注: Netskope アカウントが必要です

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: Netskope コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、Netskope API の認可トークンをすぐに使用できるようにしておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

この方法により、ARM Tempate を使った Netskope コネクタの自動デプロイが可能になります。

1. 下の [Azure へのデプロイ] ボタンをクリックします。

   

2. お使いの [サブスクリプション]、[リソース グループ]、[場所] を選びます。

3. [ワークスペース ID]、[ワークスペース キー]、[API キー]、[URI] を入力します。

• uri の値には次のスキーマを使います。https://<Tenant Name>.goskope.com<Tenant Name> は自分のドメインに置き換えます。
• 既定の [時間間隔] では、最後の 5 分間のデータをプルするように設定されています。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、(function.json ファイルのデプロイ後に) 関数アプリ タイマー トリガーを適宜変更することをお勧めします。
• 既定の [ログの種類] は、6 つの使用できるログの種類 (alert, page, application, audit, infrastructure, network) をすべてプルするように設定されており、いずれかを削除する必要はありません。
• 注: 上記のいずれかの値に対して Azure Key Vault シークレットを使う場合は、文字列値ではなく @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使います。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。

4. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
5. [購入] をクリックしてデプロイします。
6. コネクタのデプロイに成功したら、データ フィールドを正規化する Kusto 機能をダウンロードします。 こちらの手順に従って Kusto 関数のエイリアス Netskope を使います。

オプション 2 - Azure Functions の手動デプロイ

この方法では、Azure 関数を使って Netskope コネクタを手動でデプロイするための詳細な手順を提供しています。

1. 関数アプリを作成する

1. Azure Portal から [関数アプリ] に移動し、[+ 追加] を選びます。
2. [基本] タブで、[ランタイム スタック] が [Powershell Core] に設定されていることを確認します。
3. [ホスティング] タブで、[従量課金 (サーバーレス)] のプランの種類が選ばれていることを確認します。
4. 必要に応じてその他の希望の構成変更を行い、[作成] をクリックします。

2. 関数アプリ コードをインポートする

1. 新しく作成した関数アプリの左側のペインで [関数] を選び、[+ 追加] をクリックします。
2. [タイマー トリガー] を選択します。
3. 一意の関数の名前を入力し、必要に応じて cron スケジュールを変更します。 既定値は、関数アプリを 5 分ごとに実行するように設定されています。 (注: タイマー トリガーは、データの重複を防ぐために、以下の timeInterval 値と一致する必要があります)、[作成] をクリックします。
4. 左側のペインで [コードとテスト] をクリックします。
5. 関数アプリ コードをコピーし、関数アプリ run.ps1 エディターに貼り付けます。
6. [保存] をクリックします。

3. 関数アプリを構成する

1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
3. 次の 7 つの各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字は区別されます): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (省略可能)

• リージョンに対応する URI を入力します。 uri の値は https://<Tenant Name>.goskope.com のスキーマに従う必要があります。URI に後続のパラメーターを追加する必要はありません。関数アプリにより、適切な形式でパラメーターが動的に追加されます。
• timeInterval (分単位) を既定値 5 に設定します。これは、5 分ごとの既定の時間トリガーに対応します。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、関数アプリ タイマー トリガーを適宜変更することをお勧めします。
• logTypes から alert, page, application, audit, infrastructure, network を設定する - この一覧は、使用できるすべてのログの種類を表しています。 ログの要件に基づいてログの種類を選び、それぞれを 1 つのコンマで区切ります。
• 注: Azure Key Vault を使っている場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使います。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。
• 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。 4. すべてのアプリケーション設定を入力したら、[保存] をクリックします。 5. コネクタのデプロイに成功したら、データ フィールドを正規化する Kusto 機能をダウンロードします。 こちらの手順に従って Kusto 関数のエイリアス Netskope を使います。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。