다음을 통해 공유

Microsoft Sentinel용 Netskope 데이터 커넥터(Azure Functions 사용) 커넥터

  • 아티클

Netskope 데이터 커넥터는 다음과 같은 기능을 제공합니다.

  1. NetskopeToAzureStorage: Netskope에서 Netskope 경고 및 이벤트 데이터를 가져와서 Azure Storage에 게시합니다.
  2. StorageToSentinel: Azure Storage에서 Netskope 경고 및 이벤트 데이터를 가져와서 로그 분석 작업 영역에서 사용자 지정 로그 테이블에 게시합니다.
  3. WebTxMetrics: Netskope에서 WebTxMetrics 데이터를 가져와서 로그 분석 작업 영역에서 사용자 지정 로그 테이블에 게시합니다.

REST API에 대한 자세한 내용은 아래 설명서를 참조하세요.

  1. Netskope API 설명서
  2. Azure Storage 설명서
  3. Microsoft 로그 분석 설명서

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Netskope

쿼리 샘플

Netskope CompromisedCredential 경고 데이터

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Netskope CTEP 경고 데이터

alertsctepdata_CL

| sort by TimeGenerated desc

Netskope DLP 경고 데이터

alertsdlpdata_CL

| sort by TimeGenerated desc

Netskope Malsite 경고 데이터

alertsmalsitedata_CL

| sort by TimeGenerated desc

Netskope 맬웨어 경고 데이터

alertsmalwaredata_CL

| sort by TimeGenerated desc

Netskope 정책 경고 데이터

alertspolicydata_CL

| sort by TimeGenerated desc

Netskope 격리 경고 데이터

alertsquarantinedata_CL

| sort by TimeGenerated desc

Netskope 수정 경고 데이터

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment 경고 데이터

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba 경고 데이터

alertsubadata_CL

| sort by TimeGenerated desc

Netskope 애플리케이션 이벤트 데이터입니다.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Netskope 감사 이벤트 데이터

eventsauditdata_CL

| sort by TimeGenerated desc

Netskope 연결 이벤트 데이터

eventsconnectiondata_CL

| sort by TimeGenerated desc

Netskope 인시던트 이벤트 데이터

eventsincidentdata_CL

| sort by TimeGenerated desc

Netskope 네트워크 이벤트 데이터

eventsnetworkdata_CL

| sort by TimeGenerated desc

Netskope 페이지 이벤트 데이터

eventspagedata_CL

| sort by TimeGenerated desc

Netskope WebTransactions 메트릭 데이터

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

필수 조건

Netskope 데이터 커넥터(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.

  • Azure 구독: Azure Active Directory()에서 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
  • REST API 자격 증명/권한: Netskope 테넌트Netskope API 토큰이 필요합니다. Rest API 참조에서 API에 대한 자세한 내용은 설명서를 참조하세요.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Netskope API에 연결하여 경고 및 이벤트 데이터를 사용자 지정 로그 테이블로 가져옵니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - Microsoft Entra ID의 애플리케이션에 대한 앱 등록 단계

이 통합을 위해서는 Azure Portal에서 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID에서 새 애플리케이션을 만듭니다.

  1. Azure Portal에 로그인합니다.
  2. Microsoft Entra ID를 검색하고 선택합니다.
  3. 관리 아래에서 앱 등록 > 새 등록을 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal에 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID디렉터리(테넌트) ID를 확인합니다. 클라이언트 ID 및 테넌트 ID는 TriggersSync 플레이북 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크: /azure/active-directory/develop/quickstart-register-app

2단계 - Microsoft Entra ID의 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TriggersSync 플레이북을 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal의 앱 등록에서 애플리케이션을 선택합니다.
  2. 인증서 및 비밀 > 클라이언트 암호 > 새 클라이언트 암호를 선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 암호에 대해 만료를 선택하거나 사용자 지정 수명을 지정합니다. 제한은 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지에서 나가면 다시 표시되지 않습니다. 비밀 값은 TriggersSync 플레이북의 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3단계 - Microsoft Entra ID의 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal에서 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM)로 이동합니다.
  3. 추가를 클릭한 다음, 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 액세스 할당에서 User, group, or service principal를 선택합니다.
  6. 멤버 추가를 클릭하고 만든 앱 이름을 입력한 다음, 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음, 검토 + 할당을 다시 클릭합니다.

참조 링크: /azure/role-based-access-control/role-assignments-portal

4단계 - Netskope 계정에 대한 자격 증명을 만들거나 가져오는 단계

Netskope 호스트 이름Netskope API 토큰을 만들거나 가져오려면 이 섹션의 단계를 따릅니다.

  1. Netskope 테넌트에 로그인하고 왼쪽 탐색 모음의 설정 메뉴로 이동합니다.
  2. 도구를 클릭한 다음 REST API v2를 클릭합니다.
  3. 이제 새 토큰 단추를 클릭합니다. 그런 다음 토큰 이름, 만료 기간 및 데이터를 가져오려는 엔드포인트를 묻습니다.
  4. 완료되어 저장 단추를 클릭하면 토큰이 생성됩니다. 추가 사용을 위해 토큰을 복사하고 안전한 장소에 저장합니다.

5단계 - Netskope 경고 및 이벤트 데이터 수집을 위해 Azure 함수를 만드는 단계

중요: Netskope 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)는 물론 Netskope API 권한 부여 키도 즉시 사용할 수 있도록 준비합니다.

ARM 템플릿을 사용하여 Netskope 이벤트 및 경고 데이터를 Sentinel에 수집하기 위한 함수 앱을 배포합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 다음 정보를 입력합니다. Netskope HostName Netskope API 토큰 경고 및 이벤트를 가져오려는 엔드포인트에 대한 경고 및 이벤트 유형 드롭다운에서 예를 선택합니다. 로그 수준 작업 공간 ID 작업 공간 키

  4. 검토+만들기를 클릭합니다.

  5. 그런 다음 유효성 검사 후 만들기를 클릭하여 배포합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.