Netskope-connector (met behulp van Azure Functions) voor Microsoft Sentinel

  • Artikel

De Netskope Cloud Security Platform-connector biedt de mogelijkheid om Netskope-logboeken en -gebeurtenissen op te nemen in Microsoft Sentinel. De connector biedt inzicht in Netskope-platformgebeurtenissen en -waarschuwingen in Microsoft Sentinel om de mogelijkheden voor bewaking en onderzoek te verbeteren.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Toepassingsinstellingen apikey
workspaceID
workspaceKey
uri
timeInterval
logTypes
logAnalyticsUri (optioneel)
Code van Azure-functie-app https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Log Analytics-tabellen Netskope_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Netskope

Voorbeelden van query's

Top 10 gebruikers

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

Top 10 waarschuwingen

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Vereisten

Als u wilt integreren met Netskope (met behulp van Azure Functions), moet u het volgende hebben:

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met Netskope om logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

Notitie

Deze gegevensconnector is afhankelijk van een parser die is gebaseerd op een Kusto-functie om te werken zoals verwacht. Deze wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u naar de alias Netskope en laadt u de functiecode. Klik hier op de tweede regel van de query en voer de hostnaam(s) van uw Netskope-apparaat(en) en eventuele andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

STAP 1: configuratiestappen voor de Netskope-API

Volg deze instructies van Netskope om een API-token te verkrijgen. Opmerking: er is een Netskope-account vereist

STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren

BELANGRIJK: Voordat u de Netskope-connector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit de volgende) en het Netskope API-autorisatietoken, direct beschikbaar.

Optie 1: ARM-sjabloon (Azure Resource Manager)

Deze methode biedt een geautomatiseerde implementatie van de Netskope-connector met behulp van een ARM-tempate.

  1. Klik op de knop Implementeren in Azure hieronder.

    Implementeren in Azure

  2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

  3. Voer de werkruimte-id, werkruimtesleutel, API-sleutel en URI in.

  • Gebruik het volgende schema voor de uri waarde: https://<Tenant Name>.goskope.com Vervangen <Tenant Name> door uw domein.
  • Het standaardtijdinterval is ingesteld om de laatste vijf (5) minuten aan gegevens op te halen. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen (in het function.json-bestand, na de implementatie) om overlappende gegevensopname te voorkomen.
  • De standaardlogboektypen zijn ingesteld om alle 6 beschikbare logboektypen () op te halen.alert, page, application, audit, infrastructure, network Verwijder alle logboektypen zijn niet vereist.
  • Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.
  1. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
  2. Klik op Kopen om te implementeren.
  3. Nadat de connector is geïmplementeerd, downloadt u de Kusto-functie om de gegevensvelden te normaliseren. Volg de stappen om de Kusto-functiealias Netskope te gebruiken.

Optie 2: handmatige implementatie van Azure Functions

Deze methode bevat de stapsgewijze instructies voor het handmatig implementeren van de Netskope-connector met Azure Function.

1. Een functie-app maken

  1. Ga in Azure Portal naar de functie-app en selecteer + Toevoegen.
  2. Controleer op het tabblad Basisbeginselen of runtimestack is ingesteld op Powershell Core.
  3. Controleer op het tabblad Hosting of het abonnementstype Verbruik (serverloos) is geselecteerd.
  4. Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik op Maken.

2. Code van functie-app importeren

  1. Selecteer functies in het linkerdeelvenster in de zojuist gemaakte functie-app en klik op + Toevoegen.
  2. Selecteer Timertrigger.
  3. Voer indien nodig een unieke functienaam in en wijzig het cron-schema. De standaardwaarde is ingesteld om de functie-app elke 5 minuten uit te voeren. (Opmerking: de timertrigger moet overeenkomen met de timeInterval onderstaande waarde om overlappende gegevens te voorkomen), klikt u op Maken.
  4. Klik op Code + Testen in het linkerdeelvenster.
  5. Kopieer de code van de functie-app en plak deze in de functie-app-editorrun.ps1.
  6. Klik op Opslaan.

3. De functie-app configureren

  1. Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
  2. Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.
  3. Voeg elk van de volgende zeven (7) toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (optioneel)
  • Voer de URI in die overeenkomt met uw regio. De uri waarde moet het volgende schema volgen: https://<Tenant Name>.goskope.com - U hoeft geen subsquent parameters toe te voegen aan de URI. De functie-app voegt de parameters dynamisch toe aan de juiste indeling.
  • Stel de timeInterval standaardwaarde (in minuten) in op de standaardwaarde die 5 overeenkomt met de standaardtimertrigger van elke 5 minuten. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen om overlappende gegevensopname te voorkomen.
  • Stel de optie logTypes in op alert, page, application, audit, infrastructure, network - Deze lijst vertegenwoordigt alle geldige logboektypen. Selecteer de logboektypen op basis van logboekvereisten, die elk door één komma worden gescheiden.
  • Opmerking: Als u Azure Key Vault gebruikt, gebruikt u het@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.
  • Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us 4. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan. 5. Nadat de connector is geïmplementeerd, downloadt u de Kusto-functie om de gegevensvelden te normaliseren. Volg de stappen om de Kusto-functiealias Netskope te gebruiken.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.