Udostępnij za pośrednictwem

Łącznik Netskope (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik Netskope Cloud Security Platform zapewnia możliwość pozyskiwania dzienników i zdarzeń netskope do usługi Microsoft Sentinel. Łącznik zapewnia wgląd w zdarzenia i alerty platformy Netskope w usłudze Microsoft Sentinel w celu zwiększenia możliwości monitorowania i badania.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Ustawienia aplikacji apikey
identyfikator obszaru roboczego
workspaceKey
uri
timeInterval
logTypes
logAnalyticsUri (opcjonalnie)
Kod aplikacji funkcji platformy Azure https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Tabele usługi Log Analytics Netskope_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Netskope

Przykłady zapytań

10 pierwszych użytkowników

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

10 najważniejszych alertów

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Wymagania wstępne

Aby zintegrować aplikację Netskope (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z platformą Netskope w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias Netskope i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń Netskope i inne unikatowe identyfikatory dla strumienia dziennika. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji interfejsu API Netskope

Postępuj zgodnie z tymi instrukcjami podanymi przez netskope, aby uzyskać token interfejsu API. Uwaga: wymagane jest konto Netskope

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika Netskope należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także łatwo dostępny token autoryzacji interfejsu API Netskope.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda zapewnia automatyczne wdrożenie łącznika Netskope przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, klucz interfejsu API i identyfikator URI.

  • Użyj następującego schematu uri dla wartości: https://<Tenant Name>.goskope.com Zastąp <Tenant Name> element domeną.
  • Domyślny interwał czasu jest ustawiony na ściągnięcie ostatnich pięciu (5) minut danych. Jeśli należy zmodyfikować interwał czasu, zaleca się odpowiednio zmianę wyzwalacza czasomierza aplikacji funkcji (w pliku function.json po wdrożeniu), aby zapobiec nakładające się pozyskiwaniu danych.
  • Domyślne typy dzienników są ustawione na ściągnięcie wszystkich 6 dostępnych typów dzienników (alert, page, application, audit, infrastructure, network), usunięcie żadnych nie jest wymagane.
  • Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
  1. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.
  3. Po pomyślnym wdrożeniu łącznika pobierz funkcję Kusto, aby znormalizować pola danych. Wykonaj kroki , aby użyć aliasu funkcji Kusto, Netskope.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Ta metoda zawiera instrukcje krok po kroku dotyczące ręcznego wdrażania łącznika Netskope za pomocą funkcji platformy Azure.

1. Tworzenie aplikacji funkcji

  1. W witrynie Azure Portal przejdź do pozycji Aplikacja funkcji i wybierz pozycję + Dodaj.
  2. Na karcie Podstawowe upewnij się, że stos środowiska uruchomieniowego jest ustawiony na PowerShell Core.
  3. Na karcie Hosting upewnij się, że wybrano typ planu Zużycie (bezserwerowe ).
  4. W razie potrzeby wprowadź inne preferowane zmiany konfiguracji, a następnie kliknij przycisk Utwórz.

2. Importowanie kodu aplikacji funkcji

  1. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje w okienku po lewej stronie i kliknij pozycję + Dodaj.
  2. Wybierz pozycję Wyzwalacz czasomierza.
  3. Wprowadź unikatową nazwę funkcji i w razie potrzeby zmodyfikuj harmonogram cron. Wartość domyślna jest ustawiona na uruchamianie aplikacji funkcji co 5 minut. (Uwaga: wyzwalacz czasomierza powinien być zgodny z poniższą wartością timeInterval , aby zapobiec nakładaniu się danych), kliknij przycisk Utwórz.
  4. Kliknij pozycję Kod i testowanie w okienku po lewej stronie.
  5. Skopiuj kod aplikacji funkcji i wklej go do edytora aplikacji run.ps1 funkcji.
  6. Kliknij przycisk Zapisz.

3. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj poszczególne z następujących siedmiu (7) ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągów (z uwzględnieniem wielkości liter): apikey workspaceID workspaceKey URI timeInterval logTypes logAnalyticsUri (opcjonalnie)
  • Wprowadź identyfikator URI odpowiadający Regionowi. Wartość musi być zgodna uri z następującym schematem: https://<Tenant Name>.goskope.com — Nie ma potrzeby dodawania parametrów podrzędnych do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza parametry w odpowiednim formacie.
  • timeInterval Ustaw wartość 5 domyślną (w minutach), aby odpowiadać domyślnemu wyzwalaczowi czasomierza co 5 minuty. Jeśli należy zmodyfikować interwał czasu, zaleca się zmianę wyzwalacza czasomierza aplikacji funkcji, aby zapobiec nakładające się pozyskiwaniu danych.
  • Ustaw wartość na logTypes alert, page, application, audit, infrastructure, network — ta lista reprezentuje wszystkie dostępne typy dzienników. Wybierz typy dzienników na podstawie wymagań dotyczących rejestrowania, rozdzielając je pojedynczą przecinkiem.
  • Uwaga: w przypadku korzystania z usługi Azure Key Vault użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us. 4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz. 5. Po pomyślnym wdrożeniu łącznika pobierz funkcję Kusto, aby znormalizować pola danych. Wykonaj kroki , aby użyć aliasu funkcji Kusto, Netskope.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.