Udostępnij za pośrednictwem

Łącznik Netskope Data Connector (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych Netskope zapewnia następujące możliwości:

  1. NetskopeToAzureStorage: pobierz dane Netskope Alerts and Events z netskope i opublikuj je w usłudze Azure Storage.
  2. StorageToSentinel: pobierz dane alertów i zdarzeń netskope z usługi Azure Storage i opublikuj je w niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics.
  3. WebTxMetrics: pobierz dane WebTxMetrics z netskope i opublikuj do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics.

Aby uzyskać więcej informacji na temat interfejsów API REST, zapoznaj się z poniższymi dokumentacjami:

  1. Dokumentacja interfejsu API netskope
  2. Dokumentacja usługi Azure Storage
  3. Dokumentacja analizy dzienników firmy Microsoft

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Netskope

Przykłady zapytań

Dane alertów z naruszeniem zabezpieczeń NetskopeCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Dane alertów netskope CTEP

alertsctepdata_CL

| sort by TimeGenerated desc

Dane alertów DLP netskope

alertsdlpdata_CL

| sort by TimeGenerated desc

Dane alertów dotyczących usługi Netskope Malsite

alertsmalsitedata_CL

| sort by TimeGenerated desc

Dane alertów dotyczących złośliwego oprogramowania Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

Dane alertów dotyczących zasad netskope

alertspolicydata_CL

| sort by TimeGenerated desc

Dane alertów kwarantanny netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

Dane alertów korygowania netskope

alertsremediationdata_CL

| sort by TimeGenerated desc

Dane alertów usługi Netskope SecurityAssessment

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Dane alertów Netskope Uba

alertsubadata_CL

| sort by TimeGenerated desc

Dane zdarzeń aplikacji Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Dane zdarzeń inspekcji netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Dane zdarzeń połączenia netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Dane zdarzeń zdarzenia netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Dane zdarzeń sieciowych netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Dane zdarzeń strony Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Dane metryk transakcji internetowych netskope

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z usługą Netskope Data Connector (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

  • Subskrypcja platformy Azure: Subskrypcja platformy Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest token interfejsu API Netskope Tenant i Netskope. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API REST

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z interfejsami API netskope w celu ściągnięcia danych alertów i zdarzeń do niestandardowej tabeli dzienników. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki rejestracji aplikacji dla aplikacji w identyfikatorze Entra firmy Microsoft

Ta integracja wymaga rejestracji aplikacji w witrynie Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w usłudze Microsoft Entra ID:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj i wybierz Tożsamość Microsoft Entra.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji w witrynie Azure Portal zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zobaczysz identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonania podręcznika TriggersSync.

Link referencyjny: /azure/active-directory/develop/quickstart-register-app

KROK 2. Dodawanie wpisu tajnego klienta dla aplikacji w identyfikatorze Entra firmy Microsoft

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania podręcznika TriggersSync. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W witrynie Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty i wpisy tajne Klienta Wpisy > tajne >Nowego klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności. Limit wynosi 24 miesiące.
  5. Wybierz Dodaj.
  6. Zapisz wartość klucza tajnego w kodzie aplikacji klienckiej. Po opuszczeniu tej strony wartość klucza tajnego nie jest nigdy wyświetlana ponowna. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonania podręcznika TriggersSync.

Link referencyjny: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3. Przypisywanie roli Współautor do aplikacji w identyfikatorze Entra firmy Microsoft

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W witrynie Azure Portal przejdź do pozycji Grupa zasobów i wybierz grupę zasobów.
  2. Przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z panelu po lewej stronie.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę i kliknij przycisk Dalej.
  5. W obszarze Przypisz dostęp do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz utworzoną nazwę aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz , a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny: /azure/role-based-access-control/role-assignments-portal

KROK 4. Kroki tworzenia/pobierania poświadczeń dla konta Netskope

Wykonaj kroki opisane w tej sekcji, aby utworzyć/uzyskać nazwę hosta Netskope i token interfejsu API Netskope:

  1. Zaloguj się do dzierżawy netskope i przejdź do menu Ustawienia na pasku nawigacyjnym po lewej stronie.
  2. Kliknij pozycję Narzędzia, a następnie interfejs API REST w wersji 2
  3. Teraz kliknij przycisk nowego tokenu. Następnie zostanie wyświetlony monit o podanie nazwy tokenu, czasu wygaśnięcia i punktów końcowych, z których chcesz pobrać dane.
  4. Po zakończeniu kliknij przycisk Zapisz, token zostanie wygenerowany. Skopiuj token i zapisz go w bezpiecznym miejscu w celu dalszego użycia.

KROK 5. Kroki tworzenia funkcji platformy Azure dla zbierania danych alertów i zdarzeń netskope

WAŻNE: Przed wdrożeniem łącznika danych Netskope należy ponownie udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następującego).

Za pomocą szablonu usługi ARM wdróż aplikacje funkcji na potrzeby pozyskiwania zdarzeń netskope i danych alertów w usłudze Sentinel.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Netskope HostName Netskope API Token Select Yes (Tak) na liście rozwijanej Alerty i typy zdarzeń dla tego punktu końcowego, dla którego chcesz pobrać alerty i klucz obszaru roboczego na poziomie dziennika zdarzeń

  4. Kliknij pozycję Przejrzyj+utwórz.

  5. Następnie po walidacji kliknij pozycję Utwórz , aby wdrożyć.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.