Udostępnij za pośrednictwem

Łącznik netskope Web Transactions Data Połączenie or (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych Netskope Web Transactions udostępnia funkcje obrazu platformy Docker w celu ściągnięcia danych transakcji internetowych Netskope z pubsublite google, przetwarzania danych i pozyskiwania przetworzonych danych do usługi Log Analytics. W ramach tego łącznika danych zostaną utworzone dwie tabele w usłudze Log Analytics, jedna dla danych transakcji internetowych i druga dla błędów napotkanych podczas wykonywania.

Aby uzyskać więcej informacji dotyczących transakcji internetowych, zapoznaj się z poniższą dokumentacją: Netskope Web Transactions documentation (Dokumentacja transakcji internetowych platformy Netskope)

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Netskope

Przykłady zapytań

Dane transakcji internetowych netskope

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Błędy Połączenie or danych transakcji sieci Web netskope

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z usługą Netskope Web Transactions Data Połączenie or (przy użyciu usługi Azure Functions), upewnij się, że:

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik zapewnia funkcjonalność pozyskiwania danych transakcji sieci Web Netskope przy użyciu obrazu platformy Docker, który ma zostać wdrożony na maszynie wirtualnej (albo maszyna wirtualna platformy Azure/lokalna maszyna wirtualna). Aby uzyskać szczegółowe informacje, zobacz stronę cennika maszyny wirtualnej platformy Azure.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki tworzenia/pobierania poświadczeń dla konta Netskope

Wykonaj kroki opisane w tej sekcji, aby utworzyć/uzyskać nazwę hosta Netskope i token interfejsu API Netskope:

  1. Zaloguj się do dzierżawy netskope i przejdź do menu Ustawienia na lewym pasku nawigacyjnym.
  2. Kliknij pozycję Narzędzia, a następnie interfejs API REST w wersji 2
  3. Teraz kliknij przycisk nowego tokenu. Następnie zostanie wyświetlony monit o podanie nazwy tokenu, czasu wygaśnięcia i punktów końcowych, z których chcesz pobrać dane.
  4. Po zakończeniu kliknij przycisk Zapisz, token zostanie wygenerowany. Skopiuj token i zapisz go w bezpiecznym miejscu w celu dalszego użycia.

**KROK 2 . Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik danych oparty na platformie Docker w celu pozyskiwania danych transakcji sieci Web Netskope **

WAŻNE: Przed wdrożeniem łącznika danych Netskope należy ponownie udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucz autoryzacji interfejsu API Netskope [Upewnij się, że token ma uprawnienia do zdarzeń transakcji].

Opcja 1 — używanie szablonu usługi Azure Resource Manager (ARM) do wdrażania maszyny wirtualnej [zalecane]

Korzystając z szablonu usługi ARM, wdróż maszynę wirtualną platformy Azure, zainstaluj wymagania wstępne i rozpocznij wykonywanie.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje:

    • Nazwa obrazu platformy Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Nazwa hosta Netskope
    • Netskope API Token
    • Szukaj znacznika czasu (sygnatura czasowa epoki, którą chcesz szukać wskaźnika pubsublite, może być pozostawiona pusta)
    • Identyfikator obszaru roboczego
    • Klucz obszaru roboczego
    • Liczba ponownych prób wycofywania (liczba ponownych prób dla błędów związanych z tokenem przed ponownym uruchomieniem wykonania).
    • Czas uśpienia wycofywania (liczba sekund do uśpienia przed ponowną próbą)
    • Limit czasu bezczynności (liczba sekund oczekiwania na dane transakcji sieci Web przed ponownym uruchomieniem wykonania)
    • Nazwa maszyny wirtualnej
    • Typ uwierzytelniania
    • Administracja hasło lub klucz
    • Prefiks etykiety DNS
    • Wersja systemu operacyjnego Ubuntu
    • Lokalizacja
    • Rozmiar maszyny wirtualnej
    • Nazwa podsieci
    • Nazwa sieciowej grupy zabezpieczeń
    • Typ zabezpieczeń

  4. Kliknij pozycję Przejrzyj+utwórz.

  5. Następnie po walidacji kliknij pozycję Utwórz , aby wdrożyć.

Opcja 2 — ręczne wdrażanie na wcześniej utworzonej maszynie wirtualnej

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych oparty na platformie Docker na wcześniej utworzonej maszynie wirtualnej.

1. Instalowanie platformy Docker i ściąganie obrazu platformy Docker

UWAGA: Upewnij się, że maszyna wirtualna jest oparta na systemie Linux (najlepiej Ubuntu).

  1. Najpierw musisz połączyć protokół SSH z maszyną wirtualną.
  2. Teraz zainstaluj aparat platformy Docker.
  3. Teraz pobierz obraz platformy Docker z centrum docker przy użyciu polecenia: "sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".
  4. Teraz, aby uruchomić obraz platformy Docker, użyj polecenia : sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Możesz zastąpić mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions identyfikatorem obrazu. Oto docker_persistent_volume nazwa folderu, który zostanie utworzony na maszynie wirtualnej, w której będą przechowywane pliki.

2. Konfigurowanie parametrów

  1. Po uruchomieniu obrazu platformy Docker zostanie wyświetlony monit o wymagane parametry.
  2. Dodaj poszczególne z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami (z uwzględnieniem wielkości liter):
    • Nazwa hosta Netskope
    • Netskope API Token
    • Szukaj znacznika czasu (sygnatura czasowa epoki, którą chcesz szukać wskaźnika pubsublite, może być pozostawiona pusta)
    • Identyfikator obszaru roboczego
    • Klucz obszaru roboczego
    • Liczba ponownych prób wycofywania (liczba ponownych prób dla błędów związanych z tokenem przed ponownym uruchomieniem wykonania).
    • Czas uśpienia wycofywania (liczba sekund do uśpienia przed ponowną próbą)
    • Limit czasu bezczynności (liczba sekund oczekiwania na dane transakcji sieci Web przed ponownym uruchomieniem wykonania)
  3. Teraz wykonanie zostało uruchomione, ale jest w trybie interaktywnym, więc nie można zatrzymać powłoki. Aby uruchomić go jako proces w tle, zatrzymaj bieżące wykonanie, naciskając klawisze Ctrl+C, a następnie użyj polecenia : sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Zatrzymaj kontener platformy Docker

  1. Użyj polecenia sudo docker container ps , aby wyświetlić listę uruchomionych kontenerów platformy Docker. Zanotuj identyfikator kontenera.
  2. Teraz zatrzymaj kontener przy użyciu polecenia : sudo docker stop *<*container-id*>*

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.