Łącznik Netskope Data Connector (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych Netskope zapewnia następujące możliwości:
- NetskopeToAzureStorage: pobierz dane Netskope Alerts and Events z netskope i opublikuj je w usłudze Azure Storage.
- StorageToSentinel: pobierz dane alertów i zdarzeń netskope z usługi Azure Storage i opublikuj je w niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics.
- WebTxMetrics: pobierz dane WebTxMetrics z netskope i opublikuj do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics.
Aby uzyskać więcej informacji na temat interfejsów API REST, zapoznaj się z poniższymi dokumentacjami:
- Dokumentacja interfejsu API netskope
- Dokumentacja usługi Azure Storage
- Dokumentacja analizy dzienników firmy Microsoft
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Netskope |
Przykłady zapytań
Dane alertów z naruszeniem zabezpieczeń NetskopeCredential
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
Dane alertów netskope CTEP
alertsctepdata_CL
| sort by TimeGenerated desc
Dane alertów DLP netskope
alertsdlpdata_CL
| sort by TimeGenerated desc
Dane alertów dotyczących usługi Netskope Malsite
alertsmalsitedata_CL
| sort by TimeGenerated desc
Dane alertów dotyczących złośliwego oprogramowania Netskope
alertsmalwaredata_CL
| sort by TimeGenerated desc
Dane alertów dotyczących zasad netskope
alertspolicydata_CL
| sort by TimeGenerated desc
Dane alertów kwarantanny netskope
alertsquarantinedata_CL
| sort by TimeGenerated desc
Dane alertów korygowania netskope
alertsremediationdata_CL
| sort by TimeGenerated desc
Dane alertów usługi Netskope SecurityAssessment
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
Dane alertów Netskope Uba
alertsubadata_CL
| sort by TimeGenerated desc
Dane zdarzeń aplikacji Netskope.
eventsapplicationdata_CL
| sort by TimeGenerated desc
Dane zdarzeń inspekcji netskope
eventsauditdata_CL
| sort by TimeGenerated desc
Dane zdarzeń połączenia netskope
eventsconnectiondata_CL
| sort by TimeGenerated desc
Dane zdarzeń zdarzenia netskope
eventsincidentdata_CL
| sort by TimeGenerated desc
Dane zdarzeń sieciowych netskope
eventsnetworkdata_CL
| sort by TimeGenerated desc
Dane zdarzeń strony Netskope
eventspagedata_CL
| sort by TimeGenerated desc
Dane metryk transakcji internetowych netskope
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować z usługą Netskope Data Connector (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Subskrypcja platformy Azure: Subskrypcja platformy Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: wymagany jest token interfejsu API Netskope Tenant i Netskope. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API REST
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsami API netskope w celu ściągnięcia danych alertów i zdarzeń do niestandardowej tabeli dzienników. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
KROK 1. Kroki rejestracji aplikacji dla aplikacji w identyfikatorze Entra firmy Microsoft
Ta integracja wymaga rejestracji aplikacji w witrynie Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w usłudze Microsoft Entra ID:
- Zaloguj się w witrynie Azure Portal.
- Wyszukaj i wybierz Tożsamość Microsoft Entra.
- W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
- Wprowadź nazwę wyświetlaną aplikacji.
- Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.
- Po zakończeniu rejestracji w witrynie Azure Portal zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zobaczysz identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonania podręcznika TriggersSync.
Link referencyjny: /azure/active-directory/develop/quickstart-register-app
KROK 2. Dodawanie wpisu tajnego klienta dla aplikacji w identyfikatorze Entra firmy Microsoft
Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania podręcznika TriggersSync. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:
- W witrynie Azure Portal w Rejestracje aplikacji wybierz aplikację.
- Wybierz pozycję Certyfikaty i wpisy tajne Klienta Wpisy > tajne >Nowego klienta.
- Dodaj opis wpisu tajnego klienta.
- Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności. Limit wynosi 24 miesiące.
- Wybierz Dodaj.
- Zapisz wartość klucza tajnego w kodzie aplikacji klienckiej. Po opuszczeniu tej strony wartość klucza tajnego nie jest nigdy wyświetlana ponowna. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonania podręcznika TriggersSync.
Link referencyjny: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
KROK 3. Przypisywanie roli Współautor do aplikacji w identyfikatorze Entra firmy Microsoft
Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:
- W witrynie Azure Portal przejdź do pozycji Grupa zasobów i wybierz grupę zasobów.
- Przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z panelu po lewej stronie.
- Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
- Wybierz pozycję Współautor jako rolę i kliknij przycisk Dalej.
- W obszarze Przypisz dostęp do wybierz pozycję
User, group, or service principal. - Kliknij pozycję Dodaj członków i wpisz utworzoną nazwę aplikacji i wybierz ją.
- Teraz kliknij pozycję Przejrzyj i przypisz , a następnie ponownie kliknij pozycję Przejrzyj i przypisz.
Link referencyjny: /azure/role-based-access-control/role-assignments-portal
KROK 4. Kroki tworzenia/pobierania poświadczeń dla konta Netskope
Wykonaj kroki opisane w tej sekcji, aby utworzyć/uzyskać nazwę hosta Netskope i token interfejsu API Netskope:
- Zaloguj się do dzierżawy netskope i przejdź do menu Ustawienia na pasku nawigacyjnym po lewej stronie.
- Kliknij pozycję Narzędzia, a następnie interfejs API REST w wersji 2
- Teraz kliknij przycisk nowego tokenu. Następnie zostanie wyświetlony monit o podanie nazwy tokenu, czasu wygaśnięcia i punktów końcowych, z których chcesz pobrać dane.
- Po zakończeniu kliknij przycisk Zapisz, token zostanie wygenerowany. Skopiuj token i zapisz go w bezpiecznym miejscu w celu dalszego użycia.
KROK 5. Kroki tworzenia funkcji platformy Azure dla zbierania danych alertów i zdarzeń netskope
WAŻNE: Przed wdrożeniem łącznika danych Netskope należy ponownie udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następującego).
Za pomocą szablonu usługi ARM wdróż aplikacje funkcji na potrzeby pozyskiwania zdarzeń netskope i danych alertów w usłudze Sentinel.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź poniższe informacje: Netskope HostName Netskope API Token Select Yes (Tak) na liście rozwijanej Alerty i typy zdarzeń dla tego punktu końcowego, dla którego chcesz pobrać alerty i klucz obszaru roboczego na poziomie dziennika zdarzeń
Kliknij pozycję Przejrzyj+utwórz.
Następnie po walidacji kliknij pozycję Utwórz , aby wdrożyć.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla