Conector Netskope (usando o Azure Functions) para o Microsoft Sentinel

  • Artigo

O conector Netskope Cloud Security Platform fornece a capacidade de ingerir logs e eventos Netskope no Microsoft Sentinel. O conector fornece visibilidade sobre eventos e alertas da plataforma Netskope no Microsoft Sentinel para melhorar os recursos de monitoramento e investigação.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Configurações do aplicativo apikey
ID do espaço de trabalho
chave do espaço de trabalho
uri
timeInterval
logTipos
logAnalyticsUri (opcional)
Código do aplicativo de função do Azure https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Tabela(s) do Log Analytics Netskope_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Netskope

Exemplos de consulta

Top 10 Utilizadores

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

Top 10 Alertas

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Pré-requisitos

Para integrar com o Netskope (usando o Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar ao Netskope para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

Nota

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias Netskope e carregue o código da função ou clique aqui, na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) Netskope e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Passos de configuração para a API Netskope

Siga estas instruções fornecidas pela Netskope para obter um token de API. Nota: É necessária uma conta Netskope

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector Netskope, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiado do seguinte), bem como o token de autorização da API Netskope, prontamente disponíveis.

Opção 1 - Modelo do Azure Resource Manager (ARM)

Este método fornece uma implantação automatizada do conector Netskope usando um ARM Tempate.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, a chave da API e o URI.

  • Use o seguinte esquema para o uri valor: https://<Tenant Name>.goskope.com Substitua <Tenant Name> pelo seu domínio.
  • O intervalo de tempo padrão é definido para extrair os últimos cinco (5) minutos de dados. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo (no arquivo function.json, pós-implantação) para evitar a ingestão de dados sobrepostos.
  • Os Tipos de Log padrão são definidos para extrair todos os 6 tipos de log disponíveis (alert, page, application, audit, infrastructure, network), remover qualquer um que não seja necessário.
  • Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
  1. Marque a caixa de seleção Concordo com os termos e condições mencionados acima.
  2. Clique em Comprar para implantar.
  3. Depois de implantar com êxito o conector, baixe a função Kusto para normalizar os campos de dados. Siga as etapas para usar o alias da função Kusto, Netskope.

Opção 2 - Implantação manual do Azure Functions

Este método fornece as instruções passo a passo para implantar o conector Netskope manualmente com o Azure Function.

1. Crie um aplicativo de função

  1. No Portal do Azure, navegue até Aplicativo de Função e selecione + Adicionar.
  2. Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como Powershell Core.
  3. Na guia Hospedagem, verifique se o tipo de plano Consumo (sem servidor) está selecionado.
  4. Faça outras alterações de configuração preferíveis, se necessário, e clique em Criar.

2. Importar código do aplicativo de função

  1. No aplicativo de função recém-criado, selecione Funções no painel esquerdo e clique em + Adicionar.
  2. Selecione Gatilho de temporizador.
  3. Insira um Nome de Função exclusivo e modifique a agenda cron, se necessário. O valor padrão é definido para executar o aplicativo de função a cada 5 minutos. (Nota: o gatilho do temporizador deve corresponder ao timeInterval valor abaixo para evitar a sobreposição de dados), clique em Criar.
  4. Clique em Código + Teste no painel esquerdo.
  5. Copie o código do aplicativo de função e cole no editor do aplicativo run.ps1 de função.
  6. Clique em Guardar.

3. Configurar o aplicativo de função

  1. No Aplicativo de Função, selecione o Nome do Aplicativo de Função e selecione Configuração.
  2. Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.
  3. Adicione cada uma das seguintes sete (7) configurações de aplicativo individualmente, com seus respetivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (opcional)
  • Insira o URI que corresponde à sua região. O uri valor deve seguir o seguinte esquema: https://<Tenant Name>.goskope.com - Não há necessidade de adicionar parâmetros subsquent ao Uri, o Function App anexará dinamicamente os parâmetros no formato adequado.
  • Defina o timeInterval (em minutos) como o valor padrão de para corresponder ao gatilho de 5 temporizador padrão de cada 5 minuto. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo para evitar a ingestão de dados sobrepostos.
  • Definir como logTypesalert, page, application, audit, infrastructure, network - Esta lista representa todos os tipos de log disponíveis. Selecione os tipos de log com base nos requisitos de registro, separando cada um por uma única vírgula.
  • Observação: se estiver usando o Cofre da Chave do Azure, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
  • Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us. 4. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar. 5. Depois de implantar com sucesso o conector, baixe a função Kusto para normalizar os campos de dados. Siga as etapas para usar o alias da função Kusto, Netskope.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.