Compartilhar via


Conector de Dados Netskope (usando o Azure Functions) para o Microsoft Sentinel

O conector de dados Netskope fornece os seguintes recursos:

  1. NetskopeToAzureStorage: obtém os dados de alertas e eventos do Netskope e os publica no armazenamento do Azure.
  2. StorageToSentinel: obtém os dados de alertas e eventos do Netskope do armazenamento do Azure e os publica na tabela de logs personalizada no Workspace do Log Analytics.
  3. WebTxMetrics: obtém os dados WebTxMetrics do Netskope e publica-os na tabela de registros personalizados no Workspace do Log Analytics.

Para obter mais detalhes sobre as APIs REST, consulte as documentações abaixo:

  1. Documentação da API Netskope
  2. Documentação do armazenamento do Azure
  3. Documentação de análise de logs da Microsoft

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Netskope

Exemplos de consulta

Dados de alertas de CompromisedCredential da Netskope

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Dados de alertas do CTEP da Netskope

alertsctepdata_CL

| sort by TimeGenerated desc

Dados de Alertas de DLP da Netskope

alertsdlpdata_CL

| sort by TimeGenerated desc

Dados de Alertas de Malware da Netskope

alertsmalsitedata_CL

| sort by TimeGenerated desc

Dados de Alertas de Malware da Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

Dados de Alertas de Política da Netskope

alertspolicydata_CL

| sort by TimeGenerated desc

Dados de Alertas de Quarentena da Netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

Dados de Alertas de Correção da Netskope

alertsremediationdata_CL

| sort by TimeGenerated desc

Dados de Alertas de SecurityAssessment da Netskope

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Dados de Alertas de Uba da Netskope

alertsubadata_CL

| sort by TimeGenerated desc

Dados de Eventos de Aplicativos da Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Dados de Eventos de Auditoria da Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Dados de Eventos de Conexão da Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Dados de Eventos de Incidente da Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Dados de Eventos de Rede da Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Dados de Eventos de Página da Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Dados de Métricas de WebTransactions da Netskope

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Pré-requisitos

Para fazer a integração com o Conector de Dados Netskope (usando o Azure Functions), certifique-se de que você tenha:

  • Assinatura do Azure: A Assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Azure Active Directory() e atribuir a função de colaborador ao aplicativo no grupo de recursos.
  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API REST: Locatário da Netskope e Token de API Netskope são necessários. Consulte a documentação para saber mais sobre a API na referência API REST

Instruções de instalação do fornecedor

Observação

Esse conector usa o Azure Functions para se conectar às APIs Netskope e extrair seus dados de Alertas e Eventos para a tabela de registro personalizada. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

ETAPA 1: Etapas de registro do aplicativo no Microsoft Entra ID

Essa integração requer um registo de App no portal do Azure. Siga as etapas nessa seção para criar um novo aplicativo no Microsoft Entra ID:

  1. Entre no portal do Azure.
  2. Procure e selecione o Microsoft Entra ID.
  3. Em Gerenciar, selecione Registros de aplicativo > Novo registro.
  4. Insira um Nome de exibição para o seu aplicativo.
  5. Selecione Registrar para concluir o registro inicial do aplicativo.
  6. Quando o registro for concluído, o portal do Azure exibirá o painel Visão geral do registro de aplicativo. Você vê o ID do aplicativo (cliente) e o ID do locatário. A ID do cliente e a ID do locatário são necessárias como parâmetros de configuração para a execução do guia estratégico TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app

ETAPA 2: Adicionar um segredo de cliente para o aplicativo no Microsoft Entra ID

Às vezes chamado de senha do aplicativo, o segredo do cliente é um valor de cadeia de caracteres necessário para a execução do guia estratégico TriggersSync. Siga as etapas nessa seção para criar um novo segredo do cliente:

  1. No portal do Azure, em Registros de aplicativo, selecione seu aplicativo.
  2. Selecione Certificados e segredos > Segredos do cliente > Novo segredo do cliente.
  3. Adicione uma descrição para o segredo do cliente.
  4. Selecione uma data de expiração para o segredo ou especifique um tempo de vida personalizado. O limite é de 24 meses.
  5. Selecione Adicionar.
  6. Registre o valor do segredo para uso no código do aplicativo cliente. Esse valor secreto nunca será exibido novamente depois que você sair dessa página. O valor secreto é necessário como parâmetro de configuração para a execução do guia estratégico TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ETAPA 3: Atribuir a função de Colaborador ao aplicativo no Microsoft Entra ID

Siga as etapas nessa seção para atribuir a função:

  1. No portal do Azure, vá para Grupo de Recursos e selecione seu grupo de recursos.
  2. Vá para Controle de acesso (IAM) no painel esquerdo.
  3. Clique em Adicionar e selecione Adicionar atribuição de função.
  4. Selecione Contribuidor como função e clique em próximo.
  5. Em Atribuir acesso a, selecione User, group, or service principal.
  6. Clique em adicionar membrose digite o nome do seu aplicativo que você criou e selecione-o.
  7. Agora clique em Revisar + atribuir e depois clique novamente em Revisar + atribuir.

Link de referência: /azure/role-based-access-control/role-assignments-portal

ETAPA 4: Etapas para criar/obter credenciais para a conta da Netskope

Siga as etapas desta seção para criar/obter Nome do Host da Netskope e Token da API Netskope:

  1. Faça login em seu Netskope Tenant e acesse o menu Configuração na barra de navegação à esquerda.
  2. Clique em Ferramentas e depois em API REST v2
  3. Agora, clique no botão de novo token. Em seguida, ele solicitará o nome do token, a duração da expiração e os pontos de extremidade dos quais você deseja buscar dados.
  4. Feito isso clique no botão salvar, o token será gerado. Copie o token e salve-o em um local seguro para uso posterior.

ETAPA 5: Etapas para criar funções do Azure para a coleta de dados de alertas e eventos do Netskope

IMPORTANTE: Antes de implantar o Conector de Dados Netskope, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (que pode ser copiada do seguinte) prontamente disponíveis, bem como a(s) chave(s) de autorização da API Netskope.

Usando o modelo ARM, implante os aplicativos de função para ingestão de dados de eventos e alertas da Netskope no Sentinel.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Insira as informações abaixo: HostName da Netskope, Token da API Netskope, Selecione Sim no menu suspenso Tipos de Alertas e Eventos para o ponto de extremidade do qual deseja obter Alertas e Eventos, ID do Espaço de Trabalho, Chave do Espaço de Trabalho

  4. Clique em Revisar+Criar.

  5. Depois da validação clique em Criar para implantar.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.