Conector Netskope (usando o Azure Functions) para o Microsoft Sentinel
O conector Netskope Cloud Security Platform fornece a capacidade de ingerir logs e eventos Netskope no Microsoft Sentinel. O conector fornece visibilidade sobre eventos e alertas da plataforma Netskope no Microsoft Sentinel para melhorar os recursos de monitoramento e investigação.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Configurações do aplicativo | apikey ID do espaço de trabalho chave do espaço de trabalho uri timeInterval logTipos logAnalyticsUri (opcional) |
Código do aplicativo de função do Azure | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1 |
Tabela(s) do Log Analytics | Netskope_CL |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Netskope |
Exemplos de consulta
Top 10 Utilizadores
Netskope
| summarize count() by SrcUserName
| top 10 by count_
Top 10 Alertas
Netskope
| where isnotempty(AlertName)
| summarize count() by AlertName
| top 10 by count_
Pré-requisitos
Para integrar com o Netskope (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Netskope API Token: Um Netskope API Token é necessário. Consulte a documentação para saber mais sobre a API Netskope. Nota: É necessária uma conta Netskope
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar ao Netskope para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
Nota
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias Netskope e carregue o código da função ou clique aqui, na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) Netskope e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
PASSO 1 - Passos de configuração para a API Netskope
Siga estas instruções fornecidas pela Netskope para obter um token de API. Nota: É necessária uma conta Netskope
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector Netskope, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiado do seguinte), bem como o token de autorização da API Netskope, prontamente disponíveis.
Opção 1 - Modelo do Azure Resource Manager (ARM)
Este método fornece uma implantação automatizada do conector Netskope usando um ARM Tempate.
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira o ID do espaço de trabalho, a chave do espaço de trabalho, a chave da API e o URI.
- Use o seguinte esquema para o
uri
valor:https://<Tenant Name>.goskope.com
Substitua<Tenant Name>
pelo seu domínio. - O intervalo de tempo padrão é definido para extrair os últimos cinco (5) minutos de dados. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo (no arquivo function.json, pós-implantação) para evitar a ingestão de dados sobrepostos.
- Os Tipos de Log padrão são definidos para extrair todos os 6 tipos de log disponíveis (
alert, page, application, audit, infrastructure, network
), remover qualquer um que não seja necessário. - Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})
esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
- Marque a caixa de seleção Concordo com os termos e condições mencionados acima.
- Clique em Comprar para implantar.
- Depois de implantar com êxito o conector, baixe a função Kusto para normalizar os campos de dados. Siga as etapas para usar o alias da função Kusto, Netskope.
Opção 2 - Implantação manual do Azure Functions
Este método fornece as instruções passo a passo para implantar o conector Netskope manualmente com o Azure Function.
1. Crie um aplicativo de função
- No Portal do Azure, navegue até Aplicativo de Função e selecione + Adicionar.
- Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como Powershell Core.
- Na guia Hospedagem, verifique se o tipo de plano Consumo (sem servidor) está selecionado.
- Faça outras alterações de configuração preferíveis, se necessário, e clique em Criar.
2. Importar código do aplicativo de função
- No aplicativo de função recém-criado, selecione Funções no painel esquerdo e clique em + Adicionar.
- Selecione Gatilho de temporizador.
- Insira um Nome de Função exclusivo e modifique a agenda cron, se necessário. O valor padrão é definido para executar o aplicativo de função a cada 5 minutos. (Nota: o gatilho do temporizador deve corresponder ao
timeInterval
valor abaixo para evitar a sobreposição de dados), clique em Criar. - Clique em Código + Teste no painel esquerdo.
- Copie o código do aplicativo de função e cole no editor do aplicativo
run.ps1
de função. - Clique em Guardar.
3. Configurar o aplicativo de função
- No Aplicativo de Função, selecione o Nome do Aplicativo de Função e selecione Configuração.
- Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.
- Adicione cada uma das seguintes sete (7) configurações de aplicativo individualmente, com seus respetivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (opcional)
- Insira o URI que corresponde à sua região. O
uri
valor deve seguir o seguinte esquema:https://<Tenant Name>.goskope.com
- Não há necessidade de adicionar parâmetros subsquent ao Uri, o Function App anexará dinamicamente os parâmetros no formato adequado.- Defina o
timeInterval
(em minutos) como o valor padrão de para corresponder ao gatilho de5
temporizador padrão de cada5
minuto. Se o intervalo de tempo precisar ser modificado, é recomendável alterar o gatilho do temporizador do aplicativo de função de acordo para evitar a ingestão de dados sobrepostos.- Definir como
logTypes
alert, page, application, audit, infrastructure, network
- Esta lista representa todos os tipos de log disponíveis. Selecione os tipos de log com base nos requisitos de registro, separando cada um por uma única vírgula.- Observação: se estiver usando o Cofre da Chave do Azure, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})
esquema no lugar dos valores da cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.- Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato:
https://<CustomerId>.ods.opinsights.azure.us
. 4. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar. 5. Depois de implantar com sucesso o conector, baixe a função Kusto para normalizar os campos de dados. Siga as etapas para usar o alias da função Kusto, Netskope.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.