Partilhar via

Conector Netskope Data Connector (usando o Azure Functions) conector para Microsoft Sentinel

  • Artigo

O conector de dados Netskope fornece os seguintes recursos:

  1. NetskopeToAzureStorage : Obtenha os dados de Alertas e Eventos do Netskope do Netskope e publique no armazenamento do Azure.
  2. StorageToSentinel : obtenha os dados de Alertas e Eventos Netskope do armazenamento do Azure e publique na tabela de log personalizada no espaço de trabalho de análise de log.
  3. WebTxMetrics : Obtenha os dados WebTxMetrics do Netskope e publique na tabela de log personalizada no espaço de trabalho de análise de log.

Para obter mais detalhes sobre APIs REST, consulte as documentações abaixo:

  1. Documentação da API Netskope
  2. Documentação de armazenamento do Azure
  3. Documentação analítica de log da Microsoft

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Netskope

Exemplos de consulta

Dados de alertas Netskope CompromisedCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Dados de alertas CTEP Netskope

alertsctepdata_CL

| sort by TimeGenerated desc

Dados de alertas Netskope DLP

alertsdlpdata_CL

| sort by TimeGenerated desc

Dados de alertas Netskope Malsite

alertsmalsitedata_CL

| sort by TimeGenerated desc

Dados de alertas de malware Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

Dados de alertas de política Netskope

alertspolicydata_CL

| sort by TimeGenerated desc

Dados de alertas de quarentena do Netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

Dados de alertas de remediação Netskope

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment Alertas de Dados

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba Alertas Dados

alertsubadata_CL

| sort by TimeGenerated desc

Dados de eventos de aplicativos Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Dados de eventos de auditoria do Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Dados de eventos de conexão Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Dados de eventos de incidentes Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Dados de eventos da rede Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Dados de eventos da página Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Dados de métricas Netskope WebTransactions

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Netskope Data Connector (usando o Azure Functions), certifique-se de ter:

  • Assinatura do Azure: a Assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no azure ative directory() e atribuir a função de colaborador ao aplicativo no grupo de recursos.
  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API REST: É necessário o Locatário Netskope e o Token da API Netskope. Consulte a documentação para saber mais sobre a API na referência da API Rest

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar às APIs do Netskope para extrair seus dados de Alertas e Eventos para a tabela de log personalizada. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Passos de Registo da Aplicação na ID Microsoft Entra

Essa integração requer um registro de aplicativo no portal do Azure. Siga as etapas nesta seção para criar um novo aplicativo no Microsoft Entra ID:

  1. Inicie sessão no portal do Azure.
  2. Procure e selecione Microsoft Entra ID.
  3. Em Gerir, selecione Registos de > aplicações Novo registo.
  4. Insira um Nome de exibição para seu aplicativo.
  5. Selecione Registrar para concluir o registro inicial do aplicativo.
  6. Quando o registro for concluído, o portal do Azure exibirá o painel Visão geral do registro do aplicativo. Você vê a ID do aplicativo (cliente) e a ID do locatário. O ID do cliente e o ID do locatário são necessários como parâmetros de configuração para a execução do playbook do TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app

PASSO 2 - Adicionar um segredo de cliente para aplicação no Microsoft Entra ID

Às vezes chamado de senha de aplicativo, um segredo do cliente é um valor de cadeia de caracteres necessário para a execução do playbook do TriggersSync. Siga as etapas nesta seção para criar um novo segredo do cliente:

  1. No portal do Azure, em Registros de aplicativos, selecione seu aplicativo.
  2. Selecione Certificados & segredos Segredos do > cliente Novo segredo do > cliente.
  3. Adicione uma descrição do segredo do cliente.
  4. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado. O limite é de 24 meses.
  5. Selecione Adicionar.
  6. Registe o valor do segredo para uso no código da aplicação cliente. Este valor secreto nunca mais é apresentado depois de sair desta página. O valor secreto é necessário como parâmetro de configuração para a execução do playbook do TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSO 3 - Atribuir a função de Colaborador à aplicação no Microsoft Entra ID

Siga as etapas nesta seção para atribuir a função:

  1. No portal do Azure, vá para Grupo de Recursos e selecione seu grupo de recursos.
  2. Vá para Controle de acesso (IAM) no painel esquerdo.
  3. Clique em Adicionar e, em seguida, selecione Adicionar atribuição de função.
  4. Selecione Colaborador como função e clique em avançar.
  5. Em Atribuir acesso a, selecione User, group, or service principal.
  6. Clique em adicionar membros , digite o nome do aplicativo que você criou e selecione-o.
  7. Agora clique em Rever + atribuir e, em seguida, clique novamente em Rever + atribuir.

Link de referência: /azure/role-based-access-control/role-assignments-portal

PASSO 4 - Passos para criar/obter credenciais para a conta Netskope

Siga as etapas nesta seção para criar/obter Netskope Hostname e Netskope API Token:

  1. Inicie sessão no seu Inquilino Netskope e vá ao menu Definições na barra de navegação esquerda.
  2. Clique em Ferramentas e, em seguida, em REST API v2
  3. Agora, clique no novo botão de token. Em seguida, ele pedirá o nome do token, a duração da expiração e os pontos de extremidade dos quais você deseja buscar dados.
  4. Feito isso, clique no botão salvar, o token será gerado. Copie o token e salve em um local seguro para uso posterior.

PASSO 5 - Passos para criar as funções azure para Netskope Alerts and Events Data Collection

IMPORTANTE: Antes de implantar o conector de dados Netskope, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada do seguinte) prontamente disponíveis.., bem como a(s) chave(s) de autorização da API Netskope.

Usando o modelo ARM, implante os aplicativos de função para ingestão de eventos Netskope e dados de alertas para o Sentinel.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira as informações abaixo: Netskope HostName Netskope API Token Selecione Sim na lista suspensa Tipos de Alertas e Eventos para o ponto de extremidade que você deseja buscar Alertas e Eventos Nível de Log ID do espaço de trabalho Chave do espaço de trabalho

  4. Clique em Rever+Criar.

  5. Em seguida, após a validação, clique em Criar para implantar.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.