Соединитель Netskope (с помощью Функции Azure) для Microsoft Sentinel

Соединитель Netskope Cloud Security Platform предоставляет возможность приема журналов и событий Netskope в Microsoft Sentinel. Соединитель обеспечивает видимость событий и оповещений платформы Netskope в Microsoft Sentinel для улучшения возможностей мониторинга и исследования.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя	Description
Параметры приложения	apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (необязательно)
Код приложения-функции Azure	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Таблицы Log Analytics	Netskope_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Netskope

Примеры запросов

Лучшие 10 пользователей

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

Основные 10 оповещений

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с Netskope (с помощью Функции Azure), убедитесь, что у вас есть:

• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
• Токен API Netskope: требуется маркер API Netskope. Дополнительные сведения об API Netskope см. в документации. Примечание. Требуется учетная запись Netskope

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к Netskope для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Netskope и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств Netskope и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке API Netskope

Следуйте этим инструкциям , предоставленным Netskope, чтобы получить маркер API. Примечание. Требуется учетная запись Netskope

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Прежде чем развертывать соединитель Netskope, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также маркер авторизации API Netskope, легко доступный.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Этот метод обеспечивает автоматическое развертывание соединителя Netskope с помощью tempate ARM.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите идентификатор рабочей области, ключ рабочей области, ключ API и универсальный код ресурса (URI).

• Используйте следующую схему uri для значения: https://<Tenant Name>.goskope.com замените <Tenant Name> домен.
• Интервал времени по умолчанию устанавливается для извлечения последних пяти (5) минут данных. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить перекрытие приема данных.
• Типы журналов по умолчанию предназначены для извлечения всех доступных типов журналов (alert, page, application, audit, infrastructure, network), удаление которых не требуется.
• Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.

4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".
5. Нажмите кнопку " Купить" , чтобы развернуть.
6. После успешного развертывания соединителя скачайте функцию Kusto, чтобы нормализовать поля данных. Выполните действия , чтобы использовать псевдоним функции Kusto, Netskope.

Вариант 2. Развертывание Функции Azure вручную

Этот метод содержит пошаговые инструкции по развертыванию соединителя Netskope вручную с помощью функции Azure.

1. Создание приложения-функции

1. На портале Azure перейдите в приложение-функцию и нажмите кнопку +Добавить.
2. На вкладке "Основные сведения" убедитесь, что стек среды выполнения имеет значение PowerShell Core.
3. На вкладке "Размещение" убедитесь, что выбран тип плана потребления (бессерверный).
4. При необходимости внесите другие предпочитаемые изменения конфигурации, а затем нажмите кнопку "Создать".

2. Импорт кода приложения-функции

1. В созданном приложении-функции выберите "Функции " на левой панели и нажмите кнопку "+Добавить".
2. Выберите Триггер таймера.
3. При необходимости введите уникальное имя функции и измените расписание cron. Значение по умолчанию устанавливается для запуска приложения-функции каждые 5 минут. (Примечание. Триггер таймера должен соответствовать приведенному timeInterval ниже значению, чтобы предотвратить перекрытие данных), нажмите кнопку Создайте.
4. Щелкните "Код и тест" на левой панели.
5. Скопируйте код приложения-функции и вставьте его в редактор приложения-функцииrun.ps1.
6. Нажмите кнопку Сохранить.

3. Настройка приложения-функции

1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. Добавьте каждый из следующих семи (7) параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (необязательно)

• Введите универсальный код ресурса (URI), соответствующий вашему региону. Значение uri должно соответствовать следующей схеме: https://<Tenant Name>.goskope.com нет необходимости добавлять вложенные параметры в URI, приложение-функция будет динамически добавлять параметры в правильном формате.
• timeInterval Задайте значение по умолчанию (в минутах), чтобы соответствовать триггеру таймера по умолчанию 5 каждые 5 минуты. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции соответствующим образом, чтобы предотвратить перекрытие приема данных.
• logTypes alert, page, application, audit, infrastructure, network Задайте значение — этот список представляет все типы доступных журналов. Выберите типы журналов на основе требований к ведению журнала, разделяя каждую запятую.
• Примечание. При использовании Azure Key Vault используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
• Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us 4. После ввода всех параметров приложения нажмите кнопку "Сохранить". 5. После успешного развертывания соединителя скачайте функцию Kusto, чтобы нормализовать поля данных. Выполните действия , чтобы использовать псевдоним функции Kusto, Netskope.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.