Поделиться через

Соединитель данных Netskope (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных Netskope предоставляет следующие возможности:

  1. NetskopeToAzureStorage: получение данных о оповещениях и событиях Netskope из Netskope и публикации в хранилище Azure.
  2. StorageToSentinel: получение данных о оповещениях и событиях Netskope из хранилища Azure и публикации в настраиваемую таблицу журналов в рабочей области Log Analytics.
  3. WebTxMetrics: получение данных WebTxMetrics из Netskope и публикация в настраиваемую таблицу журналов в рабочей области Log Analytics.

Дополнительные сведения о REST API см. в следующих документациях:

  1. Документация по API Netskope
  2. Документация по службе хранилища Azure
  3. Документация по Аналитике журналов Майкрософт

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Netskope

Примеры запросов

Данные оповещений Netskope скомпрометированоCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope CTEP

alertsctepdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope DLP

alertsdlpdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope Malsite

alertsmalsitedata_CL

| sort by TimeGenerated desc

Данные оповещений о вредоносных программах Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

Данные оповещений политики Netskope

alertspolicydata_CL

| sort by TimeGenerated desc

Данные о карантине Netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

Оповещения об исправлении Netskope

alertsremediationdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope SecurityAssessment

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope Uba

alertsubadata_CL

| sort by TimeGenerated desc

Данные событий приложений Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Данные о событиях аудита Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Данные событий подключения Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Данные о событиях инцидентов Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Данные сетевых событий Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Данные событий страницы Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Данные метрик Netskope WebTransactions

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Соединителем данных Netskope (с помощью Функции Azure), убедитесь, что у вас есть:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope. Дополнительные сведения об API см. в документации по справочнику по REST API

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Netskope для извлечения данных оповещений и событий в настраиваемую таблицу журналов. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Шаги регистрации приложений для приложения в идентификаторе Microsoft Entra

Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать новое приложение в идентификаторе Microsoft Entra ID:

  1. Войдите на портал Azure.
  2. Найдите и выберите Microsoft Entra ID.
  3. В разделе "Управление" выберите Регистрация приложений > Создать регистрацию.
  4. Введите отображаемое имя приложения.
  5. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.
  6. После завершения регистрации на портале Azure отображается область Общие сведения для регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения сборника схем TriggersSync.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app

ШАГ 2. Добавление секрета клиента для приложения в идентификатор Microsoft Entra

Иногда называется паролем приложения, секрет клиента — это строковое значение, необходимое для выполнения сборника схем TriggersSync. Выполните действия, описанные в этом разделе, чтобы создать новый секрет клиента:

  1. Выберите приложение в разделе Регистрация приложений на портале Azure.
  2. Выберите сертификаты и секреты > > секретов клиента New client secret.
  3. Добавьте описание секрета клиента.
  4. Выберите срок действия секрета или укажите настраиваемое время существования. Ограничение составляет 24 месяца.
  5. Выберите Добавить.
  6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Значение секрета требуется в качестве параметра конфигурации для выполнения сборника схем TriggersSync.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ШАГ 3. Назначение роли участника приложению в идентификаторе Microsoft Entra

Выполните действия, описанные в этом разделе, чтобы назначить роль:

  1. В портал Azure перейдите в группу ресурсов и выберите свою группу ресурсов.
  2. Перейдите к элементу управления доступом (IAM) на левой панели.
  3. Нажмите кнопку "Добавить", а затем выберите "Добавить назначение роли".
  4. Выберите участника в качестве роли и нажмите кнопку "Далее".
  5. В поле "Назначить доступ" выберите User, group, or service principal.
  6. Щелкните добавить участников и введите имя созданного приложения и выберите его.
  7. Теперь нажмите кнопку "Рецензирование" и "Назначить " и снова нажмите кнопку "Рецензирование" и " Назначить".

Ссылка на ссылку: /azure/role-based-access-control/role-assignments-portal

ШАГ 4. Действия по созданию и получении учетных данных для учетной записи Netskope

Выполните действия, описанные в этом разделе, чтобы создать и получить имя узла Netskope и токен API Netskope:

  1. Войдите в клиент Netskope и перейдите в меню "Параметры" на левой панели навигации.
  2. Щелкните "Сервис", а затем REST API версии 2
  3. Теперь нажмите кнопку нового маркера. Затем будет запрашиваться имя маркера, длительность окончания срока действия и конечные точки, из которого требуется получить данные.
  4. После этого нажмите кнопку сохранения, будет создан маркер. Скопируйте маркер и сохраните его в безопасном месте для дальнейшего использования.

ШАГ 5. Действия по созданию функций Azure для сбора оповещений и событий Netskope

ВАЖНО. Перед развертыванием соединителя данных Netskope укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего) легко доступны.., а также ключи авторизации API Netskope.

С помощью шаблона ARM развертываются приложения-функции для приема событий Netskope и оповещений в Sentinel.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите следующие сведения: маркер API Netskope HostName Netskope Select Yes в раскрывающихся списках оповещений и событий для этой конечной точки, чтобы получить оповещения и ключ рабочей области уровня событий уровня событий

  4. Нажмите кнопку "Рецензирование и создание".

  5. Затем после проверки нажмите кнопку "Создать ", чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.