Соединитель данных Подключение транзакций Netskope (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных две таблицы будут сформированы в Log Analytics, одна для данных веб-транзакций и другая для ошибок, возникающих во время выполнения.

Дополнительные сведения о веб-транзакциях см. в следующей документации: документация по Netskope Web Transactions

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя	Description
Таблицы Log Analytics	NetskopeWebtxData_CL NetskopeWebtxErrors_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Netskope

Примеры запросов

Данные веб-транзакций Netskope

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Ошибки Подключение данных веб-транзакций Netskope

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрировать данные Netskope Web Transactions Подключение or (с помощью Функции Azure), убедитесь, что у вас есть:

• Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участник приложению в группе ресурсов.
• Разрешения Microsoft.Compute. Требуется разрешение на чтение и запись виртуальных машин Azure. Дополнительные сведения о виртуальных машинах Azure см. в документации.
• Учетные данные и разрешения transactionEvents: требуется клиент Netskope и токен API Netskope. Дополнительные сведения о событиях транзакций см. в документации.
• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель предоставляет функциональные возможности приема данных Netskope Web Transactions с помощью образа Docker для развертывания на виртуальной машине (виртуальная машина Azure или локальная виртуальная машина). Дополнительные сведения см. на странице цен на виртуальную машину Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по созданию и получении учетных данных для учетной записи Netskope

Выполните действия, описанные в этом разделе, чтобы создать и получить имя узла Netskope и токен API Netskope:

1. Войдите в клиент Netskope и перейдите в меню Параметры на левой панели навигации.
2. Щелкните "Сервис", а затем REST API версии 2
3. Теперь нажмите кнопку нового маркера. Затем будет запрашиваться имя маркера, длительность окончания срока действия и конечные точки, из которого требуется получить данные.
4. После этого нажмите кнопку сохранения, будет создан маркер. Скопируйте маркер и сохраните его в безопасном месте для дальнейшего использования.

**ШАГ 2. Выберите один из следующих двух вариантов развертывания для развертывания соединителя данных на основе Docker для приема данных Netskope Web Transactions **

ВАЖНО. Перед развертыванием соединителя данных Netskope укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Netskope [Убедитесь, что маркер имеет разрешения для событий транзакций].

Вариант 1. Использование шаблона Azure Resource Manager (ARM) для развертывания виртуальной машины [рекомендуется]

С помощью шаблона ARM разверните виртуальную машину Azure, установите необходимые компоненты и запустите выполнение.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите следующие сведения:

   • Имя образа Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
   • Netskope HostName
   • Маркер API Netskope
   • Искать метку времени (метка времени эпохи, которую вы хотите искать указатель pubsublite, можно оставить пустым)
   • Идентификатор рабочей области
   • Ключ рабочей области
   • Счетчик повторных попыток (число повторных попыток для связанных с маркером ошибок перед перезапуском выполнения).)
   • Время ожидания отката (количество секунд для спящего режима перед повторным повтором)
   • Время ожидания простоя (количество секунд ожидания данных веб-транзакций перед перезапуском)
   • Имя виртуальной машины
   • Тип проверки подлинности
   • Пароль или ключ администратора
   • Префикс метки DNS
   • Версия ОС Ubuntu
   • Расположение
   • Размер виртуальной машины
   • Имя подсети
   • Имя группы безопасности сети
   • Тип безопасности

4. Нажмите кнопку "Рецензирование и создание".

5. Затем после проверки нажмите кнопку "Создать ", чтобы развернуть.

Вариант 2. Развертывание вручную на ранее созданной виртуальной машине

Выполните следующие пошаговые инструкции по развертыванию соединителя данных на основе Docker вручную на ранее созданной виртуальной машине.

1. Установка docker и извлечение образа Docker

ПРИМЕЧАНИЕ. Убедитесь, что виртуальная машина основана на linux (желательно Ubuntu).

1. Сначала вам потребуется SSH-подключение к виртуальной машине.
2. Теперь установите подсистему Docker.
3. Теперь извлеките образ docker из центра docker с помощью команды: sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions.
4. Теперь для запуска образа Docker используйте команду: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions Можно заменить mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions идентификатором изображения. Ниже docker_persistent_volume приведено имя папки, которая будет создана на виртуальной машине, в которой будут храниться файлы.

2. Настройка параметров

1. После запуска образа Docker он будет запрашивать необходимые параметры.
2. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра):
   • Netskope HostName
   • Маркер API Netskope
   • Искать метку времени (метка времени эпохи, которую вы хотите искать указатель pubsublite, можно оставить пустым)
   • Идентификатор рабочей области
   • Ключ рабочей области
   • Счетчик повторных попыток (число повторных попыток для связанных с маркером ошибок перед перезапуском выполнения).)
   • Время ожидания отката (количество секунд для спящего режима перед повторным повтором)
   • Время ожидания простоя (количество секунд ожидания данных веб-транзакций перед перезапуском)
3. Теперь выполнение запущено, но находится в интерактивном режиме, чтобы оболочка не была остановлена. Чтобы запустить его в качестве фонового процесса, остановите текущее выполнение, нажав клавиши CTRL+C, а затем используйте команду: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Остановка контейнера Docker

1. Используйте команду sudo docker container ps для перечисления запущенных контейнеров Docker. Запишите идентификатор контейнера.
2. Теперь остановите контейнер с помощью команды: sudo docker stop *<*container-id*>*

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.