Netskope-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

Netskope Cloud Security Platform-anslutningsappen ger möjlighet att mata in Netskope-loggar och händelser i Microsoft Sentinel. Anslutningsappen ger insyn i Netskope Platform-händelser och aviseringar i Microsoft Sentinel för att förbättra övervaknings- och undersökningsfunktionerna.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut	beskrivning
Programinställningar	apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (valfritt)
Kod för Azure-funktionsapp	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Log Analytics-tabeller	Netskope_CL
Stöd för regler för datainsamling	Stöds för närvarande inte
Stöds av	Netskope

Exempel på frågor

De 10 främsta användarna

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

De 10 främsta aviseringarna

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Förutsättningar

Om du vill integrera med Netskope (med Hjälp av Azure Functions) kontrollerar du att du har:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
• Netskope API-token: En Netskope API-token krävs. Mer information om Netskope API finns i dokumentationen. Obs! Ett Netskope-konto krävs

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till Netskope för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat och som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset Netskope och läser in funktionskoden eller klickar här. På den andra raden i frågan anger du värdnamnen för netskope-enheter och andra unika identifierare för logstreamen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Konfigurationssteg för Netskope-API:et

Följ de här anvisningarna från Netskope för att hämta en API-token. Obs! Ett Netskope-konto krävs

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar Netskope-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Netskope API Authorization Token, som är lättillgänglig.

Alternativ 1 – Arm-mall (Azure Resource Manager)

Den här metoden tillhandahåller en automatiserad distribution av Netskope-anslutningsappen med hjälp av en ARM Tempate.

1. Klicka på knappen Distribuera till Azure nedan.

   

2. Välj önskad prenumeration, resursgrupp och plats.

3. Ange arbetsyte-ID, arbetsytenyckel, API-nyckel och URI.

• Använd följande schema för uri värdet: https://<Tenant Name>.goskope.com Ersätt <Tenant Name> med din domän.
• Standardtidsintervallet är inställt på att hämta de senaste fem (5) minuterna av data. Om tidsintervallet behöver ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta (i filen function.json, efter distributionen) för att förhindra överlappande datainmatning.
• Standardloggtyperna är inställda på att hämta alla 6 tillgängliga loggtyper (alert, page, application, audit, infrastructure, network), ta bort alla som inte krävs.
• Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.

4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.
5. Klicka på Köp för att distribuera.
6. När anslutningsappen har distribuerats laddar du ned Kusto-funktionen för att normalisera datafälten. Följ stegen för att använda Kusto-funktionsaliaset Netskope.

Alternativ 2 – Manuell distribution av Azure Functions

Den här metoden innehåller stegvisa instruktioner för att distribuera Netskope-anslutningsappen manuellt med Azure Function.

1. Skapa en funktionsapp

1. Från Azure-portalen går du till Funktionsapp och väljer + Lägg till.
2. På fliken Grundläggande ser du till att Runtime-stacken är inställd på Powershell Core.
3. På fliken Värd kontrollerar du att plantypen Förbrukning (serverlös) är markerad.
4. Gör andra föredragna konfigurationsändringar om det behövs och klicka sedan på Skapa.

2. Importera funktionsappkod

1. I den nyligen skapade funktionsappen väljer du Funktioner i den vänstra rutan och klickar på + Lägg till.
2. Välj Timer-utlösare.
3. Ange ett unikt funktionsnamn och ändra cron-schemat om det behövs. Standardvärdet är inställt på att köra funktionsappen var femte minut. (Obs! Timerutlösaren ska matcha timeInterval värdet nedan för att förhindra överlappande data), klicka på Skapa.
4. Klicka på Kod + Test i det vänstra fönstret.
5. Kopiera funktionsappkoden och klistra in den i funktionsappredigerarenrun.ps1.
6. Klicka på Spara.

3. Konfigurera funktionsappen

1. I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.
2. På fliken Programinställningar väljer du + Ny programinställning.
3. Lägg till var och en av följande sju (7) programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (valfritt)

• Ange den URI som motsvarar din region. Värdet uri måste följa följande schema: https://<Tenant Name>.goskope.com – Det finns inget behov av att lägga till underklicksparametrar i URI:n. Funktionsappen lägger dynamiskt till parametererna i rätt format.
• timeInterval Ange (i minuter) till standardvärdet 5 för för att motsvara standardtimerutlösaren för varje 5 minut. Om tidsintervallet behöver ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta för att förhindra överlappande datainmatning.
• logTypes Ange till alert, page, application, audit, infrastructure, network – Den här listan representerar alla tillgängliga loggtyper. Välj loggtyperna baserat på loggningskrav och seperera var och en med ett enda kommatecken.
• Obs! Om du använder Azure Key Vault använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.
• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us. 4. När alla programinställningar har angetts klickar du på Spara. 5. När anslutningsappen har distribuerats laddar du ned Kusto-funktionen för att normalisera datafälten. Följ stegen för att använda Kusto-funktionsaliaset Netskope.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.