Microsoft Sentinel için Netskope Web İşlemleri Veri Bağlan or (Azure İşlevleri kullanarak) bağlayıcısı
Netskope Web İşlemleri veri bağlayıcısı, google pubsublite'dan Netskope Web İşlemleri verilerini çekmek, verileri işlemek ve işlenen verileri Log Analytics'e almak için bir docker görüntüsünün işlevselliğini sağlar. Bu veri bağlayıcısının bir parçası olarak Log Analytics'te biri Web İşlemleri verileri, diğeri yürütme sırasında karşılaşılan hatalar için olmak üzere iki tablo oluşturulur.
Web İşlemleri ile ilgili diğer ayrıntılar için aşağıdaki belgelere bakın: Netskope Web İşlemleri belgeleri
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
Veri toplama kuralları desteği | Şu anda desteklenmiyor |
Destekleyen: | Netskope |
Sorgu örnekleri
Netskope Web İşlemleri Verileri
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Netskope Web İşlemleri Veri Bağlan veya Hataları
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Önkoşullar
Netskope Web İşlemleri Veri Bağlan veya (Azure İşlevleri kullanarak) ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- Azure Aboneliği: Bir uygulamayı Microsoft Entra Id'ye kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip Azure Aboneliği gereklidir.
- Microsoft.Compute izinleri: Azure VM'lerine okuma ve yazma izinleri gereklidir. Azure VM'leri hakkında daha fazla bilgi edinmek için belgelere bakın.
- TransactionEvents Kimlik Bilgileri ve İzinleri: Netskope Kiracısı ve Netskope API Belirteci gereklidir. İşlem Olayları hakkında daha fazla bilgi edinmek için belgelere bakın.
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
Satıcı yükleme yönergeleri
Not
Bu bağlayıcı, sanal makineye dağıtılacak bir docker görüntüsü kullanarak Netskope Web İşlemleri verilerini alma işlevini sağlar (Azure VM/Şirket İçi VM). Ayrıntılar için Azure VM fiyatlandırma sayfasına bakın.
(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.
ADIM 1 - Netskope hesabı için Kimlik Bilgileri oluşturma/alma adımları
Netskope Ana Bilgisayar Adı ve Netskope API Belirteci oluşturmak/almak için bu bölümdeki adımları izleyin:
- Netskope Kiracınızda oturum açın ve sol gezinti çubuğundaki Ayarlar menüsüne gidin.
- Araçlar'a ve ardından REST API v2'ye tıklayın
- Şimdi yeni belirteç düğmesine tıklayın. Ardından belirteç adını, süre sonu süresini ve veri getirmek istediğiniz uç noktaları ister.
- Bu işlem tamamlandıktan sonra kaydet düğmesine tıklayın, belirteç oluşturulur. Belirteci kopyalayın ve daha fazla kullanım için güvenli bir yere kaydedin.
**ADIM 2 - Docker tabanlı veri bağlayıcısını Netskope Web İşlemleri verilerini almak üzere dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin **
ÖNEMLİ: Netskope veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Netskope API Yetkilendirme Anahtarları'na da (işlem olayları için izinlere sahip olduğundan emin olun) hazır olarak kullanılabilir.
Seçenek 1 - VM dağıtmak için Azure Resource Manager (ARM) Şablonu Kullanma [Önerilen]
ARM şablonunu kullanarak bir Azure VM dağıtın, önkoşulları yükleyin ve yürütmeyi başlatın.
Aşağıdaki Azure'a Dağıt düğmesine tıklayın.
Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.
Aşağıdaki bilgileri girin:
- Docker Görüntü Adı (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Netskope API Belirteci
- Arama Zaman Damgası (Pubsublite işaretçisini aramak istediğiniz dönem zaman damgası boş bırakılabilir)
- Çalışma Alanı Kimliği
- Çalışma Alanı Anahtarı
- Geri Alma Yeniden Deneme Sayısı (Yürütmeyi yeniden başlatmadan önce belirteçle ilgili hataların yeniden deneme sayısı.)
- Geri Çekilme Uyku Süresi (Yeniden denemeden önce uyunacak saniye sayısı)
- Boşta Kalma Zaman Aşımı (Yürütmeyi yeniden başlatmadan önce Web İşlemleri Verilerinin beklenmesi için saniye sayısı)
- VM Adı
- Kimlik Doğrulaması Türü
- parolayı veya anahtarı Yönetici
- DNS Etiketi Ön Eki
- Ubuntu İşletim Sistemi Sürümü
- Konum
- VM Boyutu
- Alt Ağ Adı
- Ağ Güvenlik Grubu Adı
- Güvenlik Türü
Gözden Geçir+Oluştur'a tıklayın.
Doğrulamadan sonra dağıtmak için Oluştur'a tıklayın.
Seçenek 2 - Önceden oluşturulmuş sanal makinede El ile Dağıtım
Docker tabanlı veri bağlayıcısını önceden oluşturulmuş bir sanal makineye el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.
1. Docker yükleme ve docker görüntüsü çekme
NOT: VM'nin Linux tabanlı olduğundan emin olun (tercihen Ubuntu).
- Öncelikle sanal makinede SSH kullanmanız gerekir.
- Şimdi docker altyapısını yükleyin.
- Şimdi şu komutu kullanarak docker hub'ından docker görüntüsünü çekin: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
- Şimdi docker görüntüsünü çalıştırmak için komutunu kullanın:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
. öğesini görüntü kimliğiyle değiştirebilirsinizmgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
. Buradadocker_persistent_volume
, dosyaların depolanacağı sanal makinede oluşturulacak klasörün adı yer alır.
2. Parametreleri Yapılandırma
- Docker görüntüsü çalıştırıldıktan sonra gerekli parametreler istenir.
- Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:
- Netskope HostName
- Netskope API Belirteci
- Arama Zaman Damgası (Pubsublite işaretçisini aramak istediğiniz dönem zaman damgası boş bırakılabilir)
- Çalışma Alanı Kimliği
- Çalışma Alanı Anahtarı
- Geri Alma Yeniden Deneme Sayısı (Yürütmeyi yeniden başlatmadan önce belirteçle ilgili hataların yeniden deneme sayısı.)
- Geri Çekilme Uyku Süresi (Yeniden denemeden önce uyunacak saniye sayısı)
- Boşta Kalma Zaman Aşımı (Yürütmeyi yeniden başlatmadan önce Web İşlemleri Verilerinin beklenmesi için saniye sayısı)
- Artık yürütme başlatıldı ancak etkileşimli modda olduğundan kabuk durdurulamaz. Arka plan işlemi olarak çalıştırmak için Ctrl+C tuşlarına basarak geçerli yürütmeyi durdurun ve komutunu kullanın:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Docker kapsayıcısını durdurun
sudo docker container ps
Komutunu kullanarak çalışan docker kapsayıcılarını listeleyin. Kapsayıcı kimliğinizi not edin.- Şimdi komutunu kullanarak kapsayıcıyı durdurun:
sudo docker stop *<*container-id*>*
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin