Aracılığıyla paylaş

Microsoft Sentinel için Netskope Web İşlemleri Veri Bağlan or (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Netskope Web İşlemleri veri bağlayıcısı, google pubsublite'dan Netskope Web İşlemleri verilerini çekmek, verileri işlemek ve işlenen verileri Log Analytics'e almak için bir docker görüntüsünün işlevselliğini sağlar. Bu veri bağlayıcısının bir parçası olarak Log Analytics'te biri Web İşlemleri verileri, diğeri yürütme sırasında karşılaşılan hatalar için olmak üzere iki tablo oluşturulur.

Web İşlemleri ile ilgili diğer ayrıntılar için aşağıdaki belgelere bakın: Netskope Web İşlemleri belgeleri

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Netskope

Sorgu örnekleri

Netskope Web İşlemleri Verileri

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Netskope Web İşlemleri Veri Bağlan veya Hataları

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Önkoşullar

Netskope Web İşlemleri Veri Bağlan veya (Azure İşlevleri kullanarak) ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • Azure Aboneliği: Bir uygulamayı Microsoft Entra Id'ye kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip Azure Aboneliği gereklidir.
  • Microsoft.Compute izinleri: Azure VM'lerine okuma ve yazma izinleri gereklidir. Azure VM'leri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • TransactionEvents Kimlik Bilgileri ve İzinleri: Netskope Kiracısı ve Netskope API Belirteci gereklidir. İşlem Olayları hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, sanal makineye dağıtılacak bir docker görüntüsü kullanarak Netskope Web İşlemleri verilerini alma işlevini sağlar (Azure VM/Şirket İçi VM). Ayrıntılar için Azure VM fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Netskope hesabı için Kimlik Bilgileri oluşturma/alma adımları

Netskope Ana Bilgisayar Adı ve Netskope API Belirteci oluşturmak/almak için bu bölümdeki adımları izleyin:

  1. Netskope Kiracınızda oturum açın ve sol gezinti çubuğundaki Ayarlar menüsüne gidin.
  2. Araçlar'a ve ardından REST API v2'ye tıklayın
  3. Şimdi yeni belirteç düğmesine tıklayın. Ardından belirteç adını, süre sonu süresini ve veri getirmek istediğiniz uç noktaları ister.
  4. Bu işlem tamamlandıktan sonra kaydet düğmesine tıklayın, belirteç oluşturulur. Belirteci kopyalayın ve daha fazla kullanım için güvenli bir yere kaydedin.

**ADIM 2 - Docker tabanlı veri bağlayıcısını Netskope Web İşlemleri verilerini almak üzere dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin **

ÖNEMLİ: Netskope veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Netskope API Yetkilendirme Anahtarları'na da (işlem olayları için izinlere sahip olduğundan emin olun) hazır olarak kullanılabilir.

Seçenek 1 - VM dağıtmak için Azure Resource Manager (ARM) Şablonu Kullanma [Önerilen]

ARM şablonunu kullanarak bir Azure VM dağıtın, önkoşulları yükleyin ve yürütmeyi başlatın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki bilgileri girin:

    • Docker Görüntü Adı (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Netskope HostName
    • Netskope API Belirteci
    • Arama Zaman Damgası (Pubsublite işaretçisini aramak istediğiniz dönem zaman damgası boş bırakılabilir)
    • Çalışma Alanı Kimliği
    • Çalışma Alanı Anahtarı
    • Geri Alma Yeniden Deneme Sayısı (Yürütmeyi yeniden başlatmadan önce belirteçle ilgili hataların yeniden deneme sayısı.)
    • Geri Çekilme Uyku Süresi (Yeniden denemeden önce uyunacak saniye sayısı)
    • Boşta Kalma Zaman Aşımı (Yürütmeyi yeniden başlatmadan önce Web İşlemleri Verilerinin beklenmesi için saniye sayısı)
    • VM Adı
    • Kimlik Doğrulaması Türü
    • parolayı veya anahtarı Yönetici
    • DNS Etiketi Ön Eki
    • Ubuntu İşletim Sistemi Sürümü
    • Konum
    • VM Boyutu
    • Alt Ağ Adı
    • Ağ Güvenlik Grubu Adı
    • Güvenlik Türü

  4. Gözden Geçir+Oluştur'a tıklayın.

  5. Doğrulamadan sonra dağıtmak için Oluştur'a tıklayın.

Seçenek 2 - Önceden oluşturulmuş sanal makinede El ile Dağıtım

Docker tabanlı veri bağlayıcısını önceden oluşturulmuş bir sanal makineye el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Docker yükleme ve docker görüntüsü çekme

NOT: VM'nin Linux tabanlı olduğundan emin olun (tercihen Ubuntu).

  1. Öncelikle sanal makinede SSH kullanmanız gerekir.
  2. Şimdi docker altyapısını yükleyin.
  3. Şimdi şu komutu kullanarak docker hub'ından docker görüntüsünü çekin: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
  4. Şimdi docker görüntüsünü çalıştırmak için komutunu kullanın: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. öğesini görüntü kimliğiyle değiştirebilirsiniz mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions . Burada docker_persistent_volume , dosyaların depolanacağı sanal makinede oluşturulacak klasörün adı yer alır.

2. Parametreleri Yapılandırma

  1. Docker görüntüsü çalıştırıldıktan sonra gerekli parametreler istenir.
  2. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:
    • Netskope HostName
    • Netskope API Belirteci
    • Arama Zaman Damgası (Pubsublite işaretçisini aramak istediğiniz dönem zaman damgası boş bırakılabilir)
    • Çalışma Alanı Kimliği
    • Çalışma Alanı Anahtarı
    • Geri Alma Yeniden Deneme Sayısı (Yürütmeyi yeniden başlatmadan önce belirteçle ilgili hataların yeniden deneme sayısı.)
    • Geri Çekilme Uyku Süresi (Yeniden denemeden önce uyunacak saniye sayısı)
    • Boşta Kalma Zaman Aşımı (Yürütmeyi yeniden başlatmadan önce Web İşlemleri Verilerinin beklenmesi için saniye sayısı)
  3. Artık yürütme başlatıldı ancak etkileşimli modda olduğundan kabuk durdurulamaz. Arka plan işlemi olarak çalıştırmak için Ctrl+C tuşlarına basarak geçerli yürütmeyi durdurun ve komutunu kullanın: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Docker kapsayıcısını durdurun

  1. sudo docker container ps Komutunu kullanarak çalışan docker kapsayıcılarını listeleyin. Kapsayıcı kimliğinizi not edin.
  2. Şimdi komutunu kullanarak kapsayıcıyı durdurun: sudo docker stop *<*container-id*>*

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.