你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Netskope Web Transactions Data Connector(使用 Azure Functions)连接器
Netskope Web Transactions 数据连接器提供 Docker 映像的功能,可以从 google pubsublite 拉取 Netskope Web Transactions 数据、处理数据并将处理后的数据引入 Log Analytics。 作为此数据连接器的一部分,Log Analytics 中将形成两个表,一个用于 Web Transactions 数据,另一个用于执行期间遇到的错误。
有关 Web Transactions 的更多详细信息,请参阅以下文档:Netskope Web Transactions 文档
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Netskope |
查询示例
Netskope Web Transactions 数据
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Netskope Web Transactions Data Connector 错误
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
先决条件
若要与 Netskope Web Transactions Data Connector(使用 Azure Functions)集成,请确保满足以下条件:
- Azure 订阅:需要有具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者的角色分配给资源组中的应用。
- Microsoft.Compute 权限:需要对 Azure VM 的读取和写入权限。 请参阅文档以详细了解 Azure VM。
- TransactionEvents 凭据和权限:需要 Netskope 租户和 Netskope API 令牌。 请参阅文档,了解有关事务事件的详细信息。
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
供应商安装说明
注意
此连接器提供使用要部署在虚拟机(Azure VM/本地 VM)上的 Docker 映像引入 Netskope Web Transactions 数据的功能。 有关详细信息,请参阅 Azure VM 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - 为 Netskope 帐户创建/获取凭据的步骤
按照本部分中的步骤创建/获取 Netskope 主机名和 Netskope API 令牌:
- 登录到“Netskope 租户”,然后转到左侧导航栏上的“设置”菜单。
- 单击“工具”,然后单击“REST API v2”
- 现在,单击“新建令牌”按钮。 然后,系统将询问令牌名称、有效期和要从中提取数据的终结点。
- 完成后,单击“保存”按钮,将生成令牌。 复制令牌并将其保存在安全的位置,以便将来使用。
**步骤 2 - 从以下两个部署选项中选择一个部署选项,部署基于 Docker 的数据连接器来引入 Netskope Web Transactions 数据**
重要说明:部署 Netskope 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制)以及 Netskope API 授权密钥 [确保令牌具有事务事件的权限]。
选项 1 - 使用 Azure 资源管理器 (ARM) 模板部署 VM [推荐]
使用 ARM 模板部署 Azure VM,安装必备组件并开始执行。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入以下信息:
- Docker 映像名称 (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope 主机名
- Netskope API 令牌
- 查找时间戳(要查找 pubsublite 指针的纪元时间戳,可以留空)
- 工作区 ID
- 工作区密钥
- 退避重试计数(执行重启前令牌相关错误的重试计数。)
- 退避睡眠时间(重试前睡眠的秒数)
- 空闲超时(执行重启前等待 Web Transactions 数据的秒数)
- VM 名称
- 身份验证类型
- 管理员密码或密钥
- DNS 标签前缀
- Ubuntu OS 版本
- 位置
- VM 大小
- 子网名称
- 网络安全组名称
- 安全类型
单击“查看 + 创建”。
验证后,单击“创建”进行部署。
选项 2 - 在以前创建的虚拟机上手动部署
使用以下分步说明在以前创建的虚拟机上手动部署基于 Docker 的数据连接器。
1.安装 Docker 并拉取 Docker 映像
注意:请确保 VM 基于 Linux(最好是 Ubuntu)。
- 首先,需要通过 SSH 连接到虚拟机。
- 现在安装 Docker 引擎。
- 现在使用以下命令从 Docker Hub 拉取 Docker 映像:“sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions”。
- 现在,若要运行 Docker 映像,请使用以下命令:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions。 可以将mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions替换为映像 ID。此处的docker_persistent_volume是在 VM 上创建的用于存储文件的文件夹的名称。
2.配置参数
- Docker 映像运行后,将请求所需的参数。
- 分别添加以下每个应用程序设置及其各自的值(区分大小写):
- Netskope 主机名
- Netskope API 令牌
- 查找时间戳(要查找 pubsublite 指针的纪元时间戳,可以留空)
- 工作区 ID
- 工作区密钥
- 退避重试计数(执行重启前令牌相关错误的重试计数。)
- 退避睡眠时间(重试前睡眠的秒数)
- 空闲超时(执行重启前等待 Web Transactions 数据的秒数)
- 现在已启动执行,但处于交互模式,因此无法停止 shell。 若要将其作为后台进程运行,请按 Ctrl+C 停止当前执行,然后使用以下命令:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3.停止 Docker 容器
- 使用命令
sudo docker container ps列出正在运行的 Docker 容器。 记下容器 ID。 - 现在,使用以下命令停止容器:
sudo docker stop *<*container-id*>*
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈