適用於 Microsoft Sentinel 的 Netskope (使用 Azure Functions) 連接器
Netskope Cloud Security Platform 連接器提供將 Netskope 記錄和事件內嵌至 Microsoft Sentinel 的功能。 連接器提供 Microsoft Sentinel 中 Netskope 平臺事件和警示的可見度,以改善監視和調查功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| 應用程式設定 | apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (選擇性) |
| Azure 函式應用程式程式代碼 | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1 |
| Log Analytics 數據表(s) | Netskope_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Netskope |
查詢範例
前10位使用者
Netskope
| summarize count() by SrcUserName
| top 10 by count_
前10個警示
Netskope
| where isnotempty(AlertName)
| summarize count() by AlertName
| top 10 by count_
必要條件
若要與 Netskope 整合 (使用 Azure Functions) 請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Netskope API 令牌:需要 Netskope API 令牌。 請參閱檔以深入瞭解 Netskope API。 注意: 需要 Netskope 帳戶
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Netskope,將記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 Netskope 並載入函式程式代碼,或按兩下 這裡,在查詢的第二行輸入 Netskope 裝置的主機名(s),以及記錄數據流的任何其他唯一標識符。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
(選擇性步驟)安全地將工作區和 API 授權金鑰或令牌儲存在 Azure 金鑰保存庫 中。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1 - Netskope API 的設定步驟
請遵循 Netskope 所提供的這些指示 來取得 API 令牌。 注意: 需要 Netskope 帳戶
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 Netskope 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及可供使用 Netskope API 授權令牌。
選項 1 - Azure Resource Manager (ARM) 範本
此方法會使用ARM Tempate提供Netskope連接器的自動化部署。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區標識碼、工作區密鑰、API 金鑰和 URI。
- 針對值使用下列架構
uri:https://<Tenant Name>.goskope.com以您的網域取代<Tenant Name>。 - 默認 的時間間隔 設定為提取最後五分鐘的數據。 如果需要修改時間間隔,建議您據以變更函式應用程式定時器觸發程式(在function.json檔案中,部署后)以防止重疊的數據擷取。
- 默認 的記錄類型 設定為提取所有 6 個可用的記錄類型 (
alert, page, application, audit, infrastructure, network),移除任何不需要。 - 注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。
- 標示為 [我同意上述條款及條件] 的複選框。
- 按兩下 [ 購買 ] 以部署。
- 成功部署連接器之後,請下載 Kusto 函式將數據欄位正規化。 請依照步驟 使用 Kusto 函式別名 Netskope。
選項 2 - 手動部署 Azure Functions
此方法提供使用 Azure Function 手動部署 Netskope 連接器的逐步指示。
1.建立函式應用程式
- 從 Azure 入口網站流覽至 [函式應用程式],然後選取 [ + 新增]。
- 在 [ 基本] 索引 標籤中,確定運行時間堆疊已設定為 Powershell Core。
- 在 [ 裝載] 索引標籤中,確定已選取 [ 取用][無伺服器] 方案類型。
- 視需要進行其他偏好的組態變更,然後按兩下 [ 建立]。
2.匯入函式應用程式程式代碼
- 在新建立的 [函式應用程式] 中,選取 左窗格中的 [函式 ],然後按兩下 [ + 新增]。
- 選取 [ 定時器觸發程式]。
- 視需要輸入唯一的函式 名稱 並修改cron排程。 預設值設定為每隔 5 分鐘執行函式應用程式一次。 (注意:定時器觸發程序應該符合
timeInterval下列值,以避免重迭的數據),按兩下 建立。 - 按兩下左窗格上的 [ 程序代碼+ 測試 ]。
- 複製函 式應用程式程式代碼 並貼到函式應用程式
run.ps1編輯器中。 - 按一下 [檔案] 。
3.設定函式應用程式
- 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
- 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
- 個別新增下列七個 (7) 個應用程式設定,其個別字串值(區分大小寫):apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (選擇性)
- 輸入對應至您區域的 URI。 值
uri必須遵循下列架構:https://<Tenant Name>.goskope.com- 不需要將子參數新增至 Uri,函式應用程式會以適當的格式動態附加參數。- 將
timeInterval(以分鐘為單位) 設定為 的預設值5,以對應至每5分鐘的預設定時器觸發程式。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式,以防止重疊的數據擷取。logTypes將 設定為alert, page, application, audit, infrastructure, network- 此清單代表所有 avaliable 記錄類型。 根據記錄需求選取記錄類型,以單一逗號分隔每個記錄類型。- 注意:如果使用 Azure 金鑰保存庫,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us。 4.輸入所有應用程式設定後,按兩下 [ 儲存]。 5.成功部署連接器之後,請下載 Kusto 函式來正規化數據欄位。 請依照步驟 使用 Kusto 函式別名 Netskope。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。