Netskope Web Transactions Data 連線 or (使用 Azure Functions) 連接器 for Microsoft Sentinel
Netskope Web Transactions 數據連接器提供 Docker 映射的功能,可從 google pubsublite 提取 Netskope Web Transactions 數據、處理數據,並將已處理的數據內嵌至 Log Analytics。 作為此數據連接器的一部分,Log Analytics 中會形成兩個數據表,一個用於 Web 交易數據,另一個用於執行期間發生的錯誤。
如需與 Web 交易相關的詳細數據,請參閱下列檔: Netskope Web 交易檔
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者 | Netskope |
查詢範例
Netskope Web 交易數據
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Netskope Web Transactions 數據 連線 or 錯誤
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
必要條件
若要與 Netskope Web Transactions Data 連線 or (使用 Azure Functions) 整合,請確定您有:
- Azure 訂用帳戶:需要具有擁有者角色的 Azure 訂用帳戶,才能在 Microsoft Entra ID 中註冊應用程式,並將參與者角色指派給資源群組中的應用程式。
- Microsoft.Compute 許可權:需要對 Azure VM 的讀取和寫入許可權。 請參閱檔以深入瞭解 Azure VM。
- TransactionEvents 認證和許可權: 需要 Netskope 租使用者 和 Netskope API 令牌 。 請參閱檔以深入瞭解交易事件。
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
廠商安裝指示
注意
此連接器提供內嵌 Netskope Web Transactions 數據的功能,其使用要部署在虛擬機上的 Docker 映像(Azure VM/內部部署 VM)。 如需詳細數據, 請參閱 Azure VM 定價頁面 。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - 建立/取得 Netskope 帳戶認證的步驟
請遵循本節中的步驟來建立/取得 Netskope 主機名 和 Netskope API 令牌:
- 登入您的 Netskope 租使用者,然後移至左側導覽列上的 [設定] 功能表。
- 按兩下 [工具],然後按兩下 [REST API v2]
- 現在,按兩下 [新增令牌] 按鈕。 然後,它會要求令牌名稱、到期期間,以及您想要從中擷取數據的端點。
- 完成後,按兩下 [儲存] 按鈕,就會產生令牌。 複製令牌,並儲存在安全的地方以供進一步使用。
**步驟 2 - 從下列兩個部署選項中選擇一個,以將 Docker 型數據連接器部署至內嵌 Netskope Web Transactions 數據 **
重要事項: 在部署 Netskope 數據連接器之前,請具有工作區標識碼和工作區主鍵(可複製自下列專案),以及 Netskope API 授權密鑰[請確定令牌具有交易事件的許可權]。
選項 1 - 使用 Azure Resource Manager (ARM) 範本部署 VM [建議]
使用 ARM 範本部署 Azure VM,安裝必要條件並開始執行。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的訂用帳戶、資源群組和位置。
輸入下列資訊:
- Docker 映射名稱 (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Netskope API 令牌
- 搜尋時間戳 (您想要搜尋 pubsublite 指標的 epoch 時間戳,可以保留空白)
- 工作區識別碼
- 工作區金鑰
- 輪詢重試計數 (重新啟動執行之前令牌相關錯誤的重試計數。
- 輪詢睡眠時間(重試前睡眠時間的秒數)
- 閒置逾時(重新啟動執行前等待 Web 交易資料的秒數)
- 虛擬機器名稱
- 驗證類型
- 系統管理員密碼或金鑰
- DNS 標籤首碼
- Ubuntu OS 版本
- Location
- VM 大小
- 子網路名稱
- 網路安全組名稱
- 安全性類型
按兩下 [ 檢閱+建立]。
然後在驗證之後,按兩下 [ 建立 ] 以部署。
選項 2 - 在先前建立的虛擬機上手動部署
使用下列逐步指示,在先前建立的虛擬機上手動部署 Docker 型數據連接器。
1.安裝 Docker 並提取 Docker 映射
注意: 請確定 VM 是以 Linux 為基礎(最好是 Ubuntu)。
- 首先,您必須 透過 SSH 連線到虛擬機。
- 現在安裝 docker引擎。
- 現在,使用命令從 Docker 中樞提取 Docker 映射:'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'。
- 現在若要執行 Docker 映射,請使用 命令:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions。 您可以將 取代mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions為映像識別碼。以下是docker_persistent_volume將在儲存盤案之 VM 上建立的資料夾名稱。
2.設定參數
- Docker 映像執行之後,它會要求所需的參數。
- 個別新增下列每個應用程式設定,其各自的值(區分大小寫):
- Netskope HostName
- Netskope API 令牌
- 搜尋時間戳 (您想要搜尋 pubsublite 指標的 epoch 時間戳,可以保留空白)
- 工作區識別碼
- 工作區金鑰
- 輪詢重試計數 (重新啟動執行之前令牌相關錯誤的重試計數。
- 輪詢睡眠時間(重試前睡眠時間的秒數)
- 閒置逾時(重新啟動執行前等待 Web 交易資料的秒數)
- 現在執行已啟動,但處於互動式模式,因此無法停止殼層。 若要以背景進程的形式執行,請按 Ctrl+C 停止目前的執行,然後使用 命令:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3.停止 Docker 容器
- 使用 命令
sudo docker container ps來列出執行中的 Docker 容器。 記下您的容器標識碼。 - 現在,使用 命令停止容器:
sudo docker stop *<*container-id*>*
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: