Konektor Netskope (pomocí Azure Functions) pro Microsoft Sentinel

Konektor Netskope Cloud Security Platform poskytuje schopnost ingestovat protokoly a události Netskope do Služby Microsoft Sentinel. Konektor poskytuje přehled o událostech a upozorněních platformy Netskope v Microsoft Sentinelu za účelem zlepšení možností monitorování a vyšetřování.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru	Popis
Nastavení aplikace	apikey workspaceID workspaceKey uri timeInterval logTypes LogAnalyticsUri (volitelné)
Kód aplikace funkcí Azure	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Tabulky Log Analytics	Netskope_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Netskope

Ukázky dotazů

Prvních 10 uživatelů

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

Prvních 10 upozornění

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Požadavky

Pokud chcete provést integraci s Netskopem (pomocí Azure Functions), ujistěte se, že máte:

• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
• Netskope API Token: Vyžaduje se token rozhraní API Netskope. Další informace o rozhraní Netskope API najdete v dokumentaci. Poznámka: Vyžaduje se účet Netskope.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k Netskope k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias Netskope a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení Netskope a další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 – Kroky konfigurace pro rozhraní Netskope API

Pokud chcete získat token rozhraní API, postupujte podle těchto pokynů , které poskytuje Netskope. Poznámka: Vyžaduje se účet Netskope.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením konektoru Netskope zadejte ID pracovního prostoru a primární klíč pracovního prostoru (lze zkopírovat z následujícího) a také autorizační token rozhraní Netskope API, který je snadno dostupný.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tato metoda poskytuje automatizované nasazení konektoru Netskope pomocí šablony ARM.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, klíč rozhraní API a identifikátor URI.

• Pro hodnotu použijte následující schéma uri : https://<Tenant Name>.goskope.com Nahraďte <Tenant Name> svoji doménou.
• Výchozí časový interval je nastavený tak, aby načítá posledních pět (5) minut dat. Pokud je potřeba upravit časový interval, doporučujeme odpovídajícím způsobem změnit trigger časovače aplikace funkcí (v souboru function.json, po nasazení), aby se zabránilo překrývání dat.
• Výchozí typy protokolů jsou nastavené tak, aby načítá všechny 6 dostupných typů protokolů (alert, page, application, audit, infrastructure, network), neodebílaly se.
• Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.

4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.
5. Kliknutím na Koupit nasadíte.
6. Po úspěšném nasazení konektoru stáhněte funkci Kusto a normalizujte datová pole. Postupujte podle kroků pro použití aliasu funkce Kusto, Netskope.

Možnost 2 – Ruční nasazení služby Azure Functions

Tato metoda poskytuje podrobné pokyny k ručnímu nasazení konektoru Netskope pomocí funkce Azure Functions.

1. Vytvoření aplikace funkcí

1. Na webu Azure Portal přejděte do aplikace funkcí a vyberte + Přidat.
2. Na kartě Základy se ujistěte, že je zásobník modulu runtime nastavený na PowerShell Core.
3. Na kartě Hostování se ujistěte, že je vybraný typ plánu Consumption (bez serveru).
4. V případě potřeby proveďte další přednostní změny konfigurace a potom klikněte na Vytvořit.

2. Import kódu aplikace funkcí

1. V nově vytvořené aplikaci funkcí vyberte v levém podokně funkce a klikněte na + Přidat.
2. Vyberte aktivační událost časovače.
3. Zadejte jedinečný název funkce a v případě potřeby upravte plán cron. Výchozí hodnota je nastavená tak, aby se aplikace Funkcí spouštěla každých 5 minut. (Poznámka: Trigger časovače by měl odpovídat timeInterval následující hodnotě, aby se zabránilo překrývajícím se datům), klikněte na Vytvořit.
4. V levém podokně klikněte na Kód + Test .
5. Zkopírujte kód aplikace funkcí a vložte ho do editoru aplikace run.ps1 funkcí.
6. Klikněte na Uložit.

3. Konfigurace aplikace funkcí

1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
3. Přidejte každé z následujících sedmi (7) nastavení aplikace jednotlivě s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (volitelné)

• Zadejte identifikátor URI, který odpovídá vaší oblasti. Hodnota uri musí následovat po následujícím schématu: https://<Tenant Name>.goskope.com - Není nutné přidávat další parametry do identifikátoru URI, aplikace funkcí dynamicky připojí parametry ve správném formátu.
• timeInterval Nastavte výchozí hodnotu (v minutách5) tak, aby odpovídala výchozímu triggeru časovače každé 5 minuty. Pokud je potřeba upravit časový interval, doporučujeme odpovídajícím způsobem změnit trigger časovače aplikace funkcí, aby se zabránilo překrývajícímu se příjmu dat.
• logTypes Nastavte hodnotu alert, page, application, audit, infrastructure, network – Tento seznam představuje všechny dostupné typy protokolů. Vyberte typy protokolů na základě požadavků na protokolování a oddělte je od jedné čárky.
• Poznámka: Pokud používáte Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.
• K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us. 4. Po zadání všech nastavení aplikace klepněte na tlačítko Uložit. 5. Po úspěšném nasazení konektoru stáhněte funkci Kusto za účelem normalizace datových polí. Postupujte podle kroků pro použití aliasu funkce Kusto, Netskope.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.