Konektor Netskope Data Connector (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor Netskope poskytuje následující možnosti:
- NetskopeToAzureStorage: Získejte data výstrah a událostí Netskope z Netskope a post do úložiště Azure.
- StorageToSentinel: Získejte data událostí a upozornění Netskope z úložiště Azure a publikujte je do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics.
- WebTxMetrics: Získejte data WebTxMetrics z Netskope a publikujte je do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics.
Další podrobnosti o rozhraních REST API najdete v následujících dokumentech:
- Dokumentace k rozhraní Netskope API
- Dokumentace ke službě Azure Storage
- Dokumentace k microsoft loganalytice
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Netskope |
Ukázky dotazů
Data výstrah Netskope CompromisedCredential
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
Data upozornění CTEP Netskope
alertsctepdata_CL
| sort by TimeGenerated desc
Data upozornění netskope ochrany před únikem informací
alertsdlpdata_CL
| sort by TimeGenerated desc
Netskope Malsite – data upozornění
alertsmalsitedata_CL
| sort by TimeGenerated desc
Data výstrah malwaru Netskope
alertsmalwaredata_CL
| sort by TimeGenerated desc
Data upozornění zásad Netskope
alertspolicydata_CL
| sort by TimeGenerated desc
Data výstrah karantény Netskope
alertsquarantinedata_CL
| sort by TimeGenerated desc
Netskope Remediation Alerts Data
alertsremediationdata_CL
| sort by TimeGenerated desc
Netskope SecurityAssessment – data výstrah
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
Netskope Uba Alerts Data
alertsubadata_CL
| sort by TimeGenerated desc
Netskope Data událostí aplikace.
eventsapplicationdata_CL
| sort by TimeGenerated desc
Data událostí auditu Netskope
eventsauditdata_CL
| sort by TimeGenerated desc
Data událostí připojení Netskope
eventsconnectiondata_CL
| sort by TimeGenerated desc
Data událostí incidentů Netskope
eventsincidentdata_CL
| sort by TimeGenerated desc
Data síťových událostí Netskope
eventsnetworkdata_CL
| sort by TimeGenerated desc
Data událostí stránky Netskope
eventspagedata_CL
| sort by TimeGenerated desc
Netskope WebTransactions Metrics Data
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete integrovat s datovým konektorem Netskope (pomocí Azure Functions), ujistěte se, že máte:
- Předplatné Azure: Předplatné Azure s rolí vlastníka se vyžaduje k registraci aplikace v Azure Active Directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se tenant Netskope a token rozhraní Netskope API. Další informace o rozhraní API v referenčních informacích k rozhraní REST API najdete v dokumentaci.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraním Netskope API k načtení dat výstrah a událostí do vlastní tabulky protokolů. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
KROK 1 : Kroky registrace aplikace pro aplikaci v Microsoft Entra ID
Tato integrace vyžaduje registraci aplikace na webu Azure Portal. Podle kroků v této části vytvořte novou aplikaci v MICROSOFT Entra ID:
- Přihlaste se k portálu Azure.
- Vyhledejte a vyberte Microsoft Entra ID.
- V části Spravovat vyberte Registrace aplikací > Nová registrace.
- Zadejte zobrazovaný název aplikace.
- Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.
- Po dokončení registrace se na webu Azure Portal zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta) a ID tenanta. ID klienta a ID tenanta se vyžadují jako parametry konfigurace pro spuštění playbooku TriggersSync.
Referenční odkaz: /azure/active-directory/develop/quickstart-register-app
KROK 2 : Přidání tajného klíče klienta pro aplikaci v Microsoft Entra ID
Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota požadovaná pro spuštění playbooku TriggersSync. Podle kroků v této části vytvořte nový tajný klíč klienta:
- Na webu Azure Portal v Registrace aplikací vyberte svou aplikaci.
- Vyberte Certifikáty a tajné > klíče > klienta Nové tajné klíče klienta.
- Přidejte popis tajného kódu klienta.
- Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost. Limit je 24 měsíců.
- Vyberte Přidat.
- Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Po opuštění této stránky se tento tajný kód už nikdy nezobrazí. Hodnota tajného kódu se vyžaduje jako parametr konfigurace pro spuštění playbooku TriggersSync.
Referenční odkaz: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
KROK 3 : Přiřazení role Přispěvatel k aplikaci v Microsoft Entra ID
Přiřaďte roli podle kroků v této části:
- Na webu Azure Portal přejděte do skupiny prostředků a vyberte skupinu prostředků.
- V levém panelu přejděte na Řízení přístupu (IAM ).
- Klikněte na Přidat a pak vyberte Přidat přiřazení role.
- Vyberte Přispěvatel jako roli a klikněte na další.
- V možnosti Přiřadit přístup vyberte
User, group, or service principal. - Klikněte na přidat členy a zadejte název aplikace, který jste vytvořili, a vyberte ho.
- Teď klikněte na Zkontrolovat a přiřadit a pak znovu klikněte na Zkontrolovat a přiřadit.
Referenční odkaz: /azure/role-based-access-control/role-assignments-portal
KROK 4 – Postup vytvoření nebo získání přihlašovacích údajů pro účet Netskope
Postupujte podle kroků v této části a vytvořte/získejte název hostitele Netskope a token rozhraní NETskope API:
- Přihlaste se ke svému tenantovi Netskope a přejděte do nabídky Nastavení na levém navigačním panelu.
- Klikněte na Nástroje a pak na REST API v2.
- Teď klikněte na nové tlačítko tokenu. Pak se zobrazí žádost o název tokenu, dobu trvání vypršení platnosti a koncové body, ze kterého chcete načíst data.
- Po kliknutí na tlačítko Uložit se token vygeneruje. Zkopírujte token a uložte ho na bezpečné místo pro další použití.
KROK 5 – Kroky vytvoření služby Azure Functions pro shromažďování dat Netskope a upozornění a událostí
DŮLEŽITÉ: Před nasazením datového konektoru Netskope je možné snadno zkopírovat ID pracovního prostoru a primární klíč pracovního prostoru (z následujícího) a také autorizační klíče rozhraní Netskope API.
Pomocí šablony ARM nasaďte aplikace funkcí pro příjem událostí Netskope a upozornění na data do služby Sentinel.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
Zadejte následující informace: Netskope HostName Netskope API Token Select Yes in Alerts and Events types dropdown for that endpoint you want fetch Alerts and Events Level Workspace ID Key
Klikněte na Zkontrolovat a vytvořit.
Po ověření klikněte na Vytvořit a nasaďte.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.