Netskope Web Transactions Data Připojení or (pomocí Azure Functions) konektoru pro Microsoft Sentinel

Datový konektor Netskope Web Transactions poskytuje funkce image Dockeru pro vyžádání dat webových transakcí Netskope z google pubsublite, zpracování dat a ingestování zpracovaných dat do Log Analytics. V rámci tohoto datového konektoru budou v Log Analytics vytvořeny dvě tabulky, jedna pro data webových transakcí a další pro chyby, ke kterým došlo během provádění.

Další podrobnosti týkající se webových transakcí najdete v následující dokumentaci: Dokumentace k webovým transakcím Netskope

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or	Popis
Tabulky Log Analytics	NetskopeWebtxData_CL NetskopeWebtxErrors_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Netskope

Ukázky dotazů

Netskope Data webových transakcí

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Netskope Web Transactions Data Připojení or chyby

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat data webových transakcí Netskope Připojení or (pomocí Azure Functions), ujistěte se, že máte:

• Předplatné Azure: Předplatné Azure s rolí vlastníka se vyžaduje k registraci aplikace v MICROSOFT Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
• Oprávnění Microsoft.Compute: Vyžaduje se oprávnění ke čtení a zápisu do virtuálních počítačů Azure. Další informace o virtuálních počítačích Azure najdete v dokumentaci.
• Přihlašovací údaje a oprávnění TransactionEvents: Vyžaduje se tenant Netskope a token rozhraní Netskope API. Další informace o událostech transakcí najdete v dokumentaci.
• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor poskytuje funkce ingestování dat webových transakcí Netskope pomocí image Dockeru, která se má nasadit na virtuální počítač (virtuální počítač Azure nebo místní virtuální počítač). Podrobnosti najdete na stránce s cenami virtuálních počítačů Azure.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 : Postup vytvoření nebo získání přihlašovacích údajů pro účet Netskope

Postupujte podle kroků v této části a vytvořte/získejte název hostitele Netskope a token rozhraní NETskope API:

1. Přihlaste se ke svému tenantovi Netskope a v levém navigačním panelu přejděte do nabídky Nastavení.
2. Klikněte na Nástroje a pak na REST API v2.
3. Teď klikněte na nové tlačítko tokenu. Pak se zobrazí žádost o název tokenu, dobu trvání vypršení platnosti a koncové body, ze kterého chcete načíst data.
4. Po kliknutí na tlačítko Uložit se token vygeneruje. Zkopírujte token a uložte ho na bezpečné místo pro další použití.

**KROK 2 : Vyberte jednu z následujících dvou možností nasazení pro nasazení datového konektoru dockeru do ingestování dat Webových transakcí Netskope **

DŮLEŽITÉ: Před nasazením datového konektoru Netskope je možné snadno zkopírovat ID pracovního prostoru a primární klíč pracovního prostoru (z následujícího) a také autorizační klíče rozhraní Netskope API [Ujistěte se, že token má oprávnění k událostem transakcí].

Možnost 1 – Nasazení virtuálního počítače pomocí šablony Azure Resource Manageru (ARM) [doporučeno]

Pomocí šablony ARM nasaďte virtuální počítač Azure, nainstalujte požadavky a spusťte spuštění.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

3. Zadejte následující informace:

   • Název image Dockeru (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
   • Netskope HostName
   • Netskope API Token
   • Vyhledat časové razítko (časové razítko epochy, které chcete vyhledat ukazatel pubsublite, může být prázdné)
   • ID pracovního prostoru
   • Klíč pracovního prostoru
   • Počet opakování reoff (počet opakování pro chyby související s tokenem před restartováním spuštění.)
   • Doba zpochybňování režimu spánku (počet sekund do režimu spánku před opakováním)
   • Časový limit nečinnosti (počet sekund čekání na data webových transakcí před restartováním spuštění)
   • Název virtuálního počítače
   • Typ ověřování
   • Správa heslo nebo klíč
   • Předpona popisku DNS
   • Verze OS Ubuntu
   • Umístění
   • Velikost virtuálního počítače
   • Název podsítě
   • Název skupiny zabezpečení sítě
   • Typ zabezpečení

4. Klikněte na Zkontrolovat a vytvořit.

5. Po ověření klikněte na Vytvořit a nasaďte.

Možnost 2 – Ruční nasazení na dříve vytvořeném virtuálním počítači

Pomocí následujících podrobných pokynů nasaďte datový konektor založený na Dockeru ručně na dříve vytvořený virtuální počítač.

1. Instalace dockeru a vyžádání image Dockeru

POZNÁMKA: Ujistěte se, že virtuální počítač je založený na Linuxu (nejlépe Ubuntu).

1. Nejprve budete muset připojit SSH k virtuálnímu počítači.
2. Teď nainstalujte modul Dockeru.
3. Teď stáhněte image Dockeru z centra Dockeru pomocí příkazu sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions.
4. Teď spusťte image Dockeru pomocí příkazu: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Id image můžete nahradit mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions . Tady docker_persistent_volume je název složky, která by se vytvořila na virtuálním počítači, ve kterém se budou soubory ukládat.

2. Konfigurace parametrů

1. Po spuštění image Dockeru se zobrazí žádost o požadované parametry.
2. Přidejte jednotlivá nastavení aplikace s příslušnými hodnotami (rozlišují se malá a velká písmena):
   • Netskope HostName
   • Netskope API Token
   • Vyhledat časové razítko (časové razítko epochy, které chcete vyhledat ukazatel pubsublite, může být prázdné)
   • ID pracovního prostoru
   • Klíč pracovního prostoru
   • Počet opakování reoff (počet opakování pro chyby související s tokenem před restartováním spuštění.)
   • Doba zpochybňování režimu spánku (počet sekund do režimu spánku před opakováním)
   • Časový limit nečinnosti (počet sekund čekání na data webových transakcí před restartováním spuštění)
3. Teď se spuštění spustilo, ale je v interaktivním režimu, takže prostředí nelze zastavit. Pokud ho chcete spustit jako proces na pozadí, zastavte aktuální spuštění stisknutím kombinace kláves Ctrl+C a pak použijte tento příkaz: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Zastavení kontejneru Dockeru

1. Pomocí příkazu sudo docker container ps zobrazte seznam spuštěných kontejnerů Dockeru. Poznamenejte si ID kontejneru.
2. Teď kontejner zastavte pomocí příkazu: sudo docker stop *<*container-id*>*

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.