Freigeben über


Konnektor „Netskope Web Transactions Data Connector“ (über Azure Functions) für Microsoft Sentinel

Der Datenkonnektor Netskope Web Transactions bietet die Funktionalität eines Docker-Images, um die Netskope Web Transactions-Daten aus Google Pubsublite abzurufen, die Daten zu verarbeiten und die verarbeiteten Daten in Log Analytics zu erfassen. Mit diesem Datenkonnektor werden zwei Tabellen in Log Analytics gebildet, eine für Web Transactions-Daten und die andere für Fehler, die während der Ausführung aufgetreten sind.

Weitere Informationen zu Web Transactions finden Sie in der folgenden Dokumentation: Netskope Web Transactions-Dokumentation

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Netskope

Abfragebeispiele

Netskope Web Transactions-Daten

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Fehler bei Netskope Web Transactions Data Connector

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration mit Netskope Web Transactions Data Connector (über Azure Functions) sicher, dass die folgenden Voraussetzungen erfüllt sind:

Installationsanweisungen des Anbieters

Hinweis

Dieser Konnektor bietet die Funktionalität für die Erfassung von Netskope Web Transactions-Daten mithilfe eines Docker-Images, das auf einer VM bereitgestellt werden soll (entweder Azure-VM/lokale VM). Ausführliche Informationen finden Sie auf der Seite mit den Preisen für Azure-VMs.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1 – Schritte zum Erstellen/Abrufen von Anmeldeinformationen für das Netskope-Konto

Führen Sie die Schritte in diesem Abschnitt aus, um den Netskope-Hostnamen und das Netskope-API-Token zu erstellen und abzurufen:

  1. Melden Sie sich bei Ihrem Netskope-Mandanten an, und wechseln Sie in der linken Navigationsleiste zum Menü „Einstellungen“.
  2. Klicken Sie auf „Extras“ und dann auf REST-API V2.
  3. Klicken Sie jetzt auf die Schaltfläche „Neues Token“. Anschließend werden der Tokenname, die Ablaufdauer und die Endpunkte angefordert, von denen Sie Daten abrufen möchten.
  4. Wenn dies abgeschlossen ist, klicken Sie auf die Schaltfläche „Speichern“. Daraufhin wird das Token generiert. Kopieren Sie das Token, und speichern Sie es an einem sicheren Ort für die weitere Verwendung.

**SCHRITT 2 : Wählen Sie eine der beiden folgenden Bereitstellungsoptionen aus, um den Docker-basierten Datenkonnektor bereitzustellen, damit Netskope Web Transactions-Daten erfasst werden können **

WICHTIG: Für die Bereitstellung des Netskope-Datenkonnektors müssen Sie die Arbeitsbereich-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können im Folgenden kopiert werden) sowie die Autorisierungsschlüssel für die Netskope-API zur Hand haben. (Stellen Sie sicher, dass das Token Berechtigungen für Transaktionsereignisse hat.)

Option 1 – Verwenden einer ARM-Vorlage (Azure Resource Manager) zum Bereitstellen der VM [empfohlen]

Installieren Sie mithilfe der ARM-Vorlage eine Azure-VM, installieren Sie die erforderlichen Komponenten, und starten Sie die Ausführung.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Fügen Sie die folgenden Informationen hinzu:

    • Docker-Image-Name (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Netskope-Hostname
    • Netskope-API-Token
    • Suchzeitstempel (der Epochenzeitstempel für die Suche nach dem Pubsublite-Zeiger, kann leer bleiben)
    • Arbeitsbereichs-ID
    • Arbeitsbereichsschlüssel
    • Anzahl der Backoff-Wiederholungsversuche (Wiederholungsanzahl für tokenbezogene Fehler vor dem Neustart der Ausführung.)
    • Backoff-Ruhezustandszeit (Anzahl der Sekunden im Ruhezustand vor dem Wiederholen)
    • Leerlauftimeout (Anzahl der Sekunden, die vor dem Neustart der Ausführung auf Web Transactions Data gewartet wird)
    • VM-Name
    • Authentifizierungstyp
    • Administratorkennwort oder Schlüssel
    • Präfix der DNS-Bezeichnung
    • Ubuntu-Betriebssystemversion
    • Location
    • Größe des virtuellen Computers
    • Subnetzname
    • Name der Netzwerksicherheitsgruppe
    • Sicherheitstyp
  4. Klicken Sie auf Überprüfen + erstellen.

  5. Klicken Sie nach der Validierung auf Erstellen, um die Bereitstellung durchzuführen.

Option 2 – Manuelle Bereitstellung auf zuvor erstellten VMs

Verwenden Sie die folgenden Schritt-für-Schritt-Anleitungen, um den Docker-basierten Datenkonnektor manuell auf einer zuvor erstellten VM bereitzustellen.

1. Installieren von Docker und Pullen des Docker-Images

HINWEIS: Stellen Sie sicher, dass die VM auf Linux basiert (vorzugsweise Ubuntu).

  1. Zunächst müssen Sie SSH auf der VM ausführen.
  2. Installieren Sie nun die Docker-Engine.
  3. Pullen Sie nun das Docker-Image vom Docker-Hub. Verwenden Sie dazu diesen Befehl: „sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions“.
  4. Führen Sie jetzt das Docker-Image mit diesem Befehl aus: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Sie können mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions durch die Image-ID ersetzen. Hier ist docker_persistent_volume der Name des Ordners, der auf der VM erstellt wird, in der die Dateien gespeichert werden.

2. Konfigurieren der Parameter

  1. Sobald das Docker-Image ausgeführt wird, werden die erforderlichen Parameter angefordert.
  2. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten):
    • Netskope-Hostname
    • Netskope-API-Token
    • Suchzeitstempel (der Epochenzeitstempel für die Suche nach dem Pubsublite-Zeiger, kann leer bleiben)
    • Arbeitsbereichs-ID
    • Arbeitsbereichsschlüssel
    • Anzahl der Backoff-Wiederholungsversuche (Wiederholungsanzahl für tokenbezogene Fehler vor dem Neustart der Ausführung.)
    • Backoff-Ruhezustandszeit (Anzahl der Sekunden im Ruhezustand vor dem Wiederholen)
    • Leerlauftimeout (Anzahl der Sekunden, die vor dem Neustart der Ausführung auf Web Transactions Data gewartet wird)
  3. Jetzt wurde die Ausführung gestartet, befindet sich aber im interaktiven Modus, sodass die Shell nicht beendet werden kann. Um sie als Hintergrundprozess auszuführen, beenden Sie die aktuelle Ausführung, indem Sie STRG+C drücken. Verwenden Sie dann diesen Befehl: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Beenden des Docker-Containers

  1. Verwenden Sie den Befehl sudo docker container ps, um die Docker-Container aufzulisten, die ausgeführt werden. Notieren Sie sich die Container-ID.
  2. Beenden Sie den Container jetzt mit diesem Befehl: sudo docker stop *<*container-id*>*

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.