Conector Netskope (mediante Azure Functions) para Microsoft Sentinel

El conector Netskope Cloud Security Platform proporciona la capacidad de ingerir registros y eventos de Netskope en Microsoft Sentinel. El conector proporciona visibilidad para los eventos y alertas de Netskope Platform en Microsoft Sentinel para mejorar las capacidades de supervisión e investigación.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector	Descripción
Configuración de la aplicación	apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (opcional)
Código de la aplicación de funciones de Azure	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Tabla de Log Analytics	Netskope_CL
Compatibilidad con reglas de recopilación de datos	No se admite actualmente.
Compatible con	Netskope

Ejemplos de consultas

10 usuarios principales

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

10 alertas principales

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Requisitos previos

Para realizar la integración con Netskope (mediante Azure Functions) asegúrese de tener:

• Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
• Token de la API de Netskope: se requiere un token de la API de Netskope. Consulte la documentación para más información sobre la API de Netskope. Nota: Se requiere una cuenta de Netskope.

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a Netskope para extraer registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

Nota

Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementará como parte de la solución. Para ver el código de función en el análisis de registros, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones, busque el alias Netskope y cargue el código de la función o haga clic aquí. En la segunda línea de la consulta, escriba los nombres de host de los dispositivos Netskope y cualquier otro identificador único para el flujo de registro. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de configuración para la API de Netskope

Siga estas instrucciones que Netskope proporciona para obtener un token de API. Nota: Se requiere una cuenta de Netskope.

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector Netskope, tenga a mano el id. y la clave principal del área de trabajo (pueden copiarse de lo siguiente), así como el token de autorización de la API de Netskope.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Este método proporciona una implementación automatizada del conector Netskope mediante una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure que aparece a continuación.

   

2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

3. Escriba el id. del área de trabajo, la clave del área de trabajo, la clave de la API y el URI.

• Use el esquema siguiente para el valor uri: https://<Tenant Name>.goskope.com Reemplace <Tenant Name> por su dominio.
• El Intervalo de tiempo predeterminado se establece para extraer los últimos cinco (5) minutos de datos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador de temporizador de la aplicación de funciones en consecuencia (en el archivo function.json, después de la implementación) para evitar la ingesta de datos superpuesta.
• Los tipos de registro predeterminados se establecen para extraer los 6 tipos de registro disponibles (alert, page, application, audit, infrastructure, network); quite los que no son necesarios.
• Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada.

4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.
5. Haga clic en Comprar para iniciar la implementación.
6. Después de implementar correctamente el conector, descargue la función de Kusto para normalizar los campos de datos. Siga los pasos para usar el alias de la función de Kusto, Netskope.

Opción 2: Implementación manual de Azure Functions

Este método proporciona las instrucciones paso a paso para implementar el conector de Netskope manualmente con Azure Functions.

1. Crear una aplicación de funciones

1. En Azure Portal, vaya a Aplicación de funciones y seleccione + Agregar.
2. En la pestaña Aspectos básicos, asegúrese de que la pila del entorno en tiempo de ejecución esté establecida en Powershell Core.
3. En la pestaña Hospedaje, asegúrese de que el tipo de plan Consumo (sin servidor) está seleccionado.
4. Realice otros cambios de configuración, si fuera necesario, y haga clic en Crear.

2. Importación del código de la aplicación de funciones

1. En la aplicación de funciones recién creada, seleccione Funciones en el panel izquierdo y haga clic en + Agregar.
2. Seleccione Desencadenador de temporizador.
3. Escriba un Nombre de función único y modifique la programación cron, si fuera necesario. Se establece el valor predeterminado para ejecutar la aplicación de funciones cada cinco minutos. (Nota: El desencadenador de temporizador debe coincidir con el valor timeInterval que se indica a continuación para evitar la superposición de los datos). Haga clic en Crear.
4. Haga clic en Código y prueba en el panel izquierdo.
5. Copie el Código de la aplicación de funciones y péguelo en el editor run.ps1 de la aplicación de funciones.
6. Haga clic en Save(Guardar).

3. Configuración de la aplicación de funciones

1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
3. Agregue individualmente cada una de las siete (7) opciones de configuración de aplicación siguientes, con sus valores de cadena respectivos (que distinguen mayúsculas de minúsculas): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (opcional)

• Escriba el URI correspondiente a su región. El valor uri debe seguir el esquema siguiente: https://<Tenant Name>.goskope.com - No es necesario agregar parámetros subsiguientes al URI, ya que la aplicación de funciones anexará dinámicamente los parámetros en el formato adecuado.
• Establezca timeInterval (en minutos) en el valor predeterminado de 5 para que se corresponda con el desencadenador de temporizador predeterminado de cada 5 minutos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador del temporizador de aplicación de funciones de forma correspondiente para evitar la superposición en la ingesta de datos.
• Establezca logTypes en alert, page, application, audit, infrastructure, network. Esta lista representa todos los tipos de registro disponibles. Seleccione los tipos de registro en función de los requisitos de registro, separados por una sola coma.
• Nota: Si utiliza Azure Key Vault, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para obtener información más detallada.
• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us. 4. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar. 5. Después de implementar correctamente el conector, descargue la función de Kusto para normalizar los campos de datos. Siga los pasos para usar el alias de la función de Kusto, Netskope.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.