次の方法で共有

Microsoft Sentinel 用 Netskope Data Connector (Azure Functions を使用) コネクタ

  • [アーティクル]

Netskope データ コネクタは次の機能を提供します。

  1. NetskopeToAzureStorage: Netskope から Netskope のアラートとイベントのデータを取得し、Azure Storage にポストします。
  2. StorageToSentinel: Azure Storage から Netskope のアラートとイベントのデータを取得し、Log Analytics ワークスペースのカスタム ログ テーブルにポストします。
  3. WebTxMetrics: Netskope から WebTxMetrics データを取得し、Log Analytics ワークスペースのカスタム ログ テーブルにポストします。

REST API について詳しくは、次のドキュメントをご覧ください。

  1. Netskope API のドキュメント
  2. Azure Storage のドキュメント
  3. Microsoft Log Analytics のドキュメント

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Netskope

クエリのサンプル

Netskope CompromisedCredential アラート データ

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Netskope CTEP アラート データ

alertsctepdata_CL

| sort by TimeGenerated desc

Netskope DLP アラート データ

alertsdlpdata_CL

| sort by TimeGenerated desc

Netskope Malsite アラート データ

alertsmalsitedata_CL

| sort by TimeGenerated desc

Netskope Malware アラート データ

alertsmalwaredata_CL

| sort by TimeGenerated desc

Netskope Policy アラート データ

alertspolicydata_CL

| sort by TimeGenerated desc

Netskope Quarantine アラート データ

alertsquarantinedata_CL

| sort by TimeGenerated desc

Netskope Remediation アラート データ

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment アラート データ

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba アラート データ

alertsubadata_CL

| sort by TimeGenerated desc

Netskope Application イベント データ

eventsapplicationdata_CL

| sort by TimeGenerated desc

Netskope Audit イベント データ

eventsauditdata_CL

| sort by TimeGenerated desc

Netskope Connection イベント データ

eventsconnectiondata_CL

| sort by TimeGenerated desc

Netskope Incident イベント データ

eventsincidentdata_CL

| sort by TimeGenerated desc

Netskope Network イベント データ

eventsnetworkdata_CL

| sort by TimeGenerated desc

Netskope Page イベント データ

eventspagedata_CL

| sort by TimeGenerated desc

Netskope WebTransactions メトリック データ

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

前提条件

Netskope Data Connector (Azure Functions を使用) と統合するには、次のものがあることを確認します。

  • Azure サブスクリプション: Azure Active Directory にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • REST API の資格情報とアクセス許可: Netskope テナントNetskope API トークンが必要です。 API について詳しくは、Rest API リファレンス ドキュメントをご覧ください。

ベンダーのインストール手順

Note

このコネクタは、Azure Functions を使って Netskope API に接続し、アラートとイベントのデータをカスタム ログ テーブルにプルします。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

ステップ 1 - Microsoft Entra ID でのアプリケーションのアプリ登録手順

この統合には、Azure portal でのアプリの登録が必要です。 このセクションの手順に従って、Microsoft Entra ID で新しいアプリケーションを作成します。

  1. Azure portal にサインインします。
  2. Microsoft Entra ID を検索して選択します。
  3. [管理] で、[アプリの登録] > [新規登録] を選びます。
  4. アプリケーションの表示を入力します。
  5. [登録] を選択して、初期のアプリ登録を完了します。
  6. 登録が完了すると、Azure portal に、アプリの登録の [概要] ペインが表示されます。 [アプリケーション (クライアント) ID][テナント ID] があります。 TriggersSync プレイブックを実行するための構成パラメーターとして、クライアント ID とテナント ID が必要です。

参照リンク: /azure/active-directory/develop/quickstart-register-app

ステップ 2 - Microsoft Entra ID でアプリケーションのクライアント シークレットを追加する

アプリケーション パスワードと呼ばれることもあるクライアント シークレットは、TriggersSync プレイブックの実行に必要な文字列値です。 このセクションの手順に従って、新しいクライアント シークレットを作成します。

  1. Azure portal の [アプリの登録] で、対象のアプリケーションを選択します。
  2. [証明書 & シークレット]>[クライアント シークレット]>[新しいクライアント シークレット] を選択します。
  3. クライアント シークレットの説明を追加します。
  4. シークレットの有効期限を選択するか、カスタムの有効期間を指定します。 制限は 24 か月です。
  5. [追加] を選択します。
  6. クライアント アプリケーションのコードで使用できるように、"シークレットの値を記録します"。 このページからの移動後は、このシークレットの値は "二度と表示されません"。 シークレット値は、TriggersSync プレイブックを実行するための構成パラメーターとして必要です。

参照リンク: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ステップ 3 - Microsoft Entra ID でアプリケーションに共同作成者のロールを割り当てる

このセクションの手順に従って、ロールを割り当てます。

  1. Azure portal で [リソース グループ] に移動し、自分のリソース グループを選択します。
  2. 左側のパネルから [アクセスの制御 (IAM)] に移動します。
  3. [+ 追加] をクリックし、[ロールの割り当ての追加] を選択します
  4. ロールとして [共同作成者] を選択し、[次へ] をクリックします。
  5. [アクセスの割り当て先] で [User, group, or service principal] を選択します。
  6. [メンバーの追加] をクリックし、作成したアプリ名を入力して選択します。
  7. [確認と割り当て] をクリックし、もう一度 [確認と割り当て] をクリックします。

参照リンク: /azure/role-based-access-control/role-assignments-portal

ステップ 4 - Netskope アカウントの資格情報を作成および取得する手順

このセクションの手順に従って、Netskope ホスト名Netskope API トークンを作成および取得します。

  1. Netskope テナントにログインし、左側のナビゲーション バーの [設定] メニューに移動します。
  2. [ツール] をクリックし、[REST API v2] をクリックします
  3. 次に、新しいトークン ボタンをクリックします。 次に、トークン名、有効期限、データのフェッチ先となるエンドポイントの入力を求められます。
  4. 入力を完了したら、[保存] ボタンをクリックすると、トークンが生成されます。 トークンをコピーし、今後の使用のために安全な場所に保存します。

ステップ 5 - Netskope のアラートとイベントのデータ収集用の Azure 関数を作成する手順

重要: Netskope Data Connector をデプロイする前に、ワークスペース ID とワークスペース プライマリ キー (以下からコピーできます)、Netskope API 認可キーをすぐに使用できるようにしておきます。

ARM テンプレートを使って、Netskope のイベントとアラートのデータを Sentinel に取り込むための関数アプリをデプロイします。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 次の情報を入力します: Netskope ホスト名と Netskope API トークン。アラートとイベントをフェッチするエンドポイントのアラートとイベントの種類のドロップダウンで [はい] を選びます。ログ レベル。ワークスペース ID。ワークスペース キー

  4. [確認と作成] をクリックします。

  5. 検証後、[作成] をクリックしてデプロイします。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。