다음을 통해 공유

Microsoft Sentinel용 Netskope 웹 트랜잭션 데이터 커넥터(Azure Functions 사용) 커넥터

  • 아티클

Netskope Web Transactions 데이터 커넥터는 google pubsublite에서 Netskope Web Transactions 데이터를 끌어와서 처리하고 처리된 데이터를 Log Analytics로 수집하는 Docker 이미지 기능을 제공합니다. 이 데이터 커넥터의 일부로 Log Analytics에 두 개의 테이블이 형성됩니다. 하나는 웹 트랜잭션 데이터용이고 다른 하나는 실행 중에 발생한 오류용입니다.

웹 트랜잭션과 관련된 자세한 내용은 아래 설명서를 참조하세요. Netskope Web Transactions 설명서

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Netskope

쿼리 샘플

Netskope Web Transactions 데이터

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Netskope Web Transactions 데이터 커넥터 오류

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

필수 조건

Netskope Web Transactions 데이터 커넥터(Azure Functions 사용)와 통합하려면 다음 사항을 확인합니다.

공급업체 설치 지침

참고 항목

이 커넥터는 가상 머신(Azure VM/온-프레미스 VM)에 배포될 Docker 이미지를 사용하여 Netskope Web Transactions 데이터를 수집하는 기능을 제공합니다. 자세한 내용은 Azure VM 가격 책정 페이지를 확인합니다.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - Netskope 계정에 대한 자격 증명을 만들거나 가져오는 단계

Netskope 호스트 이름Netskope API 토큰을 만들거나 가져오려면 이 섹션의 단계를 따릅니다.

  1. Netskope 테넌트에 로그인하고 왼쪽 탐색 모음의 설정 메뉴로 이동합니다.
  2. 도구를 클릭한 다음 REST API v2를 클릭합니다.
  3. 이제 새 토큰 단추를 클릭합니다. 그런 다음 토큰 이름, 만료 기간 및 데이터를 가져오려는 엔드포인트를 묻습니다.
  4. 완료되어 저장 단추를 클릭하면 토큰이 생성됩니다. 추가 사용을 위해 토큰을 복사하고 안전한 장소에 저장합니다.

**2단계 - Netskope Web Transactions 데이터를 수집하기 위해 Docker 기반 데이터 커넥터를 배포하려면 다음 두 배포 옵션 중 하나를 선택합니다 **

중요: Netskope 데이터 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론 Netskope API 권한 부여 키도 즉시 사용할 수 있도록 준비합니다. [토큰에 트랜잭션 이벤트에 대한 권한].

옵션 1 - ARM(Azure Resource Manager) 템플릿을 사용하여 VM 배포[권장]

ARM 템플릿을 사용하여 Azure VM을 배포하고 필수 구성 요소를 설치하고 실행을 시작합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 아래 정보를 입력합니다.

    • Docker 이미지 이름(mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Netskope 호스트 이름
    • Netskope API 토큰
    • 검색 타임스탬프(pubsublite 포인터를 찾으려는 epoch 타임스탬프는 비워 둘 수 있음)
    • 작업 영역 ID
    • 작업 영역 키
    • 백오프 다시 시도 횟수(실행을 다시 시작하기 전 토큰 관련 오류에 대한 다시 시도 횟수)
    • 백오프 절전 시간(다시 시도 전 대기 시간(초))
    • 유휴 시간 제한(실행을 다시 시작하기 전에 웹 트랜잭션 데이터를 기다리는 시간(초))
    • VM 이름
    • 인증 유형
    • 관리자 암호 또는 키
    • DNS 레이블 접두사
    • Ubuntu OS 버전
    • 위치
    • VM 크기
    • 서브넷 이름
    • 네트워크 보안 그룹 이름
    • 보안 유형

  4. 검토+만들기를 클릭합니다.

  5. 그런 다음 유효성 검사 후 만들기를 클릭하여 배포합니다.

옵션 2 - 이전에 만들어진 가상 머신에 수동 배포

다음 단계별 지침을 사용하여 이전에 만들어진 가상 머신에 Docker 기반 데이터 커넥터를 수동으로 배포합니다.

1. Docker 설치 및 Docker 이미지 끌어오기

참고: VM이 Linux 기반(바람직하게는 Ubuntu)인지 확인합니다.

  1. 먼저 SSH를 통해 가상 머신에 접속해야 합니다.
  2. 이제 Docker 엔진을 설치합니다.
  3. 이제 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions' 명령을 사용하여 docker 허브에서 docker 이미지를 끌어옵니다.
  4. 이제 Docker 이미지를 실행하려면 sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions 명령을 사용합니다. mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions를 이미지 ID로 바꿀 수 있습니다. 여기서 docker_persistent_volume은 파일이 저장될 VM에 만들어질 폴더의 이름입니다.

2. 매개 변수 구성

  1. Docker 이미지가 실행되면 필수 매개 변수를 요청합니다.
  2. 해당 값(대/소문자 구분)을 사용하여 다음 각 애플리케이션 설정을 개별적으로 추가합니다.
    • Netskope 호스트 이름
    • Netskope API 토큰
    • 검색 타임스탬프(pubsublite 포인터를 찾으려는 epoch 타임스탬프는 비워 둘 수 있음)
    • 작업 영역 ID
    • 작업 영역 키
    • 백오프 다시 시도 횟수(실행을 다시 시작하기 전 토큰 관련 오류에 대한 다시 시도 횟수)
    • 백오프 절전 시간(다시 시도 전 대기 시간(초))
    • 유휴 시간 제한(실행을 다시 시작하기 전에 웹 트랜잭션 데이터를 기다리는 시간(초))
  3. 이제 실행이 시작되었지만 대화형 모드이므로 셸을 중지할 수 없습니다. 백그라운드 프로세스로 실행하려면 Ctrl+C를 눌러 현재 실행을 중지한 후 다음 명령을 사용합니다. sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Docker 컨테이너 중지

  1. 실행 중인 Docker 컨테이너를 나열하려면 sudo docker container ps 명령을 사용합니다. 컨테이너 ID를 기록해 둡니다.
  2. 이제 다음 명령을 사용하여 컨테이너를 중지합니다. sudo docker stop *<*container-id*>*

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.