Delen via


Netskope Data Connector (met behulp van Azure Functions) connector voor Microsoft Sentinel

De Netskope-gegevensconnector biedt de volgende mogelijkheden:

  1. NetskopeToAzureStorage: Haal de Netskope-waarschuwingen en -gebeurtenissengegevens op van Netskope en post naar Azure Storage.
  2. StorageToSentinel: haal de Netskope-waarschuwingen en -gebeurtenissengegevens op uit Azure Storage en post deze in een aangepaste logboektabel in de Log Analytics-werkruimte.
  3. WebTxMetrics: Haal de WebTxMetrics-gegevens van Netskope op en post deze in een aangepaste logboektabel in de Log Analytics-werkruimte.

Raadpleeg de onderstaande documentatie voor meer informatie over REST API's:

  1. Documentatie voor Netskope-API
  2. Documentatie voor Azure Storage
  3. Analytische documentatie voor Microsoft-logboeken

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Connectorkenmerken

Kenmerk connector Beschrijving
Log Analytics-tabellen alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Netskope

Voorbeelden van query's

Netskope CompromisedCredential Alerts Data

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Netskope CTEP-waarschuwingengegevens

alertsctepdata_CL

| sort by TimeGenerated desc

Netskope DLP-waarschuwingengegevens

alertsdlpdata_CL

| sort by TimeGenerated desc

Netskope Malsite-waarschuwingengegevens

alertsmalsitedata_CL

| sort by TimeGenerated desc

Netskope Malware Alerts Data

alertsmalwaredata_CL

| sort by TimeGenerated desc

Netskope Policy Alerts Data

alertspolicydata_CL

| sort by TimeGenerated desc

Gegevens van Waarschuwingen voor Netskope-quarantaine

alertsquarantinedata_CL

| sort by TimeGenerated desc

Netskope-herstelwaarschuwingengegevens

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment Alerts Data

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba-waarschuwingengegevens

alertsubadata_CL

| sort by TimeGenerated desc

Netskope Application Events Data.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Netskope-controlegebeurtenissengegevens

eventsauditdata_CL

| sort by TimeGenerated desc

Netskope Connection Events Data

eventsconnectiondata_CL

| sort by TimeGenerated desc

Gebeurtenisgegevens van Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Netskope Network Events Data

eventsnetworkdata_CL

| sort by TimeGenerated desc

Netskope Page Events Data

eventspagedata_CL

| sort by TimeGenerated desc

Netskope WebTransactions Metrics Data

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met Netskope Data Connector (met behulp van Azure Functions), moet u het volgende doen:

  • Azure-abonnement: Azure-abonnement met de rol eigenaar is vereist voor het registreren van een toepassing in Azure Active Directory() en het toewijzen van de rol van inzender aan de app in de resourcegroep.
  • Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
  • REST API-referenties/machtigingen: Netskope Tenant en Netskope API-token is vereist. Raadpleeg de documentatie voor meer informatie over API in de Rest API-naslaginformatie

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Netskope-API's om de waarschuwingen en gebeurtenissengegevens op te halen in een aangepaste logboektabel. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

STAP 1: Stappen voor app-registratie voor de toepassing in Microsoft Entra-id

Voor deze integratie is een app-registratie in Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:

  1. Meld u aan bij het Azure-portaal.
  2. Zoek Microsoft Entra ID en selecteer deze.
  3. Selecteer onder Beheren App-registraties > Nieuwe registratie.
  4. Voer een weergavenaam voor uw toepassing in.
  5. Selecteer Registreren om de initiële app-registratie te voltooien.
  6. Wanneer de registratie is voltooid, wordt in Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van het TriggersSync-playbook.

Referentiekoppeling: /azure/active-directory/develop/quickstart-register-app

STAP 2: Een clientgeheim toevoegen voor de toepassing in Microsoft Entra-id

Soms een toepassingswachtwoord genoemd, is een clientgeheim een tekenreekswaarde die vereist is voor de uitvoering van triggersSync-playbook. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:

  1. Selecteer in Azure Portal in App-registraties uw toepassing.
  2. Selecteer Certificaten en geheimen Clientgeheimen > > Nieuw clientgeheim.
  3. Voeg een beschrijving voor uw clientgeheim toe.
  4. Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. Limiet is 24 maanden.
  5. Selecteer Toevoegen.
  6. Registreer de waarde van het geheim voor gebruik in de toepassingscode van uw client. Deze geheimwaarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van triggersSync-playbook.

Referentiekoppeling: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

STAP 3: Rol van Inzender toewijzen aan toepassing in Microsoft Entra-id

Volg de stappen in deze sectie om de rol toe te wijzen:

  1. Ga in Azure Portal naar de resourcegroep en selecteer uw resourcegroep.
  2. Ga vanuit het linkerdeelvenster naar Toegangsbeheer (IAM ).
  3. Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
  4. Selecteer Inzender als rol en klik op volgende.
  5. Selecteer User, group, or service principalin Toegang toewijzen aan .
  6. Klik op Leden toevoegen en typ uw app-naam die u hebt gemaakt en selecteer deze.
  7. Klik nu op Beoordelen + toewijzen en klik vervolgens nogmaals op Beoordelen + toewijzen.

Referentiekoppeling: /azure/role-based-access-control/role-assignments-portal

STAP 4: stappen voor het maken/ophalen van referenties voor het Netskope-account

Volg de stappen in deze sectie om Netskope Hostname en Netskope API-token te maken/ophalen:

  1. Meld u aan bij uw Netskope-tenant en ga naar het menu Instellingen op de linkernavigatiebalk.
  2. Klik op Hulpprogramma's en vervolgens op REST API v2
  3. Klik nu op de knop Nieuw token. Vervolgens wordt gevraagd om de naam van het token, de verloopduur en de eindpunten waaruit u gegevens wilt ophalen.
  4. Zodra dat is gebeurd, wordt het token gegenereerd op de knop Opslaan. Kopieer het token en sla het op een veilige plaats op voor verder gebruik.

STAP 5: stappen voor het maken van de Azure-functies voor Netskope-waarschuwingen en -gebeurtenissengegevensverzameling

BELANGRIJK: Voordat u Netskope-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit de volgende) direct beschikbaar zijn.., evenals de Netskope-API-autorisatiesleutel(s).

Met behulp van de ARM-sjabloon worden de functie-apps geïmplementeerd voor opname van Netskope-gebeurtenissen en waarschuwingen voor Sentinel.

  1. Klik op de knop Implementeren in Azure hieronder.

    Implementeren in Azure

  2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

  3. Voer de onderstaande gegevens in: Netskope HostName Netskope API-token Selecteer Ja in de vervolgkeuzelijst Waarschuwingen en Gebeurtenissentypen voor dat eindpunt dat u wilt ophalen Van waarschuwingen en werkruimte-id-werkruimtesleutel op gebeurtenisniveau

  4. Klik op Review+Create.

  5. Klik na validatie op Maken om te implementeren.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.