Netskope Web Transactions Data Verbinding maken or (met behulp van Azure Functions)-connector voor Microsoft Sentinel

De Netskope Web Transactions-gegevensconnector biedt de functionaliteit van een docker-installatiekopie om de Netskope Web Transactions-gegevens op te halen uit Google pubsublite, de gegevens te verwerken en de verwerkte gegevens op te nemen in Log Analytics. Als onderdeel van deze gegevensconnector worden twee tabellen gevormd in Log Analytics, één voor webtransactiesgegevens en andere voor fouten die zijn opgetreden tijdens de uitvoering.

Raadpleeg de onderstaande documentatie voor meer informatie over Web Transactions: Netskope Web Transactions-documentatie

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk	Beschrijving
Log Analytics-tabellen	NetskopeWebtxData_CL NetskopeWebtxErrors_CL
Ondersteuning voor regels voor gegevensverzameling	Wordt momenteel niet ondersteund
Ondersteund door	Netskope

Voorbeelden van query's

Netskope Web Transactions-gegevens

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Netskope Web Transactions Data Verbinding maken or Errors

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met Netskope Web Transactions Data Verbinding maken or (met behulp van Azure Functions), moet u het volgende doen:

• Azure-abonnement: Azure-abonnement met de rol eigenaar is vereist voor het registreren van een toepassing in Microsoft Entra-id en het toewijzen van de rol van inzender aan de app in de resourcegroep.
• Microsoft.Compute-machtigingen: lees- en schrijfmachtigingen voor Azure-VM's zijn vereist. Raadpleeg de documentatie voor meer informatie over Virtuele Azure-machines.
• TransactionEvents Credentials and Permissions: Netskope Tenant and Netskope API Token is vereist. Raadpleeg de documentatie voor meer informatie over transactieevenementen.
• Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.

Installatie-instructies van leverancier

Notitie

Deze connector biedt de functionaliteit voor het opnemen van Netskope Web Transactions-gegevens met behulp van een docker-installatiekopie die moet worden geïmplementeerd op een virtuele machine (Een van beide Azure-VM's/on-premises VM's). Raadpleeg de pagina met prijzen voor Azure-VM's voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

STAP 1: stappen voor het maken/ophalen van referenties voor het Netskope-account

Volg de stappen in deze sectie om Netskope Hostname en Netskope API-token te maken/ophalen:

1. Meld u aan bij uw Netskope-tenant en ga naar het menu Instellingen op de linkernavigatiebalk.
2. Klik op Hulpprogramma's en vervolgens op REST API v2
3. Klik nu op de knop Nieuw token. Vervolgens wordt gevraagd om de naam van het token, de verloopduur en de eindpunten waaruit u gegevens wilt ophalen.
4. Zodra dat is gebeurd, wordt het token gegenereerd op de knop Opslaan. Kopieer het token en sla het op een veilige plaats op voor verder gebruik.

**STAP 2: kies een van de volgende twee implementatieopties om de op Docker gebaseerde gegevensconnector te implementeren om Netskope-webtransactiesgegevens op te nemen **

BELANGRIJK: Voordat u Netskope-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit de volgende) en de Netskope-API-autorisatiesleutel(s) [Zorg ervoor dat het token machtigingen heeft voor transactiegebeurtenissen].

Optie 1: Arm-sjabloon (Azure Resource Manager) gebruiken om VM te implementeren [aanbevolen]

Met behulp van de ARM-sjabloon implementeert u een Azure-VM, installeert u de vereisten en start u de uitvoering.

1. Klik op de knop Implementeren in Azure hieronder.

   

2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

3. Voer de onderstaande gegevens in:

   • Naam van Docker-installatiekopieën (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
   • Netskope HostName
   • Netskope API-token
   • Tijdstempel zoeken (De tijdstempel van het tijdvak dat u wilt zoeken naar de pubsublite-aanwijzer, kan leeg blijven)
   • Werkruimte-id
   • Werkruimtesleutel
   • Aantal nieuwe pogingen (het aantal nieuwe pogingen voor tokengerelateerde fouten voordat de uitvoering opnieuw wordt gestart.)
   • Uitstel slaaptijd (aantal seconden om te slapen voordat u het opnieuw probeert)
   • Time-out voor inactiviteit (aantal seconden dat moet worden gewacht op webtransacties voordat de uitvoering opnieuw wordt gestart)
   • VM-naam
   • Verificatietype
   • Beheer wachtwoord of sleutel
   • Voorvoegsel van DNS-label
   • Besturingssysteemversie van Ubuntu
   • Locatie
   • VM-grootte
   • Subnetnaam
   • Naam van netwerkbeveiligingsgroep
   • Beveiligingstype

4. Klik op Review+Create.

5. Klik na validatie op Maken om te implementeren.

Optie 2: Handmatige implementatie op eerder gemaakte virtuele machine

Gebruik de volgende stapsgewijze instructies om de op Docker gebaseerde gegevensconnector handmatig te implementeren op een eerder gemaakte virtuele machine.

1. Docker- en pull-docker-installatiekopie installeren

OPMERKING: Zorg ervoor dat de VM is gebaseerd op Linux (bij voorkeur Ubuntu).

1. Eerst moet u SSH opnemen in de virtuele machine.
2. Installeer nu docker-engine.
3. Haal nu de docker-installatiekopie op uit docker hub met behulp van de opdracht: sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions.'
4. Gebruik de volgende opdracht om de docker-installatiekopieën uit te voeren: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions U kunt vervangen door mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions de afbeeldings-id. Hier docker_persistent_volume volgt de naam van de map die wordt gemaakt op de vm waarin de bestanden worden opgeslagen.

2. De parameters configureren

1. Zodra de Docker-installatiekopieën worden uitgevoerd, wordt om de vereiste parameters gevraagd.
2. Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe met hun respectieve waarden (hoofdlettergevoelig):
   • Netskope HostName
   • Netskope API-token
   • Tijdstempel zoeken (De tijdstempel van het tijdvak dat u wilt zoeken naar de pubsublite-aanwijzer, kan leeg blijven)
   • Werkruimte-id
   • Werkruimtesleutel
   • Aantal nieuwe pogingen (het aantal nieuwe pogingen voor tokengerelateerde fouten voordat de uitvoering opnieuw wordt gestart.)
   • Uitstel slaaptijd (aantal seconden om te slapen voordat u het opnieuw probeert)
   • Time-out voor inactiviteit (aantal seconden dat moet worden gewacht op webtransacties voordat de uitvoering opnieuw wordt gestart)
3. De uitvoering is gestart, maar bevindt zich in de interactieve modus, zodat shell niet kan worden gestopt. Als u het wilt uitvoeren als achtergrondproces, stopt u de huidige uitvoering door op Ctrl+C te drukken en vervolgens de opdracht te gebruiken: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Stop de docker-container

1. Gebruik de opdracht sudo docker container ps om de actieve Docker-containers weer te geven. Noteer de container-id.
2. Stop nu de container met behulp van de opdracht: sudo docker stop *<*container-id*>*

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.