Соединитель Netskope (с помощью Функции Azure) для Microsoft Sentinel
Соединитель Netskope Cloud Security Platform предоставляет возможность приема журналов и событий Netskope в Microsoft Sentinel. Соединитель обеспечивает видимость событий и оповещений платформы Netskope в Microsoft Sentinel для улучшения возможностей мониторинга и исследования.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Параметры приложения | apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (необязательно) |
Код приложения-функции Azure | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1 |
Таблицы Log Analytics | Netskope_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Netskope |
Примеры запросов
Лучшие 10 пользователей
Netskope
| summarize count() by SrcUserName
| top 10 by count_
Основные 10 оповещений
Netskope
| where isnotempty(AlertName)
| summarize count() by AlertName
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с Netskope (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Токен API Netskope: требуется маркер API Netskope. Дополнительные сведения об API Netskope см. в документации. Примечание. Требуется учетная запись Netskope
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к Netskope для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Netskope и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств Netskope и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке API Netskope
Следуйте этим инструкциям , предоставленным Netskope, чтобы получить маркер API. Примечание. Требуется учетная запись Netskope
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Прежде чем развертывать соединитель Netskope, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также маркер авторизации API Netskope, легко доступный.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя Netskope с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, ключ API и универсальный код ресурса (URI).
- Используйте следующую схему
uri
для значения:https://<Tenant Name>.goskope.com
замените<Tenant Name>
домен. - Интервал времени по умолчанию устанавливается для извлечения последних пяти (5) минут данных. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить перекрытие приема данных.
- Типы журналов по умолчанию предназначены для извлечения всех доступных типов журналов (
alert, page, application, audit, infrastructure, network
), удаление которых не требуется. - Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})
вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
- Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
- Нажмите кнопку " Купить" , чтобы развернуть.
- После успешного развертывания соединителя скачайте функцию Kusto, чтобы нормализовать поля данных. Выполните действия , чтобы использовать псевдоним функции Kusto, Netskope.
Вариант 2. Развертывание Функции Azure вручную
Этот метод содержит пошаговые инструкции по развертыванию соединителя Netskope вручную с помощью функции Azure.
1. Создание приложения-функции
- На портале Azure перейдите в приложение-функцию и нажмите кнопку +Добавить.
- На вкладке "Основные сведения" убедитесь, что стек среды выполнения имеет значение PowerShell Core.
- На вкладке "Размещение" убедитесь, что выбран тип плана потребления (бессерверный).
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку "Создать".
2. Импорт кода приложения-функции
- В созданном приложении-функции выберите "Функции " на левой панели и нажмите кнопку "+Добавить".
- Выберите Триггер таймера.
- При необходимости введите уникальное имя функции и измените расписание cron. Значение по умолчанию устанавливается для запуска приложения-функции каждые 5 минут. (Примечание. Триггер таймера должен соответствовать приведенному
timeInterval
ниже значению, чтобы предотвратить перекрытие данных), нажмите кнопку Создайте. - Щелкните "Код и тест" на левой панели.
- Скопируйте код приложения-функции и вставьте его в редактор приложения-функции
run.ps1
. - Нажмите кнопку Сохранить.
3. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
- На вкладке Параметры приложения выберите +Новый параметр приложения.
- Добавьте каждый из следующих семи (7) параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (необязательно)
- Введите универсальный код ресурса (URI), соответствующий вашему региону. Значение
uri
должно соответствовать следующей схеме:https://<Tenant Name>.goskope.com
нет необходимости добавлять последующие параметры в URI, приложение-функция будет динамически добавлять параметры в правильном формате.timeInterval
Задайте значение по умолчанию (в минутах), чтобы соответствовать триггеру таймера по умолчанию5
каждые5
минуты. Если необходимо изменить интервал времени, рекомендуется изменить триггер таймера приложения-функции соответствующим образом, чтобы предотвратить перекрытие приема данных.logTypes
alert, page, application, audit, infrastructure, network
Задайте значение — этот список представляет все доступные типы журналов. Выберите типы журналов в зависимости от требований к ведению журнала, разделяя каждую запятую.- Примечание. При использовании Azure Key Vault используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})
вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.- Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us
4. После ввода всех параметров приложения нажмите кнопку "Сохранить". 5. После успешного развертывания соединителя скачайте функцию Kusto, чтобы нормализовать поля данных. Выполните действия , чтобы использовать псевдоним функции Kusto, Netskope.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.