Netskope Data Connector (med hjälp av Azure Functions)-anslutningsappen för Microsoft Sentinel
Netskope-dataanslutningsappen innehåller följande funktioner:
- NetskopeToAzureStorage : Hämta Netskope-aviseringar och händelser-data från Netskope och publicera till Azure Storage.
- StorageToSentinel: Hämta Netskope-aviseringar och händelser-data från Azure Storage och publicera till en anpassad loggtabell på log analytics-arbetsytan.
- WebTxMetrics: Hämta WebTxMetrics-data från Netskope och publicera till en anpassad loggtabell på log analytics-arbetsytan.
Mer information om REST-API:er finns i dokumentationen nedan:
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Netskope |
Exempel på frågor
Data om Netskope CompromisedCredential-aviseringar
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
Data om Netskope CTEP-aviseringar
alertsctepdata_CL
| sort by TimeGenerated desc
Data om Netskope DLP-aviseringar
alertsdlpdata_CL
| sort by TimeGenerated desc
Data om Netskope Malsite-aviseringar
alertsmalsitedata_CL
| sort by TimeGenerated desc
Data om aviseringar om skadlig kod i Netskope
alertsmalwaredata_CL
| sort by TimeGenerated desc
Data om Netskope-principaviseringar
alertspolicydata_CL
| sort by TimeGenerated desc
Data om netskope-karantänaviseringar
alertsquarantinedata_CL
| sort by TimeGenerated desc
Data om netskope-reparationsaviseringar
alertsremediationdata_CL
| sort by TimeGenerated desc
Netskope SecurityAssessment Alerts Data
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
Netskope Uba-aviseringsdata
alertsubadata_CL
| sort by TimeGenerated desc
Data om Netskope-programhändelser.
eventsapplicationdata_CL
| sort by TimeGenerated desc
Data om Netskope-granskningshändelser
eventsauditdata_CL
| sort by TimeGenerated desc
Data om Netskope-anslutningshändelser
eventsconnectiondata_CL
| sort by TimeGenerated desc
Data om Netskope-incidenthändelser
eventsincidentdata_CL
| sort by TimeGenerated desc
Netskope Network Events Data
eventsnetworkdata_CL
| sort by TimeGenerated desc
Data om Netskope-sidhändelser
eventspagedata_CL
| sort by TimeGenerated desc
Netskope WebTransactions Metrics Data
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med Netskope Data Connector (med Hjälp av Azure Functions) kontrollerar du att du har:
- Azure-prenumeration: Azure-prenumeration med ägarroll krävs för att registrera ett program i azure active directory() och tilldela rollen deltagare till appen i resursgruppen.
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Autentiseringsuppgifter/behörigheter för REST API: Netskope-klientorganisation och Netskope API-token krävs. Mer information om API i rest-API-referensen finns i dokumentationen
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till Netskope-API:erna för att hämta sina aviserings- och händelsedata till en anpassad loggtabell. Mer information finns på prissättningssidan för Azure Functions.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
STEG 1 – Steg för appregistrering för programmet i Microsoft Entra-ID
Den här integreringen kräver en appregistrering i Azure Portal. Följ stegen i det här avsnittet för att skapa ett nytt program i Microsoft Entra-ID:
- Logga in på Azure-portalen.
- Sök efter och markera Microsoft Entra ID.
- Under Hantera väljer du Appregistreringar > Ny registrering.
- Ange ett visningsnamn för programmet.
- Välj Registrera för att slutföra den första appregistreringen.
- När registreringen är klar visar Azure Portal appregistreringens översiktsfönster. Du ser program-ID :t (klient)-ID:t och klient-ID:t. Klient-ID och klient-ID krävs som konfigurationsparametrar för körningen av TriggersSync-spelboken.
Referenslänk: /azure/active-directory/develop/quickstart-register-app
STEG 2 – Lägga till en klienthemlighet för program i Microsoft Entra-ID
Ibland kallas ett programlösenord, en klienthemlighet är ett strängvärde som krävs för körningen av TriggersSync-spelboken. Följ stegen i det här avsnittet för att skapa en ny klienthemlighet:
- I Azure Portal i Appregistreringar väljer du ditt program.
- Välj Certifikat och hemligheter > Klienthemligheter > Ny klienthemlighet.
- Lägg till en beskrivning för din klienthemlighet.
- Välj en förfallotidpunkt för hemligheten eller ange en anpassad livslängd. Gränsen är 24 månader.
- Markera Lägga till.
- Registrera hemlighetens värde för användning i klientprogramkoden. Hemlighetens värde visas aldrig igen när du har lämnat den här sidan. Det hemliga värdet krävs som konfigurationsparameter för körningen av TriggersSync-spelboken.
Referenslänk: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STEG 3 – Tilldela rollen deltagare till program i Microsoft Entra-ID
Följ stegen i det här avsnittet för att tilldela rollen:
- I Azure Portal går du till Resursgrupp och väljer din resursgrupp.
- Gå till Åtkomstkontroll (IAM) från den vänstra panelen.
- Klicka på Lägg till och välj sedan Lägg till rolltilldelning.
- Välj Deltagare som roll och klicka på nästa.
- I Tilldela åtkomst till väljer du
User, group, or service principal. - Klicka på Lägg till medlemmar och skriv ditt appnamn som du har skapat och välj det.
- Klicka nu på Granska + tilldela och klicka sedan igen på Granska + tilldela.
Referenslänk: /azure/role-based-access-control/role-assignments-portal
STEG 4 – Steg för att skapa/hämta autentiseringsuppgifter för Netskope-kontot
Följ stegen i det här avsnittet för att skapa/hämta Netskope Hostname och Netskope API Token:
- Logga in på netskope-klientorganisationen och gå till menyn Inställningar i det vänstra navigeringsfältet.
- Klicka på Verktyg och sedan på REST API v2
- Klicka nu på den nya tokenknappen. Sedan kommer den att be om tokennamn, förfallotid och de slutpunkter som du vill hämta data från.
- När det är klart klickar du på knappen Spara, och token genereras. Kopiera token och spara på en säker plats för ytterligare användning.
STEG 5 – Steg för att skapa azure-funktionerna för Netskope-aviseringar och händelsedatainsamling
VIKTIGT: Innan du distribuerar Netskope-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande) lättillgängliga.., samt Netskope API Authorization Key(s).
Med hjälp av ARM-mallen distribuerar du funktionsapparna för inmatning av Netskope-händelser och aviserar data till Sentinel.
Klicka på knappen Distribuera till Azure nedan.
Välj önskad prenumeration, resursgrupp och plats.
Ange följande information: Netskope HostName Netskope API-token Välj Ja i listrutan Aviseringar och händelser för den slutpunkt som du vill hämta aviseringar och arbetsyte-ID för händelseloggnivå Arbetsytenyckel
Klicka på Granska+Skapa.
Efter valideringen klickar du sedan på Skapa för att distribuera.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.