Netskope Web Transactions Data Anslut eller (med Azure Functions)-anslutningsprogram för Microsoft Sentinel
Dataanslutningsappen Netskope Web Transactions tillhandahåller funktionerna i en docker-avbildning för att hämta Netskope Web Transactions-data från google pubsublite, bearbeta data och mata in bearbetade data till Log Analytics. Som en del av den här dataanslutningsappen skapas två tabeller i Log Analytics, en för webbtransaktioner och en annan för fel som påträffas under körningen.
Mer information om webbtransaktioner finns i dokumentationen nedan: Dokumentation om Netskope-webbtransaktioner
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
Stöd för regler för datainsamling | Stöds för närvarande inte |
Stöds av | Netskope |
Exempel på frågor
Netskope Web Transactions Data
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Netskope Web Transactions Data Anslut eller-fel
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med Netskope Web Transactions Data Anslut eller (med Hjälp av Azure Functions) kontrollerar du att du har:
- Azure-prenumeration: Azure-prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra-ID och tilldela rollen deltagare till appen i resursgruppen.
- Microsoft.Compute-behörigheter: Läs- och skrivbehörigheter till virtuella Azure-datorer krävs. Mer information om virtuella Azure-datorer finns i dokumentationen.
- TransactionEvents-autentiseringsuppgifter och behörigheter: Netskope-klientorganisation och Netskope API-token krävs. Mer information om transaktionshändelser finns i dokumentationen.
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen innehåller funktioner för att mata in Netskope Web Transactions-data med hjälp av en docker-avbildning som ska distribueras på en virtuell dator (antingen virtuell Azure-dator/lokal virtuell dator). Mer information finns på sidan med priser för virtuella Azure-datorer.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
STEG 1 – Steg för att skapa/hämta autentiseringsuppgifter för Netskope-kontot
Följ stegen i det här avsnittet för att skapa/hämta Netskope Hostname och Netskope API Token:
- Logga in på netskope-klienten och gå till menyn Inställningar i det vänstra navigeringsfältet.
- Klicka på Verktyg och sedan på REST API v2
- Klicka nu på den nya tokenknappen. Sedan kommer den att be om tokennamn, förfallotid och de slutpunkter som du vill hämta data från.
- När det är klart klickar du på knappen Spara, och token genereras. Kopiera token och spara på en säker plats för ytterligare användning.
**STEG 2 – Välj ett av följande två distributionsalternativ för att distribuera den Docker-baserade dataanslutningen för att mata in Netskope Web Transactions-data **
VIKTIGT: Innan du distribuerar Netskope-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande) lättillgängliga, samt Netskope API Authorization Key(s) [Kontrollera att token har behörigheter för transaktionshändelser].
Alternativ 1 – Använda EN ARM-mall (Azure Resource Manager) för att distribuera den virtuella datorn [rekommenderas]
Använd ARM-mallen för att distribuera en virtuell Azure-dator, installera förutsättningarna och starta körningen.
Klicka på knappen Distribuera till Azure nedan.
Välj önskad prenumeration, resursgrupp och plats.
Ange informationen nedan:
- Docker-avbildningsnamn (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Netskope API-token
- Sök tidsstämpel (Tidsstämpeln för epok som du vill söka efter pubsublite-pekaren kan lämnas tom)
- Arbetsplats-ID
- Arbetsytenyckel
- Antal återförsök av backoff (Antalet återförsök för tokenrelaterade fel innan körningen startas om.)
- Vilotid för backoff (antal sekunder som ska viloläge innan du försöker igen)
- Tidsgräns för inaktivitet (Antal sekunder att vänta på data för webbtransaktioner innan körningen startas om)
- Namn på virtuell dator
- Autentiseringstyp
- Administratörslösenord eller -nyckel
- DNS-etikettprefix
- Ubuntu OS-version
- Plats
- Storlek på virtuell dator
- Namn på undernät
- Namn på nätverkssäkerhetsgrupp
- Säkerhetstyp
Klicka på Granska+Skapa.
Efter valideringen klickar du sedan på Skapa för att distribuera.
Alternativ 2 – Manuell distribution på en tidigare skapad virtuell dator
Använd följande stegvisa instruktioner för att distribuera den dockerbaserade dataanslutningen manuellt på en tidigare skapad virtuell dator.
1. Installera Docker och pull docker Image
Obs! Kontrollera att den virtuella datorn är linux-baserad (helst Ubuntu).
- Först måste du SSH till den virtuella datorn.
- Installera nu Docker-motorn.
- Hämta nu docker-avbildningen från docker Hub med kommandot: "sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".
- Nu för att köra docker-avbildningen använder du kommandot:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
. Du kan ersättamgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
med avbildnings-ID:t. Härdocker_persistent_volume
är namnet på mappen som skulle skapas på den virtuella dator där filerna lagras.
2. Konfigurera parametrarna
- När docker-avbildningen körs frågar den efter de parametrar som krävs.
- Lägg till var och en av följande programinställningar individuellt med sina respektive värden (skiftlägeskänsliga):
- Netskope HostName
- Netskope API-token
- Sök tidsstämpel (Tidsstämpeln för epok som du vill söka efter pubsublite-pekaren kan lämnas tom)
- Arbetsplats-ID
- Arbetsytenyckel
- Antal återförsök av backoff (Antalet återförsök för tokenrelaterade fel innan körningen startas om.)
- Vilotid för backoff (antal sekunder som ska viloläge innan du försöker igen)
- Tidsgräns för inaktivitet (Antal sekunder att vänta på data för webbtransaktioner innan körningen startas om)
- Nu har körningen startats men är i interaktivt läge, så att gränssnittet inte kan stoppas. Om du vill köra den som en bakgrundsprocess stoppar du den aktuella körningen genom att trycka på Ctrl+C och sedan använda kommandot:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Stoppa Docker-containern
- Använd kommandot
sudo docker container ps
för att lista de docker-containrar som körs. Anteckna container-ID:t. - Stoppa nu containern med kommandot :
sudo docker stop *<*container-id*>*
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.