你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Netskope(使用 Azure Functions)连接器

Netskope 云安全平台连接器提供将 Netskope 日志和事件引入 Microsoft Sentinel 的功能。 该连接器为 Microsoft Sentinel 中的 Netskope 平台事件和警报提供可见性,以提高监视和调查功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
应用程序设置 apikey
workspaceID
workspaceKey
uri
timeInterval
logTypes
logAnalyticsUri(可选)
Azure 函数应用代码 https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Log Analytics 表 Netskope_CL
数据收集规则支持 目前不支持
支持的服务 Netskope

查询示例

前 10 大用户

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

前 10 大警报

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

先决条件

若要与 Netskope(使用 Azure Functions)集成,请确保满足以下条件:

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Netskope,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

注意

此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 Netskope 并加载函数代码,或者单击此处,在查询的第二行输入 Netskope 设备的主机名,以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

步骤 1 - Netskope API 的配置步骤

按照 Netskope 提供的这些说明获取 API 令牌。 注意:需要一个 Netskope 帐户

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明:部署 Netskope 连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Netskope API 授权令牌。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法可利用 ARM 模板自动部署 Netskope 连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入“工作区 ID”、“工作区密钥”、“API 密钥”和”URI”。

  • 将以下架构用于 uri 值:https://<Tenant Name>.goskope.com<Tenant Name> 替换为你的域。
  • 默认时间间隔设置为拉取最后五 (5) 分钟的数据。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器(在 function.json 文件中,部署后),以防止数据引入重叠。
  • 默认“日志类型”设置为拉取所有 6 个可用日志类型 (alert, page, application, audit, infrastructure, network),不需要删除任何日志类型。
  • 注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  1. 选中“我同意上述条款和条件”复选框。
  2. 单击“购买”进行部署。
  3. 成功部署连接器后,下载 Kusto 函数以规范化数据字段。 按照步骤使用 Kusto 函数别名 Netskope。

选项 2 - 手动部署 Azure Functions

此方法提供了使用 Azure Functions 手动部署 Netskope 连接器的分步说明。

1.创建函数应用

  1. 在 Azure 门户中导航到函数应用,然后选择“+ 添加”。
  2. 在“基本信息”选项卡中,确保“运行时堆栈”设置为“Powershell Core”。
  3. 在“托管”选项卡中,确保选中“消耗(无服务器)”计划类型。
  4. 根据需要进行其他首选配置更改,然后单击“创建”。

2. 导入函数应用代码

  1. 在新建的函数应用中,选择左侧窗格中的“函数”,然后单击“+ 添加”。
  2. 选择“计时器触发器”。
  3. 输入唯一的函数名称,并根据需要修改 cron 计划。 默认值设置为每 5 分钟运行一次函数应用。 (注意:计时器触发器应匹配以下 timeInterval 值,以防止数据重叠),单击“创建”。
  4. 单击左侧窗格中的“代码 + 测试”。
  5. 复制函数应用代码并将其粘贴到函数应用 run.ps1 编辑器中。
  6. 单击“ 保存”。

3. 配置函数应用

  1. 在函数应用中选择“函数应用名称”,然后选择“配置”。
  2. 在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。
  3. 分别添加以下七 (7) 个应用程序设置,及其各自的字符串值(区分大小写):apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri(可选)
  • 输入与你所在区域对应的 URI。 uri 值必须遵循以下架构:https://<Tenant Name>.goskope.com - 无需向 URI 添加后续参数,函数应用会以正确的格式动态追加这些参数。
  • timeInterval(以分钟为单位)设置为默认值 5,表示每隔 5 分钟运行的默认计时器触发器。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器,以防数据引入重叠。
  • logTypes 设置为 alert, page, application, audit, infrastructure, network - 此列表表示所有可用的日志类型。 根据日志记录要求选择日志类型,每个类型用一个逗号分隔。
  • 注意:如果使用 Azure 密钥保管库,请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us。 4. 输入所有应用程序设置后,单击“保存”。 5. 成功部署连接器后,下载 Kusto 函数以规范化数据字段。 按照步骤使用 Kusto 函数别名 Netskope。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案