你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Netskope(使用 Azure Functions)连接器
Netskope 云安全平台连接器提供将 Netskope 日志和事件引入 Microsoft Sentinel 的功能。 该连接器为 Microsoft Sentinel 中的 Netskope 平台事件和警报提供可见性,以提高监视和调查功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
应用程序设置 | apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri(可选) |
Azure 函数应用代码 | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1 |
Log Analytics 表 | Netskope_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Netskope |
查询示例
前 10 大用户
Netskope
| summarize count() by SrcUserName
| top 10 by count_
前 10 大警报
Netskope
| where isnotempty(AlertName)
| summarize count() by AlertName
| top 10 by count_
先决条件
若要与 Netskope(使用 Azure Functions)集成,请确保满足以下条件:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Netskope API 令牌:需要 Netskope API 令牌。 请参阅文档详细了解 Netskope API。 注意:需要一个 Netskope 帐户
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Netskope,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
注意
此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 Netskope 并加载函数代码,或者单击此处,在查询的第二行输入 Netskope 设备的主机名,以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - Netskope API 的配置步骤
按照 Netskope 提供的这些说明获取 API 令牌。 注意:需要一个 Netskope 帐户
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:部署 Netskope 连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Netskope API 授权令牌。
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法可利用 ARM 模板自动部署 Netskope 连接器。
- 将以下架构用于
uri
值:https://<Tenant Name>.goskope.com
将<Tenant Name>
替换为你的域。 - 默认时间间隔设置为拉取最后五 (5) 分钟的数据。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器(在 function.json 文件中,部署后),以防止数据引入重叠。
- 默认“日志类型”设置为拉取所有 6 个可用日志类型 (
alert, page, application, audit, infrastructure, network
),不需要删除任何日志类型。 - 注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。
- 选中“我同意上述条款和条件”复选框。
- 单击“购买”进行部署。
- 成功部署连接器后,下载 Kusto 函数以规范化数据字段。 按照步骤使用 Kusto 函数别名 Netskope。
选项 2 - 手动部署 Azure Functions
此方法提供了使用 Azure Functions 手动部署 Netskope 连接器的分步说明。
1.创建函数应用
- 在 Azure 门户中导航到函数应用,然后选择“+ 添加”。
- 在“基本信息”选项卡中,确保“运行时堆栈”设置为“Powershell Core”。
- 在“托管”选项卡中,确保选中“消耗(无服务器)”计划类型。
- 根据需要进行其他首选配置更改,然后单击“创建”。
2. 导入函数应用代码
- 在新建的函数应用中,选择左侧窗格中的“函数”,然后单击“+ 添加”。
- 选择“计时器触发器”。
- 输入唯一的函数名称,并根据需要修改 cron 计划。 默认值设置为每 5 分钟运行一次函数应用。 (注意:计时器触发器应匹配以下
timeInterval
值,以防止数据重叠),单击“创建”。 - 单击左侧窗格中的“代码 + 测试”。
- 复制函数应用代码并将其粘贴到函数应用
run.ps1
编辑器中。 - 单击“ 保存”。
3. 配置函数应用
- 在函数应用中选择“函数应用名称”,然后选择“配置”。
- 在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。
- 分别添加以下七 (7) 个应用程序设置,及其各自的字符串值(区分大小写):apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri(可选)
- 输入与你所在区域对应的 URI。
uri
值必须遵循以下架构:https://<Tenant Name>.goskope.com
- 无需向 URI 添加后续参数,函数应用会以正确的格式动态追加这些参数。- 将
timeInterval
(以分钟为单位)设置为默认值5
,表示每隔5
分钟运行的默认计时器触发器。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器,以防数据引入重叠。- 将
logTypes
设置为alert, page, application, audit, infrastructure, network
- 此列表表示所有可用的日志类型。 根据日志记录要求选择日志类型,每个类型用一个逗号分隔。- 注意:如果使用 Azure 密钥保管库,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。- 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:
https://<CustomerId>.ods.opinsights.azure.us
。 4. 输入所有应用程序设置后,单击“保存”。 5. 成功部署连接器后,下载 Kusto 函数以规范化数据字段。 按照步骤使用 Kusto 函数别名 Netskope。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。