Соединитель данных Netskope (с использованием Azure Functions) для Microsoft Sentinel

Соединитель данных Netskope предоставляет следующие возможности:

1. NetskopeToAzureStorage: получение данных о оповещениях и событиях Netskope из Netskope и публикации в хранилище Azure.
2. StorageToSentinel: получение данных об оповещениях и событиях Netskope из хранилища Azure и их публикация в настраиваемую таблицу журнала в рабочей области Log Analytics.
3. WebTxMetrics: получение данных WebTxMetrics из Netskope и перенос в настраиваемую таблицу журналов в рабочей области Log Analytics.

Дополнительные сведения о REST API см. в следующих документациях:

1. Документация по API Netskope
2. Документация по хранилищу Azure
3. Документация по Аналитике журналов Майкрософт

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Данные оповещений Netskope скомпрометированоCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope CTEP

alertsctepdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope DLP

alertsdlpdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope Malsite

alertsmalsitedata_CL

| sort by TimeGenerated desc

Данные оповещений о вредоносных программах Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

Данные оповещений политики Netskope

alertspolicydata_CL

| sort by TimeGenerated desc

Данные об оповещениях о карантине Netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

Оповещения об исправлении Netskope

alertsremediationdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope SecurityAssessment

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Данные оповещений Netskope Uba

alertsubadata_CL

| sort by TimeGenerated desc

Данные событий приложений Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Данные о событиях аудита Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Данные событий подключения Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Данные о событиях инцидентов Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Данные сетевых событий Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Данные событий страницы Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Данные метрик Netskope WebTransactions

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Чтобы интегрироваться с Соединителем данных Netskope (с помощью Функции Azure), убедитесь, что у вас есть:

• Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов.
• Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Azure Functions для создания Function App. Дополнительные сведения о Функции Azure см. в документации.
• Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope. Дополнительные сведения об API см. в документации по REST API

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1 - Регистрация приложения в Microsoft Entra ID

Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать новое приложение в идентификаторе Microsoft Entra ID:

1. Войдите на портал Azure.
2. Найдите и выберите Microsoft Entra ID.
3. В разделе "Управление" выберите Регистрация приложений > Создать регистрацию.
4. Введите отображаемое имя приложения.
5. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.
6. После завершения регистрации на портале Azure отображается область Общие сведения для регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор арендатора требуются в качестве параметров конфигурации для выполнения плейбука TriggersSync.

Справочная ссылка:/azure/active-directory/develop/quickstart-register-app

ШАГ 2. Добавление секрета клиента для приложения в идентификатор Microsoft Entra

Иногда называемый паролем приложения, ключ безопасности клиента — это строковое значение, необходимое для выполнения плейбука TriggersSync. Выполните действия, описанные в этом разделе, чтобы создать новый секрет клиента:

1. Выберите приложение в разделе Регистрация приложений на портале Azure.
2. Выберите Сертификаты и секреты > Секреты клиента > Новый секрет клиента.
3. Добавьте описание секрета клиента.
4. Выберите срок действия секрета или укажите настраиваемое время существования. Ограничение составляет 24 месяца.
5. Выберите Добавить.
6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Значение секрета требуется в качестве параметра конфигурации для выполнения плейбука TriggersSync.

Справочная ссылка:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ШАГ 3. Назначьте приложению роль Сотрудника в Microsoft Entra ID

Выполните действия, описанные в этом разделе, чтобы назначить роль:

1. В портал Azure перейдите в группу ресурсов и выберите свою группу ресурсов.
2. Перейдите к элементу управления доступом (IAM) на левой панели.
3. Нажмите кнопку "Добавить", а затем выберите "Добавить назначение роли".
4. Выберите участника в качестве роли и нажмите кнопку "Далее".
5. В поле "Назначить доступ" выберите User, group, or service principal.
6. Щелкните добавить участников и введите имя созданного приложения и выберите его.
7. Теперь нажмите "Рецензирование + назначение", а затем снова нажмите "Рецензирование + назначение".

Ссылка на источник:/azure/role-based-access-control/role-assignments-portal

ШАГ 4. Действия по созданию и получении учетных данных для учетной записи Netskope

Выполните действия, описанные в этом разделе, чтобы создать и получить имя узла Netskope и токен API Netskope:

1. Войдите в клиент Netskope и перейдите в меню "Параметры" на левой панели управления.
2. Щелкните "Сервис", а затем REST API версии 2
3. Теперь нажмите кнопку нового токена. Затем будет запрашиваться имя маркера, срок действия и конечные точки, из которых требуется получить данные.
4. После этого нажмите кнопку сохранения, будет создан маркер. Скопируйте маркер и сохраните его в безопасном месте для дальнейшего использования.

ШАГ 5. Действия по созданию функций Azure для сбора оповещений и событий Netskope

ВАЖНО: Перед развертыванием соединителя данных Netskope убедитесь, что идентификатор рабочей области и первичный ключ рабочей области (их можно скопировать из следующего списка) уже доступны, а также имейте ключ(и) авторизации API Netskope.

С помощью шаблона ARM разверните функции приложений для получения данных о событиях и оповещениях Netskope в Sentinel.

1. Нажмите ниже кнопку Развернуть в Azure.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите следующую информацию: HostName Netskope, токен API Netskope. Выберите «Да» в раскрывающемся списке типов предупреждений и событий для конечной точки, из которой вы хотите получить предупреждения и события. Уровень журнала, Идентификатор рабочей области, Ключ рабочей области.

4. Нажмите кнопку "Рецензирование и создание".

5. Затем после проверки нажмите «Создать», чтобы выполнить.

Дополнительные сведения см. в связанном решении в Azure Marketplace.