Netskope アラートログ v1 を収集する
以下でサポートされています。
Google SecOpsSIEM
概要
このパーサーは、JSON 形式のメッセージから Netskope アラートログを抽出し、Google Security Operations UDM に変換します。フィールドの正規化、タイムスタンプの解析、アラートや重大度の処理、ネットワーク情報(IP、ポート、プロトコル)の抽出、ユーザーデータとファイルデータの拡充、フィールドの UDM 構造へのマッピングを行います。また、ログインや DLP イベントなどの特定の Netskope アクティビティを処理し、コンテキストを強化するためのカスタムラベルを追加します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Netskope に対する特権アクセス権があることを確認します。
Netskope REST API アクセスを有効にする
- 管理者の認証情報を使用して Netskope テナントにログインします。
- [設定] > [ツール] > [REST API v1] に移動します。
- Google SecOps 専用の新しい API キーを作成します。
- わかりやすい名前を指定します(例: Google SecOps Key)。
- 生成された鍵とシークレットをコピーして保存します。
Netskope アラートログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Netskope Alert Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Netskope] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- Authentication HTTP Header:
<key>:<secret>形式で以前に生成された鍵ペア。Netskope API に対する認証に使用されます。 - API ホスト名: Netskope REST API エンドポイントの FQDN(完全修飾ドメイン名)(
myinstance.goskope.comなど)。 - API エンドポイント: [alerts] と入力します。
- コンテンツ タイプ: [すべて] と入力します。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードからのイベントに適用されるラベル。
- Authentication HTTP Header:
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
省略可: Netskope イベントログを取り込むようにフィード構成を追加する
- [SIEM 設定] > [フィード] に移動します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Netskope Event Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Netskope] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- Authentication HTTP Header:
<key>:<secret>形式で以前に生成された鍵ペア。Netskope API に対する認証に使用されます。 - API ホスト名: Netskope REST API エンドポイントの FQDN(完全修飾ドメイン名)(
myinstance.goskope.comなど)。 - API エンドポイント: [events] と入力します。
- コンテンツ タイプ: 解析するイベントに応じて、[ページ]、[アプリケーション]、[監査]、[インフラストラクチャ]、[ネットワーク] のいずれかを入力します。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードからのイベントに適用されるラベル。
- Authentication HTTP Header:
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
access_method |
extensions.auth.auth_details |
access_method フィールドから直接マッピングされます。 |
action |
security_result.action |
action フィールドから直接マッピングされます。action が「alert」または「bypass」の場合は QUARANTINE に設定されます。action が許可されている場合は ALLOW。action がブロックされている場合は BLOCK。 |
action |
security_result.action_details |
action フィールドが「alert」または「bypass」の場合、そこからマッピングされます。 |
activity |
security_result.description |
activity フィールドから直接マッピングされます。 |
alert |
is_alert |
alert が「yes」の場合は true、それ以外の場合は false に設定します。 |
alert_name |
- | IDM オブジェクトにはマッピングされません。 |
alert_type |
security_result.category_details |
alert_type フィールドから直接マッピングされます。 |
app |
target.application |
app フィールドから直接マッピングされます。 |
app_activity |
additional.fields{key:"app_activity", value:{string_value: |
app_activity フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
app_session_id |
target.resource.attribute.labels{key:"App Session Id", value: |
Grok を使用して message フィールドから抽出され、ラベルとして追加されます。 |
appcategory |
security_result.category_details |
category が空の場合、appcategory フィールドから直接マッピングされます。 |
browser |
network.http.user_agent |
「unknown」でない場合、browser フィールドから直接マッピングされます。 |
browser_version |
network.http.parsed_user_agent.browser_version |
browser_version フィールドから直接マッピングされます。 |
browser_version |
network.http.parsed_user_agent.family |
browser_version が存在する場合は「USER_DEFINED」に設定します。 |
category |
security_result.category_details |
category フィールドから直接マッピングされます。 |
cci |
security_result.detection_fields{key:"cci", value: |
cci フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。 |
ccl |
security_result.confidence |
ccl の値に基づいて設定します。「poor」または「low」は LOW_CONFIDENCE に、「medium」は MEDIUM_CONFIDENCE に、「high」または「excellent」は HIGH_CONFIDENCE にマッピングされます。 |
ccl |
security_result.confidence_details |
ccl フィールドから直接マッピングされます。 |
client_bytes |
network.sent_bytes |
符号なし整数に変換した後、client_bytes フィールドから直接マッピングされます。 |
count |
additional.fields{key:"count", value:{string_value: |
count フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
device |
principal.resource.resource_subtype |
device フィールドから直接マッピングされます。 |
device |
principal.resource.type |
device フィールドが存在する場合は「DEVICE」に設定します。 |
dlp_file |
target.file.full_path |
dlp_file フィールドが存在する場合は、そのフィールドから直接マッピングされます。存在しない場合は、file_path からマッピングされます。 |
dlp_profile |
security_result.rule_type |
dlp_profile フィールドから直接マッピングされます。 |
dlp_rule |
security_result.rule_name |
dlp_rule フィールドから直接マッピングされます。 |
dlp_rule_severity |
security_result.severity |
alert_type が DLP の場合、dlp_rule_severity フィールドから直接マッピングされます。 |
dlp_rule_severity |
_severity |
severity が空の場合、dlp_rule_severity フィールドからマッピングされます。 |
domain |
target.asset.hostname |
domain フィールドから直接マッピングされます。 |
domain |
target.hostname |
domain フィールドから直接マッピングされます。 |
dsthost |
target.asset.hostname |
IP でない場合、dstip が空の場合は dsthost フィールドから直接マッピングされます。それ以外の場合は target.hostname にマッピングされます。 |
dsthost |
target.hostname |
IP でない場合、dstip が空でない場合、dsthost フィールドから直接マッピングされます。 |
dstip |
target.asset.ip |
dstip フィールドから直接マッピングされます。 |
dstip |
target.ip |
dstip フィールドから直接マッピングされます。 |
dstport |
target.port |
整数に変換した後、dstport フィールドから直接マッピングされます。 |
dst_country |
target.location.country_or_region |
dst_country フィールドから直接マッピングされます。 |
dst_location |
target.location.city |
dst_location フィールドから直接マッピングされます。 |
dst_region |
target.location.name |
dst_region フィールドから直接マッピングされます。 |
file_path |
target.file.full_path |
dlp_file が空の場合、file_path フィールドから直接マッピングされます。 |
file_size |
target.file.size |
符号なし整数に変換した後、file_size フィールドから直接マッピングされます。 |
file_type |
target.file.mime_type |
「不明」でない場合、file_type フィールドから直接マッピングされます。 |
from_user |
network.email.from |
from_user フィールドがメールアドレスの場合は、そのフィールドから直接マッピングされます。 |
from_user_category |
principal.resource.attribute.labels{key:"From User Category", value: |
from_user_category フィールドから直接マッピングされ、principal.resource.attribute.labels の Key-Value ペアとして追加されます。 |
hostname |
principal.asset.hostname |
空でない場合、hostname フィールドから直接マッピングされます。空の場合は instance_id からマッピングされます。 |
hostname |
principal.hostname |
空でない場合、hostname フィールドから直接マッピングされます。空の場合は instance_id からマッピングされます。 |
id.time |
metadata.event_timestamp |
解析され、メタデータの event_timestamp にマッピングされます。 |
instance_id |
principal.asset.hostname |
hostname が空の場合、instance_id フィールドから直接マッピングされます。 |
instance_id |
principal.hostname |
hostname が空の場合、instance_id フィールドから直接マッピングされます。 |
intermediary |
intermediary |
intermediary フィールドから直接マッピングされます。 |
ip_protocol |
network.ip_protocol |
parse_ip_protocol.include ファイルによって解析された後、ip_protocol フィールドからマッピングされます。 |
is_alert |
is_alert |
パーサーによって生成されたフィールド。alert フィールドが「yes」の場合は true に設定します。 |
is_significant |
is_significant |
パーサーによって生成されたフィールド。_severity が「CRITICAL」または「HIGH」の場合は true に設定されます。 |
ja3 |
network.tls.client.ja3 |
16 進数パターンと一致する場合は、ja3 フィールドから直接マッピングされます。 |
ja3s |
network.tls.server.ja3s |
16 進数パターンと一致する場合は、ja3s フィールドから直接マッピングされます。 |
malware_id |
security_result.threat_id |
malware_id フィールドから直接マッピングされます。 |
malware_name |
security_result.threat_name |
malware_name フィールドから直接マッピングされます。 |
malware_severity |
security_result.severity |
大文字に変換した後、malware_severity フィールドから直接マッピングされます。 |
malware_type |
security_result.detection_fields{key:"Malware Type", value: |
malware_type フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。 |
matched_username |
principal.user.email_addresses |
matched_username フィールドがメールアドレスの場合は、そのフィールドから直接マッピングされます。 |
md5 |
target.file.md5 |
空でないか「Not available」でない場合、md5 フィールドから直接マッピングされます。 |
metadata.event_type |
metadata.event_type |
最初は「GENERIC_EVENT」に設定されますが、他のフィールドに基づいてオーバーライドされる可能性があります。srcip または hostname と dstip または dsthost または domain が存在する場合は NETWORK_HTTP に設定します。srcip または hostname が存在し、dstip、dsthost、domain が存在しない場合、STATUS_UPDATE に設定します。user が存在する場合は USER_UNCATEGORIZED に設定します。activity が「Introspection Scan」で、shared_with または from_user が存在する場合は、EMAIL_UNCATEGORIZED に設定します。activity が「Login Failed」、「Login Successful」、「Login Attempt」の場合は USER_LOGIN に設定します。 |
metadata.log_type |
metadata.log_type |
「NETSKOPE_ALERT」に設定します。 |
metadata.product_log_id |
metadata.product_log_id |
_id フィールドから直接マッピングされます。 |
metadata.product_name |
metadata.product_name |
[Netskope Alert] に設定します。 |
metadata.vendor_name |
metadata.vendor_name |
「Netskope」に設定します。 |
netskope_pop |
observer.hostname |
netskope_pop フィールドから直接マッピングされます。 |
object |
additional.fields{key:"Object", value:{string_value: |
object フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
object_id |
additional.fields{key:"Object id", value:{string_value: |
object_id フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
object_type |
additional.fields{key:"Object type", value:{string_value: |
object_type フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
organization_unit |
principal.administrative_domain |
organization_unit フィールドから直接マッピングされます。 |
os |
principal.platform |
os フィールドからマッピングされます。「Windows」は WINDOWS、「MAC」は MAC、「LINUX」は LINUX にマッピングされます。 |
os_version |
principal.platform_version |
os_version フィールドから直接マッピングされます。 |
other_categories |
- | IDM オブジェクトにはマッピングされません。 |
page |
network.http.referral_url |
referer が空の場合、page フィールドから直接マッピングされます。 |
policy |
security_result.summary |
policy フィールドから直接マッピングされます。 |
principal.user.email_addresses |
principal.user.email_addresses |
メールアドレスの場合は、user フィールドから統合されます。 |
protocol |
network.application_protocol |
最初の「/」の後のすべてを削除した後、protocol フィールドから直接マッピングされ、大文字に変換されます。 |
publisher_cn |
additional.fields{key:"publisher_cn", value:{string_value: |
publisher_cn フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
publisher_name |
additional.fields{key:"publisher_name", value:{string_value: |
publisher_name フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
referer |
network.http.referral_url |
referer フィールドから直接マッピングされます。 |
security_result.alert_state |
security_result.alert_state |
alert が「yes」の場合は「ALERTING」、alert が「no」の場合は「NOT_ALERTING」、それ以外の場合は「UNSPECIFIED」に設定します。 |
security_result.category_details |
security_result.category_details |
category フィールド、appcategory フィールド、または alert_type フィールドから統合されます。 |
security_result.confidence |
security_result.confidence |
ccl フィールドから取得されます。 |
security_result.confidence_details |
security_result.confidence_details |
ccl フィールドから直接マッピングされます。 |
security_result.description |
security_result.description |
activity フィールドから直接マッピングされます。 |
security_result.rule_name |
security_result.rule_name |
dlp_rule フィールドから直接マッピングされます。 |
security_result.rule_type |
security_result.rule_type |
dlp_profile フィールドから直接マッピングされます。 |
security_result.severity |
security_result.severity |
_severity フィールド、malware_severity フィールド、または dlp_rule_severity フィールドから取得されます。 |
security_result.summary |
security_result.summary |
policy フィールドから直接マッピングされます。 |
security_result.threat_id |
security_result.threat_id |
malware_id フィールドから直接マッピングされます。 |
security_result.threat_name |
security_result.threat_name |
malware_name フィールドから直接マッピングされます。 |
server_bytes |
network.received_bytes |
符号なし整数に変換した後、server_bytes フィールドから直接マッピングされます。 |
severity |
_severity |
severity フィールドから直接マッピングされます。 |
sha256 |
target.file.sha256 |
sha256 フィールドから直接マッピングされます。 |
shared_with |
network.email.to |
shared_with フィールドから解析され、メールアドレスの場合は network.email.to 配列に追加されます。 |
site |
additional.fields{key:"site", value:{string_value: |
site フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
src_country |
principal.location.country_or_region |
src_country フィールドから直接マッピングされます。 |
src_latitude |
principal.location.region_latitude |
src_latitude フィールドから直接マッピングされます。 |
src_location |
principal.location.city |
src_location フィールドから直接マッピングされます。 |
src_longitude |
principal.location.region_longitude |
src_longitude フィールドから直接マッピングされます。 |
src_region |
principal.location.name |
src_region フィールドから直接マッピングされます。 |
srcip |
principal.asset.ip |
Grok を使用して srcip フィールドから抽出され、principal.asset.ip 配列と principal.ip 配列に統合されます。 |
srcip |
principal.ip |
Grok を使用して srcip フィールドから抽出され、principal.asset.ip 配列と principal.ip 配列に統合されます。 |
srcport |
principal.port |
整数に変換した後、srcport フィールドから直接マッピングされます。 |
target.user.email_addresses |
target.user.email_addresses |
メールアドレスの場合は、to_user フィールドから統合されます。 |
threat_match_field |
security_result.detection_fields{key:"Threat Match Field", value: |
threat_match_field フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。 |
timestamp |
metadata.event_timestamp |
timestamp フィールドまたは id.time フィールドから解析されます。 |
to_user |
target.user.email_addresses |
to_user フィールドから解析され、メールアドレスの場合は target.user.email_addresses 配列に追加されます。 |
to_user_category |
target.resource.attribute.labels{key:"To User Category", value: |
to_user_category フィールドから直接マッピングされ、target.resource.attribute.labels の Key-Value ペアとして追加されます。 |
traffic_type |
security_result.detection_fields{key:"traffic_type", value: |
traffic_type フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。 |
tunnel_id |
additional.fields{key:"tunnel_id", value:{string_value: |
tunnel_id フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
tunnel_type |
additional.fields{key:"tunnel_type", value:{string_value: |
tunnel_type フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。 |
type |
security_result.detection_fields{key:"type", value: |
type フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。 |
ur_normalized |
- | IDM オブジェクトにはマッピングされません。 |
url |
target.url |
url フィールドから直接マッピングされます。 |
user |
event.idm.read_only_udm.principal.user.userid |
user フィールドから直接マッピングされます。 |
user |
principal.user.email_addresses |
user フィールドがメールアドレスの場合は、そのフィールドから直接マッピングされます。 |
useragent |
network.http.user_agent |
useragent フィールドから直接マッピングされます。 |
useragent |
network.http.parsed_user_agent |
parseduseragent に変換され、network.http.parsed_user_agent にマッピングされました。 |
user_agent |
network.http.user_agent |
user_agent フィールドから直接マッピングされます。 |
user_agent |
network.http.parsed_user_agent |
parseduseragent に変換され、network.http.parsed_user_agent にマッピングされました。 |
変更点
2024-06-04
- 「matched_username」を「principal.user.email_addresses」にマッピングしました。
- 「action」が「bypass」または「alert」の場合、「action」を「security_result.action_details」にマッピングし、「security_result.action」を「QUARANTINE」に設定しました。
- 「alert_type」が「DLP」の場合、「dlp_rule_severity」を「security_result.severity」にマッピングしました。
2024-02-19
- 「client_bytes」のマッピングを「network.received_bytes」から「network.sent_bytes」に変更しました。
- 「server_bytes」のマッピングを「network.sent_bytes」から「network.received_bytes」に変更しました。
2024-02-08
- 「useragent」と「user_agent」を「network.http.user_agent」と「network.http.parsed_user_agent」にマッピングしました。
2023-11-10
- 「srcip」が有効な IP パターンかどうかを確認する Grok パターンを追加しました。
- 「instance_id」を「principal.hostname」にマッピングしました。
- 「traffic_type」を「security_result.detection_fields」にマッピングしました。
- 「app_activity」を「additional.fields」にマッピングしました。
- 「count」を「additional.fields」にマッピングしました。
- 「site」を「additional.fields」にマッピングしました。
- 「device」を「principal.resource.resource_sub_type」にマッピングしました。
- 「type」を「security_result.detection_fields」にマッピングしました。
- 「hostname」のマッピングを変更し、「rename」ではなく「replace」を使用しました。
- 「cci」のマッピングを「additional.fields」から「security_result.detection_fields」に変更しました。
- 「ccl」のマッピングを「additional.fields」から「security_result.confidence_details」に変更しました。
- 「ccl」の値に従って「security_result.confidence」に値を入力しました。
2023-07-14
- バグの修正:
- マッピング前に Grok パターンを使用して「browser_session_id」、「app_session_id」の値を抽出しました。
- フィールド「to_user」をマッピングする前にメールを検証する条件チェックを追加しました。
2023-07-06
- 機能強化 -
- 「dsthost」が IP アドレスかどうかを識別するように Grok パターンを変更しました。
- 「dsthost」が IP アドレスの場合は「target.ip」にマッピングし、それ以外の場合は「target.hostname」にマッピングしました。
2023-06-06
- 機能強化 -
- 「domain」を「target.hostname」にマッピングしました。
- 「app_session_id」を「target.resource.attribute.labels」にマッピングしました。
- 「malware_severity」を「security_result.severity」にマッピングしました。
- 「malware_type」を「security_result.detection_fields」にマッピングしました。
- 「threat_match_field」を「security_result.detection_fields」にマッピングしました。
- 「ja3」を「network.tls.client.ja3」にマッピングしました。
- 「ja3s」を「network.tls.server.ja3s」にマッピングしました。
- 「cci」、「ccl」を「additional.fields」にマッピングしました。
- 「access_method」を「extensions.auth.auth_details」にマッピングしました。
- 「browser_version」を「network.http.parsed_user_agent.browser_version」にマッピングしました。
- 「dlp_profile」を「security_result.rule_type」にマッピングしました。
- 「dlp_rule」を「security_result.rule_name」にマッピングしました。
- 「netskope_pop」を「observer.hostname」にマッピングしました。
- 「page」を「network.http.referral_url」にマッピングしました。
- 「to_user」を「target.user.email_addresses」にマッピングしました。
- 「to_user_category」を「target.resource.attribute.labels」にマッピングしました。
2023-03-23
- 機能強化 -
- 「alert」が「yes」の場合に、「security_result.alert_state」を「ALERTING」にマッピングしました。
- 「alert」が「no」の場合に、「security_result.alert_state」を「NOT_ALERTING」にマッピングしました。
- 「alert」が null の場合に、「security_result.alert_state」を「UNSPECIFIED」にマッピングしました。
2022-07-23
- 「metadata.description」の不要なマッピングを削除しました。
2022-07-01
- フィールド「os」が「principal.platform」にマッピングされました。
- フィールド「dsthost」は、「dsthost」が IP アドレスの場合は「target.ip」に、それ以外の場合は「target.hostname」にマッピングされます。
- フィールド「dstport」が「target.port」にマッピングされました。
- フィールド「srcport」が「principal.port」にマッピングされました。
- フィールド「user」が「principal.user.email_addresses」にマッピングされます(「user」が有効なメールアドレスの場合)。
- フィールド「src_latitude」を「principal.location.region_latitude」にマッピングしました。
- フィールド「src_longitude」が「principal.location.region_longitude」にマッピングされました。
- フィールド「ip_protocol」を「network.ip_protocol」にマッピングしました。
- フィールド「client_bytes」が「network.received_bytes」にマッピングされました。
- フィールド「server_bytes」が「network.sent_bytes」にマッピングされました。
- フィールド「browser_session_id」を「network.session_id」にマッピングしました。
- フィールド「network_session_id」を「network.session_id」にマッピングしました。
- フィールド「appcategory」を「security_result.category_details」にマッピングしました。
- フィールド「publisher_cn」が「additional.fields[n]」にマッピングされました。
- フィールド「publisher_name」が「additional.fields[n]」にマッピングされました。
- フィールド「tunnel_id」が「additional.fields[n]」にマッピングされました。
- フィールド「tunnel_type」が「additional.fields[n]」にマッピングされました。
- フィールド「shared_with」のマッピングを「intermediary.user.email_addresses」から「network.email.to」に変更しました。
- フィールド「network.email.to」のマッピングを「principal.user.email_addresses」から「network.email.from」に変更しました。
- フィールド「_severity」、「shared_with」、「from_user」、「protocol」の条件付きチェックを追加しました。
- 次のケースの「metadata.event_type」を変更しました。
- 「principal.ip または principal.hostname」と「target.ip または target.hostname」が null でない場合、「GENERIC_EVENT」を「NETWORK_HTTP」に。
- 「principal.ip」または「principal.hostname」が null でない場合、「GENERIC_EVENT」を「STATUS_UPDATE」に。
- 「principal.user.userid」が null でない場合、「GENERIC_EVENT」を「USER_UNCATEGORIZED」に。
2022-06-17
- バグの修正:
- 「md5」が「not available」の場合の条件付きチェックを追加しました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。