Netskope アラートログ v1 を収集する

以下でサポートされています。

概要

このパーサーは、JSON 形式のメッセージから Netskope アラートログを抽出し、Google Security Operations UDM に変換します。フィールドを正規化し、タイムスタンプを解析し、アラートと重大度を処理し、ネットワーク情報(IP、ポート、プロトコル)を抽出し、ユーザーとファイルデータを拡充し、フィールドを UDM 構造にマッピングします。パーサーは、ログインや DLP イベントなどの特定の Netskope アクティビティも処理し、コンテキストを強化するためのカスタムラベルを追加します。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス。
  • Netskope に対する特権アクセス権。

Netskope REST API アクセスを有効にする

  1. 管理者認証情報を使用して Netskope テナントにログインします。
  2. [設定] > [ツール] > [REST API v1] に移動します。
  3. Google SecOps 専用の新しい API キーを作成します。
  4. わかりやすい名前を指定します(例: Google SecOps Key)。
  5. 生成されたキーシークレットをコピーして保存します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Netskope Alert Logs)。
  5. [ソースタイプ] として [サードパーティ API] を選択します。
  6. [ログタイプ] として [Netskope] を選択します。
  7. [次へ] をクリックします。
  8. 次の入力パラメータの値を指定します。
    • Authentication HTTP Header: 以前に <key>:<secret> 形式で生成されたキーペア。Netskope API に対する認証に使用されます。
    • API ホスト名: Netskope REST API エンドポイントの FQDN(完全修飾ドメイン名)(myinstance.goskope.com など)。
    • API エンドポイント:alerts」と入力します。
    • コンテンツ タイプ:all」と入力します。
  9. [次へ] をクリックします。
  10. [Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • Authentication HTTP Header: 以前に <key>:<secret> 形式で生成されたキーペア。Netskope API に対する認証に使用されます。
  • API ホスト名: Netskope REST API エンドポイントの FQDN(完全修飾ドメイン名)(myinstance.goskope.com など)。
  • API エンドポイント:alerts」と入力します。
  • コンテンツ タイプ:all」と入力します。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

省略可: Netskope イベントログを取り込むようにフィード構成を追加する

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Netskope イベントログ)。
  4. [ソースタイプ] として [サードパーティ API] を選択します。
  5. [ログタイプ] として [Netskope] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • Authentication HTTP Header: 以前に <key>:<secret> 形式で生成されたキーペア。Netskope API に対する認証に使用されます。
    • API ホスト名: Netskope REST API エンドポイントの FQDN(完全修飾ドメイン名)(myinstance.goskope.com など)。
    • API エンドポイント:events」と入力します。
    • コンテンツ タイプ: 解析するイベントに応じて、pageapplicationauditinfrastructurenetwork のいずれかを入力します。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
access_method extensions.auth.auth_details access_method フィールドから直接マッピングされます。
action security_result.action action フィールドから直接マッピングされるか、action が「alert」または「bypass」の場合は QUARANTINE に設定されます。action が許可されている場合は ALLOWaction がブロックされている場合は BLOCK
action security_result.action_details action フィールドが「alert」または「bypass」の場合にマッピングされます。
activity security_result.description activity フィールドから直接マッピングされます。
alert is_alert alert が「yes」の場合は true、それ以外の場合は false に設定します。
alert_name - IDM オブジェクトにはマッピングされません。
alert_type security_result.category_details alert_type フィールドから直接マッピングされます。
app target.application app フィールドから直接マッピングされます。
app_activity additional.fields{key:"app_activity", value:{string_value: }} app_activity フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
app_session_id target.resource.attribute.labels{key:"App Session Id", value: } grok を使用して message フィールドから抽出され、ラベルとして追加されます。
appcategory security_result.category_details category が空の場合、appcategory フィールドから直接マッピングされます。
browser network.http.user_agent 「unknown」でない場合、browser フィールドから直接マッピングされます。
browser_version network.http.parsed_user_agent.browser_version browser_version フィールドから直接マッピングされます。
browser_version network.http.parsed_user_agent.family browser_version が存在する場合は、「USER_DEFINED」に設定されます。
category security_result.category_details category フィールドから直接マッピングされます。
cci security_result.detection_fields{key:"cci", value: } cci フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。
ccl security_result.confidence ccl の値に基づいて設定されます。「poor」または「low」は LOW_CONFIDENCE に、「medium」は MEDIUM_CONFIDENCE に、「high」または「excellent」は HIGH_CONFIDENCE にマッピングされます。
ccl security_result.confidence_details ccl フィールドから直接マッピングされます。
client_bytes network.sent_bytes 符号なし整数に変換した後、client_bytes フィールドから直接マッピングされます。
count additional.fields{key:"count", value:{string_value: }} count フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
device principal.resource.resource_subtype device フィールドから直接マッピングされます。
device principal.resource.type device フィールドが存在する場合は、「DEVICE」に設定されます。
dlp_file target.file.full_path dlp_file フィールドが存在する場合は、そのフィールドから直接マッピングされます。存在しない場合は、file_path からマッピングされます。
dlp_profile security_result.rule_type dlp_profile フィールドから直接マッピングされます。
dlp_rule security_result.rule_name dlp_rule フィールドから直接マッピングされます。
dlp_rule_severity security_result.severity alert_type が DLP の場合、dlp_rule_severity フィールドから直接マッピングされます。
dlp_rule_severity _severity severity が空の場合、dlp_rule_severity フィールドからマッピングされます。
domain target.asset.hostname domain フィールドから直接マッピングされます。
domain target.hostname domain フィールドから直接マッピングされます。
dsthost target.asset.hostname IP アドレスではなく、dstip が空の場合、dsthost フィールドから直接マッピングされます。それ以外の場合は、target.hostname にマッピングされます。
dsthost target.hostname IP アドレスではなく、dstip が空でない場合、dsthost フィールドから直接マッピングされます。
dstip target.asset.ip dstip フィールドから直接マッピングされます。
dstip target.ip dstip フィールドから直接マッピングされます。
dstport target.port 整数に変換した後、dstport フィールドから直接マッピングされます。
dst_country target.location.country_or_region dst_country フィールドから直接マッピングされます。
dst_location target.location.city dst_location フィールドから直接マッピングされます。
dst_region target.location.name dst_region フィールドから直接マッピングされます。
file_path target.file.full_path dlp_file が空の場合、file_path フィールドから直接マッピングされます。
file_size target.file.size 符号なし整数に変換した後、file_size フィールドから直接マッピングされます。
file_type target.file.mime_type 「Unknown」でない場合、file_type フィールドから直接マッピングされます。
from_user network.email.from メールアドレスの場合は、from_user フィールドから直接マッピングされます。
from_user_category principal.resource.attribute.labels{key:"From User Category", value: } from_user_category フィールドから直接マッピングされ、principal.resource.attribute.labels の Key-Value ペアとして追加されます。
hostname principal.asset.hostname 空でない場合は hostname フィールドから直接マッピングされ、空の場合は instance_id からマッピングされます。
hostname principal.hostname 空でない場合は hostname フィールドから直接マッピングされ、空の場合は instance_id からマッピングされます。
id.time metadata.event_timestamp 解析され、メタデータの event_timestamp にマッピングされます。
instance_id principal.asset.hostname hostname が空の場合、instance_id フィールドから直接マッピングされます。
instance_id principal.hostname hostname が空の場合、instance_id フィールドから直接マッピングされます。
intermediary intermediary intermediary フィールドから直接マッピングされます。
ip_protocol network.ip_protocol parse_ip_protocol.include ファイルで解析された後、ip_protocol フィールドからマッピングされます。
ja3 network.tls.client.ja3 16 進数パターンと一致する場合は、ja3 フィールドから直接マッピングされます。
ja3s network.tls.server.ja3s 16 進数パターンと一致する場合は、ja3s フィールドから直接マッピングされます。
malware_id security_result.threat_id malware_id フィールドから直接マッピングされます。
malware_name security_result.threat_name malware_name フィールドから直接マッピングされます。
malware_severity security_result.severity 大文字に変換した後、malware_severity フィールドから直接マッピングされます。
malware_type security_result.detection_fields{key:"Malware Type", value: } malware_type フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。
matched_username principal.user.email_addresses メールアドレスの場合は、matched_username フィールドから直接マッピングされます。
md5 target.file.md5 空でないか「Not available」でない場合、md5 フィールドから直接マッピングされます。
metadata.event_type metadata.event_type 最初は「GENERIC_EVENT」に設定されますが、他のフィールドに基づいてオーバーライドされる可能性があります。srcip または hostnamedstip または dsthost または domain が存在する場合は、NETWORK_HTTP に設定します。srcip または hostname が存在し、dstipdsthostdomain が存在しない場合は、STATUS_UPDATE に設定します。user が存在する場合は USER_UNCATEGORIZED に設定します。activity が「Introspection Scan」で、shared_with または from_user が存在する場合は、EMAIL_UNCATEGORIZED に設定します。activity が「Login Failed」、「Login Successful」、「Login Attempt」の場合は、USER_LOGIN に設定します。
metadata.log_type metadata.log_type 「NETSKOPE_ALERT」に設定します。
metadata.product_log_id metadata.product_log_id _id フィールドから直接マッピングされます。
metadata.product_name metadata.product_name 「Netskope Alert」に設定します。
metadata.vendor_name metadata.vendor_name 「Netskope」に設定します。
netskope_pop observer.hostname netskope_pop フィールドから直接マッピングされます。
object additional.fields{key:"Object", value:{string_value: }} object フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
object_id additional.fields{key:"Object id", value:{string_value: }} object_id フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
object_type additional.fields{key:"Object type", value:{string_value: }} object_type フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
organization_unit principal.administrative_domain organization_unit フィールドから直接マッピングされます。
os principal.platform os フィールドからマッピング: 「Windows」は WINDOWS に、「MAC」は MAC に、「LINUX」は LINUX にマッピングされます。
os_version principal.platform_version os_version フィールドから直接マッピングされます。
other_categories - IDM オブジェクトにはマッピングされません。
page network.http.referral_url referer が空の場合、page フィールドから直接マッピングされます。
policy security_result.summary policy フィールドから直接マッピングされます。
principal.user.email_addresses principal.user.email_addresses メールアドレスの場合、user フィールドから統合されます。
protocol network.application_protocol 最初の「/」以降のすべてを削除した後、protocol フィールドから直接マッピングされます。大文字に変換されます。
publisher_cn additional.fields{key:"publisher_cn", value:{string_value: }} publisher_cn フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
publisher_name additional.fields{key:"publisher_name", value:{string_value: }} publisher_name フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
referer network.http.referral_url referer フィールドから直接マッピングされます。
security_result.alert_state security_result.alert_state alert が「yes」の場合は「ALERTING」、alert が「no」の場合は「NOT_ALERTING」、それ以外の場合は「UNSPECIFIED」に設定します。
security_result.category_details security_result.category_details category フィールド、appcategory フィールド、alert_type フィールドから統合されます。
security_result.confidence security_result.confidence ccl フィールドから取得されます。
security_result.confidence_details security_result.confidence_details ccl フィールドから直接マッピングされます。
security_result.description security_result.description activity フィールドから直接マッピングされます。
security_result.rule_name security_result.rule_name dlp_rule フィールドから直接マッピングされます。
security_result.rule_type security_result.rule_type dlp_profile フィールドから直接マッピングされます。
security_result.severity security_result.severity _severitymalware_severitydlp_rule_severity のいずれかのフィールドから派生します。
security_result.summary security_result.summary policy フィールドから直接マッピングされます。
security_result.threat_id security_result.threat_id malware_id フィールドから直接マッピングされます。
security_result.threat_name security_result.threat_name malware_name フィールドから直接マッピングされます。
server_bytes network.received_bytes 符号なし整数に変換した後、server_bytes フィールドから直接マッピングされます。
severity _severity severity フィールドから直接マッピングされます。
sha256 target.file.sha256 sha256 フィールドから直接マッピングされます。
shared_with network.email.to shared_with フィールドから解析され、メールアドレスの場合は network.email.to 配列に追加されます。
site additional.fields{key:"site", value:{string_value: }} site フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
src_country principal.location.country_or_region src_country フィールドから直接マッピングされます。
src_latitude principal.location.region_latitude src_latitude フィールドから直接マッピングされます。
src_location principal.location.city src_location フィールドから直接マッピングされます。
src_longitude principal.location.region_longitude src_longitude フィールドから直接マッピングされます。
src_region principal.location.name src_region フィールドから直接マッピングされます。
srcip principal.asset.ip grok を使用して srcip フィールドから抽出され、principal.asset.ip 配列と principal.ip 配列に統合されます。
srcip principal.ip grok を使用して srcip フィールドから抽出され、principal.asset.ip 配列と principal.ip 配列に統合されます。
srcport principal.port 整数に変換した後、srcport フィールドから直接マッピングされます。
target.user.email_addresses target.user.email_addresses メールアドレスの場合、to_user フィールドから統合されます。
threat_match_field security_result.detection_fields{key:"Threat Match Field", value: } threat_match_field フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。
timestamp metadata.event_timestamp timestamp フィールドまたは id.time フィールドから解析されます。
to_user target.user.email_addresses to_user フィールドから解析され、メールアドレスの場合は target.user.email_addresses 配列に追加されます。
to_user_category target.resource.attribute.labels{key:"To User Category", value: } to_user_category フィールドから直接マッピングされ、target.resource.attribute.labels の Key-Value ペアとして追加されます。
traffic_type security_result.detection_fields{key:"traffic_type", value: } traffic_type フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。
tunnel_id additional.fields{key:"tunnel_id", value:{string_value: }} tunnel_id フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
tunnel_type additional.fields{key:"tunnel_type", value:{string_value: }} tunnel_type フィールドから直接マッピングされ、additional.fields の Key-Value ペアとして追加されます。
type security_result.detection_fields{key:"type", value: } type フィールドから直接マッピングされ、detection_fields の Key-Value ペアとして追加されます。
ur_normalized - IDM オブジェクトにはマッピングされません。
url target.url url フィールドから直接マッピングされます。
user event.idm.read_only_udm.principal.user.userid user フィールドから直接マッピングされます。
user principal.user.email_addresses メールアドレスの場合は、user フィールドから直接マッピングされます。
useragent network.http.user_agent useragent フィールドから直接マッピングされます。
useragent network.http.parsed_user_agent parseduseragent に変換され、network.http.parsed_user_agent にマッピングされます。
user_agent network.http.user_agent user_agent フィールドから直接マッピングされます。
user_agent network.http.parsed_user_agent parseduseragent に変換され、network.http.parsed_user_agent にマッピングされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。