Esta página foi traduzida pela API Cloud Translation.

Coletar registros de alertas do Netskope v1

Compatível com:

Google SecOps SIEM

Visão geral

Esse analisador extrai registros de alertas do Netskope de mensagens formatadas em JSON, transformando-os no UDM do Google Security Operations. Ele normaliza campos, analisa timestamps, processa alertas e gravidades, extrai informações de rede (IPs, portas, protocolos), enriquece dados de usuários e arquivos e mapeia campos para a estrutura da UDM. O analisador também processa atividades específicas do Netskope, como logins e eventos de DLP, e adiciona rótulos personalizados para melhorar o contexto.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao Netskope.

Ativar o acesso à API REST do Netskope

Faça login no locatário do Netskope usando suas credenciais de administrador.
Acesse Configurações > Ferramentas > API REST v1.
Crie uma chave de API especificamente para o Google SecOps.
Forneça um nome descritivo (por exemplo, Chave do Google SecOps).
Copie e salve a chave e o secret gerados.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de alertas do Netskope.
Selecione API de terceiros como o Tipo de origem.
Selecione Netskope como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API do Netskope.
- Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
- Endpoint da API:digite alerts.
- Tipo de conteúdo:insira all.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API do Netskope.
Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
Endpoint da API:digite alerts.
Tipo de conteúdo:insira all.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Opcional: adicione uma configuração de feed para ingerir registros de eventos do Netskope

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de eventos do Netskope).
Selecione API de terceiros como o Tipo de origem.
Selecione Netskope como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API do Netskope.
- Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
- Endpoint da API:digite events.
- Tipo de conteúdo:insira page, application, audit, infrastructure ou network, dependendo dos eventos que você quer analisar.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`access_method`	`extensions.auth.auth_details`	Mapeado diretamente do campo `access_method`.
`action`	`security_result.action`	Mapeado diretamente do campo `action` ou definido como `QUARANTINE` se `action` for "alert" ou "bypass". `ALLOW` se `action` for "allow". `BLOCK` se `action` for "block".
`action`	`security_result.action_details`	Mapeado do campo `action` se for "alert" ou "bypass".
`activity`	`security_result.description`	Mapeado diretamente do campo `activity`.
`alert`	`is_alert`	Defina como `true` se `alert` for "yes". Caso contrário, `false`.
`alert_name`	-	Não mapeado para o objeto IDM.
`alert_type`	`security_result.category_details`	Mapeado diretamente do campo `alert_type`.
`app`	`target.application`	Mapeado diretamente do campo `app`.
`app_activity`	`additional.fields`{key:"app_activity", value:{string_value: }}	Mapeado diretamente do campo `app_activity` como um par de chave-valor em `additional.fields`.
`app_session_id`	`target.resource.attribute.labels`{key:"App Session Id", value: }	Extraído do campo `message` usando grok e adicionado como um rótulo.
`appcategory`	`security_result.category_details`	Mapeado diretamente do campo `appcategory` se `category` estiver vazio.
`browser`	`network.http.user_agent`	Mapeado diretamente do campo `browser`, se não for "unknown".
`browser_version`	`network.http.parsed_user_agent.browser_version`	Mapeado diretamente do campo `browser_version`.
`browser_version`	`network.http.parsed_user_agent.family`	Definido como "USER_DEFINED" se `browser_version` estiver presente.
`category`	`security_result.category_details`	Mapeado diretamente do campo `category`.
`cci`	`security_result.detection_fields`{key:"cci", value: }	Mapeado diretamente do campo `cci` como um par de chave-valor em `detection_fields`.
`ccl`	`security_result.confidence`	Definido com base no valor de `ccl`: "insatisfatório" ou "baixo" correspondem a `LOW_CONFIDENCE`, "médio" a `MEDIUM_CONFIDENCE` e "alto" ou "excelente" a `HIGH_CONFIDENCE`.
`ccl`	`security_result.confidence_details`	Mapeado diretamente do campo `ccl`.
`client_bytes`	`network.sent_bytes`	Mapeado diretamente do campo `client_bytes` após a conversão para um número inteiro sem sinal.
`count`	`additional.fields`{key:"count", value:{string_value: }}	Mapeado diretamente do campo `count` como um par de chave-valor em `additional.fields`.
`device`	`principal.resource.resource_subtype`	Mapeado diretamente do campo `device`.
`device`	`principal.resource.type`	Definido como "DEVICE" se o campo `device` estiver presente.
`dlp_file`	`target.file.full_path`	Mapeado diretamente do campo `dlp_file`, se presente, ou de `file_path`.
`dlp_profile`	`security_result.rule_type`	Mapeado diretamente do campo `dlp_profile`.
`dlp_rule`	`security_result.rule_name`	Mapeado diretamente do campo `dlp_rule`.
`dlp_rule_severity`	`security_result.severity`	Mapeado diretamente do campo `dlp_rule_severity` se `alert_type` for DLP.
`dlp_rule_severity`	`_severity`	Mapeado do campo `dlp_rule_severity` se `severity` estiver vazio.
`domain`	`target.asset.hostname`	Mapeado diretamente do campo `domain`.
`domain`	`target.hostname`	Mapeado diretamente do campo `domain`.
`dsthost`	`target.asset.hostname`	Mapeado diretamente do campo `dsthost` se não for um IP e `dstip` estiver vazio. Caso contrário, será mapeado para `target.hostname`.
`dsthost`	`target.hostname`	Mapeado diretamente do campo `dsthost` se não for um IP e `dstip` não estiver vazio.
`dstip`	`target.asset.ip`	Mapeado diretamente do campo `dstip`.
`dstip`	`target.ip`	Mapeado diretamente do campo `dstip`.
`dstport`	`target.port`	Mapeado diretamente do campo `dstport` após a conversão para número inteiro.
`dst_country`	`target.location.country_or_region`	Mapeado diretamente do campo `dst_country`.
`dst_location`	`target.location.city`	Mapeado diretamente do campo `dst_location`.
`dst_region`	`target.location.name`	Mapeado diretamente do campo `dst_region`.
`file_path`	`target.file.full_path`	Mapeado diretamente do campo `file_path` se `dlp_file` estiver vazio.
`file_size`	`target.file.size`	Mapeado diretamente do campo `file_size` após a conversão para um número inteiro sem sinal.
`file_type`	`target.file.mime_type`	Mapeado diretamente do campo `file_type`, se não for "Desconhecido".
`from_user`	`network.email.from`	Mapeado diretamente do campo `from_user` se for um endereço de e-mail.
`from_user_category`	`principal.resource.attribute.labels`{key:"From User Category", value: }	Mapeado diretamente do campo `from_user_category` como um par de chave-valor em `principal.resource.attribute.labels`.
`hostname`	`principal.asset.hostname`	Mapeado diretamente do campo `hostname` se não estiver vazio. Caso contrário, de `instance_id`.
`hostname`	`principal.hostname`	Mapeado diretamente do campo `hostname` se não estiver vazio. Caso contrário, de `instance_id`.
`id.time`	`metadata.event_timestamp`	Analisado e mapeado para "event_timestamp" nos metadados.
`instance_id`	`principal.asset.hostname`	Mapeado diretamente do campo `instance_id` se `hostname` estiver vazio.
`instance_id`	`principal.hostname`	Mapeado diretamente do campo `instance_id` se `hostname` estiver vazio.
`intermediary`	`intermediary`	Mapeado diretamente do campo `intermediary`.
`ip_protocol`	`network.ip_protocol`	Mapeado do campo `ip_protocol` depois de ser analisado pelo arquivo `parse_ip_protocol.include`.
`ja3`	`network.tls.client.ja3`	Mapeado diretamente do campo `ja3` se corresponder a um padrão hexadecimal.
`ja3s`	`network.tls.server.ja3s`	Mapeado diretamente do campo `ja3s` se corresponder a um padrão hexadecimal.
`malware_id`	`security_result.threat_id`	Mapeado diretamente do campo `malware_id`.
`malware_name`	`security_result.threat_name`	Mapeado diretamente do campo `malware_name`.
`malware_severity`	`security_result.severity`	Mapeado diretamente do campo `malware_severity` após a conversão para maiúsculas.
`malware_type`	`security_result.detection_fields`{key:"Malware Type", value: }	Mapeado diretamente do campo `malware_type` como um par de chave-valor em `detection_fields`.
`matched_username`	`principal.user.email_addresses`	Mapeado diretamente do campo `matched_username` se for um endereço de e-mail.
`md5`	`target.file.md5`	Mapeado diretamente do campo `md5` se ele não estiver vazio ou com o valor "Não disponível".
`metadata.event_type`	`metadata.event_type`	Definido como "GENERIC_EVENT" inicialmente e, em seguida, substituído com base em outros campos. Defina como `NETWORK_HTTP` se `srcip` ou `hostname` e `dstip` ou `dsthost` ou `domain` estiverem presentes. Defina como `STATUS_UPDATE` se `srcip` ou `hostname` estiverem presentes, mas não `dstip`, `dsthost` ou `domain`. Defina como `USER_UNCATEGORIZED` se `user` estiver presente. Defina como `EMAIL_UNCATEGORIZED` se `activity` for "Introspection Scan" e `shared_with` ou `from_user` estiverem presentes. Definido como `USER_LOGIN` se `activity` for "Login Failed", "Login Successful" ou "Login Attempt".
`metadata.log_type`	`metadata.log_type`	Defina como "NETSKOPE_ALERT".
`metadata.product_log_id`	`metadata.product_log_id`	Mapeado diretamente do campo `_id`.
`metadata.product_name`	`metadata.product_name`	Defina como "Alerta do Netskope".
`metadata.vendor_name`	`metadata.vendor_name`	Defina como "Netskope".
`netskope_pop`	`observer.hostname`	Mapeado diretamente do campo `netskope_pop`.
`object`	`additional.fields`{key:"Object", value:{string_value: }}	Mapeado diretamente do campo `object` como um par de chave-valor em `additional.fields`.
`object_id`	`additional.fields`{key:"Object id", value:{string_value: }}	Mapeado diretamente do campo `object_id` como um par de chave-valor em `additional.fields`.
`object_type`	`additional.fields`{key:"Object type", value:{string_value: }}	Mapeado diretamente do campo `object_type` como um par de chave-valor em `additional.fields`.
`organization_unit`	`principal.administrative_domain`	Mapeado diretamente do campo `organization_unit`.
`os`	`principal.platform`	Mapeado do campo `os`: "Windows" é mapeado para `WINDOWS`, "MAC" para `MAC` e "LINUX" para `LINUX`.
`os_version`	`principal.platform_version`	Mapeado diretamente do campo `os_version`.
`other_categories`	-	Não mapeado para o objeto IDM.
`page`	`network.http.referral_url`	Mapeado diretamente do campo `page` se `referer` estiver vazio.
`policy`	`security_result.summary`	Mapeado diretamente do campo `policy`.
`principal.user.email_addresses`	`principal.user.email_addresses`	Unido do campo `user` se for um endereço de e-mail.
`protocol`	`network.application_protocol`	Mapeado diretamente do campo `protocol` depois de remover tudo após a primeira "/". Convertido para maiúsculas.
`publisher_cn`	`additional.fields`{key:"publisher_cn", value:{string_value: }}	Mapeado diretamente do campo `publisher_cn` como um par de chave-valor em `additional.fields`.
`publisher_name`	`additional.fields`{key:"publisher_name", value:{string_value: }}	Mapeado diretamente do campo `publisher_name` como um par de chave-valor em `additional.fields`.
`referer`	`network.http.referral_url`	Mapeado diretamente do campo `referer`.
`security_result.alert_state`	`security_result.alert_state`	Definido como "ALERTING" se `alert` for "yes", "NOT_ALERTING" se `alert` for "no" e "UNSPECIFIED" caso contrário.
`security_result.category_details`	`security_result.category_details`	Unidos dos campos `category`, `appcategory` ou `alert_type`.
`security_result.confidence`	`security_result.confidence`	Derivado do campo `ccl`.
`security_result.confidence_details`	`security_result.confidence_details`	Mapeado diretamente do campo `ccl`.
`security_result.description`	`security_result.description`	Mapeado diretamente do campo `activity`.
`security_result.rule_name`	`security_result.rule_name`	Mapeado diretamente do campo `dlp_rule`.
`security_result.rule_type`	`security_result.rule_type`	Mapeado diretamente do campo `dlp_profile`.
`security_result.severity`	`security_result.severity`	Derivado dos campos `_severity`, `malware_severity` ou `dlp_rule_severity`.
`security_result.summary`	`security_result.summary`	Mapeado diretamente do campo `policy`.
`security_result.threat_id`	`security_result.threat_id`	Mapeado diretamente do campo `malware_id`.
`security_result.threat_name`	`security_result.threat_name`	Mapeado diretamente do campo `malware_name`.
`server_bytes`	`network.received_bytes`	Mapeado diretamente do campo `server_bytes` após a conversão para um número inteiro sem sinal.
`severity`	`_severity`	Mapeado diretamente do campo `severity`.
`sha256`	`target.file.sha256`	Mapeado diretamente do campo `sha256`.
`shared_with`	`network.email.to`	Analisado do campo `shared_with` e adicionado à matriz `network.email.to` se for um endereço de e-mail.
`site`	`additional.fields`{key:"site", value:{string_value: }}	Mapeado diretamente do campo `site` como um par de chave-valor em `additional.fields`.
`src_country`	`principal.location.country_or_region`	Mapeado diretamente do campo `src_country`.
`src_latitude`	`principal.location.region_latitude`	Mapeado diretamente do campo `src_latitude`.
`src_location`	`principal.location.city`	Mapeado diretamente do campo `src_location`.
`src_longitude`	`principal.location.region_longitude`	Mapeado diretamente do campo `src_longitude`.
`src_region`	`principal.location.name`	Mapeado diretamente do campo `src_region`.
`srcip`	`principal.asset.ip`	Extraído do campo `srcip` usando grok e mesclado nas matrizes `principal.asset.ip` e `principal.ip`.
`srcip`	`principal.ip`	Extraído do campo `srcip` usando grok e mesclado nas matrizes `principal.asset.ip` e `principal.ip`.
`srcport`	`principal.port`	Mapeado diretamente do campo `srcport` após a conversão para número inteiro.
`target.user.email_addresses`	`target.user.email_addresses`	Unido do campo `to_user` se for um endereço de e-mail.
`threat_match_field`	`security_result.detection_fields`{key:"Threat Match Field", value: }	Mapeado diretamente do campo `threat_match_field` como um par de chave-valor em `detection_fields`.
`timestamp`	`metadata.event_timestamp`	Analisado dos campos `timestamp` ou `id.time`.
`to_user`	`target.user.email_addresses`	Analisado do campo `to_user` e adicionado à matriz `target.user.email_addresses` se for um endereço de e-mail.
`to_user_category`	`target.resource.attribute.labels`{key:"To User Category", value: }	Mapeado diretamente do campo `to_user_category` como um par de chave-valor em `target.resource.attribute.labels`.
`traffic_type`	`security_result.detection_fields`{key:"traffic_type", value: }	Mapeado diretamente do campo `traffic_type` como um par de chave-valor em `detection_fields`.
`tunnel_id`	`additional.fields`{key:"tunnel_id", value:{string_value: }}	Mapeado diretamente do campo `tunnel_id` como um par de chave-valor em `additional.fields`.
`tunnel_type`	`additional.fields`{key:"tunnel_type", value:{string_value: }}	Mapeado diretamente do campo `tunnel_type` como um par de chave-valor em `additional.fields`.
`type`	`security_result.detection_fields`{key:"type", value: }	Mapeado diretamente do campo `type` como um par de chave-valor em `detection_fields`.
`ur_normalized`	-	Não mapeado para o objeto IDM.
`url`	`target.url`	Mapeado diretamente do campo `url`.
`user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `user`.
`user`	`principal.user.email_addresses`	Mapeado diretamente do campo `user` se for um endereço de e-mail.
`useragent`	`network.http.user_agent`	Mapeado diretamente do campo `useragent`.
`useragent`	`network.http.parsed_user_agent`	Convertido para parseduseragent e mapeado para `network.http.parsed_user_agent`.
`user_agent`	`network.http.user_agent`	Mapeado diretamente do campo `user_agent`.
`user_agent`	`network.http.parsed_user_agent`	Convertido para parseduseragent e mapeado para `network.http.parsed_user_agent`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.