Diese Seite wurde von der Cloud Translation API übersetzt.

Netskope-Benachrichtigungslogs V2 erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser extrahiert Netskope-Warnungslogs aus JSON-formatierten Nachrichten und wandelt sie in das UDM von Google Security Operations um. Sie normalisiert Felder, parst Zeitstempel, verarbeitet Benachrichtigungen und Schweregrade, extrahiert Netzwerkinformationen (IPs, Ports, Protokolle), reichert Nutzer- und Dateidaten an und ordnet Felder der UDM-Struktur zu. Der Parser verarbeitet auch bestimmte Netskope-Aktivitäten wie Logins und DLP-Ereignisse und fügt benutzerdefinierte Labels für zusätzlichen Kontext hinzu.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Google SecOps-Instanz.
Privilegierter Zugriff auf Netskope.

Netskope REST API-Zugriff aktivieren

Melden Sie sich mit Ihren Administratoranmeldedaten im Netskope-Mandanten an.
Gehen Sie zu Einstellungen > Tools > REST API v2.
Aktivieren Sie REST API Status.
Neues Token erstellen:
1. Klicken Sie auf Neues Token.
2. Geben Sie den Namen des Tokens ein, z. B. Google SecOps-Token.
3. Geben Sie die Ablaufzeit des Tokens ein.
4. Klicken Sie auf Endpunkt hinzufügen, um die API-Endpunkte auszuwählen, die mit dem Token verwendet werden sollen.
5. Geben Sie die Berechtigungen für den Endpunkt an:
  - Leseberechtigungen umfassen GET.
  - Die Berechtigungen „Lesen“ und „Schreiben“ umfassen GET, PUT, POST, PATCH und DELETE.
  Hinweis :Die Berechtigungen für Endpunkte variieren. Einige Endpunkte, z. B. „alert“ und „audit“, haben nur die Berechtigung „Read“. Andere Endpunkte, z. B. der URL-Listen-/Datei-Endpunkt, haben sowohl Lese- als auch Schreibberechtigungen.
6. Klicken Sie auf Speichern.
7. Es wird ein Bestätigungsfeld geöffnet, in dem angezeigt wird, ob das Token erfolgreich erstellt wurde.
8. Klicken Sie auf Token kopieren und speichern Sie es zur späteren Verwendung im API-Authentifizierungsheader.
Hinweis :Sie können das Token nur direkt nach dem Erstellen kopieren. Das Token ist für Ihre API-Anfragen erforderlich.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Netskope Alert Logs v2.
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie Netskope V2 als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Header für die Authentifizierung:Token, das zuvor im Netskope-Api-Token:<value>-Format generiert wurde (z. B. Netskope-Api-Token:AAAABBBBCCCC111122223333).
- API-Hostname:Der FQDN (Fully Qualified Domain Name) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
- API-Endpunkt:Geben Sie alerts ein.
- Inhaltstyp:Zulässige Werte für alerts sind uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

HTTP-Header für die Authentifizierung:Token, das zuvor im Netskope-Api-Token:<value>-Format generiert wurde (z. B. Netskope-Api-Token:AAAABBBBCCCC111122223333).
API-Hostname:Der FQDN (Fully Qualified Domain Name) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
API-Endpunkt:Geben Sie alerts ein.
Inhaltstyp:Zulässige Werte für alerts sind uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.

Erweiterte Optionen

Feedname:Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp:Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace:Der mit dem Feed verknüpfte Namespace.
Aufnahmelabels:Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Optional: Feedkonfiguration zum Erfassen von Netskope-Ereignislogs V2 hinzufügen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope Event Logs v2.
Wählen Sie Drittanbieter-API als Quelltyp aus.
Wählen Sie Netskope V2 als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Authentifizierungs-HTTP-Header:Schlüsselpaar, das zuvor im <key>:<secret>-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird.
- API-Hostname:Der FQDN (Fully Qualified Domain Name) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
- API-Endpunkt:Geben Sie events ein.
- Inhaltstyp:Zulässige Werte für events sind application, audit, connection, incident, infrastructure, network, page.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`_id`	`metadata.product_log_id`	Direkt aus `_id` übernommen.
`access_method`	`extensions.auth.auth_details`	Direkt aus `access_method` übernommen.
`action`	`security_result.action`	Wird `QUARANTINE` zugeordnet, weil der Wert „alert“ ist. Wird auch als „alert“ `security_result.action_details` zugeordnet.
`app`	`target.application`	Direkt aus `app` übernommen.
`appcategory`	`security_result.category_details`	Direkt aus `appcategory` übernommen.
`browser`	`network.http.user_agent`	Direkt aus `browser` übernommen.
`browser_session_id`	`network.session_id`	Direkt aus `browser_session_id` übernommen.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Direkt aus `browser_version` übernommen.
`ccl`	`security_result.confidence_details`	Direkt aus `ccl` übernommen.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` ist auf „DEVICE“ festgelegt. `principal.resource.resource_subtype` wird direkt aus `device` übernommen.
`dst_country`	`target.location.country_or_region`	Direkt aus `dst_country` übernommen.
`dst_latitude`	`target.location.region_coordinates.latitude`	Direkt aus `dst_latitude` übernommen.
`dst_longitude`	`target.location.region_coordinates.longitude`	Direkt aus `dst_longitude` übernommen.
`dst_region`	`target.location.name`	Direkt aus `dst_region` übernommen.
`dstip`	`target.ip`, `target.asset.ip`	Direkt aus `dstip` übernommen.
`metadata.event_type`	`metadata.event_type`	Auf `NETWORK_CONNECTION` festgelegt, da sowohl die Hauptkonto- als auch die Ziel-IP-Adresse vorhanden sind und das Protokoll nicht HTTP ist.
`metadata.product_event_type`	`metadata.product_event_type`	Direkt aus `type` übernommen.
`metadata.product_name`	`metadata.product_name`	Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
`metadata.vendor_name`	`metadata.vendor_name`	Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
`object_type`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` hinzugefügt, wobei der Schlüssel „object_type“ und der Wert der Inhalt von `object_type` ist.
`organization_unit`	`principal.administrative_domain`	Direkt aus `organization_unit` übernommen.
`os`	`principal.platform`	Wird `WINDOWS` zugeordnet, da der Wert mit dem regulären Ausdruck „(?i)Windows.*“ übereinstimmt.
`policy`	`security_result.summary`	Direkt aus `policy` übernommen.
`site`	`additional.fields`	Wird als Schlüssel/Wert-Paar zu `additional.fields` hinzugefügt, wobei der Schlüssel „site“ und der Wert der Inhalt von `site` ist.
`src_country`	`principal.location.country_or_region`	Direkt aus `src_country` übernommen.
`src_latitude`	`principal.location.region_coordinates.latitude`	Direkt aus `src_latitude` übernommen.
`src_longitude`	`principal.location.region_coordinates.longitude`	Direkt aus `src_longitude` übernommen.
`src_region`	`principal.location.name`	Direkt aus `src_region` übernommen.
`srcip`	`principal.ip`, `principal.asset.ip`	Direkt aus `srcip` übernommen.
`timestamp`	`metadata.event_timestamp.seconds`	Direkt aus `timestamp` übernommen.
`type`	`metadata.product_event_type`	Direkt aus `type` übernommen.
`ur_normalized`	`principal.user.email_addresses`	Direkt aus `ur_normalized` übernommen.
`url`	`target.url`	Direkt aus `url` übernommen.
`user`	`principal.user.email_addresses`	Direkt aus `user` übernommen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten