Esta página se ha traducido con Cloud Translation API.

Recoger registros de alertas de Netskope (versión 2)

Disponible en:

SecOps de Google SIEM

Información general

Este analizador extrae los registros de alertas de Netskope de mensajes con formato JSON y los transforma en UDM de Google Security Operations. Normaliza campos, analiza marcas de tiempo, gestiona alertas y gravedades, extrae información de red (IPs, puertos, protocolos), enriquece datos de usuarios y archivos, y asigna campos a la estructura de UDM. El analizador también gestiona actividades específicas de Netskope, como inicios de sesión y eventos de DLP, y añade etiquetas personalizadas para mejorar el contexto.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps.
Acceso privilegiado a Netskope.

Habilitar el acceso a la API REST de Netskope

Inicia sesión en el arrendatario de Netskope con tus credenciales de administrador.
Ve a Ajustes > Herramientas > API REST v2.
Habilita Estado de la API REST.
Crea un token:
1. Haz clic en New Token (Nuevo token).
2. Introduce el nombre del token (por ejemplo, Token de Google SecOps).
3. Introduce la hora de vencimiento del token.
4. Haz clic en Añadir endpoint para seleccionar los endpoints de la API que quieras usar con el token.
5. Especifica los privilegios del endpoint:
  - Los privilegios de lectura incluyen GET.
  - Los privilegios de lectura y escritura incluyen GET, PUT, POST, PATCH y DELETE.
  Nota: Los privilegios de los endpoints varían. Algunos endpoints, como los de alertas y auditorías, solo tienen el privilegio de lectura. Otros endpoints, como el endpoint de lista o archivo de URLs, tienen privilegios de lectura y escritura.
6. Haz clic en Guardar.
7. Se abrirá un cuadro de confirmación que indica si se ha creado el token correctamente.
8. Haz clic en Copiar token y guárdalo para usarlo más adelante en el encabezado de autenticación de la API.
Nota: La única opción para copiar el token es inmediatamente después de crearlo. El token es obligatorio en tus solicitudes a la API.

Configurar feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduzca un nombre para el feed; por ejemplo, Registros de alertas de Netskope v2.
Seleccione API de terceros como Tipo de fuente.
Selecciona Netskope V2 como Tipo de registro.
Haz clic en Siguiente.
Especifique valores para los siguientes parámetros de entrada:
- Encabezado HTTP de autenticación: token generado previamente en formato Netskope-Api-Token:<value> (por ejemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
- Nombre de host de la API: el nombre de dominio completo (FQDN) de tu endpoint de la API REST de Netskope (por ejemplo, myinstance.goskope.com).
- Endpoint de la API: introduce alerts.
- Tipo de contenido: los valores permitidos para alerts son uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp y watchlist.
Haz clic en Siguiente.
Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Opcional: Añade una configuración de feed para ingerir registros de eventos de Netskope v2

Ve a Configuración de SIEM > Feeds.
Haga clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de eventos de Netskope v2).
Seleccione API de terceros como Tipo de fuente.
Selecciona Netskope V2 como Tipo de registro.
Haz clic en Siguiente.
Especifique valores para los siguientes parámetros de entrada:
- Encabezado HTTP de autenticación: par de claves generado anteriormente en formato <key>:<secret>, que se usa para autenticar la API de Netskope.
- Nombre de host de la API: el nombre de dominio completo (FQDN) de tu endpoint de la API REST de Netskope (por ejemplo, myinstance.goskope.com).
- Endpoint de la API: introduce events.
- Tipo de contenido: los valores permitidos para events son application, audit, connection, incident, infrastructure, network y page.
- Espacio de nombres de recursos: el espacio de nombres de recursos.
- Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
Haz clic en Siguiente.
Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`_id`	`metadata.product_log_id`	Asignado directamente desde `_id`.
`access_method`	`extensions.auth.auth_details`	Asignado directamente desde `access_method`.
`action`	`security_result.action`	Se ha asignado a `QUARANTINE` porque el valor es "alert". También se ha asignado a `security_result.action_details` como "alerta".
`app`	`target.application`	Asignado directamente desde `app`.
`appcategory`	`security_result.category_details`	Asignado directamente desde `appcategory`.
`browser`	`network.http.user_agent`	Asignado directamente desde `browser`.
`browser_session_id`	`network.session_id`	Asignado directamente desde `browser_session_id`.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Asignado directamente desde `browser_version`.
`ccl`	`security_result.confidence_details`	Asignado directamente desde `ccl`.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` tiene el valor "DEVICE". `principal.resource.resource_subtype` se asigna directamente desde `device`.
`dst_country`	`target.location.country_or_region`	Asignado directamente desde `dst_country`.
`dst_latitude`	`target.location.region_coordinates.latitude`	Asignado directamente desde `dst_latitude`.
`dst_longitude`	`target.location.region_coordinates.longitude`	Asignado directamente desde `dst_longitude`.
`dst_region`	`target.location.name`	Asignado directamente desde `dst_region`.
`dstip`	`target.ip`, `target.asset.ip`	Asignado directamente desde `dstip`.
`metadata.event_type`	`metadata.event_type`	Se ha definido como `NETWORK_CONNECTION` porque están presentes tanto la dirección IP principal como la de destino y el protocolo no es HTTP.
`metadata.product_event_type`	`metadata.product_event_type`	Asignado directamente desde `type`.
`metadata.product_name`	`metadata.product_name`	El analizador le asigna el valor "NETSKOPE_ALERT_V2".
`metadata.vendor_name`	`metadata.vendor_name`	El analizador le asigna el valor "NETSKOPE_ALERT_V2".
`object_type`	`additional.fields`	Se añade como un par clave-valor a `additional.fields`, donde la clave es "object_type" y el valor es el contenido de `object_type`.
`organization_unit`	`principal.administrative_domain`	Asignado directamente desde `organization_unit`.
`os`	`principal.platform`	Se ha asignado a `WINDOWS` porque el valor coincide con la expresión regular "(?i)Windows.*".
`policy`	`security_result.summary`	Asignado directamente desde `policy`.
`site`	`additional.fields`	Se añade como par clave-valor a `additional.fields`, donde la clave es "site" y el valor es el contenido de `site`.
`src_country`	`principal.location.country_or_region`	Asignado directamente desde `src_country`.
`src_latitude`	`principal.location.region_coordinates.latitude`	Asignado directamente desde `src_latitude`.
`src_longitude`	`principal.location.region_coordinates.longitude`	Asignado directamente desde `src_longitude`.
`src_region`	`principal.location.name`	Asignado directamente desde `src_region`.
`srcip`	`principal.ip`, `principal.asset.ip`	Asignado directamente desde `srcip`.
`timestamp`	`metadata.event_timestamp.seconds`	Asignado directamente desde `timestamp`.
`type`	`metadata.product_event_type`	Asignado directamente desde `type`.
`ur_normalized`	`principal.user.email_addresses`	Asignado directamente desde `ur_normalized`.
`url`	`target.url`	Asignado directamente desde `url`.
`user`	`principal.user.email_addresses`	Asignado directamente desde `user`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.