Recopila registros de alertas de Netskope, versión 2

Compatible con:

Descripción general

Este analizador extrae los registros de alertas de Netskope de los mensajes con formato JSON y los transforma en el UDM de Google Security Operations. Normaliza los campos, analiza las marcas de tiempo, controla las alertas y las gravedades, extrae información de la red (IP, puertos, protocolos), enriquece los datos de los usuarios y los archivos, y asigna los campos a la estructura del UDM. El analizador también controla actividades específicas de Netskope, como los eventos de DLP y los inicios de sesión, y agrega etiquetas personalizadas para mejorar el contexto.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso con privilegios a Netskope

Crea una cuenta de servicio y genera un token de API de REST en Netskope

Para realizar la integración con Google SecOps, debes crear una cuenta de servicio dedicada en Netskope y generar un token de API.

  1. Accede al arrendatario de Netskope con tus credenciales de administrador.
  2. Navega a Configuración > Administración y roles.
  3. Haz clic en la pestaña Administradores y, luego, selecciona el botón Cuentas de servicio.
  4. En el diálogo "New Service Account", ingresa un Nombre de la cuenta de servicio descriptivo (p.ej., "Google SecOps Ingestion").
  5. En Rol, selecciona el rol adecuado que tenga permisos para acceder a los extremos de la API necesarios (p.ej., un rol personalizado con acceso de lectura a las alertas).
  6. En REST API Authentication Methods, selecciona API Key.
  7. Marca la casilla de Generar token ahora con vencimiento y establece el período de vencimiento seleccionado (p.ej., 365 días).

  8. Haz clic en el botón Create (Crear).

    Advertencia: Aparecerá un diálogo que mostrará el nuevo token de la API de REST. Debes copiar y almacenar de forma segura este token de inmediato. No se mostrará nuevamente.

  9. Mantén este token seguro, ya que lo necesitarás para configurar el feed en Google SecOps.

Configura feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Netskope Alert Logs v2.
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona Netskope V2 como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Es el token generado previamente en formato Netskope-Api-Token:<value> (por ejemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Extremo de API: Ingresa alerts.
    • Tipo de contenido: Los valores permitidos para alerts son uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp y watchlist.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Opcional: Agrega una configuración del feed para transferir los registros de eventos de Netskope v2

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de eventos de Netskope v2).
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona Netskope V2 como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Par de claves generado anteriormente en formato <key>:<secret>, que se usa para la autenticación en la API de Netskope.
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Extremo de API: Ingresa events.
    • Tipo de contenido: Los valores permitidos para events son application, audit, connection, incident, infrastructure, network y page.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
_id metadata.product_log_id Se asigna directamente desde _id.
access_method extensions.auth.auth_details Se asigna directamente desde access_method.
action security_result.action Se asigna a QUARANTINE porque el valor es "alert". También se asigna a security_result.action_details como "alerta".
app target.application Se asigna directamente desde app.
appcategory security_result.category_details Se asigna directamente desde appcategory.
browser network.http.user_agent Se asigna directamente desde browser.
browser_session_id network.session_id Se asigna directamente desde browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Se asigna directamente desde browser_version.
ccl security_result.confidence_details Se asigna directamente desde ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type se establece en "DEVICE". principal.resource.resource_subtype se asigna directamente desde device.
dst_country target.location.country_or_region Se asigna directamente desde dst_country.
dst_latitude target.location.region_coordinates.latitude Se asigna directamente desde dst_latitude.
dst_longitude target.location.region_coordinates.longitude Se asigna directamente desde dst_longitude.
dst_region target.location.name Se asigna directamente desde dst_region.
dstip target.ip, target.asset.ip Se asigna directamente desde dstip.
metadata.event_type metadata.event_type Se establece en NETWORK_CONNECTION porque están presentes tanto la dirección IP principal como la de destino, y el protocolo no es HTTP.
metadata.product_event_type metadata.product_event_type Se asigna directamente desde type.
metadata.product_name metadata.product_name El analizador lo establece en "NETSKOPE_ALERT_V2".
metadata.vendor_name metadata.vendor_name El analizador lo establece en "NETSKOPE_ALERT_V2".
object_type additional.fields Se agregó como un par clave-valor a additional.fields, en el que la clave es "object_type" y el valor es el contenido de object_type.
organization_unit principal.administrative_domain Se asigna directamente desde organization_unit.
os principal.platform Se asignó a WINDOWS porque el valor coincide con la expresión regular "(?i)Windows.*".
policy security_result.summary Se asigna directamente desde policy.
site additional.fields Se agrega como un par clave-valor a additional.fields, en el que la clave es "site" y el valor es el contenido de site.
src_country principal.location.country_or_region Se asigna directamente desde src_country.
src_latitude principal.location.region_coordinates.latitude Se asigna directamente desde src_latitude.
src_longitude principal.location.region_coordinates.longitude Se asigna directamente desde src_longitude.
src_region principal.location.name Se asigna directamente desde src_region.
srcip principal.ip, principal.asset.ip Se asigna directamente desde srcip.
timestamp metadata.event_timestamp.seconds Se asigna directamente desde timestamp.
type metadata.product_event_type Se asigna directamente desde type.
ur_normalized principal.user.email_addresses Se asigna directamente desde ur_normalized.
url target.url Se asigna directamente desde url.
user principal.user.email_addresses Se asigna directamente desde user.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.