Recopila registros de alertas de Netskope, versión 2

Compatible con:

Descripción general

Este analizador extrae los registros de alertas de Netskope de los mensajes con formato JSON y los transforma en el UDM de Google Security Operations. Normaliza los campos, analiza las marcas de tiempo, controla las alertas y las gravedades, extrae información de la red (IP, puertos, protocolos), enriquece los datos de los usuarios y los archivos, y asigna los campos a la estructura del UDM. El analizador también controla actividades específicas de Netskope, como los eventos de DLP y los accesos, y agrega etiquetas personalizadas para mejorar el contexto.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso con privilegios a Netskope

Habilita el acceso a la API de REST de Netskope

  1. Accede al arrendatario de Netskope con tus credenciales de administrador.
  2. Ve a Configuración > Herramientas > API de REST v2.
  3. Habilita REST API Status.

  4. Crea un token nuevo:

    1. Haz clic en Token nuevo.
    2. Ingresa el nombre del token (por ejemplo, Token de Google SecOps).
    3. Ingresa la hora de vencimiento del token.
    4. Haz clic en Agregar extremo para seleccionar los extremos de la API que se usarán con el token.

    5. Especifica los privilegios para el extremo:

      • Los privilegios de lectura incluyen GET.
      • Los privilegios de lectura y escritura incluyen GET, PUT, POST, PATCH y DELETE.

    6. Haz clic en Guardar.

    7. Se abrirá un cuadro de confirmación que mostrará si la creación del token se realizó correctamente.

    8. Haz clic en Copiar token y guárdalo para usarlo más tarde en el encabezado de autenticación de la API.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Netskope Alert Logs v2.
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona Netskope V2 como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Es el token generado previamente en formato Netskope-Api-Token:<value> (por ejemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Extremo de API: Ingresa alerts.
    • Tipo de contenido: Los valores permitidos para alerts son uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp y watchlist.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Encabezado HTTP de autenticación: Es el token generado previamente en formato Netskope-Api-Token:<value> (por ejemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
  • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Netskope (por ejemplo, myinstance.goskope.com).
  • Extremo de API: Ingresa alerts.
  • Tipo de contenido: Los valores permitidos para alerts son uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp y watchlist.

Opciones avanzadas

  • Nombre del feed: Es un valor predeterminado que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Opcional: Agrega una configuración del feed para transferir los registros de eventos de Netskope v2

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de eventos de Netskope v2).
  4. Selecciona API de terceros como el Tipo de origen.
  5. Selecciona Netskope V2 como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Par de claves generado anteriormente en formato <key>:<secret>, que se usa para la autenticación en la API de Netskope.
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Extremo de API: Ingresa events.
    • Tipo de contenido: Los valores permitidos para events son application, audit, connection, incident, infrastructure, network y page.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
_id metadata.product_log_id Se asigna directamente desde _id.
access_method extensions.auth.auth_details Se asigna directamente desde access_method.
action security_result.action Se asigna a QUARANTINE porque el valor es "alert". También se asigna a security_result.action_details como "alerta".
app target.application Se asigna directamente desde app.
appcategory security_result.category_details Se asigna directamente desde appcategory.
browser network.http.user_agent Se asigna directamente desde browser.
browser_session_id network.session_id Se asigna directamente desde browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Se asigna directamente desde browser_version.
ccl security_result.confidence_details Se asigna directamente desde ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type se establece en "DEVICE". principal.resource.resource_subtype se asigna directamente desde device.
dst_country target.location.country_or_region Se asigna directamente desde dst_country.
dst_latitude target.location.region_coordinates.latitude Se asigna directamente desde dst_latitude.
dst_longitude target.location.region_coordinates.longitude Se asigna directamente desde dst_longitude.
dst_region target.location.name Se asigna directamente desde dst_region.
dstip target.ip, target.asset.ip Se asigna directamente desde dstip.
metadata.event_type metadata.event_type Se establece en NETWORK_CONNECTION porque están presentes tanto la dirección IP principal como la de destino, y el protocolo no es HTTP.
metadata.product_event_type metadata.product_event_type Se asigna directamente desde type.
metadata.product_name metadata.product_name El analizador lo establece en "NETSKOPE_ALERT_V2".
metadata.vendor_name metadata.vendor_name El analizador lo establece en "NETSKOPE_ALERT_V2".
object_type additional.fields Se agrega como un par clave-valor a additional.fields, en el que la clave es "object_type" y el valor es el contenido de object_type.
organization_unit principal.administrative_domain Se asigna directamente desde organization_unit.
os principal.platform Se asignó a WINDOWS porque el valor coincide con la expresión regular "(?i)Windows.*".
policy security_result.summary Se asigna directamente desde policy.
site additional.fields Se agrega como un par clave-valor a additional.fields, en el que la clave es "site" y el valor es el contenido de site.
src_country principal.location.country_or_region Se asigna directamente desde src_country.
src_latitude principal.location.region_coordinates.latitude Se asigna directamente desde src_latitude.
src_longitude principal.location.region_coordinates.longitude Se asigna directamente desde src_longitude.
src_region principal.location.name Se asigna directamente desde src_region.
srcip principal.ip, principal.asset.ip Se asigna directamente desde srcip.
timestamp metadata.event_timestamp.seconds Se asigna directamente desde timestamp.
type metadata.product_event_type Se asigna directamente desde type.
ur_normalized principal.user.email_addresses Se asigna directamente desde ur_normalized.
url target.url Se asigna directamente desde url.
user principal.user.email_addresses Se asigna directamente desde user.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.