Collecter les journaux d'alertes Netskope v2

Compatible avec :

Présentation

Ce parseur extrait les journaux d'alertes Netskope des messages au format JSON et les transforme en UDM Google Security Operations. Il normalise les champs, analyse les codes temporels, gère les alertes et les niveaux de gravité, extrait les informations réseau (adresses IP, ports, protocoles), enrichit les données utilisateur et de fichier, et mappe les champs à la structure UDM. L'analyseur gère également des activités Netskope spécifiques, comme les connexions et les événements DLP, et ajoute des libellés personnalisés pour améliorer le contexte.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à Netskope.

Créer un compte de service et générer un jeton d'API REST dans Netskope

Pour l'intégration à Google SecOps, vous devez créer un compte de service dédié dans Netskope et générer un jeton d'API.

  1. Connectez-vous au locataire Netskope à l'aide de vos identifiants administrateur.
  2. Accédez à Paramètres > Administration et rôles.
  3. Cliquez sur l'onglet Administrateurs, puis sélectionnez le bouton Comptes de service.
  4. Dans la boîte de dialogue "Nouveau compte de service", saisissez un nom de compte de service descriptif (par exemple, "Ingestion Google SecOps").
  5. Sous Rôle, sélectionnez le rôle approprié qui dispose des autorisations d'accès aux points de terminaison d'API requis (par exemple, un rôle personnalisé avec accès en lecture aux alertes).
  6. Sous REST API Authentication Methods (Méthodes d'authentification de l'API REST), sélectionnez API Key (Clé API).
  7. Cochez la case Générer un jeton maintenant avec une date d'expiration et définissez la période d'expiration sélectionnée (par exemple, 365 jours).

  8. Cliquez sur le bouton Créer.

    Avertissement : Une boîte de dialogue s'affiche et indique le nouveau jeton de l'API REST. Vous devez copier et stocker ce jeton immédiatement et de manière sécurisée. Il ne vous sera plus présenté.

  9. Conservez ce jeton en lieu sûr, car vous en aurez besoin pour configurer le flux dans Google SecOps.

Configurer des flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez le nom du flux (par exemple, Journaux d'alertes Netskope v2).
  5. Sélectionnez API tierce comme type de source.
  6. Sélectionnez Netskope V2 comme Type de journal.
  7. Cliquez sur Suivant.
  8. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification : jeton généré précédemment au format Netskope-Api-Token:<value> (par exemple, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nom d'hôte de l'API : nom de domaine complet du point de terminaison de votre API REST Netskope (par exemple, myinstance.goskope.com).
    • Point de terminaison de l'API : saisissez alerts.
    • Type de contenu : les valeurs autorisées pour alerts sont uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Cliquez sur Suivant.
  10. Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Facultatif : Ajoutez une configuration de flux pour ingérer les journaux d'événements Netskope v2.

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Ajouter un flux.
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez le nom du flux (par exemple, Journaux d'événements Netskope v2).
  5. Sélectionnez API tierce comme type de source.
  6. Sélectionnez Netskope V2 comme Type de journal.
  7. Cliquez sur Suivant.
  8. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification : paire de clés générée précédemment au format <key>:<secret>, utilisée pour l'authentification auprès de l'API Netskope.
    • Nom d'hôte de l'API : nom de domaine complet du point de terminaison de votre API REST Netskope (par exemple, myinstance.goskope.com).
    • Point de terminaison de l'API : saisissez events.
    • Type de contenu : les valeurs autorisées pour events sont application, audit, connection, incident, infrastructure, network et page.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  9. Cliquez sur Suivant.
  10. Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
_id metadata.product_log_id Mappé directement à partir de _id.
access_method extensions.auth.auth_details Mappé directement à partir de access_method.
action security_result.action Mappé sur QUARANTINE, car la valeur est "alert". Également mappé sur security_result.action_details en tant qu'alerte.
app target.application Mappé directement à partir de app.
appcategory security_result.category_details Mappé directement à partir de appcategory.
browser network.http.user_agent Mappé directement à partir de browser.
browser_session_id network.session_id Mappé directement à partir de browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mappé directement à partir de browser_version.
ccl security_result.confidence_details Mappé directement à partir de ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type est défini sur "DEVICE". principal.resource.resource_subtype est directement mappé à partir de device.
dst_country target.location.country_or_region Mappé directement à partir de dst_country.
dst_latitude target.location.region_coordinates.latitude Mappé directement à partir de dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mappé directement à partir de dst_longitude.
dst_region target.location.name Mappé directement à partir de dst_region.
dstip target.ip, target.asset.ip Mappé directement à partir de dstip.
metadata.event_type metadata.event_type Défini sur NETWORK_CONNECTION, car les adresses IP principales et cibles sont présentes et le protocole n'est pas HTTP.
metadata.product_event_type metadata.product_event_type Mappé directement à partir de type.
metadata.product_name metadata.product_name Défini sur "NETSKOPE_ALERT_V2" par l'analyseur.
metadata.vendor_name metadata.vendor_name Défini sur "NETSKOPE_ALERT_V2" par l'analyseur.
object_type additional.fields Ajouté en tant que paire clé-valeur à additional.fields, où la clé est "object_type" et la valeur est le contenu de object_type.
organization_unit principal.administrative_domain Mappé directement à partir de organization_unit.
os principal.platform Mappé à WINDOWS, car la valeur correspond à l'expression régulière "(?i)Windows.*".
policy security_result.summary Mappé directement à partir de policy.
site additional.fields Ajouté en tant que paire clé/valeur à additional.fields, où la clé est "site" et la valeur est le contenu de site.
src_country principal.location.country_or_region Mappé directement à partir de src_country.
src_latitude principal.location.region_coordinates.latitude Mappé directement à partir de src_latitude.
src_longitude principal.location.region_coordinates.longitude Mappé directement à partir de src_longitude.
src_region principal.location.name Mappé directement à partir de src_region.
srcip principal.ip, principal.asset.ip Mappé directement à partir de srcip.
timestamp metadata.event_timestamp.seconds Mappé directement à partir de timestamp.
type metadata.product_event_type Mappé directement à partir de type.
ur_normalized principal.user.email_addresses Mappé directement à partir de ur_normalized.
url target.url Mappé directement à partir de url.
user principal.user.email_addresses Mappé directement à partir de user.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.