Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux d'alertes Netskope v2

Compatible avec :

Google SecOps SIEM

Présentation

Ce parseur extrait les journaux d'alertes Netskope des messages au format JSON et les transforme en UDM Google Security Operations. Il normalise les champs, analyse les codes temporels, gère les alertes et les niveaux de gravité, extrait les informations réseau (adresses IP, ports, protocoles), enrichit les données utilisateur et de fichier, et mappe les champs à la structure UDM. L'analyseur gère également des activités Netskope spécifiques, comme les connexions et les événements DLP, et ajoute des libellés personnalisés pour améliorer le contexte.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps.
Accès privilégié à Netskope.

Activer l'accès à l'API REST Netskope

Connectez-vous au locataire Netskope à l'aide de vos identifiants d'administrateur.
Accédez à Paramètres > Outils > API REST v2.
Activez État de l'API REST.
Créez un jeton :
1. Cliquez sur Nouveau jeton.
2. Saisissez le nom du jeton (par exemple, Jeton Google SecOps).
3. Saisissez le délai d'expiration du jeton.
4. Cliquez sur Ajouter un point de terminaison pour sélectionner les points de terminaison de l'API à utiliser avec le jeton.
5. Spécifiez les droits d'accès pour le point de terminaison :
  - Les droits de lecture incluent GET.
  - Les droits de lecture et d'écriture incluent GET, PUT, POST, PATCH et DELETE.
  Remarque : Les droits d'accès aux points de terminaison varient. Certains points de terminaison, tels que les points de terminaison d'alerte et d'audit, ne disposent que du droit d'accès "Lecture". D'autres points de terminaison, tels que le point de terminaison de la liste/du fichier d'URL, disposent de droits de lecture et d'écriture.
6. Cliquez sur Enregistrer.
7. Une boîte de confirmation s'ouvre pour indiquer si la création du jeton a réussi.
8. Cliquez sur Copier le jeton, puis enregistrez-le pour l'utiliser ultérieurement dans l'en-tête d'authentification de l'API.
Remarque : La seule option pour copier le jeton est immédiatement après l'avoir créé. Le jeton est requis dans vos requêtes API.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux
Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM > Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez le nom du flux (par exemple, Journaux d'alertes Netskope v2).
Sélectionnez API tierce comme type de source.
Sélectionnez Netskope V2 comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- En-tête HTTP d'authentification : jeton généré précédemment au format Netskope-Api-Token:<value> (par exemple, Netskope-Api-Token:AAAABBBBCCCC111122223333).
- Nom d'hôte de l'API : nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Netskope (par exemple, myinstance.goskope.com).
- Point de terminaison de l'API : saisissez alerts.
- Type de contenu : les valeurs autorisées pour alerts sont uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
Cliquez sur Suivant.
Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

En-tête HTTP d'authentification : jeton généré précédemment au format Netskope-Api-Token:<value> (par exemple, Netskope-Api-Token:AAAABBBBCCCC111122223333).
Nom d'hôte de l'API : nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Netskope (par exemple, myinstance.goskope.com).
Point de terminaison de l'API : saisissez alerts.
Type de contenu : les valeurs autorisées pour alerts sont uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.

Options avancées

Nom du flux : valeur préremplie qui identifie le flux.
Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
Espace de noms de l'élément : espace de noms associé au flux.
Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Facultatif : Ajoutez une configuration de flux pour ingérer les journaux d'événements Netskope v2.

Accédez à Paramètres SIEM > Flux.
Cliquez sur Ajouter.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux d'événements Netskope v2).
Sélectionnez API tierce comme type de source.
Sélectionnez Netskope V2 comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- En-tête HTTP d'authentification : paire de clés générée précédemment au format <key>:<secret>, utilisée pour l'authentification auprès de l'API Netskope.
- Nom d'hôte de l'API : nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Netskope (par exemple, myinstance.goskope.com).
- Point de terminaison de l'API : saisissez events.
- Type de contenu : les valeurs autorisées pour events sont application, audit, connection, incident, infrastructure, network et page.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé appliqué aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`_id`	`metadata.product_log_id`	Mappé directement à partir de `_id`.
`access_method`	`extensions.auth.auth_details`	Mappé directement à partir de `access_method`.
`action`	`security_result.action`	Mappé sur `QUARANTINE`, car la valeur est "alert". Également mappé sur `security_result.action_details` en tant qu'alerte.
`app`	`target.application`	Mappé directement à partir de `app`.
`appcategory`	`security_result.category_details`	Mappé directement à partir de `appcategory`.
`browser`	`network.http.user_agent`	Mappé directement à partir de `browser`.
`browser_session_id`	`network.session_id`	Mappé directement à partir de `browser_session_id`.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Mappé directement à partir de `browser_version`.
`ccl`	`security_result.confidence_details`	Mappé directement à partir de `ccl`.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` est défini sur "DEVICE". `principal.resource.resource_subtype` est directement mappé à partir de `device`.
`dst_country`	`target.location.country_or_region`	Mappé directement à partir de `dst_country`.
`dst_latitude`	`target.location.region_coordinates.latitude`	Mappé directement à partir de `dst_latitude`.
`dst_longitude`	`target.location.region_coordinates.longitude`	Mappé directement à partir de `dst_longitude`.
`dst_region`	`target.location.name`	Mappé directement à partir de `dst_region`.
`dstip`	`target.ip`, `target.asset.ip`	Mappé directement à partir de `dstip`.
`metadata.event_type`	`metadata.event_type`	Défini sur `NETWORK_CONNECTION`, car les adresses IP principales et cibles sont présentes et le protocole n'est pas HTTP.
`metadata.product_event_type`	`metadata.product_event_type`	Mappé directement à partir de `type`.
`metadata.product_name`	`metadata.product_name`	Défini sur "NETSKOPE_ALERT_V2" par l'analyseur.
`metadata.vendor_name`	`metadata.vendor_name`	Défini sur "NETSKOPE_ALERT_V2" par l'analyseur.
`object_type`	`additional.fields`	Ajouté en tant que paire clé-valeur à `additional.fields` où la clé est "object_type" et la valeur est le contenu de `object_type`.
`organization_unit`	`principal.administrative_domain`	Mappé directement à partir de `organization_unit`.
`os`	`principal.platform`	Mappé à `WINDOWS`, car la valeur correspond à l'expression régulière "(?i)Windows.*".
`policy`	`security_result.summary`	Mappé directement à partir de `policy`.
`site`	`additional.fields`	Ajouté en tant que paire clé/valeur à `additional.fields`, où la clé est "site" et la valeur est le contenu de `site`.
`src_country`	`principal.location.country_or_region`	Mappé directement à partir de `src_country`.
`src_latitude`	`principal.location.region_coordinates.latitude`	Mappé directement à partir de `src_latitude`.
`src_longitude`	`principal.location.region_coordinates.longitude`	Mappé directement à partir de `src_longitude`.
`src_region`	`principal.location.name`	Mappé directement à partir de `src_region`.
`srcip`	`principal.ip`, `principal.asset.ip`	Mappé directement à partir de `srcip`.
`timestamp`	`metadata.event_timestamp.seconds`	Mappé directement à partir de `timestamp`.
`type`	`metadata.product_event_type`	Mappé directement à partir de `type`.
`ur_normalized`	`principal.user.email_addresses`	Mappé directement à partir de `ur_normalized`.
`url`	`target.url`	Mappé directement à partir de `url`.
`user`	`principal.user.email_addresses`	Mappé directement à partir de `user`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.