Mengumpulkan log peringatan Netskope v2

Didukung di:

Ringkasan

Parser ini mengekstrak log peringatan Netskope dari pesan berformat JSON, lalu mengubahnya menjadi UDM Google Security Operations. Proses ini menormalisasi kolom, mengurai stempel waktu, menangani pemberitahuan dan tingkat keparahan, mengekstrak informasi jaringan (IP, port, protokol), memperkaya data pengguna dan file, serta memetakan kolom ke struktur UDM. Parser juga menangani aktivitas Netskope tertentu seperti login dan peristiwa DLP serta menambahkan label kustom untuk konteks yang lebih baik.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke Netskope.

Mengaktifkan Akses Netskope REST API

  1. Login ke tenant Netskope menggunakan kredensial administrator Anda.
  2. Buka Setelan > Alat > REST API v2.
  3. Aktifkan Status REST API.

  4. Buat token baru:

    1. Klik New Token.
    2. Masukkan nama token (misalnya, Google SecOps Token).
    3. Masukkan waktu habis masa berlaku token.
    4. Klik Add Endpoint untuk memilih endpoint API yang akan digunakan dengan token.

    5. Tentukan hak istimewa untuk endpoint:

      • Hak istimewa baca mencakup GET.
      • Hak istimewa Baca+Tulis mencakup GET, PUT, POST, PATCH, dan DELETE.

    6. Klik Simpan.

    7. Kotak konfirmasi akan terbuka dan menampilkan apakah pembuatan token berhasil.

    8. Klik Copy Token dan save untuk digunakan nanti di header Autentikasi API.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Netskope Alert Logs v2.
  5. Pilih Third party API sebagai Source type.
  6. Pilih Netskope V2 sebagai Jenis log.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:
    • Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format Netskope-Api-Token:<value> (misalnya, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Netskope REST API Anda (misalnya myinstance.goskope.com).
    • Endpoint API: Masukkan alerts.
    • Jenis Konten: Nilai yang diizinkan untuk alerts adalah uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format Netskope-Api-Token:<value> (misalnya, Netskope-Api-Token:AAAABBBBCCCC111122223333).
  • Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Netskope REST API Anda (misalnya myinstance.goskope.com).
  • Endpoint API: Masukkan alerts.
  • Jenis Konten: Nilai yang diizinkan untuk alerts adalah uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Opsional: Tambahkan konfigurasi feed untuk menyerap log Peristiwa Netskope v2

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Netskope Event Logs v2).
  4. Pilih Third party API sebagai Source type.
  5. Pilih Netskope V2 sebagai Jenis log.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • Header HTTP Autentikasi: pasangan kunci yang dihasilkan sebelumnya dalam format <key>:<secret>, digunakan untuk melakukan autentikasi terhadap Netskope API.
    • Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Netskope REST API Anda (misalnya myinstance.goskope.com).
    • Endpoint API: Masukkan events.
    • Jenis Konten: Nilai yang diizinkan untuk events adalah application, audit, connection, incident, infrastructure, network, page.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
_id metadata.product_log_id Dipetakan langsung dari _id.
access_method extensions.auth.auth_details Dipetakan langsung dari access_method.
action security_result.action Dipetakan ke QUARANTINE karena nilainya adalah "alert". Juga dipetakan ke security_result.action_details sebagai "alert".
app target.application Dipetakan langsung dari app.
appcategory security_result.category_details Dipetakan langsung dari appcategory.
browser network.http.user_agent Dipetakan langsung dari browser.
browser_session_id network.session_id Dipetakan langsung dari browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Dipetakan langsung dari browser_version.
ccl security_result.confidence_details Dipetakan langsung dari ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type ditetapkan ke "DEVICE". principal.resource.resource_subtype dipetakan langsung dari device.
dst_country target.location.country_or_region Dipetakan langsung dari dst_country.
dst_latitude target.location.region_coordinates.latitude Dipetakan langsung dari dst_latitude.
dst_longitude target.location.region_coordinates.longitude Dipetakan langsung dari dst_longitude.
dst_region target.location.name Dipetakan langsung dari dst_region.
dstip target.ip, target.asset.ip Dipetakan langsung dari dstip.
metadata.event_type metadata.event_type Disetel ke NETWORK_CONNECTION karena alamat IP utama dan target ada dan protokolnya bukan HTTP.
metadata.product_event_type metadata.product_event_type Dipetakan langsung dari type.
metadata.product_name metadata.product_name Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
metadata.vendor_name metadata.vendor_name Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
object_type additional.fields Ditambahkan sebagai key-value pair ke additional.fields dengan kunci "object_type" dan nilai adalah konten object_type.
organization_unit principal.administrative_domain Dipetakan langsung dari organization_unit.
os principal.platform Dipetakan ke WINDOWS karena nilai cocok dengan regex "(?i)Windows.*".
policy security_result.summary Dipetakan langsung dari policy.
site additional.fields Ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci adalah "situs" dan nilai adalah konten site.
src_country principal.location.country_or_region Dipetakan langsung dari src_country.
src_latitude principal.location.region_coordinates.latitude Dipetakan langsung dari src_latitude.
src_longitude principal.location.region_coordinates.longitude Dipetakan langsung dari src_longitude.
src_region principal.location.name Dipetakan langsung dari src_region.
srcip principal.ip, principal.asset.ip Dipetakan langsung dari srcip.
timestamp metadata.event_timestamp.seconds Dipetakan langsung dari timestamp.
type metadata.product_event_type Dipetakan langsung dari type.
ur_normalized principal.user.email_addresses Dipetakan langsung dari ur_normalized.
url target.url Dipetakan langsung dari url.
user principal.user.email_addresses Dipetakan langsung dari user.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.