Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log peringatan Netskope v2

Didukung di:

Google SecOps SIEM

Ringkasan

Parser ini mengekstrak log peringatan Netskope dari pesan berformat JSON, lalu mengubahnya menjadi UDM Google Security Operations. Proses ini menormalisasi kolom, mengurai stempel waktu, menangani pemberitahuan dan tingkat keparahan, mengekstrak informasi jaringan (IP, port, protokol), memperkaya data pengguna dan file, serta memetakan kolom ke struktur UDM. Parser juga menangani aktivitas Netskope tertentu seperti login dan peristiwa DLP serta menambahkan label kustom untuk konteks yang lebih baik.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps.
Akses istimewa ke Netskope.

Mengaktifkan Akses Netskope REST API

Login ke tenant Netskope menggunakan kredensial administrator Anda.
Buka Setelan > Alat > REST API v2.
Aktifkan Status REST API.
Buat token baru:
1. Klik New Token.
2. Masukkan nama token (misalnya, Google SecOps Token).
3. Masukkan waktu habis masa berlaku token.
4. Klik Add Endpoint untuk memilih endpoint API yang akan digunakan dengan token.
5. Tentukan hak istimewa untuk endpoint:
  - Hak istimewa baca mencakup GET.
  - Hak istimewa Baca+Tulis mencakup GET, PUT, POST, PATCH, dan DELETE.
  Catatan: Hak istimewa endpoint bervariasi. Beberapa endpoint, seperti pemberitahuan dan audit, hanya memiliki hak istimewa Baca. Endpoint lain, seperti endpoint daftar/file URL memiliki hak istimewa Baca+Tulis.
6. Klik Simpan.
7. Kotak konfirmasi akan terbuka dan menampilkan apakah pembuatan token berhasil.
8. Klik Copy Token dan save untuk digunakan nanti di header Autentikasi API.
Catatan: Satu-satunya opsi untuk menyalin token adalah segera setelah Anda membuatnya. Token ini diperlukan dalam permintaan API Anda.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Netskope Alert Logs v2.
Pilih Third party API sebagai Source type.
Pilih Netskope V2 sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format Netskope-Api-Token:<value> (misalnya, Netskope-Api-Token:AAAABBBBCCCC111122223333).
- Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Netskope REST API Anda (misalnya myinstance.goskope.com).
- Endpoint API: Masukkan alerts.
- Jenis Konten: Nilai yang diizinkan untuk alerts adalah uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Opsional: Tambahkan konfigurasi feed untuk menyerap log Peristiwa Netskope v2

Buka Setelan SIEM > Feed.
Klik Tambahkan feed baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Netskope Event Logs v2).
Pilih Third party API sebagai Source type.
Pilih Netskope V2 sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi: pasangan kunci yang dihasilkan sebelumnya dalam format <key>:<secret>, digunakan untuk melakukan autentikasi terhadap Netskope API.
- Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint Netskope REST API Anda (misalnya myinstance.goskope.com).
- Endpoint API: Masukkan events.
- Jenis Konten: Nilai yang diizinkan untuk events adalah application, audit, connection, incident, infrastructure, network, page.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`_id`	`metadata.product_log_id`	Dipetakan langsung dari `_id`.
`access_method`	`extensions.auth.auth_details`	Dipetakan langsung dari `access_method`.
`action`	`security_result.action`	Dipetakan ke `QUARANTINE` karena nilainya adalah "alert". Juga dipetakan ke `security_result.action_details` sebagai "alert".
`app`	`target.application`	Dipetakan langsung dari `app`.
`appcategory`	`security_result.category_details`	Dipetakan langsung dari `appcategory`.
`browser`	`network.http.user_agent`	Dipetakan langsung dari `browser`.
`browser_session_id`	`network.session_id`	Dipetakan langsung dari `browser_session_id`.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Dipetakan langsung dari `browser_version`.
`ccl`	`security_result.confidence_details`	Dipetakan langsung dari `ccl`.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` ditetapkan ke "DEVICE". `principal.resource.resource_subtype` dipetakan langsung dari `device`.
`dst_country`	`target.location.country_or_region`	Dipetakan langsung dari `dst_country`.
`dst_latitude`	`target.location.region_coordinates.latitude`	Dipetakan langsung dari `dst_latitude`.
`dst_longitude`	`target.location.region_coordinates.longitude`	Dipetakan langsung dari `dst_longitude`.
`dst_region`	`target.location.name`	Dipetakan langsung dari `dst_region`.
`dstip`	`target.ip`, `target.asset.ip`	Dipetakan langsung dari `dstip`.
`metadata.event_type`	`metadata.event_type`	Disetel ke `NETWORK_CONNECTION` karena alamat IP utama dan target ada dan protokolnya bukan HTTP.
`metadata.product_event_type`	`metadata.product_event_type`	Dipetakan langsung dari `type`.
`metadata.product_name`	`metadata.product_name`	Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
`metadata.vendor_name`	`metadata.vendor_name`	Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
`object_type`	`additional.fields`	Ditambahkan sebagai key-value pair ke `additional.fields` dengan kunci "object_type" dan nilai adalah konten `object_type`.
`organization_unit`	`principal.administrative_domain`	Dipetakan langsung dari `organization_unit`.
`os`	`principal.platform`	Dipetakan ke `WINDOWS` karena nilai cocok dengan regex "(?i)Windows.*".
`policy`	`security_result.summary`	Dipetakan langsung dari `policy`.
`site`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke `additional.fields` dengan kunci adalah "site" dan nilai adalah konten `site`.
`src_country`	`principal.location.country_or_region`	Dipetakan langsung dari `src_country`.
`src_latitude`	`principal.location.region_coordinates.latitude`	Dipetakan langsung dari `src_latitude`.
`src_longitude`	`principal.location.region_coordinates.longitude`	Dipetakan langsung dari `src_longitude`.
`src_region`	`principal.location.name`	Dipetakan langsung dari `src_region`.
`srcip`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari `srcip`.
`timestamp`	`metadata.event_timestamp.seconds`	Dipetakan langsung dari `timestamp`.
`type`	`metadata.product_event_type`	Dipetakan langsung dari `type`.
`ur_normalized`	`principal.user.email_addresses`	Dipetakan langsung dari `ur_normalized`.
`url`	`target.url`	Dipetakan langsung dari `url`.
`user`	`principal.user.email_addresses`	Dipetakan langsung dari `user`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.