Raccogliere i log avvisi di Netskope v2
Supportato in:
Google SecOps
SIEM
Panoramica
Questo parser estrae i log degli avvisi di Netskope dai messaggi in formato JSON, trasformandoli in UDM di Google Security Operations. Normalizza i campi, analizza i timestamp, gestisce avvisi e gravità, estrae informazioni di rete (IP, porte, protocolli), arricchisce i dati di utenti e file e mappa i campi nella struttura UDM. Il parser gestisce anche attività Netskope specifiche come accessi ed eventi DLP e aggiunge etichette personalizzate per un contesto migliore.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps.
- Accesso con privilegi a Netskope.
Crea un service account e genera un token API REST in Netskope
Per l'integrazione con Google SecOps, devi creare un account di servizio dedicato in Netskope e generare un token API.
- Accedi al tenant Netskope utilizzando le tue credenziali di amministratore.
- Vai a Impostazioni > Amministrazione e ruoli.
- Fai clic sulla scheda Amministratori e poi seleziona il pulsante Account di servizio.
- Nella finestra di dialogo "Nuovo service account", inserisci un nome service account descrittivo (ad es. "Google SecOps Ingestion").
- Nella sezione Ruolo, seleziona il ruolo appropriato che disponga delle autorizzazioni per accedere agli endpoint API richiesti (ad es. un ruolo personalizzato con accesso in lettura agli avvisi).
- In Metodi di autenticazione API REST, seleziona Chiave API.
- Seleziona la casella Genera token ora con scadenza e imposta il periodo di scadenza selezionato (ad es. 365 giorni).
Fai clic su pulsante Crea.
Avviso:verrà visualizzata una finestra di dialogo con il nuovo token API REST. Devi copiare e archiviare in modo sicuro questo token immediatamente. Non verrà mostrato di nuovo.
Conserva questo token in un luogo sicuro, ti servirà per configurare il feed in Google SecOps.
Configurare i feed
Per configurare un feed:
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Alert Logs v2.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Netskope V2 come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Intestazione HTTP di autenticazione:token generato in precedenza in formato
Netskope-Api-Token:<value>(ad esempio, Netskope-Api-Token:AAAABBBBCCCC111122223333). - Nome host API:il nome di dominio completo (FQDN) dell'endpoint API REST di Netskope (ad esempio
myinstance.goskope.com). - Endpoint API:inserisci alerts.
- Tipo di contenuti:i valori consentiti per avvisi sono uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
- Intestazione HTTP di autenticazione:token generato in precedenza in formato
- Fai clic su Avanti.
- Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
(Facoltativo) Aggiungi una configurazione del feed per importare i log eventi Netskope v2
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Event Logs v2.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Netskope V2 come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Intestazione HTTP di autenticazione:coppia di chiavi generata in precedenza nel formato
<key>:<secret>, utilizzata per l'autenticazione rispetto all'API Netskope. - Nome host API:il nome di dominio completo (FQDN) dell'endpoint API REST di Netskope (ad esempio
myinstance.goskope.com). - Endpoint API: inserisci events.
- Tipo di contenuto:i valori consentiti per events sono application, audit, connection, incident, infrastructure, network, page.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Intestazione HTTP di autenticazione:coppia di chiavi generata in precedenza nel formato
- Fai clic su Avanti.
- Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
_id |
metadata.product_log_id |
Mappato direttamente da _id. |
access_method |
extensions.auth.auth_details |
Mappato direttamente da access_method. |
action |
security_result.action |
Mappato a QUARANTINE perché il valore è "alert". Mappato anche a security_result.action_details come "avviso". |
app |
target.application |
Mappato direttamente da app. |
appcategory |
security_result.category_details |
Mappato direttamente da appcategory. |
browser |
network.http.user_agent |
Mappato direttamente da browser. |
browser_session_id |
network.session_id |
Mappato direttamente da browser_session_id. |
browser_version |
network.http.parsed_user_agent.browser_version |
Mappato direttamente da browser_version. |
ccl |
security_result.confidence_details |
Mappato direttamente da ccl. |
device |
principal.resource.type, principal.resource.resource_subtype |
principal.resource.type è impostato su "DEVICE". principal.resource.resource_subtype è mappato direttamente da device. |
dst_country |
target.location.country_or_region |
Mappato direttamente da dst_country. |
dst_latitude |
target.location.region_coordinates.latitude |
Mappato direttamente da dst_latitude. |
dst_longitude |
target.location.region_coordinates.longitude |
Mappato direttamente da dst_longitude. |
dst_region |
target.location.name |
Mappato direttamente da dst_region. |
dstip |
target.ip, target.asset.ip |
Mappato direttamente da dstip. |
metadata.event_type |
metadata.event_type |
Impostato su NETWORK_CONNECTION perché sono presenti sia l'entità sia gli indirizzi IP di destinazione e il protocollo non è HTTP. |
metadata.product_event_type |
metadata.product_event_type |
Mappato direttamente da type. |
metadata.product_name |
metadata.product_name |
Impostato su "NETSKOPE_ALERT_V2" dal parser. |
metadata.vendor_name |
metadata.vendor_name |
Impostato su "NETSKOPE_ALERT_V2" dal parser. |
object_type |
additional.fields |
Aggiunto come coppia chiave-valore a additional.fields, dove la chiave è "object_type" e il valore è il contenuto di object_type. |
organization_unit |
principal.administrative_domain |
Mappato direttamente da organization_unit. |
os |
principal.platform |
Mappato a WINDOWS perché il valore corrisponde all'espressione regolare "(?i)Windows.*". |
policy |
security_result.summary |
Mappato direttamente da policy. |
site |
additional.fields |
Aggiunto come coppia chiave-valore a additional.fields, dove la chiave è "site" e il valore è il contenuto di site. |
src_country |
principal.location.country_or_region |
Mappato direttamente da src_country. |
src_latitude |
principal.location.region_coordinates.latitude |
Mappato direttamente da src_latitude. |
src_longitude |
principal.location.region_coordinates.longitude |
Mappato direttamente da src_longitude. |
src_region |
principal.location.name |
Mappato direttamente da src_region. |
srcip |
principal.ip, principal.asset.ip |
Mappato direttamente da srcip. |
timestamp |
metadata.event_timestamp.seconds |
Mappato direttamente da timestamp. |
type |
metadata.product_event_type |
Mappato direttamente da type. |
ur_normalized |
principal.user.email_addresses |
Mappato direttamente da ur_normalized. |
url |
target.url |
Mappato direttamente da url. |
user |
principal.user.email_addresses |
Mappato direttamente da user. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.