Raccogliere i log avvisi di Netskope v2

Supportato in:

Panoramica

Questo parser estrae i log degli avvisi di Netskope dai messaggi in formato JSON, trasformandoli in UDM di Google Security Operations. Normalizza i campi, analizza i timestamp, gestisce avvisi e gravità, estrae informazioni di rete (IP, porte, protocolli), arricchisce i dati di utenti e file e mappa i campi nella struttura UDM. Il parser gestisce anche attività Netskope specifiche come accessi ed eventi DLP e aggiunge etichette personalizzate per un contesto migliore.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso con privilegi a Netskope.

Attiva l'accesso all'API REST di Netskope

  1. Accedi al tenant Netskope utilizzando le tue credenziali di amministratore.
  2. Vai a Impostazioni > Strumenti > API REST v2.
  3. Attiva Stato API REST.

  4. Crea un nuovo token:

    1. Fai clic su Nuovo token.
    2. Inserisci il nome del token (ad esempio Google SecOps Token).
    3. Inserisci l'ora di scadenza del token.
    4. Fai clic su Aggiungi endpoint per selezionare gli endpoint API da utilizzare con il token.

    5. Specifica i privilegi per l'endpoint:

      • I privilegi di lettura includono GET.
      • I privilegi di lettura e scrittura includono GET, PUT, POST, PATCH e DELETE.

    6. Fai clic su Salva.

    7. Si apre una casella di conferma che indica se la creazione del token è andata a buon fine.

    8. Fai clic su Copia token e salvalo per utilizzarlo in un secondo momento nell'intestazione di autenticazione API.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Alert Logs v2.
  5. Seleziona API di terze parti come Tipo di origine.
  6. Seleziona Netskope V2 come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione:token generato in precedenza in formato Netskope-Api-Token:<value> (ad esempio, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nome host API:il nome di dominio completo (FQDN) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
    • Endpoint API:inserisci alerts.
    • Tipo di contenuti:i valori consentiti per avvisi sono uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Fai clic su Avanti.
  10. Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Intestazione HTTP di autenticazione:token generato in precedenza in formato Netskope-Api-Token:<value> (ad esempio, Netskope-Api-Token:AAAABBBBCCCC111122223333).
  • Nome host API:il nome di dominio completo (FQDN) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
  • Endpoint API:inserisci alerts.
  • Tipo di contenuti:i valori consentiti per avvisi sono uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.

Opzioni avanzate

  • Nome feed:un valore precompilato che identifica il feed.
  • Tipo di origine:metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset:lo spazio dei nomi associato al feed.
  • Etichette di importazione:etichette applicate a tutti gli eventi di questo feed.

(Facoltativo) Aggiungi una configurazione del feed per importare i log eventi Netskope v2

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Event Logs v2.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Netskope V2 come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione:coppia di chiavi generata in precedenza nel formato <key>:<secret>, utilizzata per l'autenticazione con l'API Netskope.
    • Nome host API:il nome di dominio completo (FQDN) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
    • Endpoint API:inserisci events.
    • Tipo di contenuti:i valori consentiti per events sono application, audit, connection, incident, infrastructure, network, page.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
_id metadata.product_log_id Mappato direttamente da _id.
access_method extensions.auth.auth_details Mappato direttamente da access_method.
action security_result.action Mappato a QUARANTINE perché il valore è "alert". Mappato anche a security_result.action_details come "avviso".
app target.application Mappato direttamente da app.
appcategory security_result.category_details Mappato direttamente da appcategory.
browser network.http.user_agent Mappato direttamente da browser.
browser_session_id network.session_id Mappato direttamente da browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mappato direttamente da browser_version.
ccl security_result.confidence_details Mappato direttamente da ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type è impostato su "DEVICE". principal.resource.resource_subtype è mappato direttamente da device.
dst_country target.location.country_or_region Mappato direttamente da dst_country.
dst_latitude target.location.region_coordinates.latitude Mappato direttamente da dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mappato direttamente da dst_longitude.
dst_region target.location.name Mappato direttamente da dst_region.
dstip target.ip, target.asset.ip Mappato direttamente da dstip.
metadata.event_type metadata.event_type Impostato su NETWORK_CONNECTION perché sono presenti sia l'entità sia gli indirizzi IP di destinazione e il protocollo non è HTTP.
metadata.product_event_type metadata.product_event_type Mappato direttamente da type.
metadata.product_name metadata.product_name Impostato su "NETSKOPE_ALERT_V2" dal parser.
metadata.vendor_name metadata.vendor_name Impostato su "NETSKOPE_ALERT_V2" dal parser.
object_type additional.fields Aggiunto come coppia chiave-valore a additional.fields, dove la chiave è "object_type" e il valore è il contenuto di object_type.
organization_unit principal.administrative_domain Mappato direttamente da organization_unit.
os principal.platform Mappato a WINDOWS perché il valore corrisponde all'espressione regolare "(?i)Windows.*".
policy security_result.summary Mappato direttamente da policy.
site additional.fields Aggiunta come coppia chiave-valore a additional.fields, dove la chiave è "site" e il valore è il contenuto di site.
src_country principal.location.country_or_region Mappato direttamente da src_country.
src_latitude principal.location.region_coordinates.latitude Mappato direttamente da src_latitude.
src_longitude principal.location.region_coordinates.longitude Mappato direttamente da src_longitude.
src_region principal.location.name Mappato direttamente da src_region.
srcip principal.ip, principal.asset.ip Mappato direttamente da srcip.
timestamp metadata.event_timestamp.seconds Mappato direttamente da timestamp.
type metadata.product_event_type Mappato direttamente da type.
ur_normalized principal.user.email_addresses Mappato direttamente da ur_normalized.
url target.url Mappato direttamente da url.
user principal.user.email_addresses Mappato direttamente da user.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.