このページは Cloud Translation API によって翻訳されました。

Netskope アラートログ v2 を収集する

以下でサポートされています。

Google SecOps SIEM

概要

このパーサーは、JSON 形式のメッセージから Netskope アラートログを抽出し、Google Security Operations UDM に変換します。フィールドを正規化し、タイムスタンプを解析し、アラートと重大度を処理し、ネットワーク情報（IP、ポート、プロトコル）を抽出し、ユーザーとファイルデータを拡充し、フィールドを UDM 構造にマッピングします。パーサーは、ログインや DLP イベントなどの特定の Netskope アクティビティも処理し、コンテキストを強化するためのカスタムラベルを追加します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス。
Netskope に対する特権アクセス権。

Netskope REST API アクセスを有効にする

管理者認証情報を使用して Netskope テナントにログインします。
[設定] > [ツール] > [REST API v2] に移動します。
[REST API Status] を有効にします。
新しいトークンを作成します。
1. [New Token] をクリックします。
2. トークン名（Google SecOps Token など）を入力します。
3. トークンの有効期限を入力します。
4. [エンドポイントを追加] をクリックして、トークンで使用する API エンドポイントを選択します。
5. エンドポイントの権限を指定します。
  - 読み取り権限には GET が含まれます。
  - 読み取り / 書き込み権限には、GET、PUT、POST、PATCH、DELETE が含まれます。
  注: エンドポイントの権限は異なります。アラートや監査などの一部のエンドポイントには、読み取り権限のみが付与されています。URL リスト/ファイルエンドポイントなどの他のエンドポイントには、読み取りと書き込みの両方の権限があります。
6. [保存] をクリックします。
7. トークンの作成が成功したかどうかを示す確認ボックスが開きます。
8. [Copy Token] をクリックして、API 認証ヘッダーで後で使用できるように保存します。
注: トークンをコピーできるのは、作成直後のみです。このトークンは API リクエストで必要です。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Netskope Alert Logs v2）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [Netskope V2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Authentication HTTP Header: Netskope-Api-Token:<value> 形式で以前に生成されたトークン（例: Netskope-Api-Token:AAAABBBBCCCC111122223333）。
- API ホスト名: Netskope REST API エンドポイントの FQDN（完全修飾ドメイン名）（myinstance.goskope.com など）。
- API エンドポイント: 「alerts」と入力します。
- コンテンツタイプ: アラートに指定できる値は、uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist です。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

Authentication HTTP Header: Netskope-Api-Token:<value> 形式で以前に生成されたトークン（例: Netskope-Api-Token:AAAABBBBCCCC111122223333）。
API ホスト名: Netskope REST API エンドポイントの FQDN（完全修飾ドメイン名）（myinstance.goskope.com など）。
API エンドポイント: 「alerts」と入力します。
コンテンツタイプ: アラートに指定できる値は、uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist です。

詳細オプション

フィード名: フィードを識別する値が事前入力されています。
ソースタイプ: ログを Google SecOps に収集するために使用される方法。
アセット Namespace: フィードに関連付けられた Namespace。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

省略可: Netskope イベントログ v2 を取り込むようにフィード構成を追加する

[SIEM Settings] > [Feeds] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Netskope Event Logs v2）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [Netskope V2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Authentication HTTP Header: 以前に <key>:<secret> 形式で生成されたキーペア。Netskope API に対する認証に使用されます。
- API ホスト名: Netskope REST API エンドポイントの FQDN（完全修飾ドメイン名）（myinstance.goskope.com など）。
- API エンドポイント: 「events」と入力します。
- コンテンツタイプ: events で使用できる値は、application、audit、connection、incident、infrastructure、network、page です。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`_id`	`metadata.product_log_id`	`_id` から直接マッピングされます。
`access_method`	`extensions.auth.auth_details`	`access_method` から直接マッピングされます。
`action`	`security_result.action`	値が「alert」であるため、`QUARANTINE` にマッピングされます。「alert」として `security_result.action_details` にもマッピングされます。
`app`	`target.application`	`app` から直接マッピングされます。
`appcategory`	`security_result.category_details`	`appcategory` から直接マッピングされます。
`browser`	`network.http.user_agent`	`browser` から直接マッピングされます。
`browser_session_id`	`network.session_id`	`browser_session_id` から直接マッピングされます。
`browser_version`	`network.http.parsed_user_agent.browser_version`	`browser_version` から直接マッピングされます。
`ccl`	`security_result.confidence_details`	`ccl` から直接マッピングされます。
`device`	`principal.resource.type`、`principal.resource.resource_subtype`	`principal.resource.type` は「DEVICE」に設定されています。`principal.resource.resource_subtype` は `device` から直接マッピングされます。
`dst_country`	`target.location.country_or_region`	`dst_country` から直接マッピングされます。
`dst_latitude`	`target.location.region_coordinates.latitude`	`dst_latitude` から直接マッピングされます。
`dst_longitude`	`target.location.region_coordinates.longitude`	`dst_longitude` から直接マッピングされます。
`dst_region`	`target.location.name`	`dst_region` から直接マッピングされます。
`dstip`	`target.ip`、`target.asset.ip`	`dstip` から直接マッピングされます。
`metadata.event_type`	`metadata.event_type`	プリンシパルとターゲットの両方の IP アドレスが存在し、プロトコルが HTTP ではないため、`NETWORK_CONNECTION` に設定されています。
`metadata.product_event_type`	`metadata.product_event_type`	`type` から直接マッピングされます。
`metadata.product_name`	`metadata.product_name`	パーサーによって「NETSKOPE_ALERT_V2」に設定されます。
`metadata.vendor_name`	`metadata.vendor_name`	パーサーによって「NETSKOPE_ALERT_V2」に設定されます。
`object_type`	`additional.fields`	キーが「object_type」、値が `object_type` の内容である Key-Value ペアとして `additional.fields` に追加されます。
`organization_unit`	`principal.administrative_domain`	`organization_unit` から直接マッピングされます。
`os`	`principal.platform`	値が正規表現「(?i)Windows.*」と一致するため、`WINDOWS` にマッピングされます。
`policy`	`security_result.summary`	`policy` から直接マッピングされます。
`site`	`additional.fields`	キーが「site」、値が `site` のコンテンツである Key-Value ペアとして `additional.fields` に追加されます。
`src_country`	`principal.location.country_or_region`	`src_country` から直接マッピングされます。
`src_latitude`	`principal.location.region_coordinates.latitude`	`src_latitude` から直接マッピングされます。
`src_longitude`	`principal.location.region_coordinates.longitude`	`src_longitude` から直接マッピングされます。
`src_region`	`principal.location.name`	`src_region` から直接マッピングされます。
`srcip`	`principal.ip`、`principal.asset.ip`	`srcip` から直接マッピングされます。
`timestamp`	`metadata.event_timestamp.seconds`	`timestamp` から直接マッピングされます。
`type`	`metadata.product_event_type`	`type` から直接マッピングされます。
`ur_normalized`	`principal.user.email_addresses`	`ur_normalized` から直接マッピングされます。
`url`	`target.url`	`url` から直接マッピングされます。
`user`	`principal.user.email_addresses`	`user` から直接マッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。