Netskope 알림 로그 v2 수집
다음에서 지원:
Google SecOps
SIEM
개요
이 파서는 JSON 형식 메시지에서 Netskope 알림 로그를 추출하여 Google Security Operations UDM으로 변환합니다. 필드를 정규화하고, 타임스탬프를 파싱하고, 알림과 심각도를 처리하고, 네트워크 정보 (IP, 포트, 프로토콜)를 추출하고, 사용자 및 파일 데이터를 보강하고, 필드를 UDM 구조에 매핑합니다. 파서는 로그인, DLP 이벤트와 같은 특정 Netskope 활동도 처리하고 향상된 컨텍스트를 위해 맞춤 라벨을 추가합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Netskope에 대한 액세스 권한 관리
Netskope에서 서비스 계정을 만들고 REST API 토큰 생성하기
Google SecOps와 통합하려면 Netskope에서 전용 서비스 계정을 만들고 API 토큰을 생성해야 합니다.
- 관리자 사용자 인증 정보를 사용하여 Netskope 테넌트에 로그인합니다.
- 설정 > 관리 및 역할로 이동합니다.
- 관리자 탭을 클릭한 다음 서비스 계정 버튼을 선택합니다.
- '새 서비스 계정' 대화상자에 설명이 포함된 서비스 계정 이름을 입력합니다 (예: 'Google SecOps Ingestion')을 사용합니다.
- 역할에서 필요한 API 엔드포인트에 액세스할 수 있는 권한이 있는 적절한 역할을 선택합니다 (예: 알림에 대한 읽기 액세스 권한이 있는 맞춤 역할).
- REST API 인증 방법에서 API 키를 선택합니다.
- 만료와 함께 지금 토큰 생성 체크박스를 선택하고 선택한 만료 기간을 설정합니다 (예: 365일)
만들기 버튼을 클릭합니다.
경고: 새 REST API 토큰이 표시된 대화상자가 나타납니다. 이 토큰을 즉시 복사하여 안전하게 저장해야 합니다. 반드시 복사해 두세요.
이 토큰은 Google SecOps에서 피드를 구성하는 데 필요하므로 안전하게 보관하세요.
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예: Netskope Alert Logs v2).
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Netskope V2를 선택합니다.
- 다음을 클릭합니다.
- 다음 입력 파라미터의 값을 지정합니다.
- 인증 HTTP 헤더: 이전에
Netskope-Api-Token:<value>형식으로 생성된 토큰 (예: Netskope-Api-Token:AAAABBBBCCCC111122223333) - API 호스트 이름: Netskope REST API 엔드포인트의 FQDN (정규화된 도메인 이름)(예:
myinstance.goskope.com)입니다. - API 엔드포인트: alerts를 입력합니다.
- 콘텐츠 유형: 알림에 허용되는 값은 uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist입니다.
- 인증 HTTP 헤더: 이전에
- 다음을 클릭합니다.
- 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
선택사항: Netskope 이벤트 로그 v2를 수집하기 위한 피드 구성 추가
- SIEM 설정 > 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다 (예: Netskope Event Logs v2).
- 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Netskope V2를 선택합니다.
- 다음을 클릭합니다.
- 다음 입력 파라미터의 값을 지정합니다.
- 인증 HTTP 헤더: Netskope API에 대해 인증하는 데 사용되며 이전에
<key>:<secret>형식으로 생성된 키 쌍입니다. - API 호스트 이름: Netskope REST API 엔드포인트의 FQDN (정규화된 도메인 이름)(예:
myinstance.goskope.com)입니다. - API 엔드포인트: events를 입력합니다.
- 콘텐츠 유형: events에 허용되는 값은 application, audit, connection, incident, infrastructure, network, page입니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
- 인증 HTTP 헤더: Netskope API에 대해 인증하는 데 사용되며 이전에
- 다음을 클릭합니다.
- 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
_id |
metadata.product_log_id |
_id에서 직접 매핑됩니다. |
access_method |
extensions.auth.auth_details |
access_method에서 직접 매핑됩니다. |
action |
security_result.action |
값이 'alert'이므로 QUARANTINE에 매핑됩니다. security_result.action_details에도 '알림'으로 매핑됩니다. |
app |
target.application |
app에서 직접 매핑됩니다. |
appcategory |
security_result.category_details |
appcategory에서 직접 매핑됩니다. |
browser |
network.http.user_agent |
browser에서 직접 매핑됩니다. |
browser_session_id |
network.session_id |
browser_session_id에서 직접 매핑됩니다. |
browser_version |
network.http.parsed_user_agent.browser_version |
browser_version에서 직접 매핑됩니다. |
ccl |
security_result.confidence_details |
ccl에서 직접 매핑됩니다. |
device |
principal.resource.type, principal.resource.resource_subtype |
principal.resource.type이(가) 'DEVICE'로 설정됩니다. principal.resource.resource_subtype은 device에서 직접 매핑됩니다. |
dst_country |
target.location.country_or_region |
dst_country에서 직접 매핑됩니다. |
dst_latitude |
target.location.region_coordinates.latitude |
dst_latitude에서 직접 매핑됩니다. |
dst_longitude |
target.location.region_coordinates.longitude |
dst_longitude에서 직접 매핑됩니다. |
dst_region |
target.location.name |
dst_region에서 직접 매핑됩니다. |
dstip |
target.ip, target.asset.ip |
dstip에서 직접 매핑됩니다. |
metadata.event_type |
metadata.event_type |
주 구성원과 대상 IP 주소가 모두 있고 프로토콜이 HTTP가 아니므로 NETWORK_CONNECTION로 설정됩니다. |
metadata.product_event_type |
metadata.product_event_type |
type에서 직접 매핑됩니다. |
metadata.product_name |
metadata.product_name |
파서에 의해 'NETSKOPE_ALERT_V2'로 설정됩니다. |
metadata.vendor_name |
metadata.vendor_name |
파서에 의해 'NETSKOPE_ALERT_V2'로 설정됩니다. |
object_type |
additional.fields |
키가 'object_type'이고 값이 object_type의 콘텐츠인 키-값 쌍으로 additional.fields에 추가됩니다. |
organization_unit |
principal.administrative_domain |
organization_unit에서 직접 매핑됩니다. |
os |
principal.platform |
값이 '(?i)Windows.*' 정규식과 일치하므로 WINDOWS에 매핑됩니다. |
policy |
security_result.summary |
policy에서 직접 매핑됩니다. |
site |
additional.fields |
키가 'site'이고 값이 site의 콘텐츠인 키-값 쌍으로 additional.fields에 추가됩니다. |
src_country |
principal.location.country_or_region |
src_country에서 직접 매핑됩니다. |
src_latitude |
principal.location.region_coordinates.latitude |
src_latitude에서 직접 매핑됩니다. |
src_longitude |
principal.location.region_coordinates.longitude |
src_longitude에서 직접 매핑됩니다. |
src_region |
principal.location.name |
src_region에서 직접 매핑됩니다. |
srcip |
principal.ip, principal.asset.ip |
srcip에서 직접 매핑됩니다. |
timestamp |
metadata.event_timestamp.seconds |
timestamp에서 직접 매핑됩니다. |
type |
metadata.product_event_type |
type에서 직접 매핑됩니다. |
ur_normalized |
principal.user.email_addresses |
ur_normalized에서 직접 매핑됩니다. |
url |
target.url |
url에서 직접 매핑됩니다. |
user |
principal.user.email_addresses |
user에서 직접 매핑됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.