Esta página foi traduzida pela API Cloud Translation.

Recolha registos de alertas do Netskope v2

Compatível com:

Google secops SIEM

Vista geral

Este analisador extrai registos de alertas do Netskope de mensagens formatadas em JSON, transformando-os no UDM do Google Security Operations. Normaliza campos, analisa datas/horas, processa alertas e gravidades, extrai informações de rede (IPs, portas, protocolos), enriquece os dados de utilizadores e ficheiros, e mapeia campos para a estrutura UDM. O analisador também processa atividades específicas do Netskope, como inícios de sessão e eventos de DLP, e adiciona etiquetas personalizadas para um contexto melhorado.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao Netskope.

Ative o acesso à API REST da Netskope

Inicie sessão no inquilino do Netskope com as suas credenciais de administrador.
Aceda a Definições > Ferramentas > API REST v2.
Ative o estado da API REST.
Crie um novo token:
1. Clique em Novo token.
2. Introduza o nome do token (por exemplo, Token do Google SecOps).
3. Introduza a hora de validade do token.
4. Clique em Adicionar ponto final para selecionar os pontos finais da API a usar com o token.
5. Especifique os privilégios para o ponto final:
  - Os privilégios de leitura incluem GET.
  - Os privilégios de leitura e escrita incluem GET, PUT, POST, PATCH e DELETE.
  Nota: os privilégios dos pontos finais variam. Alguns pontos finais, como o alerta e a auditoria, só têm o privilégio de leitura. Outros pontos finais, como o ponto final de ficheiro/lista de URLs, têm privilégios de leitura e escrita.
6. Clique em Guardar.
7. É apresentada uma caixa de confirmação a indicar se a criação do token foi bem-sucedida.
8. Clique em Copiar token e guarde-o para utilização posterior no cabeçalho de autenticação da API.
Nota: a única opção para copiar o token é imediatamente após a sua criação. O token é obrigatório nos seus pedidos API.

Configure feeds

Para configurar um feed, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Netskope Alert Logs v2.
Selecione API de terceiros como o Tipo de origem.
Selecione Netskope V2 como o Tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação: token gerado anteriormente num formato Netskope-Api-Token:<value> (por exemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
- Nome de anfitrião da API: o FQDN (nome de domínio totalmente qualificado) do seu ponto final da API REST da Netskope (por exemplo, myinstance.goskope.com).
- Ponto final da API: introduza alerts.
- Tipo de conteúdo: os valores permitidos para alerts são uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp e watchlist.
Clicar em Seguinte.
Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Opcional: adicione uma configuração de feed para carregar registos de eventos v2 do Netskope

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed (por exemplo, Netskope Event Logs v2).
Selecione API de terceiros como o Tipo de origem.
Selecione Netskope V2 como o Tipo de registo.
Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação: par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API Netskope.
- Nome de anfitrião da API: o FQDN (nome de domínio totalmente qualificado) do seu ponto final da API REST da Netskope (por exemplo, myinstance.goskope.com).
- Ponto final da API: introduza events.
- Tipo de conteúdo: os valores permitidos para eventos são aplicação, auditoria, ligação, incidente, infraestrutura, rede e página.
- Espaço de nomes do recurso: o espaço de nomes do recurso.
- Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
Clicar em Seguinte.
Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`_id`	`metadata.product_log_id`	Mapeado diretamente a partir de `_id`.
`access_method`	`extensions.auth.auth_details`	Mapeado diretamente a partir de `access_method`.
`action`	`security_result.action`	Mapeado para `QUARANTINE` porque o valor é "alert". Também mapeado para `security_result.action_details` como "alerta".
`app`	`target.application`	Mapeado diretamente a partir de `app`.
`appcategory`	`security_result.category_details`	Mapeado diretamente a partir de `appcategory`.
`browser`	`network.http.user_agent`	Mapeado diretamente a partir de `browser`.
`browser_session_id`	`network.session_id`	Mapeado diretamente a partir de `browser_session_id`.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Mapeado diretamente a partir de `browser_version`.
`ccl`	`security_result.confidence_details`	Mapeado diretamente a partir de `ccl`.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` está definido como "DEVICE". `principal.resource.resource_subtype` está diretamente mapeado a partir de `device`.
`dst_country`	`target.location.country_or_region`	Mapeado diretamente a partir de `dst_country`.
`dst_latitude`	`target.location.region_coordinates.latitude`	Mapeado diretamente a partir de `dst_latitude`.
`dst_longitude`	`target.location.region_coordinates.longitude`	Mapeado diretamente a partir de `dst_longitude`.
`dst_region`	`target.location.name`	Mapeado diretamente a partir de `dst_region`.
`dstip`	`target.ip`, `target.asset.ip`	Mapeado diretamente a partir de `dstip`.
`metadata.event_type`	`metadata.event_type`	Definido como `NETWORK_CONNECTION` porque os endereços IP principal e de destino estão presentes e o protocolo não é HTTP.
`metadata.product_event_type`	`metadata.product_event_type`	Mapeado diretamente a partir de `type`.
`metadata.product_name`	`metadata.product_name`	Definido como "NETSKOPE_ALERT_V2" pelo analisador.
`metadata.vendor_name`	`metadata.vendor_name`	Definido como "NETSKOPE_ALERT_V2" pelo analisador.
`object_type`	`additional.fields`	Adicionado como um par de chave-valor a `additional.fields`, em que a chave é "object_type" e o valor é o conteúdo de `object_type`.
`organization_unit`	`principal.administrative_domain`	Mapeado diretamente a partir de `organization_unit`.
`os`	`principal.platform`	Mapeado para `WINDOWS` porque o valor corresponde à regex "(?i)Windows.*".
`policy`	`security_result.summary`	Mapeado diretamente a partir de `policy`.
`site`	`additional.fields`	Adicionado como um par de chave-valor a `additional.fields`, em que a chave é "site" e o valor é o conteúdo de `site`.
`src_country`	`principal.location.country_or_region`	Mapeado diretamente a partir de `src_country`.
`src_latitude`	`principal.location.region_coordinates.latitude`	Mapeado diretamente a partir de `src_latitude`.
`src_longitude`	`principal.location.region_coordinates.longitude`	Mapeado diretamente a partir de `src_longitude`.
`src_region`	`principal.location.name`	Mapeado diretamente a partir de `src_region`.
`srcip`	`principal.ip`, `principal.asset.ip`	Mapeado diretamente a partir de `srcip`.
`timestamp`	`metadata.event_timestamp.seconds`	Mapeado diretamente a partir de `timestamp`.
`type`	`metadata.product_event_type`	Mapeado diretamente a partir de `type`.
`ur_normalized`	`principal.user.email_addresses`	Mapeado diretamente a partir de `ur_normalized`.
`url`	`target.url`	Mapeado diretamente a partir de `url`.
`user`	`principal.user.email_addresses`	Mapeado diretamente a partir de `user`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.