Recolha registos de alertas do Netskope v2

Compatível com:

Vista geral

Este analisador extrai registos de alertas do Netskope de mensagens formatadas em JSON, transformando-os no UDM do Google Security Operations. Normaliza campos, analisa datas/horas, processa alertas e gravidades, extrai informações de rede (IPs, portas, protocolos), enriquece os dados de utilizadores e ficheiros, e mapeia campos para a estrutura UDM. O analisador também processa atividades específicas do Netskope, como inícios de sessão e eventos de DLP, e adiciona etiquetas personalizadas para um contexto melhorado.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao Netskope.

Crie uma conta de serviço e gere um token de API REST no Netskope

Para fazer a integração com o Google SecOps, tem de criar uma conta de serviço dedicada no Netskope e gerar um token da API.

  1. Inicie sessão no inquilino do Netskope com as suas credenciais de administrador.
  2. Navegue para Definições > Administração e funções.
  3. Clique no separador Administradores e, de seguida, selecione o botão Contas de serviço.
  4. Na caixa de diálogo "Nova conta de serviço", introduza um nome da conta de serviço descritivo (por exemplo, "Google SecOps Ingestion").
  5. Em Função, selecione a função adequada que tenha autorizações para aceder aos pontos finais da API necessários (por exemplo, uma função personalizada com acesso de leitura a alertas).
  6. Em Métodos de autenticação da API REST, selecione Chave da API.
  7. Selecione a caixa Gerar token agora com validade e defina o período de validade selecionado (por exemplo, 365 dias).

  8. Clique no botão Criar.

    Aviso: é apresentada uma caixa de diálogo com o novo token da API REST. Tem de copiar e armazenar este token de forma segura imediatamente. Não vai ser apresentado novamente.

  9. Mantenha este token em segurança. Vai precisar dele para configurar o feed no Google SecOps.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Netskope Alert Logs v2.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Netskope V2 como o Tipo de registo.
  7. Clicar em Seguinte.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação: token gerado anteriormente num formato Netskope-Api-Token:<value> (por exemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nome de anfitrião da API: o FQDN (nome de domínio totalmente qualificado) do seu ponto final da API REST da Netskope (por exemplo, myinstance.goskope.com).
    • Ponto final da API: introduza alerts.
    • Tipo de conteúdo: os valores permitidos para alerts são uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp e watchlist.
  9. Clicar em Seguinte.
  10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Opcional: adicione uma configuração de feed para carregar registos de eventos v2 do Netskope

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, Netskope Event Logs v2).
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Netskope V2 como o Tipo de registo.
  7. Clicar em Seguinte.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação: par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API Netskope.
    • Nome de anfitrião da API: o FQDN (nome de domínio totalmente qualificado) do seu ponto final da API REST da Netskope (por exemplo, myinstance.goskope.com).
    • Ponto final da API: introduza events.
    • Tipo de conteúdo: os valores permitidos para events são application, audit, connection, incident, infrastructure, network e page.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
  9. Clicar em Seguinte.
  10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
_id metadata.product_log_id Mapeado diretamente a partir de _id.
access_method extensions.auth.auth_details Mapeado diretamente a partir de access_method.
action security_result.action Mapeado para QUARANTINE porque o valor é "alert". Também mapeado para security_result.action_details como "alerta".
app target.application Mapeado diretamente a partir de app.
appcategory security_result.category_details Mapeado diretamente a partir de appcategory.
browser network.http.user_agent Mapeado diretamente a partir de browser.
browser_session_id network.session_id Mapeado diretamente a partir de browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mapeado diretamente a partir de browser_version.
ccl security_result.confidence_details Mapeado diretamente a partir de ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type está definido como "DEVICE". principal.resource.resource_subtype está diretamente mapeado a partir de device.
dst_country target.location.country_or_region Mapeado diretamente a partir de dst_country.
dst_latitude target.location.region_coordinates.latitude Mapeado diretamente a partir de dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mapeado diretamente a partir de dst_longitude.
dst_region target.location.name Mapeado diretamente a partir de dst_region.
dstip target.ip, target.asset.ip Mapeado diretamente a partir de dstip.
metadata.event_type metadata.event_type Definido como NETWORK_CONNECTION porque os endereços IP principal e de destino estão presentes e o protocolo não é HTTP.
metadata.product_event_type metadata.product_event_type Mapeado diretamente a partir de type.
metadata.product_name metadata.product_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
metadata.vendor_name metadata.vendor_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
object_type additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "object_type" e o valor é o conteúdo de object_type.
organization_unit principal.administrative_domain Mapeado diretamente a partir de organization_unit.
os principal.platform Mapeado para WINDOWS porque o valor corresponde à regex "(?i)Windows.*".
policy security_result.summary Mapeado diretamente a partir de policy.
site additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "site" e o valor é o conteúdo de site.
src_country principal.location.country_or_region Mapeado diretamente a partir de src_country.
src_latitude principal.location.region_coordinates.latitude Mapeado diretamente a partir de src_latitude.
src_longitude principal.location.region_coordinates.longitude Mapeado diretamente a partir de src_longitude.
src_region principal.location.name Mapeado diretamente a partir de src_region.
srcip principal.ip, principal.asset.ip Mapeado diretamente a partir de srcip.
timestamp metadata.event_timestamp.seconds Mapeado diretamente a partir de timestamp.
type metadata.product_event_type Mapeado diretamente a partir de type.
ur_normalized principal.user.email_addresses Mapeado diretamente a partir de ur_normalized.
url target.url Mapeado diretamente a partir de url.
user principal.user.email_addresses Mapeado diretamente a partir de user.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.