Coletar registros de alertas do Netskope v2

Compatível com:

Visão geral

Esse analisador extrai registros de alertas do Netskope de mensagens formatadas em JSON, transformando-os no UDM do Google Security Operations. Ele normaliza campos, analisa timestamps, processa alertas e gravidades, extrai informações de rede (IPs, portas, protocolos), enriquece dados de usuários e arquivos e mapeia campos para a estrutura da UDM. O analisador também processa atividades específicas do Netskope, como logins e eventos de DLP, e adiciona rótulos personalizados para melhorar o contexto.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao Netskope.

Ativar o acesso à API REST do Netskope

  1. Faça login no locatário do Netskope usando suas credenciais de administrador.
  2. Acesse Configurações > Ferramentas > API REST v2.
  3. Ative o Status da API REST.

  4. Crie um novo token:

    1. Clique em Novo token.
    2. Insira o nome do token (por exemplo, Token do Google SecOps).
    3. Insira o tempo de expiração do token.
    4. Clique em Adicionar endpoint para selecionar os endpoints da API a serem usados com o token.

    5. Especifique os privilégios do endpoint:

      • Os privilégios de leitura incluem GET.
      • Os privilégios de leitura e gravação incluem GET, PUT, POST, PATCH e DELETE.

    6. Clique em Salvar.

    7. Uma caixa de confirmação vai aparecer mostrando se a criação do token foi concluída.

    8. Clique em Copiar token e salve para usar depois no cabeçalho de autenticação da API.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Netskope Alert Logs v2.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Netskope V2 como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação:token gerado anteriormente em um formato Netskope-Api-Token:<value> (por exemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
    • Endpoint da API:digite alerts.
    • Tipo de conteúdo:os valores permitidos para alertas são uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Cabeçalho HTTP de autenticação:token gerado anteriormente em um formato Netskope-Api-Token:<value> (por exemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
  • Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
  • Endpoint da API:digite alerts.
  • Tipo de conteúdo:os valores permitidos para alertas são uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.

Opções avançadas

  • Nome do feed:um valor pré-preenchido que identifica o feed.
  • Tipo de origem:método usado para coletar registros no Google SecOps.
  • Namespace do recurso:namespace associado ao feed.
  • Rótulos de ingestão:rótulos aplicados a todos os eventos deste feed.

Opcional: adicione uma configuração de feed para ingerir registros de eventos do Netskope v2

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Netskope Event Logs v2).
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Netskope V2 como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API do Netskope.
    • Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
    • Endpoint da API:digite events.
    • Tipo de conteúdo:os valores permitidos para events são application, audit, connection, incident, infrastructure, network, page.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
_id metadata.product_log_id Mapeado diretamente de _id.
access_method extensions.auth.auth_details Mapeado diretamente de access_method.
action security_result.action Mapeado para QUARANTINE porque o valor é "alert". Também mapeado para security_result.action_details como "alerta".
app target.application Mapeado diretamente de app.
appcategory security_result.category_details Mapeado diretamente de appcategory.
browser network.http.user_agent Mapeado diretamente de browser.
browser_session_id network.session_id Mapeado diretamente de browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mapeado diretamente de browser_version.
ccl security_result.confidence_details Mapeado diretamente de ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type está definido como "DEVICE". principal.resource.resource_subtype é mapeado diretamente de device.
dst_country target.location.country_or_region Mapeado diretamente de dst_country.
dst_latitude target.location.region_coordinates.latitude Mapeado diretamente de dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mapeado diretamente de dst_longitude.
dst_region target.location.name Mapeado diretamente de dst_region.
dstip target.ip, target.asset.ip Mapeado diretamente de dstip.
metadata.event_type metadata.event_type Definido como NETWORK_CONNECTION porque os endereços IP principal e de destino estão presentes e o protocolo não é HTTP.
metadata.product_event_type metadata.product_event_type Mapeado diretamente de type.
metadata.product_name metadata.product_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
metadata.vendor_name metadata.vendor_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
object_type additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "object_type" e o valor é o conteúdo de object_type.
organization_unit principal.administrative_domain Mapeado diretamente de organization_unit.
os principal.platform Mapeado para WINDOWS porque o valor corresponde à regex "(?i)Windows.*".
policy security_result.summary Mapeado diretamente de policy.
site additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "site" e o valor é o conteúdo de site.
src_country principal.location.country_or_region Mapeado diretamente de src_country.
src_latitude principal.location.region_coordinates.latitude Mapeado diretamente de src_latitude.
src_longitude principal.location.region_coordinates.longitude Mapeado diretamente de src_longitude.
src_region principal.location.name Mapeado diretamente de src_region.
srcip principal.ip, principal.asset.ip Mapeado diretamente de srcip.
timestamp metadata.event_timestamp.seconds Mapeado diretamente de timestamp.
type metadata.product_event_type Mapeado diretamente de type.
ur_normalized principal.user.email_addresses Mapeado diretamente de ur_normalized.
url target.url Mapeado diretamente de url.
user principal.user.email_addresses Mapeado diretamente de user.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.