此页面由 Cloud Translation API 翻译。

收集 Netskope 提醒日志 v2

支持的语言：

Google SecOps SIEM

概览

此解析器从 JSON 格式的消息中提取 Netskope 提醒日志，并将其转换为 Google Security Operations UDM。它会规范化字段、解析时间戳、处理提醒和严重程度、提取网络信息（IP、端口、协议）、丰富用户和文件数据，并将字段映射到 UDM 结构。解析器还会处理特定的 Netskope 活动（例如登录和 DLP 事件），并添加自定义标签以增强上下文。

准备工作

确保您满足以下前提条件：

Google SecOps 实例。
对 Netskope 的特权访问权限。

启用 Netskope REST API 访问权限

使用管理员凭据登录 Netskope 租户。
依次前往设置 > 工具 > REST API v2。
启用 REST API 状态。
创建新令牌：
1. 点击新建令牌。
2. 输入令牌名称（例如 Google SecOps 令牌）。
3. 输入令牌过期时间。
4. 点击添加端点，选择要与令牌搭配使用的 API 端点。
5. 指定端点的权限：
  - 读取权限包括 GET。
  - 读写权限包括 GET、PUT、POST、PATCH 和 DELETE。
  注意：端点权限各不相同。某些端点（例如提醒和审核）仅具有读取权限。其他端点（例如网址列表/文件端点）同时具有读取和写入权限。
6. 点击保存。
7. 系统会打开一个确认框，显示令牌是否已成功创建。
8. 点击 Copy Token 并保存，以便稍后在 API 身份验证标头中使用。
注意：您只能在创建令牌后立即复制令牌。您需要在 API 请求中提供此令牌。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed：

SIEM 设置 > Feed
内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed，请按以下步骤操作：

依次前往 SIEM 设置 > Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed name（Feed 名称）字段中，输入 Feed 的名称，例如 Netskope Alert Logs v2。
选择第三方 API 作为来源类型。
选择 Netskope V2 作为日志类型。
点击下一步。
为以下输入参数指定值：
- 身份验证 HTTP 标头：之前以 Netskope-Api-Token:<value> 格式生成的令牌（例如 Netskope-Api-Token:AAAABBBBCCCC111122223333）。
- API 主机名：Netskope REST API 端点的 FQDN（完全限定域名），例如 myinstance.goskope.com。
- API 端点：输入 alerts。
- 内容类型：提醒的允许值为 uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist。
点击下一步。
在最终确定界面中检查 Feed 配置，然后点击提交。

设置来自内容中心的 Feed

为以下字段指定值：

身份验证 HTTP 标头：之前以 Netskope-Api-Token:<value> 格式生成的令牌（例如 Netskope-Api-Token:AAAABBBBCCCC111122223333）。
API 主机名：Netskope REST API 端点的 FQDN（完全限定域名），例如 myinstance.goskope.com。
API 端点：输入 alerts。
内容类型：提醒的允许值为 uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist。

高级选项

Feed 名称：用于标识 Feed 的预填充值。
来源类型：用于将日志收集到 Google SecOps 中的方法。
资源命名空间：与 Feed 关联的命名空间。
提取标签：应用于相应 Feed 中所有事件的标签。

可选：添加 Feed 配置以注入 Netskope 事件日志 v2

依次前往 SIEM 设置 > Feed。
点击新增。
在 Feed 名称字段中，输入 Feed 的名称（例如 Netskope Event Logs v2）。
选择第三方 API 作为来源类型。
选择 Netskope V2 作为日志类型。
点击下一步。
为以下输入参数指定值：
- 身份验证 HTTP 标头：之前以 <key>:<secret> 格式生成的密钥对，用于针对 Netskope API 进行身份验证。
- API 主机名：Netskope REST API 端点的 FQDN（完全限定域名），例如 myinstance.goskope.com。
- API 端点：输入 events。
- 内容类型：事件的允许值包括应用、审核、连接、突发事件、基础设施、网络、网页。
- 资源命名空间：资源命名空间。
- 注入标签：应用于此 Feed 中事件的标签。
点击下一步。
在最终确定界面中检查 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
`_id`	`metadata.product_log_id`	直接从 `_id` 映射。
`access_method`	`extensions.auth.auth_details`	直接从 `access_method` 映射。
`action`	`security_result.action`	映射到 `QUARANTINE`，因为值为“alert”。还映射到 `security_result.action_details` 作为“提醒”。
`app`	`target.application`	直接从 `app` 映射。
`appcategory`	`security_result.category_details`	直接从 `appcategory` 映射。
`browser`	`network.http.user_agent`	直接从 `browser` 映射。
`browser_session_id`	`network.session_id`	直接从 `browser_session_id` 映射。
`browser_version`	`network.http.parsed_user_agent.browser_version`	直接从 `browser_version` 映射。
`ccl`	`security_result.confidence_details`	直接从 `ccl` 映射。
`device`	`principal.resource.type`，`principal.resource.resource_subtype`	`principal.resource.type` 设置为“DEVICE”。`principal.resource.resource_subtype` 直接从 `device` 映射。
`dst_country`	`target.location.country_or_region`	直接从 `dst_country` 映射。
`dst_latitude`	`target.location.region_coordinates.latitude`	直接从 `dst_latitude` 映射。
`dst_longitude`	`target.location.region_coordinates.longitude`	直接从 `dst_longitude` 映射。
`dst_region`	`target.location.name`	直接从 `dst_region` 映射。
`dstip`	`target.ip`，`target.asset.ip`	直接从 `dstip` 映射。
`metadata.event_type`	`metadata.event_type`	设置为 `NETWORK_CONNECTION`，因为主账号和目标 IP 地址均存在，且协议不是 HTTP。
`metadata.product_event_type`	`metadata.product_event_type`	直接从 `type` 映射。
`metadata.product_name`	`metadata.product_name`	由解析器设置为“NETSKOPE_ALERT_V2”。
`metadata.vendor_name`	`metadata.vendor_name`	由解析器设置为“NETSKOPE_ALERT_V2”。
`object_type`	`additional.fields`	以键值对的形式添加到 `additional.fields`，其中键为“object_type”，值为 `object_type` 的内容。
`organization_unit`	`principal.administrative_domain`	直接从 `organization_unit` 映射。
`os`	`principal.platform`	映射到 `WINDOWS`，因为该值与正则表达式“(?i)Windows.*”匹配。
`policy`	`security_result.summary`	直接从 `policy` 映射。
`site`	`additional.fields`	以键值对的形式添加到 `additional.fields`，其中键为“site”，值为 `site` 的内容。
`src_country`	`principal.location.country_or_region`	直接从 `src_country` 映射。
`src_latitude`	`principal.location.region_coordinates.latitude`	直接从 `src_latitude` 映射。
`src_longitude`	`principal.location.region_coordinates.longitude`	直接从 `src_longitude` 映射。
`src_region`	`principal.location.name`	直接从 `src_region` 映射。
`srcip`	`principal.ip`，`principal.asset.ip`	直接从 `srcip` 映射。
`timestamp`	`metadata.event_timestamp.seconds`	直接从 `timestamp` 映射。
`type`	`metadata.product_event_type`	直接从 `type` 映射。
`ur_normalized`	`principal.user.email_addresses`	直接从 `ur_normalized` 映射。
`url`	`target.url`	直接从 `url` 映射。
`user`	`principal.user.email_addresses`	直接从 `user` 映射。