本頁面由 Cloud Translation API 翻譯而成。

收集 Netskope 快訊記錄 v2

支援的國家/地區：

Google SecOps SIEM

總覽

這個剖析器會從 JSON 格式的訊息中擷取 Netskope 快訊記錄，並轉換為 Google Security Operations UDM。這項服務會正規化欄位、剖析時間戳記、處理快訊和嚴重程度、擷取網路資訊 (IP、通訊埠、通訊協定)、擴充使用者和檔案資料，以及將欄位對應至 UDM 結構。剖析器也會處理特定 Netskope 活動 (例如登入和資料遺失防護事件)，並新增自訂標籤來強化背景資訊。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體。
Netskope 的特殊存取權。

啟用 Netskope REST API 存取權

使用管理員憑證登入 Netskope 租戶。
依序點選「設定」>「工具」>「REST API v2」。
啟用「REST API 狀態」。
建立新權杖：
1. 按一下「New Token」。
2. 輸入權杖名稱 (例如「Google SecOps 權杖」)。
3. 輸入權杖到期時間。
4. 按一下「新增端點」，選取要搭配權杖使用的 API 端點。
5. 指定端點的權限：
  - 讀取權限包括 GET。
  - 讀取+寫入權限包括 GET、PUT、POST、PATCH 和 DELETE。
  注意： 端點權限各有不同。部分端點 (例如警報和稽核) 只有讀取權限。其他端點 (例如網址清單/檔案端點) 則同時具備讀取和寫入權限。
6. 按一下 [儲存]。
7. 系統會開啟確認方塊，顯示權杖是否建立成功。
8. 按一下「複製權杖」並儲存，以供日後在 API 驗證標頭中使用。
注意： 只有在建立權杖後，才能立即複製權杖。您必須在 API 要求中提供權杖。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

「SIEM 設定」>「動態消息」
內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱，例如「Netskope Alert Logs v2」。
選取「第三方 API」做為「來源類型」。
選取「Netskope V2」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- 驗證 HTTP 標頭：先前以 Netskope-Api-Token:<value> 格式產生的權杖 (例如 Netskope-Api-Token:AAAABBBBCCCC111122223333)。
- API 主機名稱：Netskope REST API 端點的完整網域名稱 (FQDN)，例如 myinstance.goskope.com。
- API 端點：輸入 alerts。
- 內容類型：「alerts」的允許值為「uba」、「securityassessment」、「quarantine」、「remediation」、「policy」、「malware」、「malsite」、「compromisedcredential」、「ctep」、「dlp」、「watchlist」。
點選「下一步」。
在「Finalize」畫面中檢查動態饋給設定，然後按一下「Submit」。

從內容中心設定動態饋給

為下列欄位指定值：

驗證 HTTP 標頭：先前以 Netskope-Api-Token:<value> 格式產生的權杖 (例如 Netskope-Api-Token:AAAABBBBCCCC111122223333)。
API 主機名稱：Netskope REST API 端點的完整網域名稱 (FQDN)，例如 myinstance.goskope.com。
API 端點：輸入 alerts。
內容類型：「alerts」的允許值為「uba」、「securityassessment」、「quarantine」、「remediation」、「policy」、「malware」、「malsite」、「compromisedcredential」、「ctep」、「dlp」、「watchlist」。

進階選項

動態饋給名稱：系統預先填入的值，用於識別動態饋給。
來源類型：將記錄收集到 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
擷取標籤：套用至這個動態饋給所有事件的標籤。

選用：新增動態饋給設定，擷取 Netskope 事件記錄 v2

依序前往「SIEM 設定」>「動態消息」。
按一下「新增」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱 (例如「Netskope Event Logs v2」)。
選取「第三方 API」做為「來源類型」。
選取「Netskope V2」做為「記錄類型」。
點選「下一步」。
指定下列輸入參數的值：
- 驗證 HTTP 標頭：先前以 <key>:<secret> 格式產生的金鑰配對，用於向 Netskope API 進行驗證。
- API 主機名稱：Netskope REST API 端點的完整網域名稱 (FQDN)，例如 myinstance.goskope.com。
- API 端點：輸入 events。
- 內容類型：events 的允許值為 application、audit、connection、incident、infrastructure、network、page。
- 資產命名空間：資產命名空間。
- 擷取標籤：套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面中檢查動態饋給設定，然後按一下「Submit」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`_id`	`metadata.product_log_id`	直接對應自 `_id`。
`access_method`	`extensions.auth.auth_details`	直接對應自 `access_method`。
`action`	`security_result.action`	對應至 `QUARANTINE`，因為值為「alert」。也對應至 `security_result.action_details`，做為「警示」。
`app`	`target.application`	直接對應自 `app`。
`appcategory`	`security_result.category_details`	直接對應自 `appcategory`。
`browser`	`network.http.user_agent`	直接對應自 `browser`。
`browser_session_id`	`network.session_id`	直接對應自 `browser_session_id`。
`browser_version`	`network.http.parsed_user_agent.browser_version`	直接對應自 `browser_version`。
`ccl`	`security_result.confidence_details`	直接對應自 `ccl`。
`device`	`principal.resource.type`、`principal.resource.resource_subtype`	`principal.resource.type` 設為「DEVICE」。「`principal.resource.resource_subtype`」是直接從「`device`」對應而來。
`dst_country`	`target.location.country_or_region`	直接對應自 `dst_country`。
`dst_latitude`	`target.location.region_coordinates.latitude`	直接對應自 `dst_latitude`。
`dst_longitude`	`target.location.region_coordinates.longitude`	直接對應自 `dst_longitude`。
`dst_region`	`target.location.name`	直接對應自 `dst_region`。
`dstip`	`target.ip`、`target.asset.ip`	直接對應自 `dstip`。
`metadata.event_type`	`metadata.event_type`	設為 `NETWORK_CONNECTION`，因為主體和目標 IP 位址都存在，且通訊協定不是 HTTP。
`metadata.product_event_type`	`metadata.product_event_type`	直接對應自 `type`。
`metadata.product_name`	`metadata.product_name`	由剖析器設為「NETSKOPE_ALERT_V2」。
`metadata.vendor_name`	`metadata.vendor_name`	由剖析器設為「NETSKOPE_ALERT_V2」。
`object_type`	`additional.fields`	以鍵/值組合的形式新增至 `additional.fields`，其中鍵為「object_type」，值為 `object_type` 的內容。
`organization_unit`	`principal.administrative_domain`	直接對應自 `organization_unit`。
`os`	`principal.platform`	對應至 `WINDOWS`，因為值符合規則運算式「(?i)Windows.*」。
`policy`	`security_result.summary`	直接對應自 `policy`。
`site`	`additional.fields`	以鍵/值組合的形式新增至 `additional.fields`，其中鍵為「site」，值為 `site` 的內容。
`src_country`	`principal.location.country_or_region`	直接對應自 `src_country`。
`src_latitude`	`principal.location.region_coordinates.latitude`	直接對應自 `src_latitude`。
`src_longitude`	`principal.location.region_coordinates.longitude`	直接對應自 `src_longitude`。
`src_region`	`principal.location.name`	直接對應自 `src_region`。
`srcip`	`principal.ip`、`principal.asset.ip`	直接對應自 `srcip`。
`timestamp`	`metadata.event_timestamp.seconds`	直接對應自 `timestamp`。
`type`	`metadata.product_event_type`	直接對應自 `type`。
`ur_normalized`	`principal.user.email_addresses`	直接對應自 `ur_normalized`。
`url`	`target.url`	直接對應自 `url`。
`user`	`principal.user.email_addresses`	直接對應自 `user`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。