收集 Netskope 快訊記錄 v2
支援的國家/地區:
Google SecOps
SIEM
總覽
這個剖析器會從 JSON 格式的訊息中擷取 Netskope 快訊記錄,並轉換為 Google Security Operations UDM。這項服務會正規化欄位、剖析時間戳記、處理快訊和嚴重程度、擷取網路資訊 (IP、通訊埠、通訊協定)、擴充使用者和檔案資料,以及將欄位對應至 UDM 結構。剖析器也會處理特定的 Netskope 活動 (例如登入和資料遺失防護事件),並新增自訂標籤來強化背景資訊。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- Netskope 的特殊存取權。
在 Netskope 中建立服務帳戶並產生 REST API 權杖
如要與 Google SecOps 整合,您需要在 Netskope 中建立專屬服務帳戶,並產生 API 權杖。
- 使用管理員憑證登入 Netskope 租戶。
- 依序前往「設定」>「管理與角色」。
- 按一下「管理員」分頁標籤,然後選取「服務帳戶」按鈕。
- 在「New Service Account」(新增服務帳戶) 對話方塊中,輸入描述性的服務帳戶名稱 (例如 「Google SecOps Ingestion」)。
- 在「角色」下方,選取具備存取必要 API 端點權限的適當角色 (例如具備讀取快訊權限的自訂角色)。
- 在「REST API Authentication Methods」下方,選取「API Key」。
- 勾選「立即產生權杖並設定到期日」方塊,然後設定所選到期日 (例如 365 天)。
按一下 [建立] 按鈕。
警告:畫面上會顯示新的 REST API 權杖。您必須立即複製並妥善儲存這個權杖。系統日後不會再顯示這個權杖。
請妥善保管這個權杖,因為您需要使用這個權杖在 Google SecOps 中設定動態饋給。
設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Netskope Alert Logs v2」。
- 選取「第三方 API」做為「來源類型」。
- 選取「Netskope V2」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 驗證 HTTP 標頭:先前以
Netskope-Api-Token:<value>格式產生的權杖 (例如 Netskope-Api-Token:AAAABBBBCCCC111122223333)。 - API 主機名稱:Netskope REST API 端點的完整網域名稱 (FQDN),例如
myinstance.goskope.com。 - API 端點:輸入「alerts」。
- 內容類型:alerts 的允許值為 uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist。
- 驗證 HTTP 標頭:先前以
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
選用:新增動態饋給設定,擷取 Netskope 事件記錄 v2
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態饋給」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「Netskope Event Logs v2」)。
- 選取「第三方 API」做為「來源類型」。
- 選取「Netskope V2」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 驗證 HTTP 標頭:先前以
<key>:<secret>格式產生的金鑰配對,用於向 Netskope API 進行驗證。 - API 主機名稱:Netskope REST API 端點的完整網域名稱 (FQDN),例如
myinstance.goskope.com。 - API 端點:輸入「events」。
- 內容類型:events 的允許值為 application、audit、connection、incident、infrastructure、network、page。
- 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- 驗證 HTTP 標頭:先前以
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
_id |
metadata.product_log_id |
直接對應自 _id。 |
access_method |
extensions.auth.auth_details |
直接對應自 access_method。 |
action |
security_result.action |
對應至 QUARANTINE,因為值為「alert」。也對應至 security_result.action_details,做為「警示」。 |
app |
target.application |
直接對應自 app。 |
appcategory |
security_result.category_details |
直接對應自 appcategory。 |
browser |
network.http.user_agent |
直接對應自 browser。 |
browser_session_id |
network.session_id |
直接對應自 browser_session_id。 |
browser_version |
network.http.parsed_user_agent.browser_version |
直接對應自 browser_version。 |
ccl |
security_result.confidence_details |
直接對應自 ccl。 |
device |
principal.resource.type、principal.resource.resource_subtype |
principal.resource.type 設為「DEVICE」。principal.resource.resource_subtype是直接從 device 對應而來。 |
dst_country |
target.location.country_or_region |
直接對應自 dst_country。 |
dst_latitude |
target.location.region_coordinates.latitude |
直接對應自 dst_latitude。 |
dst_longitude |
target.location.region_coordinates.longitude |
直接對應自 dst_longitude。 |
dst_region |
target.location.name |
直接對應自 dst_region。 |
dstip |
target.ip、target.asset.ip |
直接對應自 dstip。 |
metadata.event_type |
metadata.event_type |
設為 NETWORK_CONNECTION,因為主體和目標 IP 位址都存在,且通訊協定不是 HTTP。 |
metadata.product_event_type |
metadata.product_event_type |
直接對應自 type。 |
metadata.product_name |
metadata.product_name |
由剖析器設為「NETSKOPE_ALERT_V2」。 |
metadata.vendor_name |
metadata.vendor_name |
由剖析器設為「NETSKOPE_ALERT_V2」。 |
object_type |
additional.fields |
以鍵/值組合的形式新增至 additional.fields,其中鍵為「object_type」,值為 object_type 的內容。 |
organization_unit |
principal.administrative_domain |
直接對應自 organization_unit。 |
os |
principal.platform |
對應至 WINDOWS,因為值符合規則運算式「(?i)Windows.*」。 |
policy |
security_result.summary |
直接對應自 policy。 |
site |
additional.fields |
以鍵/值組合的形式新增至 additional.fields,其中鍵為「site」,值為 site 的內容。 |
src_country |
principal.location.country_or_region |
直接對應自 src_country。 |
src_latitude |
principal.location.region_coordinates.latitude |
直接對應自 src_latitude。 |
src_longitude |
principal.location.region_coordinates.longitude |
直接對應自 src_longitude。 |
src_region |
principal.location.name |
直接對應自 src_region。 |
srcip |
principal.ip、principal.asset.ip |
直接對應自 srcip。 |
timestamp |
metadata.event_timestamp.seconds |
直接對應自 timestamp。 |
type |
metadata.product_event_type |
直接對應自 type。 |
ur_normalized |
principal.user.email_addresses |
直接對應自 ur_normalized。 |
url |
target.url |
直接對應自 url。 |
user |
principal.user.email_addresses |
直接對應自 user。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。