Microsoft Sentinel için Netskope (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Netskope Cloud Security Platform bağlayıcısı, Netskope günlüklerini ve olaylarını Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel'de Netskope Platformu Olayları ve Uyarıları hakkında görünürlük sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Uygulama ayarları apikey
workspaceID
workspaceKey
uri
timeInterval
logTypes
logAnalyticsUri (isteğe bağlı)
Azure işlev uygulaması kodu https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1
Log Analytics tabloları Netskope_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Netskope

Sorgu örnekleri

İlk 10 Kullanıcı

Netskope

| summarize count() by SrcUserName 

| top 10 by count_

İlk 10 Uyarı

Netskope

| where isnotempty(AlertName) 

| summarize count() by AlertName 

| top 10 by count_

Önkoşullar

Netskope ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Netskope API Belirteci: Netskope API Belirteci gereklidir. Netskope API hakkında daha fazla bilgi edinmek için belgelere bakın. Not: Netskope hesabı gereklidir

Satıcı yükleme yönergeleri

Dekont

  • Bu bağlayıcı, günlükleri Microsoft Sentinel'e çekmek üzere Netskope'a bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.
  • Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevinin beklendiği gibi çalışması için ayrıştırıcıya bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve Netskope diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; sorgunun ikinci satırında Netskope cihazlarınızın ana bilgisayar adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Netskope API'sinin yapılandırma adımları

Bir API Belirteci almak için Netskope tarafından sağlanan bu yönergeleri izleyin. Not: Netskope hesabı gereklidir

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

Önemli

Netskope bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve netskope API Yetkilendirme Belirteci'ne sahip olun.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Bu yöntem, ARM Şablonu kullanarak Netskope bağlayıcısının otomatik dağıtımını sağlar.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Anahtarı ve URI'yi girin.

  • Değer için aşağıdaki şemayı uri kullanın: https://<Tenant Name>.goskope.com değerini etki alanınızla değiştirin <Tenant Name> .
  • Varsayılan Zaman Aralığı , verilerin son beş (5) dakikasını çekecek şekilde ayarlanır. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'nin uygun şekilde değiştirilmesi önerilir (function.json dosyasında dağıtım sonrası).
  • Varsayılan Günlük Türleri , kullanılabilir 6 günlük türünün tümünü (alert, page, application, audit, infrastructure, network ) çekecek şekilde ayarlanır; kaldırma gerekli değildir.

    Dekont

    Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.

  1. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
  2. Dağıtmak için Satın Al'a tıklayın.
  3. Bağlayıcıyı başarıyla dağıtdıktan sonra veri alanlarını normalleştirmek için Kusto İşlevi'ni indirin. Kusto işlev diğer adı olan Netskope'u kullanmak için adımları izleyin.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Bu yöntem, Azure İşlevi ile Netskope bağlayıcısını el ile dağıtmak için adım adım yönergeler sağlar.

1. İşlev Uygulaması Oluşturma

  1. Azure portalından İşlev Uygulaması'na gidin ve + Ekle'yi seçin.
  2. Temel Bilgiler sekmesinde Çalışma zamanı yığınının Powershell Core olarak ayarlandığından emin olun.
  3. Barındırma sekmesinde Tüketim (Sunucusuz) plan türünün seçili olduğundan emin olun.
  4. Gerekirse diğer tercih edilebilir yapılandırma değişikliklerini yapın ve Oluştur'a tıklayın.

2. İşlev Uygulama Kodunu İçeri Aktarma

  1. Yeni oluşturulan İşlev Uygulamasında sol bölmedeki İşlevler'i seçin ve + Ekle'ye tıklayın.
  2. Zamanlayıcı Tetikleyicisi'ne tıklayın.
  3. Benzersiz bir İşlev Adı girin ve gerekirse cron zamanlamasını değiştirin. Varsayılan değer, İşlev Uygulamasını 5 dakikada bir çalıştıracak şekilde ayarlanır. (Not: Zamanlayıcı tetikleyicisi, çakışan verileri önlemek için aşağıdaki değerle eşleşmelidir timeInterval ), Oluştur'u seçin.
  4. Sol bölmede Kod + Test'e tıklayın.
  5. İşlev Uygulama Kodu'nu kopyalayın ve İşlev Uygulaması run.ps1 düzenleyicisine yapıştırın.
  6. Kaydet'e tıklayın.

3. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki yedi (7) uygulama ayarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (isteğe bağlı)
  • Bölgenize karşılık gelen URI'yi girin. Değerin uri aşağıdaki şemayı izlemesi gerekir: https://<Tenant Name>.goskope.com - Uri'ye sonraki parametrelerin eklenmesi gerekmez, İşlev Uygulaması parametreleri dinamik olarak uygun biçimde ekler.
  • timeInterval (dakika cinsinden) değerini varsayılan değerine 5 ayarlayarak her 5 dakikanın varsayılan Zamanlayıcı Tetikleyicisine karşılık gelir. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'ni uygun şekilde değiştirmeniz önerilir.
  • logTypesalert, page, application, audit, infrastructure, network olarak ayarlayın- Bu liste tüm kullanılabilir günlük türlerini temsil eder. Günlük gereksinimlerine göre günlük türlerini seçin ve her birini tek bir virgülle ayırın.

    Dekont

    Azure Key Vault kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.

  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
  1. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.
  2. Bağlayıcıyı başarıyla dağıtdıktan sonra veri alanlarını normalleştirmek için Kusto İşlevi'ni indirin. Kusto işlev diğer adı olan Netskope'u kullanmak için adımları izleyin.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.