Konektor Netskope (menggunakan Azure Functions) untuk Microsoft Azure Sentinel
Konektor Netskope Cloud Security Platform menyediakan kemampuan untuk menyerap log dan peristiwa Netskope ke Microsoft Azure Sentinel. Konektor ini memberikan visibilitas ke dalam Peristiwa dan Pemberitahuan Platform Netskope di Microsoft Azure Sentinel untuk meningkatkan kemampuan pemantauan dan investigasi.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
Atribut konektor | Deskripsi |
---|---|
Pengaturan aplikasi | apikey #workspaceid workspaceKey uri timeInterval logTypes logAnalyticsUri (opsional) |
Kode aplikasi fungsi Azure | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1 |
Tabel Log Analytics | Netskope_CL |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | Netskope |
Kueri sampel
10 Pengguna Teratas
Netskope
| summarize count() by SrcUserName
| top 10 by count_
10 Pemberitahuan Teratas
Netskope
| where isnotempty(AlertName)
| summarize count() by AlertName
| top 10 by count_
Prasyarat
Untuk berintegrasi dengan Netskope (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Token NETSKOPE API: Token API Netskope diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Netskope API. Catatan: Akun Netskope diperlukan
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke Netskope untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
Catatan
Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan yang disebarkan sebagai bagian dari solusi. Untuk melihat kode fungsi di Log Analytics, buka bilah Log Analytics/Microsoft Sentinel Logs, klik Functions dan cari alias Netskope dan muat kode fungsi atau klik di sini, pada baris kedua kueri, masukkan nama host perangkat Netskope Anda dan pengidentifikasi unik lainnya untuk logstream. Fungsi ini biasanya membutuhkan waktu 10-15 menit untuk diaktifkan setelah penginstalan/pembaruan solusi.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
LANGKAH 1 - Langkah konfigurasi untuk NETSKOPE API
Ikuti instruksi ini yang disediakan oleh Netskope untuk mendapatkan Token API. Catatan: Akun Netskope diperlukan
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor Netskope, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Token Otorisasi NETSKOPE API, tersedia dengan mudah.
Opsi 1 - Templat Azure Resource Manager (ARM)
Metode ini menyediakan penyebaran otomatis konektor Netskope menggunakan Templat ARM.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Kunci API, dan URI.
- Gunakan skema berikut untuk
uri
nilai:https://<Tenant Name>.goskope.com
Ganti<Tenant Name>
dengan domain Anda. - Interval Waktu default diatur untuk menarik lima (5) menit terakhir data. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai (dalam file function.json, pasca penyebaran) untuk mencegah penyerapan data yang tumpang tindih.
- Jenis Log default diatur untuk menarik semua 6 jenis log yang tersedia (
alert, page, application, audit, infrastructure, network
), hapus apa pun yang tidak diperlukan. - Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan
@Microsoft.KeyVault(SecretUri={Security Identifier})
skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.
- Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.
- Klik Beli untuk menyebarkan.
- Setelah berhasil menyebarkan konektor, unduh Fungsi Kusto untuk menormalkan bidang data. Ikuti langkah-langkah untuk menggunakan alias fungsi Kusto, Netskope.
Opsi 2 - Penyebaran Manual Azure Functions
Metode ini menyediakan instruksi langkah demi langkah untuk menyebarkan konektor Netskope secara manual dengan Azure Function.
1. Buat Aplikasi Fungsi
- Dari Portal Microsoft Azure, navigasikan ke Aplikasi Fungsi, dan pilih + Tambahkan.
- Di tab Dasar , pastikan Tumpukan Runtime diatur ke Powershell Core.
- Di tab Hosting , pastikan jenis paket Konsumsi (Tanpa Server) dipilih.
- Buat perubahan konfigurasi lain yang lebih disukai, jika diperlukan, lalu klik Buat.
2. Impor Kode Aplikasi Fungsi
- Di Aplikasi Fungsi yang baru dibuat, pilih Fungsi di panel kiri dan klik + Tambahkan.
- Pilih Pemicu Timer.
- Masukkan Nama Fungsi unik dan ubah jadwal cron, jika diperlukan. Nilai default diatur untuk menjalankan Aplikasi Fungsi setiap 5 menit. (Catatan: pemicu Timer harus cocok dengan nilai di
timeInterval
bawah ini untuk mencegah data yang tumpang tindih), klik Buat. - Klik Kode + Uji di panel kiri.
-
Salin Kode Aplikasi Fungsi dan tempelkan ke editor Aplikasi
run.ps1
Fungsi. - Klik Simpan.
3. Mengonfigurasi Aplikasi Fungsi
- Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
- Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
- Tambahkan masing-masing dari tujuh (7) pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): ruang kerja apikeyID timeInterval logTypes logAnalyticsUri (opsional)
- Masukkan URI yang sesuai dengan wilayah Anda. Nilai
uri
harus mengikuti skema berikut:https://<Tenant Name>.goskope.com
- Tidak perlu menambahkan parameter berikutnya ke Uri, Aplikasi Fungsi akan menambahkan parameter secara dinamis dalam format yang tepat.- Atur
timeInterval
(dalam menit) ke nilai5
default agar sesuai dengan Pemicu Timer default setiap5
menit. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai untuk mencegah penyerapan data yang tumpang tindih.- Atur ke
logTypes
alert, page, application, audit, infrastructure, network
- Daftar ini mewakili semua jenis log yang tersedia. Pilih jenis log berdasarkan persyaratan pengelogan, yang memisahkan masing-masing dengan satu koma.- Catatan: Jika menggunakan Azure Key Vault, gunakan
@Microsoft.KeyVault(SecretUri={Security Identifier})
skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.- Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut:
https://<CustomerId>.ods.opinsights.azure.us
. 4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan. 5. Setelah berhasil menyebarkan konektor, unduh Fungsi Kusto untuk menormalkan bidang data. Ikuti langkah-langkah untuk menggunakan alias fungsi Kusto, Netskope.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.