Netskope アラートログ v1 を収集する

以下でサポートされています。

概要

このパーサーは、JSON 形式のメッセージから Netskope アラートログを抽出し、Google Security Operations UDM に変換します。フィールドの正規化、タイムスタンプの解析、アラートや重大度の処理、ネットワーク情報(IP、ポート、プロトコル)の抽出、ユーザーデータとファイルデータの拡充、フィールドの UDM 構造へのマッピングを行います。また、ログインや DLP イベントなどの特定の Netskope アクティビティを処理し、コンテキストを強化するためのカスタムラベルを追加します。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • Netskope への特権アクセス権があることを確認します。

Netskope REST API アクセスを有効にする

  1. 管理者の認証情報を使用して Netskope テナントにログインします。
  2. [設定] > [ツール] > [REST API v1] に移動します。
  3. Google SecOps 専用の新しい API キーを作成します。
  4. わかりやすい名前を付けます(例: Google SecOps Key)。
  5. 生成されたシークレットをコピーして保存します。

Netskope アラートログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Netskope アラートログ)。
  4. [ソースタイプ] として [サードパーティ API] を選択します。
  5. [Log type] で [Netskope] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • 認証 HTTP ヘッダー: 以前に <key>:<secret> 形式で生成された鍵ペア。Netskope API に対する認証に使用されます。
    • API ホスト名: Netskope REST API エンドポイントの FQDN(完全修飾ドメイン名)(myinstance.goskope.com など)。
    • API エンドポイント: [alerts] と入力します。
    • コンテンツ タイプ: [すべて] と入力します。
    • アセットの名前空間: アセットの名前空間
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

省略可: フィード構成を追加して Netskope イベントログを取り込む

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Netskope イベントログ)。
  4. [ソースタイプ] として [サードパーティ API] を選択します。
  5. [Log type] で [Netskope] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • 認証 HTTP ヘッダー: 以前に <key>:<secret> 形式で生成された鍵ペア。Netskope API に対する認証に使用されます。
    • API ホスト名: Netskope REST API エンドポイントの FQDN(完全修飾ドメイン名)(myinstance.goskope.com など)。
    • API エンドポイント: [events] と入力します。
    • コンテンツ タイプ: 解析するイベントに応じて、[ページ]、[アプリケーション]、[監査]、[インフラストラクチャ]、[ネットワーク] のいずれかを入力します。
    • アセットの名前空間: アセットの名前空間
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
access_method extensions.auth.auth_details access_method フィールドから直接マッピングされます。
action security_result.action action フィールドから直接マッピングされます。action が「alert」または「bypass」の場合は QUARANTINE に設定されます。action が許可されている場合は ALLOWaction がブロックされている場合は BLOCK
action security_result.action_details action フィールドが「アラート」または「バイパス」の場合に、そのフィールドからマッピングされます。
activity security_result.description activity フィールドから直接マッピングされます。
alert is_alert alert が「yes」の場合は true、それ以外の場合は false に設定します。
alert_name - IDM オブジェクトにマッピングされていません。
alert_type security_result.category_details alert_type フィールドから直接マッピングされます。
app target.application app フィールドから直接マッピングされます。
app_activity additional.fields{key:"app_activity", value:{string_value: }} app_activity フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
app_session_id target.resource.attribute.labels{key:"App Session Id", value: } Grok を使用して message フィールドから抽出され、ラベルとして追加されます。
appcategory security_result.category_details category が空の場合、appcategory フィールドから直接マッピングされます。
browser network.http.user_agent 「不明」でない場合、browser フィールドから直接マッピングされます。
browser_version network.http.parsed_user_agent.browser_version browser_version フィールドから直接マッピングされます。
browser_version network.http.parsed_user_agent.family browser_version が存在する場合は「USER_DEFINED」に設定します。
category security_result.category_details category フィールドから直接マッピングされます。
cci security_result.detection_fields{key:"cci", value: } cci フィールドから detection_fields の Key-Value ペアとして直接マッピングされます。
ccl security_result.confidence ccl の値に基づいて設定します。「poor」または「low」は LOW_CONFIDENCE、「medium」は MEDIUM_CONFIDENCE、「high」または「excellent」は HIGH_CONFIDENCE にマッピングします。
ccl security_result.confidence_details ccl フィールドから直接マッピングされます。
client_bytes network.sent_bytes 符号なし整数に変換した後、client_bytes フィールドから直接マッピングされます。
count additional.fields{key:"count", value:{string_value: }} count フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
device principal.resource.resource_subtype device フィールドから直接マッピングされます。
device principal.resource.type device フィールドが存在する場合は「DEVICE」に設定します。
dlp_file target.file.full_path dlp_file フィールドから直接マッピングされます(存在する場合)。存在しない場合は file_path からマッピングされます。
dlp_profile security_result.rule_type dlp_profile フィールドから直接マッピングされます。
dlp_rule security_result.rule_name dlp_rule フィールドから直接マッピングされます。
dlp_rule_severity security_result.severity alert_type が DLP の場合、dlp_rule_severity フィールドから直接マッピングされます。
dlp_rule_severity _severity severity が空の場合、dlp_rule_severity フィールドからマッピングされます。
domain target.asset.hostname domain フィールドから直接マッピングされます。
domain target.hostname domain フィールドから直接マッピングされます。
dsthost target.asset.hostname IP ではなく dstip が空の場合は dsthost フィールドから直接マッピングされ、それ以外の場合は target.hostname にマッピングされます。
dsthost target.hostname IP ではなく、dstip が空でない場合、dsthost フィールドから直接マッピングされます。
dstip target.asset.ip dstip フィールドから直接マッピングされます。
dstip target.ip dstip フィールドから直接マッピングされます。
dstport target.port 整数に変換した後、dstport フィールドから直接マッピングされます。
dst_country target.location.country_or_region dst_country フィールドから直接マッピングされます。
dst_location target.location.city dst_location フィールドから直接マッピングされます。
dst_region target.location.name dst_region フィールドから直接マッピングされます。
file_path target.file.full_path dlp_file が空の場合、file_path フィールドから直接マッピングされます。
file_size target.file.size 符号なし整数に変換した後、file_size フィールドから直接マッピングされます。
file_type target.file.mime_type 「不明」でない場合、file_type フィールドから直接マッピングされます。
from_user network.email.from メールアドレスの場合は、from_user フィールドから直接マッピングされます。
from_user_category principal.resource.attribute.labels{key:"From User Category", value: } from_user_category フィールドから principal.resource.attribute.labels の Key-Value ペアとして直接マッピングされます。
hostname principal.asset.hostname 空でない場合、hostname フィールドから直接マッピングされます。それ以外の場合は、instance_id からマッピングされます。
hostname principal.hostname 空でない場合、hostname フィールドから直接マッピングされます。それ以外の場合は instance_id からマッピングされます。
id.time metadata.event_timestamp 解析され、メタデータの event_timestamp にマッピングされます。
instance_id principal.asset.hostname hostname が空の場合、instance_id フィールドから直接マッピングされます。
instance_id principal.hostname hostname が空の場合、instance_id フィールドから直接マッピングされます。
intermediary intermediary intermediary フィールドから直接マッピングされます。
ip_protocol network.ip_protocol parse_ip_protocol.include ファイルによって解析された後、ip_protocol フィールドからマッピングされます。
is_alert is_alert パーサーによって生成されたフィールド。alert フィールドが「yes」の場合は true に設定します。
is_significant is_significant パーサーによって生成されたフィールド。_severity が「CRITICAL」または「HIGH」の場合は true に設定します。
ja3 network.tls.client.ja3 16 進数パターンと一致する場合は、ja3 フィールドから直接マッピングされます。
ja3s network.tls.server.ja3s 16 進数パターンと一致する場合は、ja3s フィールドから直接マッピングされます。
malware_id security_result.threat_id malware_id フィールドから直接マッピングされます。
malware_name security_result.threat_name malware_name フィールドから直接マッピングされます。
malware_severity security_result.severity 大文字に変換した後、malware_severity フィールドから直接マッピングされます。
malware_type security_result.detection_fields{key:"マルウェアの種類", value: } malware_type フィールドから detection_fields の Key-Value ペアとして直接マッピングされます。
matched_username principal.user.email_addresses メールアドレスの場合は、matched_username フィールドから直接マッピングされます。
md5 target.file.md5 md5 フィールドが空でないか「利用不可」でない場合、このフィールドから直接マッピングされます。
metadata.event_type metadata.event_type 最初は「GENERIC_EVENT」に設定され、他のフィールドに基づいてオーバーライドされる場合があります。srcip または hostnamedstip または dsthost または domain が存在する場合は NETWORK_HTTP に設定します。srcip または hostname が存在し、dstipdsthostdomain が存在しない場合、STATUS_UPDATE に設定します。user が存在する場合は USER_UNCATEGORIZED に設定します。activity が「Introspection Scan」で、shared_with または from_user が存在する場合は、EMAIL_UNCATEGORIZED に設定します。activity が「ログイン失敗」、「ログイン成功」、「ログイン試行」の場合は USER_LOGIN に設定します。
metadata.log_type metadata.log_type 「NETSKOPE_ALERT」に設定します。
metadata.product_log_id metadata.product_log_id _id フィールドから直接マッピングされます。
metadata.product_name metadata.product_name [Netskope Alert] に設定します。
metadata.vendor_name metadata.vendor_name 「Netskope」に設定します。
netskope_pop observer.hostname netskope_pop フィールドから直接マッピングされます。
object additional.fields{key:"Object", value:{string_value: }} object フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
object_id additional.fields{key:"Object id", value:{string_value: }} object_id フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
object_type additional.fields{key:"Object type", value:{string_value: }} object_type フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
organization_unit principal.administrative_domain organization_unit フィールドから直接マッピングされます。
os principal.platform os フィールドからマッピングされます。「Windows」は WINDOWS、「MAC」は MAC、「LINUX」は LINUX にマッピングされます。
os_version principal.platform_version os_version フィールドから直接マッピングされます。
other_categories - IDM オブジェクトにマッピングされていません。
page network.http.referral_url referer が空の場合、page フィールドから直接マッピングされます。
policy security_result.summary policy フィールドから直接マッピングされます。
principal.user.email_addresses principal.user.email_addresses メールアドレスの場合は、user フィールドから統合されます。
protocol network.application_protocol 最初の「/」の後の部分を削除した protocol フィールドから直接マッピングされます。大文字に変換されます。
publisher_cn additional.fields{key:"publisher_cn", value:{string_value: }} publisher_cn フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
publisher_name additional.fields{key:"publisher_name", value:{string_value: }} publisher_name フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
referer network.http.referral_url referer フィールドから直接マッピングされます。
security_result.alert_state security_result.alert_state alert が「yes」の場合は「ALERTING」、alert が「no」の場合は「NOT_ALERTING」、それ以外の場合は「UNSPECIFIED」に設定します。
security_result.category_details security_result.category_details category フィールド、appcategory フィールド、または alert_type フィールドから統合されます。
security_result.confidence security_result.confidence ccl フィールドから派生します。
security_result.confidence_details security_result.confidence_details ccl フィールドから直接マッピングされます。
security_result.description security_result.description activity フィールドから直接マッピングされます。
security_result.rule_name security_result.rule_name dlp_rule フィールドから直接マッピングされます。
security_result.rule_type security_result.rule_type dlp_profile フィールドから直接マッピングされます。
security_result.severity security_result.severity _severity フィールド、malware_severity フィールド、または dlp_rule_severity フィールドから派生します。
security_result.summary security_result.summary policy フィールドから直接マッピングされます。
security_result.threat_id security_result.threat_id malware_id フィールドから直接マッピングされます。
security_result.threat_name security_result.threat_name malware_name フィールドから直接マッピングされます。
server_bytes network.received_bytes 符号なし整数に変換した後、server_bytes フィールドから直接マッピングされます。
severity _severity severity フィールドから直接マッピングされます。
sha256 target.file.sha256 sha256 フィールドから直接マッピングされます。
shared_with network.email.to shared_with フィールドから解析され、メールアドレスの場合は network.email.to 配列に追加されます。
site additional.fields{key:"site", value:{string_value: }} site フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
src_country principal.location.country_or_region src_country フィールドから直接マッピングされます。
src_latitude principal.location.region_latitude src_latitude フィールドから直接マッピングされます。
src_location principal.location.city src_location フィールドから直接マッピングされます。
src_longitude principal.location.region_longitude src_longitude フィールドから直接マッピングされます。
src_region principal.location.name src_region フィールドから直接マッピングされます。
srcip principal.asset.ip Grok を使用して srcip フィールドから抽出され、principal.asset.ip 配列と principal.ip 配列に統合されます。
srcip principal.ip Grok を使用して srcip フィールドから抽出され、principal.asset.ip 配列と principal.ip 配列に統合されます。
srcport principal.port 整数に変換した後、srcport フィールドから直接マッピングされます。
target.user.email_addresses target.user.email_addresses メールアドレスの場合は、to_user フィールドから統合されます。
threat_match_field security_result.detection_fields{key:"Threat Match Field", value: } threat_match_field フィールドから detection_fields の Key-Value ペアとして直接マッピングされます。
timestamp metadata.event_timestamp timestamp フィールドまたは id.time フィールドから解析されます。
to_user target.user.email_addresses to_user フィールドから解析され、メールアドレスの場合は target.user.email_addresses 配列に追加されます。
to_user_category target.resource.attribute.labels{key:"To User Category", value: } to_user_category フィールドから target.resource.attribute.labels の Key-Value ペアとして直接マッピングされます。
traffic_type security_result.detection_fields{key:"traffic_type", value: } traffic_type フィールドから detection_fields の Key-Value ペアとして直接マッピングされます。
tunnel_id additional.fields{key:"tunnel_id", value:{string_value: }} tunnel_id フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
tunnel_type additional.fields{key:"tunnel_type", value:{string_value: }} tunnel_type フィールドから additional.fields の Key-Value ペアとして直接マッピングされます。
type security_result.detection_fields{key:"type", value: } type フィールドから detection_fields の Key-Value ペアとして直接マッピングされます。
ur_normalized - IDM オブジェクトにマッピングされていません。
url target.url url フィールドから直接マッピングされます。
user event.idm.read_only_udm.principal.user.userid user フィールドから直接マッピングされます。
user principal.user.email_addresses メールアドレスの場合は、user フィールドから直接マッピングされます。
useragent network.http.user_agent useragent フィールドから直接マッピングされます。
useragent network.http.parsed_user_agent parseduseragent に変換され、network.http.parsed_user_agent にマッピングされました。
user_agent network.http.user_agent user_agent フィールドから直接マッピングされます。
user_agent network.http.parsed_user_agent parseduseragent に変換され、network.http.parsed_user_agent にマッピングされました。

変更点

2024-06-04

  • 「matched_username」を「principal.user.email_addresses」にマッピングしました。
  • 「action」が「bypass」または「alert」の場合、「action」を「security_result.action_details」にマッピングし、「security_result.action」を「QUARANTINE」に設定しました。
  • 「alert_type」が「DLP」の場合、「dlp_rule_severity」を「security_result.severity」にマッピングしました。

2024-02-19

  • 「client_bytes」のマッピングを「network.received_bytes」から「network.sent_bytes」に変更しました。
  • 「server_bytes」のマッピングを「network.sent_bytes」から「network.received_bytes」に変更しました。

2024-02-08

  • 「useragent」と「user_agent」を「network.http.user_agent」と「network.http.parsed_user_agent」にマッピングしました。

2023-11-10

  • 「srcip」が有効な IP パターンかどうかを確認する Grok パターンを追加しました。
  • 「instance_id」を「principal.hostname」にマッピングしました。
  • 「traffic_type」を「security_result.detection_fields」にマッピングしました。
  • 「app_activity」を「additional.fields」にマッピングしました。
  • 「count」を「additional.fields」にマッピングしました。
  • 「site」を「additional.fields」にマッピングしました。
  • 「device」を「principal.resource.resource_sub_type」にマッピングしました。
  • 「type」を「security_result.detection_fields」にマッピングしました。
  • 「hostname」のマッピングを変更し、「rename」ではなく「replace」を使用しました。
  • 「cci」のマッピングを「additional.fields」から「security_result.detection_fields」に変更しました。
  • 「ccl」のマッピングを「additional.fields」から「security_result.confidence_details」に変更しました。
  • 「ccl」の値に従って「security_result.confidence」に値を入力しました。

2023-07-14

  • バグの修正 -
  • マッピング前に Grok パターンを使用して「browser_session_id」、「app_session_id」の値を抽出しました。
  • フィールド「to_user」をマッピングする前にメールアドレスを検証する条件チェックを追加しました。

2023-07-06

  • 機能強化 -
  • 「dsthost」が IP アドレスかどうかを識別するように Grok パターンを変更しました。
  • 「dsthost」が IP アドレスの場合は「target.ip」にマッピングされ、それ以外の場合は「target.hostname」にマッピングされます。

2023-06-06

  • 機能強化 -
  • 「domain」を「target.hostname」にマッピングしました。
  • 「app_session_id」を「target.resource.attribute.labels」にマッピングしました。
  • 「malware_severity」を「security_result.severity」にマッピングしました。
  • 「malware_type」を「security_result.detection_fields」にマッピングしました。
  • 「threat_match_field」を「security_result.detection_fields」にマッピングしました。
  • 「ja3」を「network.tls.client.ja3」にマッピングしました。
  • 「ja3s」を「network.tls.server.ja3s」にマッピングしました。
  • 「cci」、「ccl」を「additional.fields」にマッピングしました。
  • 「access_method」を「extensions.auth.auth_details」にマッピングしました。
  • 「browser_version」を「network.http.parsed_user_agent.browser_version」にマッピングしました。
  • 「dlp_profile」を「security_result.rule_type」にマッピングしました。
  • 「dlp_rule」を「security_result.rule_name」にマッピングしました。
  • 「netskope_pop」を「observer.hostname」にマッピングしました。
  • 「page」を「network.http.referral_url」にマッピングしました。
  • 「to_user」を「target.user.email_addresses」にマッピングしました。
  • 「to_user_category」を「target.resource.attribute.labels」にマッピングしました。

2023-03-23

  • 機能強化 -
  • 「alert」が「yes」の場合、「security_result.alert_state」を「ALERTING」にマッピングしました。
  • 「alert」が「no」の場合、「security_result.alert_state」を「NOT_ALERTING」にマッピングしました。
  • 「alert」が null の場合、「security_result.alert_state」を「UNSPECIFIED」にマッピングしました。

2022-07-23

  • 「metadata.description」の不要なマッピングを削除しました。

2022-07-01

  • フィールド「os」は「principal.platform」にマッピングされます。
  • フィールド「dsthost」は、「dsthost」が IP の場合は「target.ip」にマッピングされ、それ以外の場合は「target.hostname」にマッピングされます。
  • フィールド「dstport」が「target.port」にマッピングされました。
  • フィールド「srcport」が「principal.port」にマッピングされました。
  • フィールド「user」が「principal.user.email_addresses」にマッピングされます(「user」が有効なメールアドレスの場合)。
  • フィールド「src_latitude」を「principal.location.region_latitude」にマッピングしました。
  • フィールド「src_longitude」を「principal.location.region_longitude」にマッピングしました。
  • フィールド「ip_protocol」は「network.ip_protocol」にマッピングされています。
  • フィールド「client_bytes」が「network.received_bytes」にマッピングされました。
  • フィールド「server_bytes」は「network.sent_bytes」にマッピングされています。
  • フィールド「browser_session_id」を「network.session_id」にマッピングしました。
  • フィールド「network_session_id」は「network.session_id」にマッピングされました。
  • フィールド「appcategory」は「security_result.category_details」にマッピングされました。
  • フィールド「publisher_cn」が「additional.fields[n]」にマッピングされました。
  • フィールド「publisher_name」が「additional.fields[n]」にマッピングされました。
  • フィールド「tunnel_id」が「additional.fields[n]」にマッピングされました。
  • フィールド「tunnel_type」が「additional.fields[n]」にマッピングされました。
  • フィールド「shared_with」のマッピングを「intermediary.user.email_addresses」から「network.email.to」に変更しました。
  • フィールド「network.email.to」のマッピングを「principal.user.email_addresses」から「network.email.from」に変更しました。
  • フィールド「_severity」、「shared_with」、「from_user」、「protocol」の条件付きチェックを追加しました。
  • 次のケースの「metadata.event_type」を変更しました。
  • 「principal.ip or principal.hostname」と「target.ip or target.hostname」が null でない場合は、「GENERIC_EVENT」を「NETWORK_HTTP」にマッピングしました。
  • 「principal.ip」または「principal.hostname」が null でない場合は、「GENERIC_EVENT」を「STATUS_UPDATE」に変更しました。
  • 「principal.user.userid」が null でない場合は、「GENERIC_EVENT」を「USER_UNCATEGORIZED」に変更しました。

2022-06-17

  • バグの修正:
  • 「md5」が「not available」の場合の条件付きチェックを追加しました。