このページは Cloud Translation API によって翻訳されました。

Netskope アラートログ v2 を収集する

以下でサポートされています。

Google SecOpsSIEM

概要

このパーサーは、JSON 形式のメッセージから Netskope アラートログを抽出し、Google Security Operations UDM に変換します。フィールドの正規化、タイムスタンプの解析、アラートや重大度の処理、ネットワーク情報（IP、ポート、プロトコル）の抽出、ユーザーデータとファイルデータの拡充、フィールドの UDM 構造へのマッピングを行います。また、ログインや DLP イベントなどの特定の Netskope アクティビティを処理し、コンテキストを強化するためのカスタムラベルを追加します。

始める前に

Google SecOps インスタンスがあることを確認します。
Netskope に対する特権アクセス権があることを確認します。

Netskope REST API アクセスを有効にする

管理者の認証情報を使用して Netskope テナントにログインします。
[設定] > [ツール] > [REST API v2] に移動します。
[REST API Status] を有効にします。
新しいトークンを作成します。
1. [New Token] をクリックします。
2. トークン名（「Google SecOps Token」など）を入力します。
3. トークンの有効期限を入力します。
4. [エンドポイントを追加] をクリックして、トークンで使用する API エンドポイントを選択します。
5. エンドポイントの権限を指定します。
  - 読み取り権限には GET が含まれます。
  - 読み取りと書き込みの権限には、GET、PUT、POST、PATCH、DELETE が含まれます。
  注: エンドポイントの権限は異なります。アラートや監査などの一部のエンドポイントには、読み取り権限のみが付与されています。URL リスト/ファイルエンドポイントなどの他のエンドポイントには、読み取りと書き込みの両方の権限があります。
6. [保存] をクリックします。
7. トークンの作成が成功したかどうかを示す確認ボックスが表示されます。
8. [トークンをコピー] をクリックして、後で API 認証ヘッダーで使用できるように保存します。
注: トークンをコピーできるのは、トークンを作成した直後のみです。このトークンは API リクエストで必須です。

Netskope アラートログ v2 を取り込むように Google SecOps でフィードを構成する

[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Netskope Alert Logs v2）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] で [Netskope V2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- 認証 HTTP ヘッダー: Netskope-Api-Token:<value> 形式で以前に生成されたトークン（例: Netskope-Api-Token:AAAABBBBCCCC111122223333）。
- API ホスト名: Netskope REST API エンドポイントの FQDN（完全修飾ドメイン名）（例: myinstance.goskope.com）。
- API エンドポイント: [alerts] と入力します。
- Content Type: アラートの有効な値は、uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist です。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

省略可: フィード構成を追加して Netskope イベントログ v2 を取り込む

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Netskope イベントログ v2）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] で [Netskope V2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- 認証 HTTP ヘッダー: 以前に <key>:<secret> 形式で生成された鍵ペア。Netskope API に対する認証に使用されます。
- API ホスト名: Netskope REST API エンドポイントの FQDN（完全修飾ドメイン名）（例: myinstance.goskope.com）。
- API エンドポイント: [events] と入力します。
- Content Type: イベントの有効な値は、アプリケーション、監査、接続、インシデント、インフラストラクチャ、ネットワーク、ページです。
- アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`_id`	`metadata.product_log_id`	`_id` から直接マッピングされます。
`access_method`	`extensions.auth.auth_details`	`access_method` から直接マッピングされます。
`action`	`security_result.action`	値が「alert」であるため、`QUARANTINE` にマッピングされています。また、`security_result.action_details` に「アラート」としてマッピングされています。
`app`	`target.application`	`app` から直接マッピングされます。
`appcategory`	`security_result.category_details`	`appcategory` から直接マッピングされます。
`browser`	`network.http.user_agent`	`browser` から直接マッピングされます。
`browser_session_id`	`network.session_id`	`browser_session_id` から直接マッピングされます。
`browser_version`	`network.http.parsed_user_agent.browser_version`	`browser_version` から直接マッピングされます。
`ccl`	`security_result.confidence_details`	`ccl` から直接マッピングされます。
`device`	`principal.resource.type`、`principal.resource.resource_subtype`	`principal.resource.type` は「DEVICE」に設定されています。`principal.resource.resource_subtype` は `device` から直接マッピングされます。
`dst_country`	`target.location.country_or_region`	`dst_country` から直接マッピングされます。
`dst_latitude`	`target.location.region_coordinates.latitude`	`dst_latitude` から直接マッピングされます。
`dst_longitude`	`target.location.region_coordinates.longitude`	`dst_longitude` から直接マッピングされます。
`dst_region`	`target.location.name`	`dst_region` から直接マッピングされます。
`dstip`	`target.ip`、`target.asset.ip`	`dstip` から直接マッピングされます。
`metadata.event_type`	`metadata.event_type`	プリンシパルとターゲットの両方の IP アドレスが存在し、プロトコルが HTTP ではないため、`NETWORK_CONNECTION` に設定します。
`metadata.product_event_type`	`metadata.product_event_type`	`type` から直接マッピングされます。
`metadata.product_name`	`metadata.product_name`	パーサーによって「NETSKOPE_ALERT_V2」に設定されます。
`metadata.vendor_name`	`metadata.vendor_name`	パーサーによって「NETSKOPE_ALERT_V2」に設定されます。
`object_type`	`additional.fields`	`additional.fields` に Key-Value ペアとして追加されます。キーは「object_type」、値は `object_type` のコンテンツです。
`organization_unit`	`principal.administrative_domain`	`organization_unit` から直接マッピングされます。
`os`	`principal.platform`	値が正規表現「(?i)Windows.*」と一致するため、`WINDOWS` にマッピングされます。
`policy`	`security_result.summary`	`policy` から直接マッピングされます。
`site`	`additional.fields`	`additional.fields` に Key-Value ペアとして追加されました。キーは「site」、値は `site` のコンテンツです。
`src_country`	`principal.location.country_or_region`	`src_country` から直接マッピングされます。
`src_latitude`	`principal.location.region_coordinates.latitude`	`src_latitude` から直接マッピングされます。
`src_longitude`	`principal.location.region_coordinates.longitude`	`src_longitude` から直接マッピングされます。
`src_region`	`principal.location.name`	`src_region` から直接マッピングされます。
`srcip`	`principal.ip`、`principal.asset.ip`	`srcip` から直接マッピングされます。
`timestamp`	`metadata.event_timestamp.seconds`	`timestamp` から直接マッピングされます。
`type`	`metadata.product_event_type`	`type` から直接マッピングされます。
`ur_normalized`	`principal.user.email_addresses`	`ur_normalized` から直接マッピングされます。
`url`	`target.url`	`url` から直接マッピングされます。
`user`	`principal.user.email_addresses`	`user` から直接マッピングされます。

変更点

2024-09-25

新しく作成されたパーサー。