Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log pemberitahuan Netskope v2

Didukung di:

Google SecOps SIEM

Ringkasan

Parser ini mengekstrak log pemberitahuan Netskope dari pesan berformat JSON, yang mengubahnya menjadi UDM Google Security Operations. Fungsi ini menormalisasi kolom, mengurai stempel waktu, menangani pemberitahuan dan tingkat keparahan, mengekstrak informasi jaringan (IP, port, protokol), memperkaya data pengguna dan file, serta memetakan kolom ke struktur UDM. Parser juga menangani aktivitas Netskope tertentu seperti login dan peristiwa DLP serta menambahkan label kustom untuk konteks yang ditingkatkan.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki akses dengan hak istimewa ke Netskope.

Mengaktifkan Akses REST API Netskope

Login ke tenant Netskope menggunakan kredensial administrator Anda.
Buka Setelan > Alat > REST API v2.
Aktifkan Status REST API.
Buat token baru:
1. Klik New Token.
2. Masukkan nama token (misalnya, Google SecOps Token).
3. Masukkan waktu habis masa berlaku token.
4. Klik Add Endpoint untuk memilih endpoint API yang akan digunakan dengan token.
5. Tentukan hak istimewa untuk endpoint:
  - Hak istimewa baca mencakup GET.
  - Hak istimewa Baca+Tulis mencakup GET, PUT, POST, PATCH, dan DELETE.
  Catatan: Hak istimewa endpoint bervariasi. Beberapa endpoint, seperti pemberitahuan dan audit, hanya memiliki hak istimewa Baca. Endpoint lain, seperti endpoint daftar/file URL, memiliki hak istimewa Baca+Tulis.
6. Klik Simpan.
7. Kotak konfirmasi akan terbuka yang menunjukkan apakah pembuatan token berhasil.
8. Klik Salin Token dan simpan untuk digunakan nanti di header Autentikasi API.
Catatan: Satu-satunya opsi untuk menyalin token adalah segera setelah Anda membuatnya. Token ini diperlukan dalam permintaan API Anda.

Mengonfigurasi feed di Google SecOps untuk menyerap log Netskope Alert v2

Klik Tambahkan baru.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Netskope Alert Logs v2).
Pilih Third party API sebagai Source type.
Pilih Netskope V2 sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format Netskope-Api-Token:<value> (misalnya, Netskope-Api-Token:AAAABBBBCCCC111122223333).
- Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint REST API Netskope Anda (misalnya myinstance.goskope.com).
- Endpoint API: Masukkan alerts.
- Jenis Konten: Nilai yang diizinkan untuk notifikasi adalah uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.

Opsional: Menambahkan konfigurasi feed untuk menyerap Log aktivitas Netskope v2

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Netskope Event Logs v2).
Pilih Third party API sebagai Source type.
Pilih Netskope V2 sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Header HTTP Autentikasi: pasangan kunci yang dibuat sebelumnya dalam format <key>:<secret>, digunakan untuk melakukan autentikasi terhadap Netskope API.
- Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) endpoint REST API Netskope Anda (misalnya myinstance.goskope.com).
- Endpoint API: Masukkan events.
- Jenis Konten: Nilai yang diizinkan untuk peristiwa adalah aplikasi, audit, koneksi, insiden, infrastruktur, jaringan, halaman.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`_id`	`metadata.product_log_id`	Dipetakan langsung dari `_id`.
`access_method`	`extensions.auth.auth_details`	Dipetakan langsung dari `access_method`.
`action`	`security_result.action`	Dipetakan ke `QUARANTINE` karena nilainya adalah "alert". Juga dipetakan ke `security_result.action_details` sebagai "alert".
`app`	`target.application`	Dipetakan langsung dari `app`.
`appcategory`	`security_result.category_details`	Dipetakan langsung dari `appcategory`.
`browser`	`network.http.user_agent`	Dipetakan langsung dari `browser`.
`browser_session_id`	`network.session_id`	Dipetakan langsung dari `browser_session_id`.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Dipetakan langsung dari `browser_version`.
`ccl`	`security_result.confidence_details`	Dipetakan langsung dari `ccl`.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` ditetapkan ke "DEVICE". `principal.resource.resource_subtype` dipetakan langsung dari `device`.
`dst_country`	`target.location.country_or_region`	Dipetakan langsung dari `dst_country`.
`dst_latitude`	`target.location.region_coordinates.latitude`	Dipetakan langsung dari `dst_latitude`.
`dst_longitude`	`target.location.region_coordinates.longitude`	Dipetakan langsung dari `dst_longitude`.
`dst_region`	`target.location.name`	Dipetakan langsung dari `dst_region`.
`dstip`	`target.ip`, `target.asset.ip`	Dipetakan langsung dari `dstip`.
`metadata.event_type`	`metadata.event_type`	Tetapkan ke `NETWORK_CONNECTION` karena alamat IP utama dan target ada dan protokolnya bukan HTTP.
`metadata.product_event_type`	`metadata.product_event_type`	Dipetakan langsung dari `type`.
`metadata.product_name`	`metadata.product_name`	Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
`metadata.vendor_name`	`metadata.vendor_name`	Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
`object_type`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke `additional.fields` dengan kunci "object_type" dan nilai adalah konten `object_type`.
`organization_unit`	`principal.administrative_domain`	Dipetakan langsung dari `organization_unit`.
`os`	`principal.platform`	Dipetakan ke `WINDOWS` karena nilainya cocok dengan ekspresi reguler "(?i)Windows.*".
`policy`	`security_result.summary`	Dipetakan langsung dari `policy`.
`site`	`additional.fields`	Ditambahkan sebagai pasangan nilai kunci ke `additional.fields` dengan kunci "situs" dan nilai adalah konten `site`.
`src_country`	`principal.location.country_or_region`	Dipetakan langsung dari `src_country`.
`src_latitude`	`principal.location.region_coordinates.latitude`	Dipetakan langsung dari `src_latitude`.
`src_longitude`	`principal.location.region_coordinates.longitude`	Dipetakan langsung dari `src_longitude`.
`src_region`	`principal.location.name`	Dipetakan langsung dari `src_region`.
`srcip`	`principal.ip`, `principal.asset.ip`	Dipetakan langsung dari `srcip`.
`timestamp`	`metadata.event_timestamp.seconds`	Dipetakan langsung dari `timestamp`.
`type`	`metadata.product_event_type`	Dipetakan langsung dari `type`.
`ur_normalized`	`principal.user.email_addresses`	Dipetakan langsung dari `ur_normalized`.
`url`	`target.url`	Dipetakan langsung dari `url`.
`user`	`principal.user.email_addresses`	Dipetakan langsung dari `user`.

Perubahan

2024-09-25

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.