Netskope-Benachrichtigungsprotokolle der Version 2 erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Netskope-Benachrichtigungsprotokolle aus JSON-formatierten Nachrichten und wandelt sie in das UDM von Google Security Operations um. Es normalisiert Felder, analysiert Zeitstempel, verarbeitet Benachrichtigungen und Schweregrade, extrahiert Netzwerkinformationen (IP-Adressen, Ports, Protokolle), ergänzt Nutzer- und Dateidaten und ordnet Felder der UDM-Struktur zu. Der Parser verarbeitet auch bestimmte Netskope-Aktivitäten wie Anmeldungen und DLP-Ereignisse und fügt benutzerdefinierte Labels für einen erweiterten Kontext hinzu.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für Netskope.

Netskope REST API-Zugriff aktivieren

  1. Melden Sie sich mit Ihren Administratoranmeldedaten im Netskope-Tenant an.
  2. Gehen Sie zu Einstellungen > Tools > REST API v2.
  3. Aktivieren Sie REST API-Status.
  4. So erstellen Sie ein neues Token:

    1. Klicken Sie auf Neues Token.
    2. Geben Sie den Tokennamen ein (z. B. Google SecOps-Token).
    3. Geben Sie das Ablaufdatum des Tokens ein.
    4. Klicken Sie auf Endpunkt hinzufügen, um die API-Endpunkte auszuwählen, die mit dem Token verwendet werden sollen.
    5. Geben Sie die Berechtigungen für den Endpunkt an:

      • Leseberechtigungen umfassen GET.
      • Zu den Lese- und Schreibberechtigungen gehören GET, PUT, POST, PATCH und DELETE.
    6. Klicken Sie auf Speichern.

    7. Es wird ein Bestätigungsfeld geöffnet, in dem angezeigt wird, ob die Tokenerstellung erfolgreich war.

    8. Klicken Sie auf Token kopieren und speichern Sie es für die spätere Verwendung im API-Authentifizierungsheader.

Feed in Google SecOps für die Aufnahme von Netskope-Benachrichtigungsprotokollen v2 konfigurieren

  1. Klicken Sie auf Neu hinzufügen.
  2. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Benachrichtigungsprotokolle v2.
  3. Wählen Sie API eines Drittanbieters als Quelltyp aus.
  4. Wählen Sie Netskope V2 als Logtyp aus.
  5. Klicken Sie auf Weiter.
  6. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Authentifizierungsheader:Token, das zuvor im Netskope-Api-Token:<value>-Format generiert wurde (z. B. Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
    • API-Endpunkt:Geben Sie alerts ein.
    • Inhaltstyp:Zulässige Werte für Benachrichtigungen sind uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  7. Klicken Sie auf Weiter.
  8. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Optional: Feedkonfiguration zum Aufnehmen von Netskope-Ereignisprotokollen v2 hinzufügen

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Ereignisprotokolle v2.
  4. Wählen Sie API eines Drittanbieters als Quelltyp aus.
  5. Wählen Sie Netskope V2 als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im <key>:<secret>-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird.
    • API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
    • API-Endpunkt:Geben Sie events ein.
    • Inhaltstyp:Zulässige Werte für Ereignisse sind application, audit, connection, incident, infrastructure, network und page.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
_id metadata.product_log_id Direkt von _id zugeordnet.
access_method extensions.auth.auth_details Direkt von access_method zugeordnet.
action security_result.action Wird QUARANTINE zugeordnet, da der Wert „alert“ ist. Wird auch als „Benachrichtigung“ zu security_result.action_details zugeordnet.
app target.application Direkt von app zugeordnet.
appcategory security_result.category_details Direkt von appcategory zugeordnet.
browser network.http.user_agent Direkt von browser zugeordnet.
browser_session_id network.session_id Direkt von browser_session_id zugeordnet.
browser_version network.http.parsed_user_agent.browser_version Direkt von browser_version zugeordnet.
ccl security_result.confidence_details Direkt von ccl zugeordnet.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type ist auf „DEVICE“ festgelegt. principal.resource.resource_subtype wird direkt von device zugeordnet.
dst_country target.location.country_or_region Direkt von dst_country zugeordnet.
dst_latitude target.location.region_coordinates.latitude Direkt von dst_latitude zugeordnet.
dst_longitude target.location.region_coordinates.longitude Direkt von dst_longitude zugeordnet.
dst_region target.location.name Direkt von dst_region zugeordnet.
dstip target.ip, target.asset.ip Direkt von dstip zugeordnet.
metadata.event_type metadata.event_type Es wurde auf NETWORK_CONNECTION festgelegt, da sowohl die Haupt- als auch die Ziel-IP-Adresse vorhanden sind und das Protokoll nicht HTTP ist.
metadata.product_event_type metadata.product_event_type Direkt von type zugeordnet.
metadata.product_name metadata.product_name Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
metadata.vendor_name metadata.vendor_name Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
object_type additional.fields Als Schlüssel/Wert-Paar zu additional.fields hinzugefügt, wobei „object_type“ der Schlüssel und der Inhalt von object_type der Wert ist.
organization_unit principal.administrative_domain Direkt von organization_unit zugeordnet.
os principal.platform Wird WINDOWS zugeordnet, da der Wert mit dem regulären Ausdruck „(?i)Windows.*“ übereinstimmt.
policy security_result.summary Direkt von policy zugeordnet.
site additional.fields Wird additional.fields als Schlüssel/Wert-Paar hinzugefügt, wobei „site“ der Schlüssel und der Inhalt von site der Wert ist.
src_country principal.location.country_or_region Direkt von src_country zugeordnet.
src_latitude principal.location.region_coordinates.latitude Direkt von src_latitude zugeordnet.
src_longitude principal.location.region_coordinates.longitude Direkt von src_longitude zugeordnet.
src_region principal.location.name Direkt von src_region zugeordnet.
srcip principal.ip, principal.asset.ip Direkt von srcip zugeordnet.
timestamp metadata.event_timestamp.seconds Direkt von timestamp zugeordnet.
type metadata.product_event_type Direkt von type zugeordnet.
ur_normalized principal.user.email_addresses Direkt von ur_normalized zugeordnet.
url target.url Direkt von url zugeordnet.
user principal.user.email_addresses Direkt von user zugeordnet.

Änderungen

2024-09-25

  • Neu erstellter Parser.