Netskope-Benachrichtigungsprotokolle der Version 2 erfassen
Übersicht
Dieser Parser extrahiert Netskope-Benachrichtigungsprotokolle aus JSON-formatierten Nachrichten und wandelt sie in das UDM von Google Security Operations um. Es normalisiert Felder, analysiert Zeitstempel, verarbeitet Benachrichtigungen und Schweregrade, extrahiert Netzwerkinformationen (IP-Adressen, Ports, Protokolle), ergänzt Nutzer- und Dateidaten und ordnet Felder der UDM-Struktur zu. Der Parser verarbeitet auch bestimmte Netskope-Aktivitäten wie Anmeldungen und DLP-Ereignisse und fügt benutzerdefinierte Labels für einen erweiterten Kontext hinzu.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen erhöhte Zugriffsrechte für Netskope.
Netskope REST API-Zugriff aktivieren
- Melden Sie sich mit Ihren Administratoranmeldedaten im Netskope-Tenant an.
- Gehen Sie zu Einstellungen > Tools > REST API v2.
- Aktivieren Sie REST API-Status.
So erstellen Sie ein neues Token:
- Klicken Sie auf Neues Token.
- Geben Sie den Tokennamen ein (z. B. Google SecOps-Token).
- Geben Sie das Ablaufdatum des Tokens ein.
- Klicken Sie auf Endpunkt hinzufügen, um die API-Endpunkte auszuwählen, die mit dem Token verwendet werden sollen.
Geben Sie die Berechtigungen für den Endpunkt an:
- Leseberechtigungen umfassen GET.
- Zu den Lese- und Schreibberechtigungen gehören GET, PUT, POST, PATCH und DELETE.
Klicken Sie auf Speichern.
Es wird ein Bestätigungsfeld geöffnet, in dem angezeigt wird, ob die Tokenerstellung erfolgreich war.
Klicken Sie auf Token kopieren und speichern Sie es für die spätere Verwendung im API-Authentifizierungsheader.
Feed in Google SecOps für die Aufnahme von Netskope-Benachrichtigungsprotokollen v2 konfigurieren
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Benachrichtigungsprotokolle v2.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Netskope V2 als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader:Token, das zuvor im
Netskope-Api-Token:<value>
-Format generiert wurde (z. B. Netskope-Api-Token:AAAABBBBCCCC111122223333). - API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B.
myinstance.goskope.com
. - API-Endpunkt:Geben Sie alerts ein.
- Inhaltstyp:Zulässige Werte für Benachrichtigungen sind uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Authentifizierungsheader:Token, das zuvor im
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Optional: Feedkonfiguration zum Aufnehmen von Netskope-Ereignisprotokollen v2 hinzufügen
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Ereignisprotokolle v2.
- Wählen Sie API eines Drittanbieters als Quelltyp aus.
- Wählen Sie Netskope V2 als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im
<key>:<secret>
-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird. - API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B.
myinstance.goskope.com
. - API-Endpunkt:Geben Sie events ein.
- Inhaltstyp:Zulässige Werte für Ereignisse sind application, audit, connection, incident, infrastructure, network und page.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
_id |
metadata.product_log_id |
Direkt von _id zugeordnet. |
access_method |
extensions.auth.auth_details |
Direkt von access_method zugeordnet. |
action |
security_result.action |
Wird QUARANTINE zugeordnet, da der Wert „alert“ ist. Wird auch als „Benachrichtigung“ zu security_result.action_details zugeordnet. |
app |
target.application |
Direkt von app zugeordnet. |
appcategory |
security_result.category_details |
Direkt von appcategory zugeordnet. |
browser |
network.http.user_agent |
Direkt von browser zugeordnet. |
browser_session_id |
network.session_id |
Direkt von browser_session_id zugeordnet. |
browser_version |
network.http.parsed_user_agent.browser_version |
Direkt von browser_version zugeordnet. |
ccl |
security_result.confidence_details |
Direkt von ccl zugeordnet. |
device |
principal.resource.type , principal.resource.resource_subtype |
principal.resource.type ist auf „DEVICE“ festgelegt. principal.resource.resource_subtype wird direkt von device zugeordnet. |
dst_country |
target.location.country_or_region |
Direkt von dst_country zugeordnet. |
dst_latitude |
target.location.region_coordinates.latitude |
Direkt von dst_latitude zugeordnet. |
dst_longitude |
target.location.region_coordinates.longitude |
Direkt von dst_longitude zugeordnet. |
dst_region |
target.location.name |
Direkt von dst_region zugeordnet. |
dstip |
target.ip , target.asset.ip |
Direkt von dstip zugeordnet. |
metadata.event_type |
metadata.event_type |
Es wurde auf NETWORK_CONNECTION festgelegt, da sowohl die Haupt- als auch die Ziel-IP-Adresse vorhanden sind und das Protokoll nicht HTTP ist. |
metadata.product_event_type |
metadata.product_event_type |
Direkt von type zugeordnet. |
metadata.product_name |
metadata.product_name |
Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt. |
metadata.vendor_name |
metadata.vendor_name |
Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt. |
object_type |
additional.fields |
Als Schlüssel/Wert-Paar zu additional.fields hinzugefügt, wobei „object_type“ der Schlüssel und der Inhalt von object_type der Wert ist. |
organization_unit |
principal.administrative_domain |
Direkt von organization_unit zugeordnet. |
os |
principal.platform |
Wird WINDOWS zugeordnet, da der Wert mit dem regulären Ausdruck „(?i)Windows.*“ übereinstimmt. |
policy |
security_result.summary |
Direkt von policy zugeordnet. |
site |
additional.fields |
Wird additional.fields als Schlüssel/Wert-Paar hinzugefügt, wobei „site“ der Schlüssel und der Inhalt von site der Wert ist. |
src_country |
principal.location.country_or_region |
Direkt von src_country zugeordnet. |
src_latitude |
principal.location.region_coordinates.latitude |
Direkt von src_latitude zugeordnet. |
src_longitude |
principal.location.region_coordinates.longitude |
Direkt von src_longitude zugeordnet. |
src_region |
principal.location.name |
Direkt von src_region zugeordnet. |
srcip |
principal.ip , principal.asset.ip |
Direkt von srcip zugeordnet. |
timestamp |
metadata.event_timestamp.seconds |
Direkt von timestamp zugeordnet. |
type |
metadata.product_event_type |
Direkt von type zugeordnet. |
ur_normalized |
principal.user.email_addresses |
Direkt von ur_normalized zugeordnet. |
url |
target.url |
Direkt von url zugeordnet. |
user |
principal.user.email_addresses |
Direkt von user zugeordnet. |
Änderungen
2024-09-25
- Neu erstellter Parser.