Diese Seite wurde von der Cloud Translation API übersetzt.

Netskope-Benachrichtigungsprotokolle der Version 2 erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser extrahiert Netskope-Benachrichtigungsprotokolle aus JSON-formatierten Nachrichten und wandelt sie in das UDM von Google Security Operations um. Es normalisiert Felder, analysiert Zeitstempel, verarbeitet Benachrichtigungen und Schweregrade, extrahiert Netzwerkinformationen (IP-Adressen, Ports, Protokolle), ergänzt Nutzer- und Dateidaten und ordnet Felder der UDM-Struktur zu. Der Parser verarbeitet auch bestimmte Netskope-Aktivitäten wie Anmeldungen und DLP-Ereignisse und fügt benutzerdefinierte Labels für einen erweiterten Kontext hinzu.

Hinweis

Sie benötigen eine Google SecOps-Instanz.
Sie benötigen erhöhte Zugriffsrechte für Netskope.

Netskope REST API-Zugriff aktivieren

Melden Sie sich mit Ihren Administratoranmeldedaten im Netskope-Tenant an.
Gehen Sie zu Einstellungen > Tools > REST API v2.
Aktivieren Sie REST API-Status.
So erstellen Sie ein neues Token:
1. Klicken Sie auf Neues Token.
2. Geben Sie den Tokennamen ein (z. B. Google SecOps-Token).
3. Geben Sie das Ablaufdatum des Tokens ein.
4. Klicken Sie auf Endpunkt hinzufügen, um die API-Endpunkte auszuwählen, die mit dem Token verwendet werden sollen.
5. Geben Sie die Berechtigungen für den Endpunkt an:
  - Leseberechtigungen umfassen GET.
  - Zu den Lese- und Schreibberechtigungen gehören GET, PUT, POST, PATCH und DELETE.
  Hinweis: Die Endpunktberechtigungen variieren. Für einige Endpunkte wie „Benachrichtigung“ und „Audit“ ist nur die Leseberechtigung verfügbar. Andere Endpunkte, z. B. der Endpunkt für die URL-Liste/Datei, haben sowohl Lese- als auch Schreibberechtigungen.
6. Klicken Sie auf Speichern.
7. Es wird ein Bestätigungsfeld geöffnet, in dem angezeigt wird, ob die Tokenerstellung erfolgreich war.
8. Klicken Sie auf Token kopieren und speichern Sie es für die spätere Verwendung im API-Authentifizierungsheader.
Hinweis: Das Token kann nur direkt nach dem Erstellen kopiert werden. Das Token ist in Ihren API-Anfragen erforderlich.

Feed in Google SecOps für die Aufnahme von Netskope-Benachrichtigungsprotokollen v2 konfigurieren

Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Benachrichtigungsprotokolle v2.
Wählen Sie API eines Drittanbieters als Quelltyp aus.
Wählen Sie Netskope V2 als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader:Token, das zuvor im Netskope-Api-Token:<value>-Format generiert wurde (z. B. Netskope-Api-Token:AAAABBBBCCCC111122223333).
- API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
- API-Endpunkt:Geben Sie alerts ein.
- Inhaltstyp:Zulässige Werte für Benachrichtigungen sind uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Optional: Feedkonfiguration zum Aufnehmen von Netskope-Ereignisprotokollen v2 hinzufügen

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope-Ereignisprotokolle v2.
Wählen Sie API eines Drittanbieters als Quelltyp aus.
Wählen Sie Netskope V2 als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- HTTP-Authentifizierungsheader: Schlüsselpaar, das zuvor im <key>:<secret>-Format generiert wurde und zur Authentifizierung bei der Netskope API verwendet wird.
- API-Hostname:Der FQDN (vollqualifizierter Domainname) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
- API-Endpunkt:Geben Sie events ein.
- Inhaltstyp:Zulässige Werte für Ereignisse sind application, audit, connection, incident, infrastructure, network und page.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`_id`	`metadata.product_log_id`	Direkt von `_id` zugeordnet.
`access_method`	`extensions.auth.auth_details`	Direkt von `access_method` zugeordnet.
`action`	`security_result.action`	Wird `QUARANTINE` zugeordnet, da der Wert „alert“ ist. Wird auch als „Benachrichtigung“ zu `security_result.action_details` zugeordnet.
`app`	`target.application`	Direkt von `app` zugeordnet.
`appcategory`	`security_result.category_details`	Direkt von `appcategory` zugeordnet.
`browser`	`network.http.user_agent`	Direkt von `browser` zugeordnet.
`browser_session_id`	`network.session_id`	Direkt von `browser_session_id` zugeordnet.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Direkt von `browser_version` zugeordnet.
`ccl`	`security_result.confidence_details`	Direkt von `ccl` zugeordnet.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` ist auf „DEVICE“ festgelegt. `principal.resource.resource_subtype` wird direkt von `device` zugeordnet.
`dst_country`	`target.location.country_or_region`	Direkt von `dst_country` zugeordnet.
`dst_latitude`	`target.location.region_coordinates.latitude`	Direkt von `dst_latitude` zugeordnet.
`dst_longitude`	`target.location.region_coordinates.longitude`	Direkt von `dst_longitude` zugeordnet.
`dst_region`	`target.location.name`	Direkt von `dst_region` zugeordnet.
`dstip`	`target.ip`, `target.asset.ip`	Direkt von `dstip` zugeordnet.
`metadata.event_type`	`metadata.event_type`	Es wurde auf `NETWORK_CONNECTION` festgelegt, da sowohl die Haupt- als auch die Ziel-IP-Adresse vorhanden sind und das Protokoll nicht HTTP ist.
`metadata.product_event_type`	`metadata.product_event_type`	Direkt von `type` zugeordnet.
`metadata.product_name`	`metadata.product_name`	Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
`metadata.vendor_name`	`metadata.vendor_name`	Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
`object_type`	`additional.fields`	Als Schlüssel/Wert-Paar zu `additional.fields` hinzugefügt, wobei „object_type“ der Schlüssel und der Inhalt von `object_type` der Wert ist.
`organization_unit`	`principal.administrative_domain`	Direkt von `organization_unit` zugeordnet.
`os`	`principal.platform`	Wird `WINDOWS` zugeordnet, da der Wert mit dem regulären Ausdruck „(?i)Windows.*“ übereinstimmt.
`policy`	`security_result.summary`	Direkt von `policy` zugeordnet.
`site`	`additional.fields`	Wird `additional.fields` als Schlüssel/Wert-Paar hinzugefügt, wobei „site“ der Schlüssel und der Inhalt von `site` der Wert ist.
`src_country`	`principal.location.country_or_region`	Direkt von `src_country` zugeordnet.
`src_latitude`	`principal.location.region_coordinates.latitude`	Direkt von `src_latitude` zugeordnet.
`src_longitude`	`principal.location.region_coordinates.longitude`	Direkt von `src_longitude` zugeordnet.
`src_region`	`principal.location.name`	Direkt von `src_region` zugeordnet.
`srcip`	`principal.ip`, `principal.asset.ip`	Direkt von `srcip` zugeordnet.
`timestamp`	`metadata.event_timestamp.seconds`	Direkt von `timestamp` zugeordnet.
`type`	`metadata.product_event_type`	Direkt von `type` zugeordnet.
`ur_normalized`	`principal.user.email_addresses`	Direkt von `ur_normalized` zugeordnet.
`url`	`target.url`	Direkt von `url` zugeordnet.
`user`	`principal.user.email_addresses`	Direkt von `user` zugeordnet.

Änderungen

2024-09-25

Neu erstellter Parser.