Recopila registros de alertas de Netskope v2

Compatible con:

Descripción general

Este analizador extrae registros de alertas de Netskope de mensajes con formato JSON y los transforma en el UDM de Google Security Operations. Normaliza los campos, analiza las marcas de tiempo, controla las alertas y las gravedades, extrae información de red (IP, puertos y protocolos), enriquece los datos de usuarios y archivos, y asigna campos a la estructura de la UDM. El analizador también controla actividades específicas de Netskope, como los accesos y los eventos de DLP, y agrega etiquetas personalizadas para mejorar el contexto.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Netskope.

Habilita el acceso a la API de REST de Netskope

  1. Accede al usuario de Netskope con tus credenciales de administrador.
  2. Ve a Configuración > Herramientas > API de REST v2.
  3. Habilita Estado de la API de REST.

  4. Crea un token nuevo:

    1. Haz clic en Token nuevo.
    2. Ingresa el nombre del token (por ejemplo, Token de Google SecOps).
    3. Ingresa la hora de vencimiento del token.
    4. Haz clic en Add Endpoint para seleccionar los extremos de la API que se usarán con el token.

    5. Especifica los privilegios del extremo:

      • Los privilegios de lectura incluyen GET.
      • Los privilegios de lectura y escritura incluyen GET, PUT, POST, PATCH y DELETE.

    6. Haz clic en Guardar.

    7. Se abrirá un cuadro de confirmación en el que se mostrará si la creación del token se realizó correctamente.

    8. Haz clic en Copiar token y guárdalo para usarlo más tarde en el encabezado de autenticación de la API.

Configura un feed en Google SecOps para transferir los registros de alertas de Netskope v2

  1. Haz clic en Agregar nueva.
  2. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Netskope Alert Logs v2).
  3. Selecciona API de terceros como el Tipo de origen.
  4. Selecciona Netskope V2 como el Tipo de registro.
  5. Haz clic en Siguiente.
  6. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Es el token generado anteriormente en un formato Netskope-Api-Token:<value> (por ejemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Extremo de API: Ingresa alerts.
    • Tipo de contenido: Los valores permitidos para las alertas son uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp y watchlist.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  7. Haz clic en Siguiente.
  8. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Opcional: Agrega una configuración de feed para transferir los registros de eventos de Netskope v2

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Netskope Event Logs v2).
  4. Selecciona API de terceros como el Tipo de origen.
  5. Selecciona Netskope V2 como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: Es el par de claves generado anteriormente en formato <key>:<secret> que se usa para autenticar en la API de Netskope.
    • Nombre de host de la API: Es el FQDN (nombre de dominio completamente calificado) de tu extremo de API de REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Extremo de API: Ingresa events.
    • Tipo de contenido: Los valores permitidos para los eventos son application, audit, connection, incident, infrastructure, network y page.
    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
_id metadata.product_log_id Se asigna directamente desde _id.
access_method extensions.auth.auth_details Se asigna directamente desde access_method.
action security_result.action Se asigna a QUARANTINE porque el valor es "alert". También se asigna a security_result.action_details como "alert".
app target.application Se asigna directamente desde app.
appcategory security_result.category_details Se asigna directamente desde appcategory.
browser network.http.user_agent Se asigna directamente desde browser.
browser_session_id network.session_id Se asigna directamente desde browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Se asigna directamente desde browser_version.
ccl security_result.confidence_details Se asigna directamente desde ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type se establece en "DEVICE". principal.resource.resource_subtype se asigna directamente desde device.
dst_country target.location.country_or_region Se asigna directamente desde dst_country.
dst_latitude target.location.region_coordinates.latitude Se asigna directamente desde dst_latitude.
dst_longitude target.location.region_coordinates.longitude Se asigna directamente desde dst_longitude.
dst_region target.location.name Se asigna directamente desde dst_region.
dstip target.ip, target.asset.ip Se asigna directamente desde dstip.
metadata.event_type metadata.event_type Se establece en NETWORK_CONNECTION porque están presentes las direcciones IP principal y de destino, y el protocolo no es HTTP.
metadata.product_event_type metadata.product_event_type Se asigna directamente desde type.
metadata.product_name metadata.product_name El analizador lo establece en "NETSKOPE_ALERT_V2".
metadata.vendor_name metadata.vendor_name El analizador lo establece en "NETSKOPE_ALERT_V2".
object_type additional.fields Se agregó como un par clave-valor a additional.fields, en el que la clave es "object_type" y el valor es el contenido de object_type.
organization_unit principal.administrative_domain Se asigna directamente desde organization_unit.
os principal.platform Se asigna a WINDOWS porque el valor coincide con la regex "(?i)Windows.*".
policy security_result.summary Se asigna directamente desde policy.
site additional.fields Se agregó como un par clave-valor a additional.fields, en el que la clave es "sitio" y el valor es el contenido de site.
src_country principal.location.country_or_region Se asigna directamente desde src_country.
src_latitude principal.location.region_coordinates.latitude Se asigna directamente desde src_latitude.
src_longitude principal.location.region_coordinates.longitude Se asigna directamente desde src_longitude.
src_region principal.location.name Se asigna directamente desde src_region.
srcip principal.ip, principal.asset.ip Se asigna directamente desde srcip.
timestamp metadata.event_timestamp.seconds Se asigna directamente desde timestamp.
type metadata.product_event_type Se asigna directamente desde type.
ur_normalized principal.user.email_addresses Se asigna directamente desde ur_normalized.
url target.url Se asigna directamente desde url.
user principal.user.email_addresses Se asigna directamente desde user.

Cambios

2024-09-25

  • Sin embargo, el analizador se creó recientemente.