Collecter les journaux d'alertes Netskope v2

Compatible avec:

Présentation

Cet analyseur extrait les journaux d'alerte Netskope à partir de messages au format JSON, et les transforme en UDM Google Security Operations. Il normalise les champs, analyse les codes temporels, gère les alertes et les niveaux de gravité, extrait des informations réseau (adresses IP, ports, protocoles), enrichit les données utilisateur et de fichier, et mappe les champs sur la structure UDM. L'analyseur gère également des activités Netskope spécifiques, telles que les connexions et les événements de protection contre la perte de données, et ajoute des libellés personnalisés pour améliorer le contexte.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à Netskope.

Activer l'accès à l'API REST Netskope

  1. Connectez-vous au locataire Netskope à l'aide de vos identifiants d'administrateur.
  2. Accédez à Settings > Tools > REST API v2 (Paramètres > Outils > API REST v2).
  3. Activez État de l'API REST.
  4. Créez un jeton:

    1. Cliquez sur Nouveau jeton.
    2. Saisissez le nom du jeton (par exemple, Jeton Google SecOps).
    3. Saisissez l'heure d'expiration du jeton.
    4. Cliquez sur Add Endpoint (Ajouter un point de terminaison) pour sélectionner les points de terminaison de l'API à utiliser avec le jeton.
    5. Spécifiez les droits pour le point de terminaison:

      • Les droits de lecture incluent GET.
      • Les autorisations de lecture et d'écriture incluent GET, PUT, POST, PATCH et DELETE.
    6. Cliquez sur Enregistrer.

    7. Une boîte de confirmation s'affiche pour indiquer si la création du jeton a réussi.

    8. Cliquez sur Copier le jeton, puis enregistrez-le pour l'utiliser ultérieurement dans l'en-tête d'authentification de l'API.

Configurer un flux dans Google SecOps pour ingérer les journaux v2 des alertes Netskope

  1. Cliquez sur Ajouter.
  2. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Netskope Alert Logs v2).
  3. Sélectionnez API tierce comme type de source.
  4. Sélectionnez Netskope V2 comme Type de journal.
  5. Cliquez sur Suivant.
  6. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification:jeton précédemment généré au format Netskope-Api-Token:<value> (par exemple, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nom d'hôte de l'API:nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Netskope (par exemple, myinstance.goskope.com).
    • Point de terminaison de l'API:saisissez alerts.
    • Type de contenu:les valeurs autorisées pour les alertes sont uba, évaluation de la sécurité, mise en quarantaine, correction, règle, logiciel malveillant, site malveillant, identifiants compromis, ctep, dlp et liste de surveillance.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.
  7. Cliquez sur Suivant.
  8. Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Facultatif: Ajoutez une configuration de flux pour ingérer les journaux des événements Netskope v2

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Netskope Event Logs v2).
  4. Sélectionnez API tierce comme type de source.
  5. Sélectionnez Netskope V2 comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • En-tête HTTP d'authentification:paire de clés générée précédemment au format <key>:<secret>, utilisée pour s'authentifier auprès de l'API Netskope.
    • Nom d'hôte de l'API:nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Netskope (par exemple, myinstance.goskope.com).
    • Point de terminaison de l'API:saisissez events.
    • Type de contenu:les valeurs autorisées pour les événements sont application, audit, connexion, incident, infrastructure, réseau et page.
    • Espace de noms des éléments: espace de noms des éléments.
    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
_id metadata.product_log_id Mappé directement à partir de _id.
access_method extensions.auth.auth_details Mappé directement à partir de access_method.
action security_result.action Mappé sur QUARANTINE, car la valeur est "alert". Également mappé sur security_result.action_details en tant que "alerte".
app target.application Mappé directement à partir de app.
appcategory security_result.category_details Mappé directement à partir de appcategory.
browser network.http.user_agent Mappé directement à partir de browser.
browser_session_id network.session_id Mappé directement à partir de browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mappé directement à partir de browser_version.
ccl security_result.confidence_details Mappé directement à partir de ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type est défini sur "DEVICE". principal.resource.resource_subtype est mappé directement à partir de device.
dst_country target.location.country_or_region Mappé directement à partir de dst_country.
dst_latitude target.location.region_coordinates.latitude Mappé directement à partir de dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mappé directement à partir de dst_longitude.
dst_region target.location.name Mappé directement à partir de dst_region.
dstip target.ip, target.asset.ip Mappé directement à partir de dstip.
metadata.event_type metadata.event_type Valeur définie sur NETWORK_CONNECTION, car les adresses IP principales et cibles sont présentes et le protocole n'est pas HTTP.
metadata.product_event_type metadata.product_event_type Mappé directement à partir de type.
metadata.product_name metadata.product_name Défini sur "NETSKOPE_ALERT_V2" par l'analyseur.
metadata.vendor_name metadata.vendor_name Défini sur "NETSKOPE_ALERT_V2" par l'analyseur.
object_type additional.fields Ajouté en tant que paire clé-valeur à additional.fields, où la clé est "object_type" et la valeur est le contenu de object_type.
organization_unit principal.administrative_domain Mappé directement à partir de organization_unit.
os principal.platform Mappé sur WINDOWS, car la valeur correspond à l'expression régulière "(?i)Windows.*".
policy security_result.summary Mappé directement à partir de policy.
site additional.fields Ajouté en tant que paire clé-valeur à additional.fields, où la clé est "site" et la valeur est le contenu de site.
src_country principal.location.country_or_region Mappé directement à partir de src_country.
src_latitude principal.location.region_coordinates.latitude Mappé directement à partir de src_latitude.
src_longitude principal.location.region_coordinates.longitude Mappé directement à partir de src_longitude.
src_region principal.location.name Mappé directement à partir de src_region.
srcip principal.ip, principal.asset.ip Mappé directement à partir de srcip.
timestamp metadata.event_timestamp.seconds Mappé directement à partir de timestamp.
type metadata.product_event_type Mappé directement à partir de type.
ur_normalized principal.user.email_addresses Mappé directement à partir de ur_normalized.
url target.url Mappé directement à partir de url.
user principal.user.email_addresses Mappé directement à partir de user.

Modifications

2024-09-25

  • Analyseur nouvellement créé.