Collecter les journaux d'alertes Netskope v2
Présentation
Cet analyseur extrait les journaux d'alerte Netskope à partir de messages au format JSON, et les transforme en UDM Google Security Operations. Il normalise les champs, analyse les codes temporels, gère les alertes et les niveaux de gravité, extrait des informations réseau (adresses IP, ports, protocoles), enrichit les données utilisateur et de fichier, et mappe les champs sur la structure UDM. L'analyseur gère également des activités Netskope spécifiques, telles que les connexions et les événements de protection contre la perte de données, et ajoute des libellés personnalisés pour améliorer le contexte.
Avant de commencer
- Assurez-vous de disposer d'une instance Google SecOps.
- Assurez-vous de disposer d'un accès privilégié à Netskope.
Activer l'accès à l'API REST Netskope
- Connectez-vous au locataire Netskope à l'aide de vos identifiants d'administrateur.
- Accédez à Settings > Tools > REST API v2 (Paramètres > Outils > API REST v2).
- Activez État de l'API REST.
Créez un jeton:
- Cliquez sur Nouveau jeton.
- Saisissez le nom du jeton (par exemple, Jeton Google SecOps).
- Saisissez l'heure d'expiration du jeton.
- Cliquez sur Add Endpoint (Ajouter un point de terminaison) pour sélectionner les points de terminaison de l'API à utiliser avec le jeton.
Spécifiez les droits pour le point de terminaison:
- Les droits de lecture incluent GET.
- Les autorisations de lecture et d'écriture incluent GET, PUT, POST, PATCH et DELETE.
Cliquez sur Enregistrer.
Une boîte de confirmation s'affiche pour indiquer si la création du jeton a réussi.
Cliquez sur Copier le jeton, puis enregistrez-le pour l'utiliser ultérieurement dans l'en-tête d'authentification de l'API.
Configurer un flux dans Google SecOps pour ingérer les journaux v2 des alertes Netskope
- Cliquez sur Ajouter.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Netskope Alert Logs v2).
- Sélectionnez API tierce comme type de source.
- Sélectionnez Netskope V2 comme Type de journal.
- Cliquez sur Suivant.
- Spécifiez les valeurs des paramètres d'entrée suivants :
- En-tête HTTP d'authentification:jeton précédemment généré au format
Netskope-Api-Token:<value>
(par exemple, Netskope-Api-Token:AAAABBBBCCCC111122223333). - Nom d'hôte de l'API:nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Netskope (par exemple,
myinstance.goskope.com
). - Point de terminaison de l'API:saisissez alerts.
- Type de contenu:les valeurs autorisées pour les alertes sont uba, évaluation de la sécurité, mise en quarantaine, correction, règle, logiciel malveillant, site malveillant, identifiants compromis, ctep, dlp et liste de surveillance.
- Espace de noms des éléments: espace de noms des éléments.
- Libellés d'ingestion: libellé appliqué aux événements de ce flux.
- En-tête HTTP d'authentification:jeton précédemment généré au format
- Cliquez sur Suivant.
- Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.
Facultatif: Ajoutez une configuration de flux pour ingérer les journaux des événements Netskope v2
- Accédez à Paramètres du SIEM > Flux.
- Cliquez sur Ajouter.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Netskope Event Logs v2).
- Sélectionnez API tierce comme type de source.
- Sélectionnez Netskope V2 comme Type de journal.
- Cliquez sur Suivant.
- Spécifiez les valeurs des paramètres d'entrée suivants :
- En-tête HTTP d'authentification:paire de clés générée précédemment au format
<key>:<secret>
, utilisée pour s'authentifier auprès de l'API Netskope. - Nom d'hôte de l'API:nom de domaine complet (FQDN) de votre point de terminaison de l'API REST Netskope (par exemple,
myinstance.goskope.com
). - Point de terminaison de l'API:saisissez events.
- Type de contenu:les valeurs autorisées pour les événements sont application, audit, connexion, incident, infrastructure, réseau et page.
- Espace de noms des éléments: espace de noms des éléments.
- Libellés d'ingestion: libellé appliqué aux événements de ce flux.
- En-tête HTTP d'authentification:paire de clés générée précédemment au format
- Cliquez sur Suivant.
- Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.
Tableau de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
_id |
metadata.product_log_id |
Mappé directement à partir de _id . |
access_method |
extensions.auth.auth_details |
Mappé directement à partir de access_method . |
action |
security_result.action |
Mappé sur QUARANTINE , car la valeur est "alert". Également mappé sur security_result.action_details en tant que "alerte". |
app |
target.application |
Mappé directement à partir de app . |
appcategory |
security_result.category_details |
Mappé directement à partir de appcategory . |
browser |
network.http.user_agent |
Mappé directement à partir de browser . |
browser_session_id |
network.session_id |
Mappé directement à partir de browser_session_id . |
browser_version |
network.http.parsed_user_agent.browser_version |
Mappé directement à partir de browser_version . |
ccl |
security_result.confidence_details |
Mappé directement à partir de ccl . |
device |
principal.resource.type , principal.resource.resource_subtype |
principal.resource.type est défini sur "DEVICE". principal.resource.resource_subtype est mappé directement à partir de device . |
dst_country |
target.location.country_or_region |
Mappé directement à partir de dst_country . |
dst_latitude |
target.location.region_coordinates.latitude |
Mappé directement à partir de dst_latitude . |
dst_longitude |
target.location.region_coordinates.longitude |
Mappé directement à partir de dst_longitude . |
dst_region |
target.location.name |
Mappé directement à partir de dst_region . |
dstip |
target.ip , target.asset.ip |
Mappé directement à partir de dstip . |
metadata.event_type |
metadata.event_type |
Valeur définie sur NETWORK_CONNECTION , car les adresses IP principales et cibles sont présentes et le protocole n'est pas HTTP. |
metadata.product_event_type |
metadata.product_event_type |
Mappé directement à partir de type . |
metadata.product_name |
metadata.product_name |
Défini sur "NETSKOPE_ALERT_V2" par l'analyseur. |
metadata.vendor_name |
metadata.vendor_name |
Défini sur "NETSKOPE_ALERT_V2" par l'analyseur. |
object_type |
additional.fields |
Ajouté en tant que paire clé-valeur à additional.fields , où la clé est "object_type" et la valeur est le contenu de object_type . |
organization_unit |
principal.administrative_domain |
Mappé directement à partir de organization_unit . |
os |
principal.platform |
Mappé sur WINDOWS , car la valeur correspond à l'expression régulière "(?i)Windows.*". |
policy |
security_result.summary |
Mappé directement à partir de policy . |
site |
additional.fields |
Ajouté en tant que paire clé-valeur à additional.fields , où la clé est "site" et la valeur est le contenu de site . |
src_country |
principal.location.country_or_region |
Mappé directement à partir de src_country . |
src_latitude |
principal.location.region_coordinates.latitude |
Mappé directement à partir de src_latitude . |
src_longitude |
principal.location.region_coordinates.longitude |
Mappé directement à partir de src_longitude . |
src_region |
principal.location.name |
Mappé directement à partir de src_region . |
srcip |
principal.ip , principal.asset.ip |
Mappé directement à partir de srcip . |
timestamp |
metadata.event_timestamp.seconds |
Mappé directement à partir de timestamp . |
type |
metadata.product_event_type |
Mappé directement à partir de type . |
ur_normalized |
principal.user.email_addresses |
Mappé directement à partir de ur_normalized . |
url |
target.url |
Mappé directement à partir de url . |
user |
principal.user.email_addresses |
Mappé directement à partir de user . |
Modifications
2024-09-25
- Analyseur nouvellement créé.