Raccogliere i log degli avvisi Netskope v2
Panoramica
Questo parser estrae i log degli avvisi Netskope dai messaggi in formato JSON, trasformandoli nell'UDM di Google Security Operations. Normalizza i campi, analizza i timestamp, gestisce gli avvisi e le severità, estrae le informazioni di rete (IP, porte, protocolli), arricchisce i dati utente e dei file e mappa i campi alla struttura UDM. Il parser gestisce anche attività Netskope specifiche come accessi ed eventi DLP e aggiunge etichette personalizzate per un contesto avanzato.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso privilegiato a Netskope.
Attivare l'accesso all'API REST di Netskope
- Accedi al tenant Netskope utilizzando le tue credenziali di amministratore.
- Vai a Impostazioni > Strumenti > API REST v2.
- Attiva Stato API REST.
Crea un nuovo token:
- Fai clic su Nuovo token.
- Inserisci il nome del token (ad esempio Token Google SecOps).
- Inserisci l'ora di scadenza del token.
- Fai clic su Aggiungi endpoint per selezionare gli endpoint API da utilizzare con il token.
Specifica i privilegi per l'endpoint:
- I privilegi di lettura includono GET.
- I privilegi di lettura e scrittura includono GET, PUT, POST, PATCH e DELETE.
Fai clic su Salva.
Viene visualizzata una finestra di conferma che indica se la creazione del token è andata a buon fine.
Fai clic su Copia token e salva il token per utilizzarlo in un secondo momento nell'intestazione di autenticazione API.
Configurare un feed in Google SecOps per importare i log Netskope Alert v2
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log degli avvisi Netskope v2).
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Netskope V2 come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Intestazione HTTP di autenticazione:token generato in precedenza in un formato
Netskope-Api-Token:<value>
(ad esempio Netskope-Api-Token:AAAABBBBCCCC111122223333). - Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint API REST di Netskope (ad esempio
myinstance.goskope.com
). - Endpoint API: inserisci alerts.
- Tipo di contenuto: i valori consentiti per alerts sono uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Intestazione HTTP di autenticazione:token generato in precedenza in un formato
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
(Facoltativo) Aggiungi una configurazione del feed per importare i log eventi Netskope v2
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Event Logs v2.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Netskope V2 come Tipo di log.
- Fai clic su Avanti.
- Specifica i valori per i seguenti parametri di input:
- Intestazione HTTP di autenticazione:coppia di chiavi generata in precedenza in formato
<key>:<secret>
, utilizzata per l'autenticazione all'API Netskope. - Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint API REST di Netskope (ad esempio
myinstance.goskope.com
). - Endpoint API: inserisci events.
- Tipo di contenuto:i valori consentiti per eventi sono applicazione, audit, connessione, incidente, infrastruttura, rete, pagina.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Intestazione HTTP di autenticazione:coppia di chiavi generata in precedenza in formato
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
_id |
metadata.product_log_id |
Mappata direttamente da _id . |
access_method |
extensions.auth.auth_details |
Mappata direttamente da access_method . |
action |
security_result.action |
Mappato a QUARANTINE perché il valore è "alert". Mappato anche a security_result.action_details come "avviso". |
app |
target.application |
Mappata direttamente da app . |
appcategory |
security_result.category_details |
Mappata direttamente da appcategory . |
browser |
network.http.user_agent |
Mappata direttamente da browser . |
browser_session_id |
network.session_id |
Mappata direttamente da browser_session_id . |
browser_version |
network.http.parsed_user_agent.browser_version |
Mappata direttamente da browser_version . |
ccl |
security_result.confidence_details |
Mappata direttamente da ccl . |
device |
principal.resource.type , principal.resource.resource_subtype |
principal.resource.type è impostato su "DEVICE". principal.resource.resource_subtype è mappato direttamente da device . |
dst_country |
target.location.country_or_region |
Mappata direttamente da dst_country . |
dst_latitude |
target.location.region_coordinates.latitude |
Mappata direttamente da dst_latitude . |
dst_longitude |
target.location.region_coordinates.longitude |
Mappata direttamente da dst_longitude . |
dst_region |
target.location.name |
Mappata direttamente da dst_region . |
dstip |
target.ip , target.asset.ip |
Mappata direttamente da dstip . |
metadata.event_type |
metadata.event_type |
Impostato su NETWORK_CONNECTION perché sono presenti sia gli indirizzi IP principali che quelli di destinazione e il protocollo non è HTTP. |
metadata.product_event_type |
metadata.product_event_type |
Mappata direttamente da type . |
metadata.product_name |
metadata.product_name |
Impostato su "NETSKOPE_ALERT_V2" dall'analizzatore. |
metadata.vendor_name |
metadata.vendor_name |
Impostato su "NETSKOPE_ALERT_V2" dall'analizzatore. |
object_type |
additional.fields |
Aggiunto come coppia chiave-valore a additional.fields , dove la chiave è "object_type" e il valore è il contenuto di object_type . |
organization_unit |
principal.administrative_domain |
Mappata direttamente da organization_unit . |
os |
principal.platform |
È stato mappato a WINDOWS perché il valore corrisponde all'espressione regolare "(?i)Windows.*". |
policy |
security_result.summary |
Mappata direttamente da policy . |
site |
additional.fields |
Aggiunto come coppia chiave-valore a additional.fields , dove la chiave è "sito" e il valore è il contenuto di site . |
src_country |
principal.location.country_or_region |
Mappata direttamente da src_country . |
src_latitude |
principal.location.region_coordinates.latitude |
Mappata direttamente da src_latitude . |
src_longitude |
principal.location.region_coordinates.longitude |
Mappata direttamente da src_longitude . |
src_region |
principal.location.name |
Mappata direttamente da src_region . |
srcip |
principal.ip , principal.asset.ip |
Mappata direttamente da srcip . |
timestamp |
metadata.event_timestamp.seconds |
Mappata direttamente da timestamp . |
type |
metadata.product_event_type |
Mappata direttamente da type . |
ur_normalized |
principal.user.email_addresses |
Mappata direttamente da ur_normalized . |
url |
target.url |
Mappata direttamente da url . |
user |
principal.user.email_addresses |
Mappata direttamente da user . |
Modifiche
2024-09-25
- Parser appena creato.