Raccogliere i log degli avvisi Netskope v2

Supportato in:

Panoramica

Questo parser estrae i log degli avvisi Netskope dai messaggi in formato JSON, trasformandoli nell'UDM di Google Security Operations. Normalizza i campi, analizza i timestamp, gestisce gli avvisi e le severità, estrae le informazioni di rete (IP, porte, protocolli), arricchisce i dati utente e dei file e mappa i campi alla struttura UDM. Il parser gestisce anche attività Netskope specifiche come accessi ed eventi DLP e aggiunge etichette personalizzate per un contesto avanzato.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato a Netskope.

Attivare l'accesso all'API REST di Netskope

  1. Accedi al tenant Netskope utilizzando le tue credenziali di amministratore.
  2. Vai a Impostazioni > Strumenti > API REST v2.
  3. Attiva Stato API REST.
  4. Crea un nuovo token:

    1. Fai clic su Nuovo token.
    2. Inserisci il nome del token (ad esempio Token Google SecOps).
    3. Inserisci l'ora di scadenza del token.
    4. Fai clic su Aggiungi endpoint per selezionare gli endpoint API da utilizzare con il token.
    5. Specifica i privilegi per l'endpoint:

      • I privilegi di lettura includono GET.
      • I privilegi di lettura e scrittura includono GET, PUT, POST, PATCH e DELETE.
    6. Fai clic su Salva.

    7. Viene visualizzata una finestra di conferma che indica se la creazione del token è andata a buon fine.

    8. Fai clic su Copia token e salva il token per utilizzarlo in un secondo momento nell'intestazione di autenticazione API.

Configurare un feed in Google SecOps per importare i log Netskope Alert v2

  1. Fai clic su Aggiungi nuova.
  2. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log degli avvisi Netskope v2).
  3. Seleziona API di terze parti come Tipo di origine.
  4. Seleziona Netskope V2 come Tipo di log.
  5. Fai clic su Avanti.
  6. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione:token generato in precedenza in un formato Netskope-Api-Token:<value> (ad esempio Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
    • Endpoint API: inserisci alerts.
    • Tipo di contenuto: i valori consentiti per alerts sono uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  7. Fai clic su Avanti.
  8. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

(Facoltativo) Aggiungi una configurazione del feed per importare i log eventi Netskope v2

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuova.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Event Logs v2.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Netskope V2 come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione:coppia di chiavi generata in precedenza in formato <key>:<secret>, utilizzata per l'autenticazione all'API Netskope.
    • Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
    • Endpoint API: inserisci events.
    • Tipo di contenuto:i valori consentiti per eventi sono applicazione, audit, connessione, incidente, infrastruttura, rete, pagina.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
_id metadata.product_log_id Mappata direttamente da _id.
access_method extensions.auth.auth_details Mappata direttamente da access_method.
action security_result.action Mappato a QUARANTINE perché il valore è "alert". Mappato anche a security_result.action_details come "avviso".
app target.application Mappata direttamente da app.
appcategory security_result.category_details Mappata direttamente da appcategory.
browser network.http.user_agent Mappata direttamente da browser.
browser_session_id network.session_id Mappata direttamente da browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mappata direttamente da browser_version.
ccl security_result.confidence_details Mappata direttamente da ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type è impostato su "DEVICE". principal.resource.resource_subtype è mappato direttamente da device.
dst_country target.location.country_or_region Mappata direttamente da dst_country.
dst_latitude target.location.region_coordinates.latitude Mappata direttamente da dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mappata direttamente da dst_longitude.
dst_region target.location.name Mappata direttamente da dst_region.
dstip target.ip, target.asset.ip Mappata direttamente da dstip.
metadata.event_type metadata.event_type Impostato su NETWORK_CONNECTION perché sono presenti sia gli indirizzi IP principali che quelli di destinazione e il protocollo non è HTTP.
metadata.product_event_type metadata.product_event_type Mappata direttamente da type.
metadata.product_name metadata.product_name Impostato su "NETSKOPE_ALERT_V2" dall'analizzatore.
metadata.vendor_name metadata.vendor_name Impostato su "NETSKOPE_ALERT_V2" dall'analizzatore.
object_type additional.fields Aggiunto come coppia chiave-valore a additional.fields, dove la chiave è "object_type" e il valore è il contenuto di object_type.
organization_unit principal.administrative_domain Mappata direttamente da organization_unit.
os principal.platform È stato mappato a WINDOWS perché il valore corrisponde all'espressione regolare "(?i)Windows.*".
policy security_result.summary Mappata direttamente da policy.
site additional.fields Aggiunto come coppia chiave-valore a additional.fields, dove la chiave è "sito" e il valore è il contenuto di site.
src_country principal.location.country_or_region Mappata direttamente da src_country.
src_latitude principal.location.region_coordinates.latitude Mappata direttamente da src_latitude.
src_longitude principal.location.region_coordinates.longitude Mappata direttamente da src_longitude.
src_region principal.location.name Mappata direttamente da src_region.
srcip principal.ip, principal.asset.ip Mappata direttamente da srcip.
timestamp metadata.event_timestamp.seconds Mappata direttamente da timestamp.
type metadata.product_event_type Mappata direttamente da type.
ur_normalized principal.user.email_addresses Mappata direttamente da ur_normalized.
url target.url Mappata direttamente da url.
user principal.user.email_addresses Mappata direttamente da user.

Modifiche

2024-09-25

  • Parser appena creato.