Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log degli avvisi Netskope v2

Supportato in:

Google SecOps SIEM

Panoramica

Questo parser estrae i log degli avvisi Netskope dai messaggi in formato JSON, trasformandoli nell'UDM di Google Security Operations. Normalizza i campi, analizza i timestamp, gestisce gli avvisi e le severità, estrae le informazioni di rete (IP, porte, protocolli), arricchisce i dati utente e dei file e mappa i campi alla struttura UDM. Il parser gestisce anche attività Netskope specifiche come accessi ed eventi DLP e aggiunge etichette personalizzate per un contesto avanzato.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di disporre dell'accesso privilegiato a Netskope.

Attivare l'accesso all'API REST di Netskope

Accedi al tenant Netskope utilizzando le tue credenziali di amministratore.
Vai a Impostazioni > Strumenti > API REST v2.
Attiva Stato API REST.
Crea un nuovo token:
1. Fai clic su Nuovo token.
2. Inserisci il nome del token (ad esempio Token Google SecOps).
3. Inserisci l'ora di scadenza del token.
4. Fai clic su Aggiungi endpoint per selezionare gli endpoint API da utilizzare con il token.
5. Specifica i privilegi per l'endpoint:
  - I privilegi di lettura includono GET.
  - I privilegi di lettura e scrittura includono GET, PUT, POST, PATCH e DELETE.
  Nota: i privilegi degli endpoint variano. Alcuni endpoint, come avviso e controllo, hanno solo il privilegio Lettura. Altri endpoint, come l'endpoint file/elenco di URL, dispongono sia dei privilegi di lettura che di scrittura.
6. Fai clic su Salva.
7. Viene visualizzata una finestra di conferma che indica se la creazione del token è andata a buon fine.
8. Fai clic su Copia token e salva il token per utilizzarlo in un secondo momento nell'intestazione di autenticazione API.
Nota: l'unica opzione per copiare il token è subito dopo averlo creato. Il token è obbligatorio nelle richieste API.

Configurare un feed in Google SecOps per importare i log Netskope Alert v2

Fai clic su Aggiungi nuova.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log degli avvisi Netskope v2).
Seleziona API di terze parti come Tipo di origine.
Seleziona Netskope V2 come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Intestazione HTTP di autenticazione:token generato in precedenza in un formato Netskope-Api-Token:<value> (ad esempio Netskope-Api-Token:AAAABBBBCCCC111122223333).
- Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
- Endpoint API: inserisci alerts.
- Tipo di contenuto: i valori consentiti per alerts sono uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
Fai clic su Avanti.
Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

(Facoltativo) Aggiungi una configurazione del feed per importare i log eventi Netskope v2

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuova.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Event Logs v2.
Seleziona API di terze parti come Tipo di origine.
Seleziona Netskope V2 come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Intestazione HTTP di autenticazione:coppia di chiavi generata in precedenza in formato <key>:<secret>, utilizzata per l'autenticazione all'API Netskope.
- Nome host dell'API:il FQDN (nome di dominio completo) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
- Endpoint API: inserisci events.
- Tipo di contenuto:i valori consentiti per eventi sono applicazione, audit, connessione, incidente, infrastruttura, rete, pagina.
- Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
Fai clic su Avanti.
Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`_id`	`metadata.product_log_id`	Mappata direttamente da `_id`.
`access_method`	`extensions.auth.auth_details`	Mappata direttamente da `access_method`.
`action`	`security_result.action`	Mappato a `QUARANTINE` perché il valore è "alert". Mappato anche a `security_result.action_details` come "avviso".
`app`	`target.application`	Mappata direttamente da `app`.
`appcategory`	`security_result.category_details`	Mappata direttamente da `appcategory`.
`browser`	`network.http.user_agent`	Mappata direttamente da `browser`.
`browser_session_id`	`network.session_id`	Mappata direttamente da `browser_session_id`.
`browser_version`	`network.http.parsed_user_agent.browser_version`	Mappata direttamente da `browser_version`.
`ccl`	`security_result.confidence_details`	Mappata direttamente da `ccl`.
`device`	`principal.resource.type`, `principal.resource.resource_subtype`	`principal.resource.type` è impostato su "DEVICE". `principal.resource.resource_subtype` è mappato direttamente da `device`.
`dst_country`	`target.location.country_or_region`	Mappata direttamente da `dst_country`.
`dst_latitude`	`target.location.region_coordinates.latitude`	Mappata direttamente da `dst_latitude`.
`dst_longitude`	`target.location.region_coordinates.longitude`	Mappata direttamente da `dst_longitude`.
`dst_region`	`target.location.name`	Mappata direttamente da `dst_region`.
`dstip`	`target.ip`, `target.asset.ip`	Mappata direttamente da `dstip`.
`metadata.event_type`	`metadata.event_type`	Impostato su `NETWORK_CONNECTION` perché sono presenti sia gli indirizzi IP principali che quelli di destinazione e il protocollo non è HTTP.
`metadata.product_event_type`	`metadata.product_event_type`	Mappata direttamente da `type`.
`metadata.product_name`	`metadata.product_name`	Impostato su "NETSKOPE_ALERT_V2" dall'analizzatore.
`metadata.vendor_name`	`metadata.vendor_name`	Impostato su "NETSKOPE_ALERT_V2" dall'analizzatore.
`object_type`	`additional.fields`	Aggiunto come coppia chiave-valore a `additional.fields`, dove la chiave è "object_type" e il valore è il contenuto di `object_type`.
`organization_unit`	`principal.administrative_domain`	Mappata direttamente da `organization_unit`.
`os`	`principal.platform`	È stato mappato a `WINDOWS` perché il valore corrisponde all'espressione regolare "(?i)Windows.*".
`policy`	`security_result.summary`	Mappata direttamente da `policy`.
`site`	`additional.fields`	Aggiunto come coppia chiave-valore a `additional.fields`, dove la chiave è "sito" e il valore è il contenuto di `site`.
`src_country`	`principal.location.country_or_region`	Mappata direttamente da `src_country`.
`src_latitude`	`principal.location.region_coordinates.latitude`	Mappata direttamente da `src_latitude`.
`src_longitude`	`principal.location.region_coordinates.longitude`	Mappata direttamente da `src_longitude`.
`src_region`	`principal.location.name`	Mappata direttamente da `src_region`.
`srcip`	`principal.ip`, `principal.asset.ip`	Mappata direttamente da `srcip`.
`timestamp`	`metadata.event_timestamp.seconds`	Mappata direttamente da `timestamp`.
`type`	`metadata.product_event_type`	Mappata direttamente da `type`.
`ur_normalized`	`principal.user.email_addresses`	Mappata direttamente da `ur_normalized`.
`url`	`target.url`	Mappata direttamente da `url`.
`user`	`principal.user.email_addresses`	Mappata direttamente da `user`.

Modifiche

2024-09-25

Parser appena creato.