Coletar registros de alerta do Netskope v2
Visão geral
Esse analisador extrai registros de alerta do Netskope de mensagens formatadas em JSON e os transforma na UDM do Google Security Operations. Ele normaliza campos, analisa carimbos de data/hora, lida com alertas e severidades, extrai informações de rede (IPs, portas, protocolos), enriquece dados de usuários e arquivos e mapeia campos para a estrutura do UDM. O analisador também processa atividades específicas do Netskope, como logins e eventos de DLP, e adiciona rótulos personalizados para melhorar o contexto.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado ao Netskope.
Ativar o acesso à API REST da Netskope
- Faça login no locatário do Netskope usando suas credenciais de administrador.
- Acesse Configurações > Ferramentas > API REST v2.
- Ative o Status da API REST.
Crie um novo token:
- Clique em Novo token.
- Digite o nome do token (por exemplo, Token do Google SecOps).
- Insira o tempo de expiração do token.
- Clique em Adicionar endpoint para selecionar os endpoints da API que serão usados com o token.
Especifique os privilégios do endpoint:
- Os privilégios de leitura incluem GET.
- Os privilégios de leitura e gravação incluem GET, PUT, POST, PATCH e DELETE.
Clique em Salvar.
Uma caixa de confirmação é aberta mostrando se a criação do token foi bem-sucedida.
Clique em Copiar token e salve para usar mais tarde no cabeçalho de autenticação da API.
Configurar um feed no Google SecOps para processar os registros do Netskope Alert v2
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Netskope Alert Logs v2).
- Selecione API de terceiros como o Tipo de origem.
- Selecione Netskope V2 como o Tipo de registro.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação:token gerado anteriormente em um formato
Netskope-Api-Token:<value>
(por exemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333). - Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST da Netskope (por exemplo,
myinstance.goskope.com
). - Endpoint da API:digite alerts.
- Tipo de conteúdo:os valores permitidos para alertas são uba, avaliação de segurança, quarentena, remediação, política, malware, site malicioso, credencial comprometida, ctep, dlp, lista de observação.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Cabeçalho HTTP de autenticação:token gerado anteriormente em um formato
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
Opcional: adicione uma configuração de feed para importar os registros de eventos do Netskope v2
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de eventos do Netskope v2).
- Selecione API de terceiros como o Tipo de origem.
- Selecione Netskope V2 como o Tipo de registro.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato
<key>:<secret>
, usado para autenticação na API da Netskope. - Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST da Netskope (por exemplo,
myinstance.goskope.com
). - Endpoint da API:digite events.
- Tipo de conteúdo:os valores permitidos para eventos são aplicação, auditoria, conexão, incidente, infraestrutura, rede, página.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
_id |
metadata.product_log_id |
Mapeado diretamente de _id . |
access_method |
extensions.auth.auth_details |
Mapeado diretamente de access_method . |
action |
security_result.action |
Mapeado para QUARANTINE porque o valor é "alert". Também mapeado para security_result.action_details como "alert". |
app |
target.application |
Mapeado diretamente de app . |
appcategory |
security_result.category_details |
Mapeado diretamente de appcategory . |
browser |
network.http.user_agent |
Mapeado diretamente de browser . |
browser_session_id |
network.session_id |
Mapeado diretamente de browser_session_id . |
browser_version |
network.http.parsed_user_agent.browser_version |
Mapeado diretamente de browser_version . |
ccl |
security_result.confidence_details |
Mapeado diretamente de ccl . |
device |
principal.resource.type , principal.resource.resource_subtype |
principal.resource.type está definido como "DEVICE". principal.resource.resource_subtype é mapeado diretamente de device . |
dst_country |
target.location.country_or_region |
Mapeado diretamente de dst_country . |
dst_latitude |
target.location.region_coordinates.latitude |
Mapeado diretamente de dst_latitude . |
dst_longitude |
target.location.region_coordinates.longitude |
Mapeado diretamente de dst_longitude . |
dst_region |
target.location.name |
Mapeado diretamente de dst_region . |
dstip |
target.ip , target.asset.ip |
Mapeado diretamente de dstip . |
metadata.event_type |
metadata.event_type |
Foi definido como NETWORK_CONNECTION porque os endereços IP principais e de destino estão presentes e o protocolo não é HTTP. |
metadata.product_event_type |
metadata.product_event_type |
Mapeado diretamente de type . |
metadata.product_name |
metadata.product_name |
Definido como "NETSKOPE_ALERT_V2" pelo analisador. |
metadata.vendor_name |
metadata.vendor_name |
Definido como "NETSKOPE_ALERT_V2" pelo analisador. |
object_type |
additional.fields |
Adicionado como um par de chave-valor a additional.fields , em que a chave é "object_type" e o valor é o conteúdo de object_type . |
organization_unit |
principal.administrative_domain |
Mapeado diretamente de organization_unit . |
os |
principal.platform |
Mapeado para WINDOWS porque o valor corresponde à regex "(?i)Windows.*". |
policy |
security_result.summary |
Mapeado diretamente de policy . |
site |
additional.fields |
Adicionado como um par de chave-valor a additional.fields , em que a chave é "site" e o valor é o conteúdo de site . |
src_country |
principal.location.country_or_region |
Mapeado diretamente de src_country . |
src_latitude |
principal.location.region_coordinates.latitude |
Mapeado diretamente de src_latitude . |
src_longitude |
principal.location.region_coordinates.longitude |
Mapeado diretamente de src_longitude . |
src_region |
principal.location.name |
Mapeado diretamente de src_region . |
srcip |
principal.ip , principal.asset.ip |
Mapeado diretamente de srcip . |
timestamp |
metadata.event_timestamp.seconds |
Mapeado diretamente de timestamp . |
type |
metadata.product_event_type |
Mapeado diretamente de type . |
ur_normalized |
principal.user.email_addresses |
Mapeado diretamente de ur_normalized . |
url |
target.url |
Mapeado diretamente de url . |
user |
principal.user.email_addresses |
Mapeado diretamente de user . |
Alterações
2024-09-25
- Parser recém-criado.