Coletar registros de alerta do Netskope v2

Compatível com:

Visão geral

Esse analisador extrai registros de alerta do Netskope de mensagens formatadas em JSON e os transforma na UDM do Google Security Operations. Ele normaliza campos, analisa carimbos de data/hora, lida com alertas e severidades, extrai informações de rede (IPs, portas, protocolos), enriquece dados de usuários e arquivos e mapeia campos para a estrutura do UDM. O analisador também processa atividades específicas do Netskope, como logins e eventos de DLP, e adiciona rótulos personalizados para melhorar o contexto.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao Netskope.

Ativar o acesso à API REST da Netskope

  1. Faça login no locatário do Netskope usando suas credenciais de administrador.
  2. Acesse Configurações > Ferramentas > API REST v2.
  3. Ative o Status da API REST.

  4. Crie um novo token:

    1. Clique em Novo token.
    2. Digite o nome do token (por exemplo, Token do Google SecOps).
    3. Insira o tempo de expiração do token.
    4. Clique em Adicionar endpoint para selecionar os endpoints da API que serão usados com o token.

    5. Especifique os privilégios do endpoint:

      • Os privilégios de leitura incluem GET.
      • Os privilégios de leitura e gravação incluem GET, PUT, POST, PATCH e DELETE.

    6. Clique em Salvar.

    7. Uma caixa de confirmação é aberta mostrando se a criação do token foi bem-sucedida.

    8. Clique em Copiar token e salve para usar mais tarde no cabeçalho de autenticação da API.

Configurar um feed no Google SecOps para processar os registros do Netskope Alert v2

  1. Clique em Adicionar novo.
  2. No campo Nome do feed, insira um nome para o feed (por exemplo, Netskope Alert Logs v2).
  3. Selecione API de terceiros como o Tipo de origem.
  4. Selecione Netskope V2 como o Tipo de registro.
  5. Clique em Próxima.
  6. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação:token gerado anteriormente em um formato Netskope-Api-Token:<value> (por exemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint da API REST da Netskope (por exemplo, myinstance.goskope.com).
    • Endpoint da API:digite alerts.
    • Tipo de conteúdo:os valores permitidos para alertas são uba, avaliação de segurança, quarentena, correção, política, malware, site malicioso, credencial comprometida, ctep, dlp, lista de observação.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  7. Clique em Próxima.
  8. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Opcional: adicione uma configuração de feed para importar os registros de eventos do Netskope v2

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de eventos do Netskope v2).
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Netskope V2 como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API da Netskope.
    • Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint da API REST da Netskope (por exemplo, myinstance.goskope.com).
    • Endpoint da API:digite events.
    • Tipo de conteúdo:os valores permitidos para eventos são aplicação, auditoria, conexão, incidente, infraestrutura, rede, página.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
_id metadata.product_log_id Mapeado diretamente de _id.
access_method extensions.auth.auth_details Mapeado diretamente de access_method.
action security_result.action Mapeado para QUARANTINE porque o valor é "alert". Também mapeado para security_result.action_details como "alerta".
app target.application Mapeado diretamente de app.
appcategory security_result.category_details Mapeado diretamente de appcategory.
browser network.http.user_agent Mapeado diretamente de browser.
browser_session_id network.session_id Mapeado diretamente de browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mapeado diretamente de browser_version.
ccl security_result.confidence_details Mapeado diretamente de ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type está definido como "DEVICE". principal.resource.resource_subtype é mapeado diretamente de device.
dst_country target.location.country_or_region Mapeado diretamente de dst_country.
dst_latitude target.location.region_coordinates.latitude Mapeado diretamente de dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mapeado diretamente de dst_longitude.
dst_region target.location.name Mapeado diretamente de dst_region.
dstip target.ip, target.asset.ip Mapeado diretamente de dstip.
metadata.event_type metadata.event_type Foi definido como NETWORK_CONNECTION porque os endereços IP principais e de destino estão presentes e o protocolo não é HTTP.
metadata.product_event_type metadata.product_event_type Mapeado diretamente de type.
metadata.product_name metadata.product_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
metadata.vendor_name metadata.vendor_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
object_type additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "object_type" e o valor é o conteúdo de object_type.
organization_unit principal.administrative_domain Mapeado diretamente de organization_unit.
os principal.platform Mapeado para WINDOWS porque o valor corresponde à regex "(?i)Windows.*".
policy security_result.summary Mapeado diretamente de policy.
site additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "site" e o valor é o conteúdo de site.
src_country principal.location.country_or_region Mapeado diretamente de src_country.
src_latitude principal.location.region_coordinates.latitude Mapeado diretamente de src_latitude.
src_longitude principal.location.region_coordinates.longitude Mapeado diretamente de src_longitude.
src_region principal.location.name Mapeado diretamente de src_region.
srcip principal.ip, principal.asset.ip Mapeado diretamente de srcip.
timestamp metadata.event_timestamp.seconds Mapeado diretamente de timestamp.
type metadata.product_event_type Mapeado diretamente de type.
ur_normalized principal.user.email_addresses Mapeado diretamente de ur_normalized.
url target.url Mapeado diretamente de url.
user principal.user.email_addresses Mapeado diretamente de user.

Alterações

2024-09-25

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.