收集 Netskope 提醒日志 v2
支持的平台:
Google SecOps
SIEM
概览
此解析器会从 JSON 格式的邮件中提取 Netskope 提醒日志,并将其转换为 Google Security Operations UDM。它会对字段进行标准化、解析时间戳、处理提醒和严重程度、提取网络信息(IP、端口、协议)、丰富用户和文件数据,并将字段映射到 UDM 结构。该解析器还会处理登录和 DLP 事件等特定 Netskope 活动,并添加自定义标签以增强上下文。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 Netskope 的超级用户访问权限。
启用 Netskope REST API 访问权限
- 使用您的管理员凭据登录 Netskope 租户。
- 依次前往设置 > 工具 > REST API v2。
- 启用 REST API 状态。
创建新令牌:
- 点击新建令牌。
- 输入令牌名称(例如 Google SecOps 令牌)。
- 输入令牌失效时间。
- 点击添加端点,选择要与令牌一起使用的 API 端点。
为端点指定权限:
- 读取权限包括 GET。
- 读取和写入权限包括 GET、PUT、POST、PATCH 和 DELETE。
点击保存。
系统会打开一个确认框,显示令牌创建是否成功。
点击复制令牌并保存,以便稍后在 API 身份验证标头中使用。
在 Google SecOps 中配置 Feed,以提取 Netskope 提醒日志 v2
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称(例如 Netskope Alert Logs v2)。
- 选择第三方 API 作为来源类型。
- 选择 Netskope V2 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- Authentication HTTP Header:之前使用
Netskope-Api-Token:<value>格式生成的令牌(例如 Netskope-Api-Token:AAAABBBBCCCC111122223333)。 - API 主机名:Netskope REST API 端点的 FQDN(完全限定域名)(例如
myinstance.goskope.com)。 - API 端点:输入 alerts。
- 内容类型:提醒的允许值为 uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist。
- 资源命名空间:资源命名空间。
- 提取标签:应用于此 Feed 中的事件的标签。
- Authentication HTTP Header:之前使用
- 点击下一步。
- 在最终确定界面中查看 Feed 配置,然后点击提交。
可选:添加 Feed 配置以提取 Netskope 事件日志 v2
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称(例如 Netskope 事件日志 v2)。
- 选择第三方 API 作为来源类型。
- 选择 Netskope V2 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- Authentication HTTP Header:之前使用
<key>:<secret>格式生成的密钥对,用于对 Netskope API 进行身份验证。 - API 主机名:Netskope REST API 端点的 FQDN(完全限定域名)(例如
myinstance.goskope.com)。 - API 端点:输入 events。
- 内容类型:事件的允许值为应用、审核、连接、事故、基础架构、网络、网页。
- 资源命名空间:资源命名空间。
- 提取标签:应用于此 Feed 中的事件的标签。
- Authentication HTTP Header:之前使用
- 点击下一步。
- 在最终确定界面中查看 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
_id |
metadata.product_log_id |
直接从 _id 映射。 |
access_method |
extensions.auth.auth_details |
直接从 access_method 映射。 |
action |
security_result.action |
已映射到 QUARANTINE,因为值为“alert”。也映射到 security_result.action_details 作为“alert”。 |
app |
target.application |
直接从 app 映射。 |
appcategory |
security_result.category_details |
直接从 appcategory 映射。 |
browser |
network.http.user_agent |
直接从 browser 映射。 |
browser_session_id |
network.session_id |
直接从 browser_session_id 映射。 |
browser_version |
network.http.parsed_user_agent.browser_version |
直接从 browser_version 映射。 |
ccl |
security_result.confidence_details |
直接从 ccl 映射。 |
device |
principal.resource.type,principal.resource.resource_subtype |
principal.resource.type 设置为“DEVICE”。principal.resource.resource_subtype 是直接从 device 映射的。 |
dst_country |
target.location.country_or_region |
直接从 dst_country 映射。 |
dst_latitude |
target.location.region_coordinates.latitude |
直接从 dst_latitude 映射。 |
dst_longitude |
target.location.region_coordinates.longitude |
直接从 dst_longitude 映射。 |
dst_region |
target.location.name |
直接从 dst_region 映射。 |
dstip |
target.ip,target.asset.ip |
直接从 dstip 映射。 |
metadata.event_type |
metadata.event_type |
设置为 NETWORK_CONNECTION,因为主 IP 地址和目标 IP 地址均存在,且协议不是 HTTP。 |
metadata.product_event_type |
metadata.product_event_type |
直接从 type 映射。 |
metadata.product_name |
metadata.product_name |
由解析器设置为“NETSKOPE_ALERT_V2”。 |
metadata.vendor_name |
metadata.vendor_name |
由解析器设置为“NETSKOPE_ALERT_V2”。 |
object_type |
additional.fields |
作为键值对添加到 additional.fields,其中键为“object_type”,值为 object_type 的内容。 |
organization_unit |
principal.administrative_domain |
直接从 organization_unit 映射。 |
os |
principal.platform |
已映射到 WINDOWS,因为该值与正则表达式“(?i)Windows.*”匹配。 |
policy |
security_result.summary |
直接从 policy 映射。 |
site |
additional.fields |
作为键值对添加到 additional.fields,其中键为“site”,值为 site 的内容。 |
src_country |
principal.location.country_or_region |
直接从 src_country 映射。 |
src_latitude |
principal.location.region_coordinates.latitude |
直接从 src_latitude 映射。 |
src_longitude |
principal.location.region_coordinates.longitude |
直接从 src_longitude 映射。 |
src_region |
principal.location.name |
直接从 src_region 映射。 |
srcip |
principal.ip,principal.asset.ip |
直接从 srcip 映射。 |
timestamp |
metadata.event_timestamp.seconds |
直接从 timestamp 映射。 |
type |
metadata.product_event_type |
直接从 type 映射。 |
ur_normalized |
principal.user.email_addresses |
直接从 ur_normalized 映射。 |
url |
target.url |
直接从 url 映射。 |
user |
principal.user.email_addresses |
直接从 user 映射。 |
变化
2024-09-25
- 新创建的解析器。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。