收集 Netskope 提醒日志 v2

支持的平台:

概览

此解析器会从 JSON 格式的邮件中提取 Netskope 提醒日志,并将其转换为 Google Security Operations UDM。它会对字段进行标准化、解析时间戳、处理提醒和严重程度、提取网络信息(IP、端口、协议)、丰富用户和文件数据,并将字段映射到 UDM 结构。该解析器还会处理登录和 DLP 事件等特定 Netskope 活动,并添加自定义标签以增强上下文。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 Netskope 的超级用户访问权限。

启用 Netskope REST API 访问权限

  1. 使用您的管理员凭据登录 Netskope 租户。
  2. 依次前往设置 > 工具 > REST API v2
  3. 启用 REST API 状态
  4. 创建新令牌:

    1. 点击新建令牌
    2. 输入令牌名称(例如 Google SecOps 令牌)。
    3. 输入令牌失效时间。
    4. 点击添加端点,选择要与令牌一起使用的 API 端点。
    5. 为端点指定权限:

      • 读取权限包括 GET
      • 读取和写入权限包括 GETPUTPOSTPATCHDELETE
    6. 点击保存

    7. 系统会打开一个确认框,显示令牌创建是否成功。

    8. 点击复制令牌保存,以便稍后在 API 身份验证标头中使用。

在 Google SecOps 中配置 Feed,以提取 Netskope 提醒日志 v2

  1. 点击新增
  2. Feed 名称字段中,输入 Feed 的名称(例如 Netskope Alert Logs v2)。
  3. 选择第三方 API 作为来源类型
  4. 选择 Netskope V2 作为日志类型
  5. 点击下一步
  6. 为以下输入参数指定值:
    • Authentication HTTP Header:之前使用 Netskope-Api-Token:<value> 格式生成的令牌(例如 Netskope-Api-Token:AAAABBBBCCCC111122223333)。
    • API 主机名:Netskope REST API 端点的 FQDN(完全限定域名)(例如 myinstance.goskope.com)。
    • API 端点:输入 alerts
    • 内容类型提醒的允许值为 ubasecurityassessmentquarantineremediationpolicymalwaremalsitecompromisedcredentialctepdlpwatchlist
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  7. 点击下一步
  8. 最终确定界面中查看 Feed 配置,然后点击提交

可选:添加 Feed 配置以提取 Netskope 事件日志 v2

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 Netskope 事件日志 v2)。
  4. 选择第三方 API 作为来源类型
  5. 选择 Netskope V2 作为日志类型
  6. 点击下一步
  7. 为以下输入参数指定值:
    • Authentication HTTP Header:之前使用 <key>:<secret> 格式生成的密钥对,用于对 Netskope API 进行身份验证。
    • API 主机名:Netskope REST API 端点的 FQDN(完全限定域名)(例如 myinstance.goskope.com)。
    • API 端点:输入 events
    • 内容类型事件的允许值为应用审核连接事故基础架构网络网页
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  8. 点击下一步
  9. 最终确定界面中查看 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
_id metadata.product_log_id 直接从 _id 映射。
access_method extensions.auth.auth_details 直接从 access_method 映射。
action security_result.action 已映射到 QUARANTINE,因为值为“alert”。也映射到 security_result.action_details 作为“alert”。
app target.application 直接从 app 映射。
appcategory security_result.category_details 直接从 appcategory 映射。
browser network.http.user_agent 直接从 browser 映射。
browser_session_id network.session_id 直接从 browser_session_id 映射。
browser_version network.http.parsed_user_agent.browser_version 直接从 browser_version 映射。
ccl security_result.confidence_details 直接从 ccl 映射。
device principal.resource.typeprincipal.resource.resource_subtype principal.resource.type 设置为“DEVICE”。principal.resource.resource_subtype 是从 device 直接映射的。
dst_country target.location.country_or_region 直接从 dst_country 映射。
dst_latitude target.location.region_coordinates.latitude 直接从 dst_latitude 映射。
dst_longitude target.location.region_coordinates.longitude 直接从 dst_longitude 映射。
dst_region target.location.name 直接从 dst_region 映射。
dstip target.iptarget.asset.ip 直接从 dstip 映射。
metadata.event_type metadata.event_type 设置为 NETWORK_CONNECTION,因为主 IP 地址和目标 IP 地址均存在,且协议不是 HTTP。
metadata.product_event_type metadata.product_event_type 直接从 type 映射。
metadata.product_name metadata.product_name 由解析器设置为“NETSKOPE_ALERT_V2”。
metadata.vendor_name metadata.vendor_name 由解析器设置为“NETSKOPE_ALERT_V2”。
object_type additional.fields 作为键值对添加到 additional.fields,其中键为“object_type”,值为 object_type 的内容。
organization_unit principal.administrative_domain 直接从 organization_unit 映射。
os principal.platform 已映射到 WINDOWS,因为该值与正则表达式“(?i)Windows.*”匹配。
policy security_result.summary 直接从 policy 映射。
site additional.fields 作为键值对添加到 additional.fields,其中键为“site”,值为 site 的内容。
src_country principal.location.country_or_region 直接从 src_country 映射。
src_latitude principal.location.region_coordinates.latitude 直接从 src_latitude 映射。
src_longitude principal.location.region_coordinates.longitude 直接从 src_longitude 映射。
src_region principal.location.name 直接从 src_region 映射。
srcip principal.ipprincipal.asset.ip 直接从 srcip 映射。
timestamp metadata.event_timestamp.seconds 直接从 timestamp 映射。
type metadata.product_event_type 直接从 type 映射。
ur_normalized principal.user.email_addresses 直接从 ur_normalized 映射。
url target.url 直接从 url 映射。
user principal.user.email_addresses 直接从 user 映射。

更改

2024-09-25

  • 新创建的解析器。