此页面由 Cloud Translation API 翻译。

收集 Netskope 提醒日志 v2

支持的平台：

Google SecOps SIEM

概览

此解析器会从 JSON 格式的邮件中提取 Netskope 提醒日志，并将其转换为 Google Security Operations UDM。它会对字段进行标准化、解析时间戳、处理提醒和严重程度、提取网络信息（IP、端口、协议）、丰富用户和文件数据，并将字段映射到 UDM 结构。该解析器还会处理登录和 DLP 事件等特定 Netskope 活动，并添加自定义标签以增强上下文。

准备工作

确保您拥有 Google SecOps 实例。
确保您拥有对 Netskope 的超级用户访问权限。

启用 Netskope REST API 访问权限

使用您的管理员凭据登录 Netskope 租户。
依次前往设置 > 工具 > REST API v2。
启用 REST API 状态。
创建新令牌：
1. 点击新建令牌。
2. 输入令牌名称（例如 Google SecOps 令牌）。
3. 输入令牌失效时间。
4. 点击添加端点，选择要与令牌一起使用的 API 端点。
5. 为端点指定权限：
  - 读取权限包括 GET。
  - 读取和写入权限包括 GET、PUT、POST、PATCH 和 DELETE。
  注意：端点权限因平台而异。某些端点（例如提醒和审核）仅具有读取权限。其他端点（例如网址列表/文件端点）同时具有读取和写入权限。
6. 点击保存。
7. 系统会打开一个确认框，显示令牌创建是否成功。
8. 点击复制令牌并保存，以便稍后在 API 身份验证标头中使用。
注意：您只能在创建令牌后立即复制该令牌。您的 API 请求中必须包含该令牌。

在 Google SecOps 中配置 Feed，以提取 Netskope 提醒日志 v2

点击新增。
在 Feed 名称字段中，输入 Feed 的名称（例如 Netskope Alert Logs v2）。
选择第三方 API 作为来源类型。
选择 Netskope V2 作为日志类型。
点击下一步。
为以下输入参数指定值：
- Authentication HTTP Header：之前使用 Netskope-Api-Token:<value> 格式生成的令牌（例如 Netskope-Api-Token:AAAABBBBCCCC111122223333）。
- API 主机名：Netskope REST API 端点的 FQDN（完全限定域名）（例如 myinstance.goskope.com）。
- API 端点：输入 alerts。
- 内容类型：提醒的允许值为 uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist。
- 资源命名空间：资源命名空间。
- 提取标签：应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看 Feed 配置，然后点击提交。

可选：添加 Feed 配置以提取 Netskope 事件日志 v2

依次前往 SIEM 设置 > Feed。
点击新增。
在Feed 名称字段中，输入 Feed 的名称（例如 Netskope 事件日志 v2）。
选择第三方 API 作为来源类型。
选择 Netskope V2 作为日志类型。
点击下一步。
为以下输入参数指定值：
- Authentication HTTP Header：之前使用 <key>:<secret> 格式生成的密钥对，用于对 Netskope API 进行身份验证。
- API 主机名：Netskope REST API 端点的 FQDN（完全限定域名）（例如 myinstance.goskope.com）。
- API 端点：输入 events。
- 内容类型：事件的允许值为应用、审核、连接、事故、基础架构、网络、网页。
- 资源命名空间：资源命名空间。
- 提取标签：应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
`_id`	`metadata.product_log_id`	直接从 `_id` 映射。
`access_method`	`extensions.auth.auth_details`	直接从 `access_method` 映射。
`action`	`security_result.action`	已映射到 `QUARANTINE`，因为值为“alert”。也映射到 `security_result.action_details` 作为“alert”。
`app`	`target.application`	直接从 `app` 映射。
`appcategory`	`security_result.category_details`	直接从 `appcategory` 映射。
`browser`	`network.http.user_agent`	直接从 `browser` 映射。
`browser_session_id`	`network.session_id`	直接从 `browser_session_id` 映射。
`browser_version`	`network.http.parsed_user_agent.browser_version`	直接从 `browser_version` 映射。
`ccl`	`security_result.confidence_details`	直接从 `ccl` 映射。
`device`	`principal.resource.type`，`principal.resource.resource_subtype`	`principal.resource.type` 设置为“DEVICE”。`principal.resource.resource_subtype` 是从 `device` 直接映射的。
`dst_country`	`target.location.country_or_region`	直接从 `dst_country` 映射。
`dst_latitude`	`target.location.region_coordinates.latitude`	直接从 `dst_latitude` 映射。
`dst_longitude`	`target.location.region_coordinates.longitude`	直接从 `dst_longitude` 映射。
`dst_region`	`target.location.name`	直接从 `dst_region` 映射。
`dstip`	`target.ip`，`target.asset.ip`	直接从 `dstip` 映射。
`metadata.event_type`	`metadata.event_type`	设置为 `NETWORK_CONNECTION`，因为主 IP 地址和目标 IP 地址均存在，且协议不是 HTTP。
`metadata.product_event_type`	`metadata.product_event_type`	直接从 `type` 映射。
`metadata.product_name`	`metadata.product_name`	由解析器设置为“NETSKOPE_ALERT_V2”。
`metadata.vendor_name`	`metadata.vendor_name`	由解析器设置为“NETSKOPE_ALERT_V2”。
`object_type`	`additional.fields`	作为键值对添加到 `additional.fields`，其中键为“object_type”，值为 `object_type` 的内容。
`organization_unit`	`principal.administrative_domain`	直接从 `organization_unit` 映射。
`os`	`principal.platform`	已映射到 `WINDOWS`，因为该值与正则表达式“(?i)Windows.*”匹配。
`policy`	`security_result.summary`	直接从 `policy` 映射。
`site`	`additional.fields`	作为键值对添加到 `additional.fields`，其中键为“site”，值为 `site` 的内容。
`src_country`	`principal.location.country_or_region`	直接从 `src_country` 映射。
`src_latitude`	`principal.location.region_coordinates.latitude`	直接从 `src_latitude` 映射。
`src_longitude`	`principal.location.region_coordinates.longitude`	直接从 `src_longitude` 映射。
`src_region`	`principal.location.name`	直接从 `src_region` 映射。
`srcip`	`principal.ip`，`principal.asset.ip`	直接从 `srcip` 映射。
`timestamp`	`metadata.event_timestamp.seconds`	直接从 `timestamp` 映射。
`type`	`metadata.product_event_type`	直接从 `type` 映射。
`ur_normalized`	`principal.user.email_addresses`	直接从 `ur_normalized` 映射。
`url`	`target.url`	直接从 `url` 映射。
`user`	`principal.user.email_addresses`	直接从 `user` 映射。

更改

2024-09-25

新创建的解析器。