Netskope
本指南說明如何將 Netskope 與 Google Security Operations (Google SecOps) 整合。
整合版本:11.0
用途
將 Netskope 與 Google SecOps 整合,有助於解決下列用途:
網路釣魚網址調查與封鎖:收到網路釣魚網址警示後,使用 Google SecOps 功能查詢 Netskope 雲端安全平台,瞭解網址信譽和分類。如果確認網址為惡意網址,Netskope 可以在貴機構的網路中自動封鎖該網址。
惡意軟體分析與防範:使用 Google SecOps 功能,將惡意軟體樣本提交給 Netskope 進行動態分析。根據分析結果,Netskope 就能強制執行政策,隔離受感染的裝置,或封鎖與惡意 C&C 伺服器的進一步通訊。
遭入侵帳戶的補救措施:使用 Google SecOps 功能識別可疑的登入嘗試或活動,並強制執行密碼重設、多重要素驗證或帳戶停權等動作。
安全漏洞掃描和修補:使用 Google SecOps 功能,接收雲端應用程式中偵測到的安全漏洞警報。
事件應變自動化:使用 Google SecOps 功能收集事件的脈絡資訊,例如使用者活動、網路流量和資料存取記錄,並自動執行事件應變工作,例如隔離受影響的系統、封鎖惡意流量,以及通知相關利害關係人。
威脅情報擴充:運用 Google SecOps 功能與 Netskope 威脅情報動態消息整合,並擴充安全性警示的額外脈絡。
事前準備
在 Google SecOps 中設定 Netskope 整合功能前,請先產生 Netskope API 金鑰。
如要產生 API 金鑰,請完成下列步驟:
- 在 Netskope 管理控制台中,選取「設定」。
- 依序前往「工具」> REST API v1。
- 複製 API 權杖值,稍後設定
Api Key參數時會用到。
如要設定整合的網路設定,請參閱下表:
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
將 Netskope 與 Google SecOps 整合
整合 Netskope 時需要下列參數:
| 參數 | 說明 |
|---|---|
Api Root |
必要
Netskope 執行個體的 API 根目錄。 |
Api Key |
必要
用於向 Netskope API 驗證的 API 金鑰。 如要設定這個參數,請輸入您在產生 API 金鑰時取得的 API 權杖值。 |
Verify SSL |
選填
如果選取這個選項,整合服務會驗證連線至 Netskope 伺服器的 SSL 憑證是否有效。 預設為未選取。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您之後可以變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「從工作區回覆待處理動作」和「執行手動動作」。
允許檔案
使用「允許檔案」動作允許已隔離的檔案。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「允許檔案」動作需要下列參數:
| 參數 | 說明 |
|---|---|
File ID |
必要
要允許的檔案 ID。 |
Quarantine Profile ID |
必要
與檔案相關聯的隔離設定檔 ID。 |
動作輸出內容
「允許檔案」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「允許檔案」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
封鎖檔案
使用「封鎖檔案」動作封鎖遭到隔離的檔案。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「封鎖檔案」動作需要下列參數:
| 參數 | 說明 |
|---|---|
File ID |
必要
要在 Netskope 中封鎖的檔案 ID。 |
Quarantine Profile ID |
必要
封鎖檔案時要使用的隔離設定檔 ID。 |
動作輸出內容
「封鎖檔案」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「封鎖檔案」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
下載檔案
使用「下載檔案」動作下載已隔離的檔案。
這項動作會在 Google SecOps IP Address 實體上執行。
動作輸入內容
「下載檔案」動作需要下列參數:
| 參數 | 說明 |
|---|---|
File ID |
必要
要從隔離區下載的檔案 ID。 |
Quarantine Profile ID |
必要
檔案所屬的隔離設定檔 ID。 |
動作輸出內容
「下載檔案」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「下載檔案」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出快訊
使用「列出快訊」動作列出快訊。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「列出快訊」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Query |
選用 查詢,用於篩選快訊資料庫中的雲端應用程式事件。 |
Type |
選用 要篩選的快訊類型。 可能的值如下:
|
Time Period |
選用 要搜尋快訊的目前時間前毫秒數。 可能的值為 |
Start Time |
選用 開始時間,用於篩選時間戳記大於指定 Unix Epoch 時間的快訊。 只有在未設定 |
End Time |
選用 結束時間,用於篩選時間戳記小於指定 Unix Epoch 時間的快訊。 只有在未設定 |
Is Acknowledged |
選用 如果選取這個選項,整合服務會篩選出已確認的快訊。 預設為未選取。 |
Limit |
選用 要傳回的結果數。 預設值為 |
動作輸出內容
「列出快訊」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「列出快訊」動作時收到的 JSON 結果輸出內容:
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
指令碼結果
下表列出使用「列出快訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
alerts |
ALERT_LIST |
列出用戶端
使用「列出用戶端」動作列出用戶端。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「列出用戶端」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Query |
選填
篩選從資料庫擷取的用戶端。 |
Limit |
選填
限制動作傳回的用戶端數量。預設值為 |
動作輸出內容
「列出用戶端」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「列出用戶端」動作時收到的 JSON 結果輸出內容:
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
指令碼結果
下表列出使用「列出用戶端」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
clients |
CLIENT_LIST |
列出事件
使用「列出事件」動作列出事件。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「列出事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Query |
選用 查詢,用於篩選事件資料庫中的雲端應用程式事件。 |
Type |
選用 要篩選的快訊類型。 可能的值如下:
|
Time Period |
選用 要搜尋事件的時間範圍 (以毫秒為單位)。 可能的值如下:
|
Start Time |
選用 開始時間,用於篩選時間戳記大於指定 Unix Epoch 時間的事件。 只有在未設定 |
End Time |
選用 結束時間,用於篩選時間戳記小於指定 Unix Epoch 時間的事件。 只有在未設定 |
Limit |
選用 要傳回的結果數。 預設值為 |
動作輸出內容
「列出事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「列出活動」動作時收到的 JSON 結果輸出內容:
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
指令碼結果
下表列出使用「列出事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
events |
EVENT_LIST |
列出已隔離的檔案
使用「列出遭到隔離的檔案」動作,列出遭到隔離的檔案。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「列出隔離檔案」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Start Time |
選填
開始時間,用於限制時間戳記大於這個參數值的事件 (採用 Unix 格式)。 |
End Time |
選填
結束時間,用於限制時間戳記小於這個參數值的事件 (採用 Unix 格式)。 |
動作輸出內容
「列出隔離的檔案」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「列出隔離的檔案」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
files |
FILE_LIST |
乒乓
使用「Ping」動作測試與 Netskope 的連線。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。