Mengumpulkan log peringatan Netskope v2

Didukung di:

Ringkasan

Parser ini mengekstrak log pemberitahuan Netskope dari pesan berformat JSON, lalu mengubahnya menjadi UDM Google Security Operations. Proses ini menormalisasi kolom, mengurai stempel waktu, menangani pemberitahuan dan tingkat keparahan, mengekstrak informasi jaringan (IP, port, protokol), memperkaya data pengguna dan file, serta memetakan kolom ke struktur UDM. Parser juga menangani aktivitas Netskope tertentu seperti login dan peristiwa DLP serta menambahkan label kustom untuk konteks yang lebih baik.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke Netskope.

Membuat Akun Layanan dan Membuat Token REST API di Netskope

Untuk berintegrasi dengan Google SecOps, Anda perlu membuat akun layanan khusus di Netskope dan membuat token API.

  1. Login ke tenant Netskope menggunakan kredensial administrator Anda.
  2. Buka Setelan > Administrasi & Peran.
  3. Klik tab Administrator, lalu pilih tombol Akun Layanan.
  4. Di dialog "New Service Account", masukkan Service Account Name deskriptif (misalnya, "Google SecOps Ingestion").
  5. Di bagian Peran, pilih peran yang sesuai yang memiliki izin untuk mengakses endpoint API yang diperlukan (misalnya, peran khusus dengan akses baca ke pemberitahuan).
  6. Di bagian REST API Authentication Methods, pilih API Key.
  7. Centang kotak untuk Buat token sekarang dengan masa berlaku dan tetapkan periode masa berlaku yang dipilih (misalnya, 365 Hari).

  8. Klik tombol Buat.

    Peringatan: Dialog akan muncul dan menampilkan token REST API baru. Anda harus segera menyalin dan menyimpan token ini dengan aman. Token tersebut tidak akan ditampilkan lagi.

  9. Jaga keamanan token ini; Anda akan memerlukannya untuk mengonfigurasi feed di Google SecOps.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Netskope Alert Logs v2.
  5. Pilih Third party API sebagai Source type.
  6. Pilih Netskope V2 sebagai Jenis log.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:
    • Header HTTP Autentikasi: token yang sebelumnya dibuat dalam format Netskope-Api-Token:<value> (misalnya, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) dari endpoint Netskope REST API Anda (misalnya myinstance.goskope.com).
    • Endpoint API: Masukkan alerts.
    • Jenis Konten: Nilai yang diizinkan untuk alerts adalah uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Opsional: Tambahkan konfigurasi feed untuk menyerap log Peristiwa Netskope v2

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan feed baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed (misalnya, Netskope Event Logs v2).
  5. Pilih Third party API sebagai Source type.
  6. Pilih Netskope V2 sebagai Jenis log.
  7. Klik Berikutnya.
  8. Tentukan nilai untuk parameter input berikut:
    • Header HTTP Autentikasi: pasangan kunci yang dihasilkan sebelumnya dalam format <key>:<secret>, digunakan untuk melakukan autentikasi terhadap Netskope API.
    • Nama Host API: FQDN (nama domain yang sepenuhnya memenuhi syarat) dari endpoint Netskope REST API Anda (misalnya myinstance.goskope.com).
    • Endpoint API: Masukkan events.
    • Jenis Konten: Nilai yang diizinkan untuk events adalah application, audit, connection, incident, infrastructure, network, page.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
_id metadata.product_log_id Dipetakan langsung dari _id.
access_method extensions.auth.auth_details Dipetakan langsung dari access_method.
action security_result.action Dipetakan ke QUARANTINE karena nilainya adalah "alert". Juga dipetakan ke security_result.action_details sebagai "alert".
app target.application Dipetakan langsung dari app.
appcategory security_result.category_details Dipetakan langsung dari appcategory.
browser network.http.user_agent Dipetakan langsung dari browser.
browser_session_id network.session_id Dipetakan langsung dari browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Dipetakan langsung dari browser_version.
ccl security_result.confidence_details Dipetakan langsung dari ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type ditetapkan ke "DEVICE". principal.resource.resource_subtype dipetakan langsung dari device.
dst_country target.location.country_or_region Dipetakan langsung dari dst_country.
dst_latitude target.location.region_coordinates.latitude Dipetakan langsung dari dst_latitude.
dst_longitude target.location.region_coordinates.longitude Dipetakan langsung dari dst_longitude.
dst_region target.location.name Dipetakan langsung dari dst_region.
dstip target.ip, target.asset.ip Dipetakan langsung dari dstip.
metadata.event_type metadata.event_type Disetel ke NETWORK_CONNECTION karena alamat IP utama dan target ada dan protokolnya bukan HTTP.
metadata.product_event_type metadata.product_event_type Dipetakan langsung dari type.
metadata.product_name metadata.product_name Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
metadata.vendor_name metadata.vendor_name Ditetapkan ke "NETSKOPE_ALERT_V2" oleh parser.
object_type additional.fields Ditambahkan sebagai key-value pair ke additional.fields dengan kunci "object_type" dan nilai adalah konten object_type.
organization_unit principal.administrative_domain Dipetakan langsung dari organization_unit.
os principal.platform Dipetakan ke WINDOWS karena nilai cocok dengan regex "(?i)Windows.*".
policy security_result.summary Dipetakan langsung dari policy.
site additional.fields Ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci adalah "site" dan nilai adalah konten site.
src_country principal.location.country_or_region Dipetakan langsung dari src_country.
src_latitude principal.location.region_coordinates.latitude Dipetakan langsung dari src_latitude.
src_longitude principal.location.region_coordinates.longitude Dipetakan langsung dari src_longitude.
src_region principal.location.name Dipetakan langsung dari src_region.
srcip principal.ip, principal.asset.ip Dipetakan langsung dari srcip.
timestamp metadata.event_timestamp.seconds Dipetakan langsung dari timestamp.
type metadata.product_event_type Dipetakan langsung dari type.
ur_normalized principal.user.email_addresses Dipetakan langsung dari ur_normalized.
url target.url Dipetakan langsung dari url.
user principal.user.email_addresses Dipetakan langsung dari user.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.