Coletar registros de alertas do Netskope v2

Compatível com:

Visão geral

Esse analisador extrai registros de alertas do Netskope de mensagens formatadas em JSON, transformando-os no UDM do Google Security Operations. Ele normaliza campos, analisa timestamps, processa alertas e gravidades, extrai informações de rede (IPs, portas, protocolos), enriquece dados de usuários e arquivos e mapeia campos para a estrutura da UDM. O analisador também processa atividades específicas do Netskope, como logins e eventos de DLP, e adiciona rótulos personalizados para melhorar o contexto.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao Netskope.

Criar uma conta de serviço e gerar um token de API REST no Netskope

Para fazer a integração com o Google SecOps, crie uma conta de serviço dedicada no Netskope e gere um token de API.

  1. Faça login no locatário do Netskope usando suas credenciais de administrador.
  2. Acesse Configurações > Administração e funções.
  3. Clique na guia Administradores e selecione o botão Contas de serviço.
  4. Na caixa de diálogo "Nova conta de serviço", insira um Nome da conta de serviço descritivo (por exemplo, "Ingestão do Google SecOps").
  5. Em Papel, selecione o papel apropriado que tem permissões para acessar os endpoints de API necessários (por exemplo, um papel personalizado com acesso de leitura a alertas).
  6. Em Métodos de autenticação da API REST, selecione Chave de API.
  7. Marque a caixa Gerar token agora com validade e defina o período de validade selecionado (por exemplo, 365 dias).

  8. Clique no botão Criar.

    Aviso:uma caixa de diálogo vai aparecer mostrando o novo token da API REST. Você precisa copiar e armazenar esse token com segurança imediatamente. Ele só aparece uma vez.

  9. Mantenha esse token em segurança. Você vai precisar dele para configurar o feed no Google SecOps.

Configurar feeds

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Netskope Alert Logs v2.
  5. Selecione API de terceiros como o Tipo de fonte.
  6. Selecione Netskope V2 como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação:token gerado anteriormente em um formato Netskope-Api-Token:<value> (por exemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
    • Endpoint da API:digite alerts.
    • Tipo de conteúdo:os valores permitidos para alertas são uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Opcional: adicione uma configuração de feed para ingerir registros de eventos do Netskope v2

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Netskope Event Logs v2).
  5. Selecione API de terceiros como o Tipo de fonte.
  6. Selecione Netskope V2 como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Cabeçalho HTTP de autenticação:par de chaves gerado anteriormente no formato <key>:<secret>, usado para autenticação na API do Netskope.
    • Nome do host da API:o FQDN (nome de domínio totalmente qualificado) do endpoint de API REST do Netskope (por exemplo, myinstance.goskope.com).
    • Endpoint da API:digite events.
    • Tipo de conteúdo:os valores permitidos para events são application, audit, connection, incident, infrastructure, network, page.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
_id metadata.product_log_id Mapeado diretamente de _id.
access_method extensions.auth.auth_details Mapeado diretamente de access_method.
action security_result.action Mapeado para QUARANTINE porque o valor é "alert". Também mapeado para security_result.action_details como "alerta".
app target.application Mapeado diretamente de app.
appcategory security_result.category_details Mapeado diretamente de appcategory.
browser network.http.user_agent Mapeado diretamente de browser.
browser_session_id network.session_id Mapeado diretamente de browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mapeado diretamente de browser_version.
ccl security_result.confidence_details Mapeado diretamente de ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type está definido como "DEVICE". principal.resource.resource_subtype é mapeado diretamente de device.
dst_country target.location.country_or_region Mapeado diretamente de dst_country.
dst_latitude target.location.region_coordinates.latitude Mapeado diretamente de dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mapeado diretamente de dst_longitude.
dst_region target.location.name Mapeado diretamente de dst_region.
dstip target.ip, target.asset.ip Mapeado diretamente de dstip.
metadata.event_type metadata.event_type Definido como NETWORK_CONNECTION porque os endereços IP principal e de destino estão presentes e o protocolo não é HTTP.
metadata.product_event_type metadata.product_event_type Mapeado diretamente de type.
metadata.product_name metadata.product_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
metadata.vendor_name metadata.vendor_name Definido como "NETSKOPE_ALERT_V2" pelo analisador.
object_type additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "object_type" e o valor é o conteúdo de object_type.
organization_unit principal.administrative_domain Mapeado diretamente de organization_unit.
os principal.platform Mapeado para WINDOWS porque o valor corresponde à regex "(?i)Windows.*".
policy security_result.summary Mapeado diretamente de policy.
site additional.fields Adicionado como um par de chave-valor a additional.fields, em que a chave é "site" e o valor é o conteúdo de site.
src_country principal.location.country_or_region Mapeado diretamente de src_country.
src_latitude principal.location.region_coordinates.latitude Mapeado diretamente de src_latitude.
src_longitude principal.location.region_coordinates.longitude Mapeado diretamente de src_longitude.
src_region principal.location.name Mapeado diretamente de src_region.
srcip principal.ip, principal.asset.ip Mapeado diretamente de srcip.
timestamp metadata.event_timestamp.seconds Mapeado diretamente de timestamp.
type metadata.product_event_type Mapeado diretamente de type.
ur_normalized principal.user.email_addresses Mapeado diretamente de ur_normalized.
url target.url Mapeado diretamente de url.
user principal.user.email_addresses Mapeado diretamente de user.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.