此页面由 Cloud Translation API 翻译。

收集 Netskope 提醒日志 v2

支持的平台：

Google SecOps SIEM

概览

此解析器从 JSON 格式的消息中提取 Netskope 提醒日志，并将其转换为 Google Security Operations UDM。它会规范化字段、解析时间戳、处理提醒和严重程度、提取网络信息（IP、端口、协议）、丰富用户和文件数据，并将字段映射到 UDM 结构。解析器还会处理特定的 Netskope 活动（例如登录和 DLP 事件），并添加自定义标签以增强上下文。

准备工作

确保您满足以下前提条件：

Google SecOps 实例。
对 Netskope 的特权访问权限。

在 Netskope 中创建服务账号并生成 REST API 令牌

如需与 Google SecOps 集成，您需要在 Netskope 中创建一个专用服务账号并生成 API 令牌。

使用管理员凭据登录 Netskope 租户。
依次前往设置 > 管理和角色。
点击管理员标签页，然后选择服务账号按钮。
在“新服务账号”对话框中，输入一个描述性服务账号名称（例如，“Google SecOps Ingestion”）。
在角色下，选择具有访问所需 API 端点权限的相应角色（例如，具有读取访问权限的自定义角色）。
在 REST API 身份验证方法下，选择 API 密钥。
选中立即生成含失效时间的令牌对应的复选框，然后设置所选的失效时间段（例如，365 天）。
点击创建按钮。

警告：系统会显示一个对话框，其中包含新的 REST API 令牌。您必须立即复制并妥善存储此令牌。系统不会再显示此令牌。
请妥善保管此令牌，您需要在 Google SecOps 中配置 Feed 时使用它。

设置 Feed

如需配置 Feed，请按以下步骤操作：

依次前往 SIEM 设置 > Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed name（Feed 名称）字段中，输入 Feed 的名称，例如 Netskope Alert Logs v2。
选择第三方 API 作为来源类型。
选择 Netskope V2 作为日志类型。
点击下一步。
为以下输入参数指定值：
- 身份验证 HTTP 标头：之前以 Netskope-Api-Token:<value> 格式生成的令牌（例如 Netskope-Api-Token:AAAABBBBCCCC111122223333）。
- API 主机名：Netskope REST API 端点的 FQDN（完全限定域名），例如 myinstance.goskope.com。
- API 端点：输入 alerts。
- 内容类型：提醒的允许值为 uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist。
点击下一步。
在最终确定界面中检查 Feed 配置，然后点击提交。

可选：添加 Feed 配置以注入 Netskope 事件日志 v2

依次前往 SIEM 设置 > Feed。
点击添加新 Feed。
在下一页上，点击配置单个 Feed。
在 Feed 名称字段中，输入 Feed 的名称（例如 Netskope Event Logs v2）。
选择第三方 API 作为来源类型。
选择 Netskope V2 作为日志类型。
点击下一步。
为以下输入参数指定值：
- 身份验证 HTTP 标头：之前以 <key>:<secret> 格式生成的密钥对，用于向 Netskope API 进行身份验证。
- API 主机名：Netskope REST API 端点的 FQDN（完全限定域名），例如 myinstance.goskope.com。
- API 端点：输入 events。
- 内容类型：事件的允许值包括应用、审核、连接、突发事件、基础设施、网络、网页。
- 资源命名空间：资源命名空间。
- 注入标签：应用于此 Feed 中事件的标签。
点击下一步。
在最终确定界面中检查 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
`_id`	`metadata.product_log_id`	直接从 `_id` 映射。
`access_method`	`extensions.auth.auth_details`	直接从 `access_method` 映射。
`action`	`security_result.action`	映射到 `QUARANTINE`，因为值为“alert”。还映射到 `security_result.action_details` 作为“提醒”。
`app`	`target.application`	直接从 `app` 映射。
`appcategory`	`security_result.category_details`	直接从 `appcategory` 映射。
`browser`	`network.http.user_agent`	直接从 `browser` 映射。
`browser_session_id`	`network.session_id`	直接从 `browser_session_id` 映射。
`browser_version`	`network.http.parsed_user_agent.browser_version`	直接从 `browser_version` 映射。
`ccl`	`security_result.confidence_details`	直接从 `ccl` 映射。
`device`	`principal.resource.type`，`principal.resource.resource_subtype`	`principal.resource.type` 设置为“DEVICE”。`principal.resource.resource_subtype` 直接从 `device` 映射。
`dst_country`	`target.location.country_or_region`	直接从 `dst_country` 映射。
`dst_latitude`	`target.location.region_coordinates.latitude`	直接从 `dst_latitude` 映射。
`dst_longitude`	`target.location.region_coordinates.longitude`	直接从 `dst_longitude` 映射。
`dst_region`	`target.location.name`	直接从 `dst_region` 映射。
`dstip`	`target.ip`，`target.asset.ip`	直接从 `dstip` 映射。
`metadata.event_type`	`metadata.event_type`	设置为 `NETWORK_CONNECTION`，因为主账号和目标 IP 地址均存在，且协议不是 HTTP。
`metadata.product_event_type`	`metadata.product_event_type`	直接从 `type` 映射。
`metadata.product_name`	`metadata.product_name`	由解析器设置为“NETSKOPE_ALERT_V2”。
`metadata.vendor_name`	`metadata.vendor_name`	由解析器设置为“NETSKOPE_ALERT_V2”。
`object_type`	`additional.fields`	以键值对的形式添加到 `additional.fields`，其中键为“object_type”，值为 `object_type` 的内容。
`organization_unit`	`principal.administrative_domain`	直接从 `organization_unit` 映射。
`os`	`principal.platform`	映射到 `WINDOWS`，因为该值与正则表达式“(?i)Windows.*”匹配。
`policy`	`security_result.summary`	直接从 `policy` 映射。
`site`	`additional.fields`	以键值对的形式添加到 `additional.fields`，其中键为“site”，值为 `site` 的内容。
`src_country`	`principal.location.country_or_region`	直接从 `src_country` 映射。
`src_latitude`	`principal.location.region_coordinates.latitude`	直接从 `src_latitude` 映射。
`src_longitude`	`principal.location.region_coordinates.longitude`	直接从 `src_longitude` 映射。
`src_region`	`principal.location.name`	直接从 `src_region` 映射。
`srcip`	`principal.ip`，`principal.asset.ip`	直接从 `srcip` 映射。
`timestamp`	`metadata.event_timestamp.seconds`	直接从 `timestamp` 映射。
`type`	`metadata.product_event_type`	直接从 `type` 映射。
`ur_normalized`	`principal.user.email_addresses`	直接从 `ur_normalized` 映射。
`url`	`target.url`	直接从 `url` 映射。
`user`	`principal.user.email_addresses`	直接从 `user` 映射。