Netskope-Benachrichtigungslogs V2 erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Netskope-Warnungslogs aus JSON-formatierten Nachrichten und wandelt sie in das UDM von Google Security Operations um. Sie normalisiert Felder, parst Zeitstempel, verarbeitet Benachrichtigungen und Schweregrade, extrahiert Netzwerkinformationen (IPs, Ports, Protokolle), reichert Nutzer- und Dateidaten an und ordnet Felder der UDM-Struktur zu. Der Parser verarbeitet auch bestimmte Netskope-Aktivitäten wie Logins und DLP-Ereignisse und fügt benutzerdefinierte Labels für zusätzlichen Kontext hinzu.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf Netskope.

Dienstkonto erstellen und REST API-Token in Netskope generieren

Für die Integration mit Google SecOps müssen Sie ein dediziertes Dienstkonto in Netskope erstellen und ein API-Token generieren.

  1. Melden Sie sich mit Ihren Administratoranmeldedaten im Netskope-Mandanten an.
  2. Klicken Sie auf Einstellungen > Verwaltung und Rollen.
  3. Klicken Sie auf den Tab Administratoren und wählen Sie dann die Schaltfläche Dienstkonten aus.
  4. Geben Sie im Dialogfeld „Neues Dienstkonto“ einen aussagekräftigen Namen des Dienstkontos ein (z.B. „Google SecOps Ingestion“).
  5. Wählen Sie unter Rolle die entsprechende Rolle mit Berechtigungen für den Zugriff auf die erforderlichen API-Endpunkte aus, z.B. eine benutzerdefinierte Rolle mit Lesezugriff auf Benachrichtigungen.
  6. Wählen Sie unter REST API Authentication Methods (REST API-Authentifizierungsmethoden) die Option API Key (API-Schlüssel) aus.
  7. Aktivieren Sie das Kästchen für Token jetzt mit Ablaufdatum generieren und legen Sie den ausgewählten Zeitraum für das Ablaufdatum fest (z.B. 365 Tage).

  8. Klicken Sie auf Erstellen.

    Warnung:Ein Dialogfeld mit dem neuen REST API-Token wird angezeigt. Sie müssen dieses Token sofort kopieren und sicher speichern. Es wird nicht noch einmal angezeigt.

  9. Bewahren Sie dieses Token sicher auf. Sie benötigen es, um den Feed in Google SecOps zu konfigurieren.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope Alert Logs v2.
  5. Wählen Sie Drittanbieter-API als Quelltyp aus.
  6. Wählen Sie Netskope V2 als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • HTTP-Header für die Authentifizierung:Token, das zuvor im Netskope-Api-Token:<value>-Format generiert wurde (z. B. Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • API-Hostname:Der FQDN (Fully Qualified Domain Name) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
    • API-Endpunkt:Geben Sie alerts ein.
    • Inhaltstyp:Zulässige Werte für alerts sind uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Optional: Feedkonfiguration zum Erfassen von Netskope-Ereignislogs V2 hinzufügen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Netskope Event Logs v2.
  5. Wählen Sie Drittanbieter-API als Quelltyp aus.
  6. Wählen Sie Netskope V2 als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Authentifizierungs-HTTP-Header:Das zuvor im <key>:<secret>-Format generierte Schlüsselpaar wird zur Authentifizierung bei der Netskope API verwendet.
    • API-Hostname:Der FQDN (Fully Qualified Domain Name) Ihres Netskope REST API-Endpunkt, z. B. myinstance.goskope.com.
    • API-Endpunkt:Geben Sie events ein.
    • Inhaltstyp:Zulässige Werte für events sind application, audit, connection, incident, infrastructure, network, page.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
_id metadata.product_log_id Direkt aus _id übernommen.
access_method extensions.auth.auth_details Direkt aus access_method übernommen.
action security_result.action Wird QUARANTINE zugeordnet, weil der Wert „alert“ ist. Wird auch als „alert“ security_result.action_details zugeordnet.
app target.application Direkt aus app übernommen.
appcategory security_result.category_details Direkt aus appcategory übernommen.
browser network.http.user_agent Direkt aus browser übernommen.
browser_session_id network.session_id Direkt aus browser_session_id übernommen.
browser_version network.http.parsed_user_agent.browser_version Direkt aus browser_version übernommen.
ccl security_result.confidence_details Direkt aus ccl übernommen.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type ist auf „DEVICE“ festgelegt. principal.resource.resource_subtype wird direkt aus device abgeleitet.
dst_country target.location.country_or_region Direkt aus dst_country übernommen.
dst_latitude target.location.region_coordinates.latitude Direkt aus dst_latitude übernommen.
dst_longitude target.location.region_coordinates.longitude Direkt aus dst_longitude übernommen.
dst_region target.location.name Direkt aus dst_region übernommen.
dstip target.ip, target.asset.ip Direkt aus dstip übernommen.
metadata.event_type metadata.event_type Auf NETWORK_CONNECTION festgelegt, da sowohl die Hauptkonto- als auch die Ziel-IP-Adresse vorhanden sind und das Protokoll nicht HTTP ist.
metadata.product_event_type metadata.product_event_type Direkt aus type übernommen.
metadata.product_name metadata.product_name Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
metadata.vendor_name metadata.vendor_name Wird vom Parser auf „NETSKOPE_ALERT_V2“ gesetzt.
object_type additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields hinzugefügt, wobei der Schlüssel „object_type“ und der Wert der Inhalt von object_type ist.
organization_unit principal.administrative_domain Direkt aus organization_unit übernommen.
os principal.platform Wird WINDOWS zugeordnet, da der Wert mit dem regulären Ausdruck „(?i)Windows.*“ übereinstimmt.
policy security_result.summary Direkt aus policy übernommen.
site additional.fields Wird als Schlüssel/Wert-Paar zu additional.fields hinzugefügt, wobei der Schlüssel „site“ und der Wert der Inhalt von site ist.
src_country principal.location.country_or_region Direkt aus src_country übernommen.
src_latitude principal.location.region_coordinates.latitude Direkt aus src_latitude übernommen.
src_longitude principal.location.region_coordinates.longitude Direkt aus src_longitude übernommen.
src_region principal.location.name Direkt aus src_region übernommen.
srcip principal.ip, principal.asset.ip Direkt aus srcip übernommen.
timestamp metadata.event_timestamp.seconds Direkt aus timestamp übernommen.
type metadata.product_event_type Direkt aus type übernommen.
ur_normalized principal.user.email_addresses Direkt aus ur_normalized übernommen.
url target.url Direkt aus url übernommen.
user principal.user.email_addresses Direkt aus user übernommen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten