Recoger registros de alertas de Netskope (versión 2)

Disponible en:

Información general

Este analizador extrae los registros de alertas de Netskope de mensajes con formato JSON y los transforma en el UDM de Google Security Operations. Normaliza campos, analiza marcas de tiempo, gestiona alertas y gravedades, extrae información de red (IPs, puertos, protocolos), enriquece datos de usuarios y archivos, y asigna campos a la estructura de UDM. El analizador también gestiona actividades específicas de Netskope, como inicios de sesión y eventos de DLP, y añade etiquetas personalizadas para mejorar el contexto.

.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a Netskope.

Crear una cuenta de servicio y generar un token de API REST en Netskope

Para integrar Google SecOps, debes crear una cuenta de servicio específica en Netskope y generar un token de API.

  1. Inicia sesión en el arrendatario de Netskope con tus credenciales de administrador.
  2. Vaya a Configuración > Administración y roles.
  3. Haz clic en la pestaña Administradores y, a continuación, selecciona el botón Cuentas de servicio.
  4. En el cuadro de diálogo "Nueva cuenta de servicio", escribe un Nombre de cuenta de servicio descriptivo (por ejemplo, "Google SecOps Ingestion").

  5. En Rol, seleccione el rol adecuado que tenga permisos para acceder a los endpoints de API necesarios (por ejemplo, un rol personalizado con acceso de lectura a las alertas).

    • Transparencia de los permisos de rol y los endpoints de API:
      • Al seleccionar un rol (o crear uno personalizado), Netskope ofrece transparencia en cuanto a los endpoints de API asociados:
        • Crear roles personalizados: a medida que definas los permisos de tu rol personalizado, el sistema mostrará al instante los datos del endpoint de la API asociados a cada categoría de permiso.
        • Consultar roles predefinidos: puedes revisar los roles predefinidos y hacer clic en cualquiera de ellos para ver un desglose detallado de sus permisos. Esto incluye los endpoints y las categorías de la API asociada.

  6. En Métodos de autenticación de la API REST, selecciona Clave de API.

  7. Marca la casilla Generar token ahora con vencimiento y define el periodo de vencimiento seleccionado (por ejemplo, 365 días).

  8. Haz clic en el botón Crear.

    Advertencia: Aparecerá un cuadro de diálogo con el nuevo token de la API REST. Debes copiar y almacenar este token de forma segura inmediatamente. ya que no se volverá a mostrar.

  9. Guarda este token en un lugar seguro, ya que lo necesitarás para configurar el feed en Google SecOps.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed; por ejemplo, Registros de alertas de Netskope v2.
  5. Seleccione API de terceros como Tipo de fuente.
  6. Selecciona Netskope V2 como Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifique valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: token generado previamente en formato Netskope-Api-Token:<value> (por ejemplo, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nombre de host de la API: el nombre de dominio completo (FQDN) de tu endpoint de la API REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Endpoint de API: introduce alerts.
    • Tipo de contenido: los valores permitidos para alerts son uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp y watchlist.
  9. Haz clic en Siguiente.
  10. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Opcional: Añade una configuración de feed para ingerir registros de eventos de Netskope v2

  1. Ve a Configuración de SIEM > Feeds.
  2. Haga clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros de eventos de Netskope v2).
  5. Seleccione API de terceros como Tipo de fuente.
  6. Selecciona Netskope V2 como Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifique valores para los siguientes parámetros de entrada:
    • Encabezado HTTP de autenticación: introduce el token de la API REST con el formato Netskope-Api-Token: <your-generated-token>, donde <your-generated-token> es el token de la API que has copiado de la plataforma de Netskope en la sección anterior. Este encabezado se usa para autenticar la API de Netskope.
    • Nombre de host de la API: el nombre de dominio completo (FQDN) de tu endpoint de la API REST de Netskope (por ejemplo, myinstance.goskope.com).
    • Endpoint de API: introduce events.
    • Tipo de contenido: los valores permitidos para events son application, audit, connection, incident, infrastructure, network y page.
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
  9. Haz clic en Siguiente.
  10. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
_id metadata.product_log_id Asignado directamente desde _id.
access_method extensions.auth.auth_details Asignado directamente desde access_method.
action security_result.action Se ha asignado a QUARANTINE porque el valor es "alert". También se ha asignado a security_result.action_details como "alerta".
app target.application Asignado directamente desde app.
appcategory security_result.category_details Asignado directamente desde appcategory.
browser network.http.user_agent Asignado directamente desde browser.
browser_session_id network.session_id Asignado directamente desde browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Asignado directamente desde browser_version.
ccl security_result.confidence_details Asignado directamente desde ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type tiene el valor "DEVICE". principal.resource.resource_subtype se asigna directamente desde device.
dst_country target.location.country_or_region Asignado directamente desde dst_country.
dst_latitude target.location.region_coordinates.latitude Asignado directamente desde dst_latitude.
dst_longitude target.location.region_coordinates.longitude Asignado directamente desde dst_longitude.
dst_region target.location.name Asignado directamente desde dst_region.
dstip target.ip, target.asset.ip Asignado directamente desde dstip.
metadata.event_type metadata.event_type Se define como NETWORK_CONNECTION porque están presentes tanto la dirección IP principal como la de destino y el protocolo no es HTTP.
metadata.product_event_type metadata.product_event_type Asignado directamente desde type.
metadata.product_name metadata.product_name El analizador le asigna el valor "NETSKOPE_ALERT_V2".
metadata.vendor_name metadata.vendor_name El analizador le asigna el valor "NETSKOPE_ALERT_V2".
object_type additional.fields Se añade como un par clave-valor a additional.fields, donde la clave es "object_type" y el valor es el contenido de object_type.
organization_unit principal.administrative_domain Asignado directamente desde organization_unit.
os principal.platform Se ha asignado a WINDOWS porque el valor coincide con la expresión regular "(?i)Windows.*".
policy security_result.summary Asignado directamente desde policy.
site additional.fields Se añade como un par clave-valor a additional.fields, donde la clave es "site" y el valor es el contenido de site.
src_country principal.location.country_or_region Asignado directamente desde src_country.
src_latitude principal.location.region_coordinates.latitude Asignado directamente desde src_latitude.
src_longitude principal.location.region_coordinates.longitude Asignado directamente desde src_longitude.
src_region principal.location.name Asignado directamente desde src_region.
srcip principal.ip, principal.asset.ip Asignado directamente desde srcip.
timestamp metadata.event_timestamp.seconds Asignado directamente desde timestamp.
type metadata.product_event_type Asignado directamente desde type.
ur_normalized principal.user.email_addresses Asignado directamente desde ur_normalized.
url target.url Asignado directamente desde url.
user principal.user.email_addresses Asignado directamente desde user.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.