Raccogli i log avvisi di Netskope v2

Supportato in:

Panoramica

Questo parser estrae i log degli avvisi di Netskope dai messaggi in formato JSON, trasformandoli nel formato UDM di Google Security Operations. Normalizza i campi, analizza i timestamp, gestisce gli avvisi e i livelli di gravità, estrae le informazioni di rete (IP, porte, protocolli), arricchisce i dati di utenti e file e mappa i campi nella struttura UDM. Il parser gestisce anche attività Netskope specifiche come accessi ed eventi DLP e aggiunge etichette personalizzate per un contesto migliore.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso privilegiato a Netskope.

Crea un account di servizio e genera un token API REST in Netskope

Per l'integrazione con Google SecOps, devi creare un account di servizio dedicato in Netskope e generare un token API.

  1. Accedi al tenant Netskope utilizzando le tue credenziali di amministratore.
  2. Vai a Impostazioni > Amministrazione e ruoli.
  3. Fai clic sulla scheda Amministratori e poi seleziona il pulsante Account di servizio.
  4. Nella finestra di dialogo "Nuovo service account", inserisci un nome service account descrittivo (ad es. "Google SecOps Ingestion").

  5. Nella sezione Ruolo, seleziona il ruolo appropriato che disponga delle autorizzazioni per accedere agli endpoint API richiesti (ad es. un ruolo personalizzato con accesso in lettura agli avvisi).

    • Trasparenza delle autorizzazioni dei ruoli e degli endpoint API:
      • Quando selezioni un ruolo (o ne crei uno personalizzato), Netskope fornisce trasparenza in merito agli endpoint API associati:
        • Crea ruoli personalizzati: mentre definisci le autorizzazioni per il tuo ruolo personalizzato, il sistema mostra immediatamente i dati dell'endpoint API associati a ogni categoria di autorizzazione.
        • Controlla i ruoli predefiniti: puoi esaminare i ruoli predefiniti e fare clic su uno qualsiasi per visualizzare una suddivisione dettagliata delle relative autorizzazioni. Sono inclusi le categorie e gli endpoint API associati.

  6. In Metodi di autenticazione API REST, seleziona Chiave API.

  7. Seleziona la casella Genera token ora con scadenza e imposta il periodo di scadenza selezionato (ad es. 365 giorni).

  8. Fai clic su pulsante Crea.

    Avviso:verrà visualizzata una finestra di dialogo con il nuovo token API REST. Devi copiare e archiviare in modo sicuro questo token immediatamente. Non verrà mostrato di nuovo.

  9. Conserva questo token in modo sicuro, ti servirà per configurare il feed in Google SecOps.

Configurare i feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Alert Logs v2.
  5. Seleziona API di terze parti come Tipo di origine.
  6. Seleziona Netskope V2 come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione:token generato in precedenza in formato Netskope-Api-Token:<value> (ad esempio, Netskope-Api-Token:AAAABBBBCCCC111122223333).
    • Nome host API:il nome di dominio completo (FQDN) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
    • Endpoint API:inserisci alerts.
    • Tipo di contenuto:i valori consentiti per avvisi sono uba, securityassessment, quarantine, remediation, policy, malware, malsite, compromisedcredential, ctep, dlp, watchlist.
  9. Fai clic su Avanti.
  10. Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

(Facoltativo) Aggiungi una configurazione feed per importare i log eventi Netskope v2

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Netskope Event Logs v2.
  5. Seleziona API di terze parti come Tipo di origine.
  6. Seleziona Netskope V2 come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:
    • Intestazione HTTP di autenticazione:inserisci il token API REST nel formato Netskope-Api-Token: <your-generated-token>, dove <your-generated-token> è il token API che hai copiato dalla piattaforma Netskope nella sezione precedente. Questa intestazione viene utilizzata per l'autenticazione rispetto all'API Netskope.
    • Nome host API:il nome di dominio completo (FQDN) dell'endpoint API REST di Netskope (ad esempio myinstance.goskope.com).
    • Endpoint API:inserisci events.
    • Tipo di contenuti:i valori consentiti per events sono application, audit, connection, incident, infrastructure, network, page.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  9. Fai clic su Avanti.
  10. Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
_id metadata.product_log_id Mappato direttamente da _id.
access_method extensions.auth.auth_details Mappato direttamente da access_method.
action security_result.action Mappato a QUARANTINE perché il valore è "alert". Mappato anche su security_result.action_details come "avviso".
app target.application Mappato direttamente da app.
appcategory security_result.category_details Mappato direttamente da appcategory.
browser network.http.user_agent Mappato direttamente da browser.
browser_session_id network.session_id Mappato direttamente da browser_session_id.
browser_version network.http.parsed_user_agent.browser_version Mappato direttamente da browser_version.
ccl security_result.confidence_details Mappato direttamente da ccl.
device principal.resource.type, principal.resource.resource_subtype principal.resource.type è impostato su "DEVICE". principal.resource.resource_subtype è mappato direttamente da device.
dst_country target.location.country_or_region Mappato direttamente da dst_country.
dst_latitude target.location.region_coordinates.latitude Mappato direttamente da dst_latitude.
dst_longitude target.location.region_coordinates.longitude Mappato direttamente da dst_longitude.
dst_region target.location.name Mappato direttamente da dst_region.
dstip target.ip, target.asset.ip Mappato direttamente da dstip.
metadata.event_type metadata.event_type Impostato su NETWORK_CONNECTION perché sono presenti sia l'entità sia gli indirizzi IP di destinazione e il protocollo non è HTTP.
metadata.product_event_type metadata.product_event_type Mappato direttamente da type.
metadata.product_name metadata.product_name Impostato su "NETSKOPE_ALERT_V2" dal parser.
metadata.vendor_name metadata.vendor_name Impostato su "NETSKOPE_ALERT_V2" dal parser.
object_type additional.fields Aggiunto come coppia chiave-valore a additional.fields, dove la chiave è "object_type" e il valore è il contenuto di object_type.
organization_unit principal.administrative_domain Mappato direttamente da organization_unit.
os principal.platform Mappato a WINDOWS perché il valore corrisponde all'espressione regolare "(?i)Windows.*".
policy security_result.summary Mappato direttamente da policy.
site additional.fields Aggiunta come coppia chiave-valore a additional.fields, dove la chiave è "site" e il valore è il contenuto di site.
src_country principal.location.country_or_region Mappato direttamente da src_country.
src_latitude principal.location.region_coordinates.latitude Mappato direttamente da src_latitude.
src_longitude principal.location.region_coordinates.longitude Mappato direttamente da src_longitude.
src_region principal.location.name Mappato direttamente da src_region.
srcip principal.ip, principal.asset.ip Mappato direttamente da srcip.
timestamp metadata.event_timestamp.seconds Mappato direttamente da timestamp.
type metadata.product_event_type Mappato direttamente da type.
ur_normalized principal.user.email_addresses Mappato direttamente da ur_normalized.
url target.url Mappato direttamente da url.
user principal.user.email_addresses Mappato direttamente da user.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.