このページは Cloud Translation API によって翻訳されました。

Netskope アラートログ v2 を収集する

以下でサポートされています。

Google SecOps SIEM

概要

このパーサーは、JSON 形式のメッセージから Netskope アラートログを抽出し、Google Security Operations UDM に変換します。フィールドを正規化し、タイムスタンプを解析し、アラートと重大度を処理し、ネットワーク情報（IP、ポート、プロトコル）を抽出し、ユーザーとファイルデータを拡充し、フィールドを UDM 構造にマッピングします。パーサーは、ログインや DLP イベントなどの特定の Netskope アクティビティも処理し、コンテキストを強化するためのカスタムラベルを追加します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス。
Netskope に対する特権アクセス権。

Netskope でサービスアカウントを作成して REST API トークンを生成する

Google SecOps と統合するには、Netskope で専用のサービスアカウントを作成し、API トークンを生成する必要があります。

管理者認証情報を使用して Netskope テナントにログインします。
[設定] > [管理と役割] に移動します。
[管理者] タブをクリックし、[サービスアカウント] ボタンを選択します。
[新しいサービスアカウント] ダイアログで、わかりやすいサービスアカウント名（例: 「Google SecOps Ingestion」）。
[ロール] で、必要な API エンドポイントにアクセスする権限を持つ適切なロール（アラートへの読み取りアクセス権を持つカスタムロールなど）を選択します。
- ロールの権限と API エンドポイントの透明性:
  - ロールを選択する（またはカスタムロールを作成する）際に、Netskope は関連する API エンドポイントに関する透明性を提供します。
    - カスタムロールの作成: カスタムロールの権限を定義すると、各権限カテゴリに関連付けられた API エンドポイントデータがシステムに即座に表示されます。
    - 事前定義ロールを確認する: 事前定義ロールを確認し、ロールをクリックすると、権限の詳細な内訳が表示されます。これには、関連する API エンドポイントとカテゴリが含まれます。
[REST API 認証方法] で [API キー] を選択します。
[有効期限付きのトークンを今すぐ生成] チェックボックスをオンにして、選択した有効期限（例: 365 日間）。
[作成] ボタンをクリックします。

警告: 新しい REST API トークンを表示するダイアログが表示されます。このトークンは、すぐにコピーして安全に保存する必要があります。トークンが再度表示されることはありません。
このトークンは安全に保管してください。Google SecOps でフィードを構成する際に必要になります。

フィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Netskope Alert Logs v2）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [Netskope V2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Authentication HTTP Header: Netskope-Api-Token:<value> 形式で以前に生成されたトークン（例: Netskope-Api-Token:AAAABBBBCCCC111122223333）。
- API ホスト名: Netskope REST API エンドポイントの FQDN（完全修飾ドメイン名）（myinstance.goskope.com など）。
- API エンドポイント: 「alerts」と入力します。
- コンテンツタイプ: アラートに許可される値は、uba、securityassessment、quarantine、remediation、policy、malware、malsite、compromisedcredential、ctep、dlp、watchlist です。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。

省略可: Netskope イベントログ v2 を取り込むようにフィード構成を追加する

[SIEM Settings] > [Feeds] に移動します。
[新しいフィードを追加] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Netskope Event Logs v2）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [Netskope V2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Authentication HTTP Header: REST API トークンを Netskope-Api-Token: <your-generated-token> 形式で入力します。ここで、<your-generated-token> は前のセクションで Netskope プラットフォームからコピーした API トークンです。このヘッダーは、Netskope API に対する認証に使用されます。
- API ホスト名: Netskope REST API エンドポイントの FQDN（完全修飾ドメイン名）（myinstance.goskope.com など）。
- API エンドポイント: 「events」と入力します。
- コンテンツタイプ: イベントに指定できる値は、アプリケーション、監査、接続、インシデント、インフラストラクチャ、ネットワーク、ページです。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`_id`	`metadata.product_log_id`	`_id` から直接マッピングされます。
`access_method`	`extensions.auth.auth_details`	`access_method` から直接マッピングされます。
`action`	`security_result.action`	値が「alert」であるため、`QUARANTINE` にマッピングされます。「alert」として `security_result.action_details` にもマッピングされます。
`app`	`target.application`	`app` から直接マッピングされます。
`appcategory`	`security_result.category_details`	`appcategory` から直接マッピングされます。
`browser`	`network.http.user_agent`	`browser` から直接マッピングされます。
`browser_session_id`	`network.session_id`	`browser_session_id` から直接マッピングされます。
`browser_version`	`network.http.parsed_user_agent.browser_version`	`browser_version` から直接マッピングされます。
`ccl`	`security_result.confidence_details`	`ccl` から直接マッピングされます。
`device`	`principal.resource.type`、`principal.resource.resource_subtype`	`principal.resource.type` は「DEVICE」に設定されています。`principal.resource.resource_subtype` は `device` から直接マッピングされます。
`dst_country`	`target.location.country_or_region`	`dst_country` から直接マッピングされます。
`dst_latitude`	`target.location.region_coordinates.latitude`	`dst_latitude` から直接マッピングされます。
`dst_longitude`	`target.location.region_coordinates.longitude`	`dst_longitude` から直接マッピングされます。
`dst_region`	`target.location.name`	`dst_region` から直接マッピングされます。
`dstip`	`target.ip`、`target.asset.ip`	`dstip` から直接マッピングされます。
`metadata.event_type`	`metadata.event_type`	プリンシパルとターゲットの両方の IP アドレスが存在し、プロトコルが HTTP ではないため、`NETWORK_CONNECTION` に設定されています。
`metadata.product_event_type`	`metadata.product_event_type`	`type` から直接マッピングされます。
`metadata.product_name`	`metadata.product_name`	パーサーによって「NETSKOPE_ALERT_V2」に設定されます。
`metadata.vendor_name`	`metadata.vendor_name`	パーサーによって「NETSKOPE_ALERT_V2」に設定されます。
`object_type`	`additional.fields`	キーが「object_type」、値が `object_type` のコンテンツである Key-Value ペアとして `additional.fields` に追加されます。
`organization_unit`	`principal.administrative_domain`	`organization_unit` から直接マッピングされます。
`os`	`principal.platform`	値が正規表現「(?i)Windows.*」と一致するため、`WINDOWS` にマッピングされます。
`policy`	`security_result.summary`	`policy` から直接マッピングされます。
`site`	`additional.fields`	キーが「site」、値が `site` のコンテンツである Key-Value ペアとして `additional.fields` に追加されます。
`src_country`	`principal.location.country_or_region`	`src_country` から直接マッピングされます。
`src_latitude`	`principal.location.region_coordinates.latitude`	`src_latitude` から直接マッピングされます。
`src_longitude`	`principal.location.region_coordinates.longitude`	`src_longitude` から直接マッピングされます。
`src_region`	`principal.location.name`	`src_region` から直接マッピングされます。
`srcip`	`principal.ip`、`principal.asset.ip`	`srcip` から直接マッピングされます。
`timestamp`	`metadata.event_timestamp.seconds`	`timestamp` から直接マッピングされます。
`type`	`metadata.product_event_type`	`type` から直接マッピングされます。
`ur_normalized`	`principal.user.email_addresses`	`ur_normalized` から直接マッピングされます。
`url`	`target.url`	`url` から直接マッピングされます。
`user`	`principal.user.email_addresses`	`user` から直接マッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。