Netskope
In diesem Leitfaden wird beschrieben, wie Sie Netskope in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 11.0
Anwendungsfälle
Durch die Integration von Netskope in Google SecOps können Sie die folgenden Anwendungsfälle abdecken:
Untersuchung und Blockierung von Phishing-URLs:Wenn Sie eine Warnung zu einer Phishing-URL erhalten, können Sie mit den Google SecOps-Funktionen die Netskope Cloud Security Platform nach Informationen zum Ruf und zur Kategorisierung der URL abfragen. Wenn die URL als schädlich bestätigt wird, kann Netskope sie automatisch im gesamten Netzwerk Ihrer Organisation blockieren.
Malware-Analyse und -Eindämmung:Mit den Google SecOps-Funktionen können Sie eine Malware-Probe zur dynamischen Analyse an Netskope senden. Anhand der Analyseergebnisse kann Netskope dann Richtlinien erzwingen, um infizierte Geräte unter Quarantäne zu stellen oder die weitere Kommunikation mit schädlichen Command-and-Control-Servern zu blockieren.
Behebung von Kompromittierungen von Konten:Mit den Google SecOps-Funktionen können Sie verdächtige Anmeldeversuche oder Aktivitäten erkennen und Aktionen wie das Zurücksetzen von Passwörtern, die Aufforderung zur Multi-Faktor-Authentifizierung oder die Kontosperrung erzwingen.
Scannen auf Sicherheitslücken und Patchen:Mit den Google SecOps-Funktionen können Sie Benachrichtigungen zu Sicherheitslücken erhalten, die in Cloud-Anwendungen erkannt wurden.
Automatisierung der Reaktion auf Vorfälle:Nutzen Sie die Google SecOps-Funktionen, um Kontextinformationen zum Vorfall zu erfassen, z. B. Nutzeraktivitäten, Netzwerkverkehr und Protokolle für den Datenzugriff, und automatisieren Sie Aufgaben zur Reaktion auf Vorfälle, z. B. das Isolieren betroffener Systeme, das Blockieren von schädlichem Traffic und das Benachrichtigen relevanter Stakeholder.
Anreicherung mit Bedrohungsinformationen:Nutzen Sie die Google SecOps-Funktionen, um Netskope-Feeds mit Bedrohungsinformationen einzubinden und Sicherheitswarnungen mit zusätzlichem Kontext anzureichern.
Hinweise
Bevor Sie die Netskope-Integration in Google SecOps konfigurieren, müssen Sie den Netskope-API-Schlüssel generieren.
Führen Sie die folgenden Schritte aus, um den API-Schlüssel zu generieren:
- Wählen Sie in der Admin-Konsole von Netskope die Option Settings (Einstellungen) aus.
- Klicken Sie auf Tools > REST API v1.
- Kopieren Sie den Wert des API-Tokens, um ihn später bei der Konfiguration des Parameters
Api Keyzu verwenden.
Informationen zum Konfigurieren der Netzwerkeinstellung für die Integration finden Sie in der folgenden Tabelle:
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apikey |
Netskope in Google SecOps einbinden
Für die Netskope-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Api Root |
Erforderlich
Der API-Stamm der Netskope-Instanz. |
Api Key |
Erforderlich
Der API-Schlüssel für die Authentifizierung bei der Netskope API. Geben Sie zum Konfigurieren dieses Parameters den API-Token-Wert ein, den Sie beim Generieren des API-Schlüssels erhalten haben. |
Verify SSL |
Optional
Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum Netskope-Server gültig ist. Diese Option ist standardmäßig nicht ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in Ihrem Arbeitsbereich reagieren und Manuelle Aktion ausführen.
Datei zulassen
Verwenden Sie die Aktion Datei zulassen, um eine unter Quarantäne gestellte Datei zuzulassen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Datei zulassen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
File ID |
Erforderlich
Die ID der Datei, die zugelassen werden soll. |
Quarantine Profile ID |
Erforderlich
Die ID des Quarantäneprofils, das mit der Datei verknüpft ist. |
Aktionsausgaben
Die Aktion Datei zulassen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei zulassen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei blockieren
Verwenden Sie die Aktion Datei blockieren, um eine Datei in der Quarantäne zu blockieren.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Datei blockieren sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
File ID |
Erforderlich
Die ID der Datei, die in Netskope blockiert werden soll. |
Quarantine Profile ID |
Erforderlich
Die ID des Quarantäneprofils, das beim Blockieren der Datei verwendet werden soll. |
Aktionsausgaben
Die Aktion Datei blockieren bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei blockieren verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei herunterladen
Verwenden Sie die Aktion Datei herunterladen, um eine unter Quarantäne gestellte Datei herunterzuladen.
Diese Aktion wird für die Google SecOps-IP Address-Entität ausgeführt.
Aktionseingaben
Für die Aktion Datei herunterladen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
File ID |
Erforderlich
Die ID der Datei, die aus der Quarantäne heruntergeladen werden soll. |
Quarantine Profile ID |
Erforderlich
Die ID des Quarantäneprofils, zu dem die Datei gehört. |
Aktionsausgaben
Die Aktion Datei herunterladen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei herunterladen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benachrichtigungen auflisten
Verwenden Sie die Aktion List Alerts (Benachrichtigungen auflisten), um Benachrichtigungen aufzulisten.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion List Alerts sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Optional Eine Abfrage zum Filtern der Cloud-Anwendungsereignisse in der Benachrichtigungsdatenbank. |
Type |
Optional Ein Typ von Warnungen, nach dem gefiltert werden soll. Folgende Werte sind möglich:
|
Time Period |
Optional Der Zeitraum in Millisekunden vor dem aktuellen Zeitpunkt, in dem nach Benachrichtigungen gesucht werden soll. Die möglichen Werte sind |
Start Time |
Optional Eine Startzeit zum Filtern von Benachrichtigungen mit Zeitstempeln, die größer als die angegebene Unix-Epochenzeit sind. Verwenden Sie diesen Parameter nur, wenn Sie den Parameter |
End Time |
Optional Eine Endzeit zum Filtern von Benachrichtigungen mit Zeitstempeln, die kleiner als die angegebene Unixzeit sind. Verwenden Sie diesen Parameter nur, wenn Sie den Parameter |
Is Acknowledged |
Optional Wenn diese Option ausgewählt ist, werden in der Integration nur bestätigte Benachrichtigungen berücksichtigt. Diese Option ist standardmäßig nicht ausgewählt. |
Limit |
Optional Die Anzahl der zurückzugebenden Ergebnisse. Der Standardwert ist |
Aktionsausgaben
Die Aktion List Alerts (Benachrichtigungen auflisten) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Alerts (Benachrichtigungen auflisten) empfangen wird:
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Alerts aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
alerts |
ALERT_LIST |
Clients auflisten
Verwenden Sie die Aktion List Clients (Kunden auflisten), um Kunden aufzulisten.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion List Clients sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Optional
Filtert die aus der Datenbank abgerufenen Clients. |
Limit |
Optional
Beschränkt die Anzahl der von der Aktion zurückgegebenen Clients. Der Standardwert ist |
Aktionsausgaben
Die Aktion List Clients (Kunden auflisten) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Clients (Clients auflisten) empfangen wird:
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Clients aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
clients |
CLIENT_LIST |
Ereignisse auflisten
Verwenden Sie die Aktion Ereignisse auflisten, um Ereignisse aufzulisten.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion List Events sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Optional Eine Abfrage zum Filtern der Cloud-Anwendungsereignisse in der Ereignisdatenbank. |
Type |
Optional Ein Typ von Warnungen, nach dem gefiltert werden soll. Folgende Werte sind möglich:
|
Time Period |
Optional Der Zeitraum in Millisekunden vor dem aktuellen Zeitpunkt, in dem nach Ereignissen gesucht werden soll. Die möglichen Werte sind:
|
Start Time |
Optional Eine Startzeit zum Filtern von Ereignissen mit Zeitstempeln, die größer als die angegebene Unix-Epochenzeit sind. Verwenden Sie diesen Parameter nur, wenn Sie den Parameter |
End Time |
Optional Eine Endzeit zum Filtern von Ereignissen mit Zeitstempeln, die kleiner als die angegebene Unix-Epochenzeit sind. Verwenden Sie diesen Parameter nur, wenn Sie den Parameter |
Limit |
Optional Die Anzahl der zurückzugebenden Ergebnisse. Der Standardwert ist |
Aktionsausgaben
Die Aktion List Events (Ereignisse auflisten) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Events (Ereignisse auflisten) empfangen wird:
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Events aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
events |
EVENT_LIST |
Unter Quarantäne gestellte Dateien auflisten
Verwenden Sie die Aktion List Quarantined Files (Dateien in Quarantäne auflisten), um Dateien in Quarantäne aufzulisten.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion List Quarantined Files (Unter Quarantäne gestellte Dateien auflisten) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Start Time |
Optional
Eine Startzeit, um Ereignisse mit Zeitstempeln, die größer als der Wert dieses Parameters sind, im Unix-Format einzuschränken. |
End Time |
Optional
Eine Endzeit, um Ereignisse mit Zeitstempeln einzuschränken, die kleiner als der Wert dieses Parameters im Unix-Format sind. |
Aktionsausgaben
Die Aktion List Quarantined Files (Unter Quarantäne gestellte Dateien auflisten) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Quarantined Files (Unter Quarantäne gestellte Dateien auflisten) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
files |
FILE_LIST |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Netskope zu testen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten