Netskope
En esta guía se describe cómo integrar Netskope con Google Security Operations (Google SecOps).
Versión de integración: 11.0
Casos prácticos
La integración de Netskope con Google SecOps puede ayudarte a resolver los siguientes casos prácticos:
Investigación y bloqueo de URLs de phishing: cuando recibas una alerta de URL de phishing, usa las funciones de Google SecOps para consultar la plataforma de seguridad en la nube de Netskope y obtener información sobre la reputación y la categorización de la URL. Si se confirma que la URL es maliciosa, Netskope puede bloquearla automáticamente en la red de tu organización.
Análisis y contención de malware: usa las funciones de Google SecOps para enviar una muestra de malware a Netskope y hacer un análisis dinámico. En función de los resultados del análisis, Netskope puede aplicar políticas para poner en cuarentena los dispositivos infectados o bloquear la comunicación con servidores de comando y control maliciosos.
Medidas para solucionar el problema de una cuenta vulnerada: usa las funciones de Google SecOps para identificar intentos o actividades de inicio de sesión sospechosos y aplicar medidas, como restablecer contraseñas, solicitar la autenticación de varios factores o suspender cuentas.
Análisis y aplicación de parches de vulnerabilidades: usa las funciones de Google SecOps para recibir alertas sobre las vulnerabilidades detectadas en las aplicaciones en la nube.
Automatización de la respuesta a incidentes: usa las funciones de Google SecOps para recoger información contextual sobre el incidente, como la actividad de los usuarios, el tráfico de red y los registros de acceso a datos, y automatiza las tareas de respuesta a incidentes, como aislar los sistemas afectados, bloquear el tráfico malicioso y notificar a las partes interesadas pertinentes.
Enriquecimiento de la inteligencia frente a amenazas: use las funciones de Google SecOps para integrar feeds de inteligencia frente a amenazas de Netskope y enriquecer las alertas de seguridad con contexto adicional.
Antes de empezar
Antes de configurar la integración de Netskope en Google SecOps, genera la clave de API de Netskope.
Para generar la clave de API, sigue estos pasos:
- En la consola de administración de Netskope, selecciona Configuración.
- Ve a Herramientas > API REST v1.
- Copia el valor del token de API para usarlo más adelante al configurar el parámetro
Api Key.
Para configurar el ajuste de red de la integración, consulta la siguiente tabla:
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Multivalores | Saliente | apikey |
Integrar Netskope con Google SecOps
La integración de Netskope requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Api Root |
Obligatorio
La raíz de la API de la instancia de Netskope. |
Api Key |
Obligatorio
Clave de API para autenticar la API de Netskope. Para configurar este parámetro, introduce el valor del token de la API que obtuviste al generar la clave de la API. |
Verify SSL |
Optional
Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Netskope sea válido. No está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde tu mesa de trabajo y Realizar una acción manual.
Permitir archivo
Usa la acción Permitir archivo para permitir un archivo en cuarentena.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Permitir archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File ID |
Obligatorio
ID del archivo que se va a permitir. |
Quarantine Profile ID |
Obligatorio
Es el ID del perfil de cuarentena asociado al archivo. |
Resultados de la acción
La acción Permitir archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Permitir archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Bloquear archivo
Usa la acción Bloquear archivo para bloquear un archivo en cuarentena.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Bloquear archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File ID |
Obligatorio
ID del archivo que se va a bloquear en Netskope. |
Quarantine Profile ID |
Obligatorio
ID del perfil de cuarentena que se usará al bloquear el archivo. |
Resultados de la acción
La acción Bloquear archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Bloquear archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Descargar archivo
Usa la acción Descargar archivo para descargar un archivo en cuarentena.
Esta acción se ejecuta en la entidad IP Address de Google SecOps.
Entradas de acciones
La acción Descargar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File ID |
Obligatorio
ID del archivo que se va a descargar de la cuarentena. |
Quarantine Profile ID |
Obligatorio
El ID del perfil de cuarentena al que pertenece el archivo. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Descargar archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar alertas
Usa la acción List Alerts (Mostrar alertas) para ver las alertas.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción List Alerts requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Optional Consulta para filtrar los eventos de aplicaciones en la nube en la base de datos de alertas. |
Type |
Optional Tipo de alertas por el que filtrar. Los valores posibles son los siguientes:
|
Time Period |
Optional El periodo de tiempo en milisegundos anterior al momento actual en el que se buscarán alertas. Los valores posibles son |
Start Time |
Optional Hora de inicio para filtrar las alertas con marcas de tiempo posteriores a la hora de inicio de la época de Unix especificada. Utiliza este parámetro solo si no has definido el parámetro |
End Time |
Optional Hora de finalización para filtrar las alertas con marcas de tiempo anteriores a la hora de época de Unix especificada. Utiliza este parámetro solo si no has definido el parámetro |
Is Acknowledged |
Optional Si se selecciona, la integración filtra las alertas confirmadas. No está seleccionada de forma predeterminada. |
Limit |
Optional Número de resultados que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción List Alerts (Mostrar alertas) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción List Alerts (Listar alertas):
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Alerts (Listar alertas):
| Nombre del resultado del script | Valor |
|---|---|
alerts |
ALERT_LIST |
List Clients
Use la acción List Clients (Listar clientes) para enumerar los clientes.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción List Clients requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Optional
Filtra los clientes obtenidos de la base de datos. |
Limit |
Optional
Limita el número de clientes devueltos por la acción. El valor predeterminado es |
Resultados de la acción
La acción List Clients (Listar clientes) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción List Clients (Listar clientes):
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Clients (Listar clientes):
| Nombre del resultado del script | Valor |
|---|---|
clients |
CLIENT_LIST |
List Events
Usa la acción List Events (Listar eventos) para enumerar eventos.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción List Events requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Optional Una consulta para filtrar los eventos de aplicaciones en la nube en la base de datos de eventos. |
Type |
Optional Tipo de alertas por el que filtrar. Los valores posibles son los siguientes:
|
Time Period |
Optional El periodo en milisegundos anterior a la hora actual en el que se buscarán eventos. Los valores posibles son los siguientes:
|
Start Time |
Optional Hora de inicio para filtrar eventos con marcas de tiempo posteriores a la hora de época de Unix especificada. Utiliza este parámetro solo si no has definido el parámetro |
End Time |
Optional Hora de finalización para filtrar eventos con marcas de tiempo anteriores a la hora de época de Unix especificada. Utiliza este parámetro solo si no has definido el parámetro |
Limit |
Optional Número de resultados que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción List Events (Listar eventos) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado en JSON que se recibe al usar la acción List Events (Listar eventos):
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Events (Listar eventos):
| Nombre del resultado del script | Valor |
|---|---|
events |
EVENT_LIST |
Mostrar archivos en cuarentena
Usa la acción List Quarantined Files (Listar archivos en cuarentena) para ver una lista de los archivos en cuarentena.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción List Quarantined Files requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Start Time |
Optional
Hora de inicio para restringir los eventos con marcas de tiempo posteriores al valor de este parámetro en formato Unix. |
End Time |
Optional
Hora de finalización para restringir los eventos con marcas de tiempo inferiores al valor de este parámetro en formato Unix. |
Resultados de la acción
La acción List Quarantined Files (Listar archivos en cuarentena) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Quarantined Files (Listar archivos en cuarentena):
| Nombre del resultado del script | Valor |
|---|---|
files |
FILE_LIST |
Ping
Usa la acción Ping para probar la conectividad con Netskope.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.