Netskope
En esta guía, se describe cómo integrar Netskope en Google Security Operations (Google SecOps).
Versión de integración: 11.0
Casos de uso
La integración de Netskope con Google SecOps puede ayudarte a resolver los siguientes casos de uso:
Investigación y bloqueo de URLs de phishing: Cuando recibas una alerta de URL de phishing, usa las capacidades de Google SecOps para consultar la plataforma de seguridad en la nube de Netskope y obtener información sobre la reputación y la categorización de la URL. Si se confirma que la URL es maliciosa, Netskope puede bloquearla automáticamente en la red de tu organización.
Análisis y contención de software malicioso: Usa las capacidades de Google SecOps para enviar una muestra de software malicioso a Netskope para su análisis dinámico. Según los resultados del análisis, Netskope puede aplicar políticas para poner en cuarentena los dispositivos infectados o bloquear la comunicación con servidores de comando y control maliciosos.
Corrección de cuentas comprometidas: Usa las capacidades de SecOps de Google para identificar intentos o actividades de acceso sospechosos y aplicar acciones, como restablecimientos de contraseñas, desafíos de autenticación de varios factores o suspensión de cuentas.
Análisis y aplicación de parches de vulnerabilidades: Usa las capacidades de SecOps de Google para recibir alertas sobre las vulnerabilidades detectadas en las aplicaciones de la nube.
Automatización de la respuesta ante incidentes: Usa las capacidades de Google SecOps para recopilar información contextual sobre el incidente, como la actividad del usuario, el tráfico de red y los registros de acceso a los datos, y automatiza las tareas de respuesta ante incidentes, como aislar los sistemas afectados, bloquear el tráfico malicioso y notificar a las partes interesadas pertinentes.
Enriquecimiento de la inteligencia sobre amenazas: Usa las capacidades de SecOps de Google para integrarte en los feeds de inteligencia sobre amenazas de Netskope y enriquece las alertas de seguridad con contexto adicional.
Antes de comenzar
Antes de configurar la integración de Netskope en Google SecOps, genera la clave de API de Netskope.
Para generar la clave de API, completa los siguientes pasos:
- En la Consola del administrador de Netskope, selecciona Configuración.
- Ve a Herramientas > API de REST v1.
- Copia el valor del token de API para usarlo más adelante cuando configures el parámetro
Api Key.
Para configurar el parámetro de configuración de red para la integración, consulta la siguiente tabla:
| Función | Puerto predeterminado | Dirección | Protocolo |
|---|---|---|---|
| API | Valores múltiples | Saliente | apikey |
Integra Netskope con Google SecOps
La integración de Netskope requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Api Root |
Obligatorio
Es la raíz de la API de la instancia de Netskope. |
Api Key |
Obligatorio
Es la clave de API para autenticarse con la API de Netskope. Para configurar este parámetro, ingresa el valor del token de API que obtuviste cuando generaste la clave de API. |
Verify SSL |
Optional
Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Netskope sea válido. No está seleccionada de forma predeterminada. |
Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde tu estación de trabajo y Cómo realizar una acción manual.
Permitir archivo
Usa la acción Allow File para permitir un archivo en cuarentena.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción Allow File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File ID |
Obligatorio
ID del archivo que se permitirá. |
Quarantine Profile ID |
Obligatorio
Es el ID del perfil de cuarentena asociado al archivo. |
Resultados de la acción
La acción Allow File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Allow File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Bloquear archivo
Usa la acción Block File para bloquear un archivo en cuarentena.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción Block File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File ID |
Obligatorio
Es el ID del archivo que se bloqueará en Netskope. |
Quarantine Profile ID |
Obligatorio
Es el ID del perfil de cuarentena que se usará cuando se bloquee el archivo. |
Resultados de la acción
La acción Block File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Block File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Descargar archivo
Usa la acción Download File para descargar un archivo en cuarentena.
Esta acción se ejecuta en la entidad IP Address de Google SecOps.
Entradas de acción
La acción Download File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File ID |
Obligatorio
ID del archivo que se descargará de la cuarentena. |
Quarantine Profile ID |
Obligatorio
Es el ID del perfil de cuarentena al que pertenece el archivo. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Download File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera las alertas
Usa la acción List Alerts para enumerar las alertas.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción List Alerts requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Optional Es una consulta para filtrar los eventos de la aplicación en la nube en la base de datos de alertas. |
Type |
Optional Es un tipo de alertas por el que se puede filtrar. Los valores posibles son los siguientes:
|
Time Period |
Optional Período en milisegundos anterior al momento actual en el que se buscarán alertas. Los valores posibles son |
Start Time |
Optional Es una hora de inicio para filtrar las alertas con marcas de tiempo posteriores a la hora de época de Unix especificada. Usa este parámetro solo si no configuraste el parámetro |
End Time |
Optional Es la hora de finalización para filtrar las alertas con marcas de tiempo anteriores a la hora de Unix especificada. Usa este parámetro solo si no configuraste el parámetro |
Is Acknowledged |
Optional Si se selecciona, la integración filtra las alertas confirmadas. No está seleccionada de forma predeterminada. |
Limit |
Optional Es la cantidad de resultados que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción List Alerts proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Alerts:
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Alerts:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
alerts |
ALERT_LIST |
Enumera los clientes
Usa la acción List Clients para enumerar los clientes.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción List Clients requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Optional
Filtra los clientes recuperados de la base de datos. |
Limit |
Optional
Limita la cantidad de clientes que devuelve la acción. El valor predeterminado es |
Resultados de la acción
La acción List Clients proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Clients:
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción List Clients:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
clients |
CLIENT_LIST |
Enumera eventos
Usa la acción List Events para enumerar eventos.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción List Events requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Optional Es una consulta para filtrar los eventos de la aplicación en la nube en la base de datos de eventos. |
Type |
Optional Es un tipo de alertas por el que se puede filtrar. Los valores posibles son los siguientes:
|
Time Period |
Optional Es el período en milisegundos anterior al momento actual en el que se buscarán eventos. Los valores posibles son los siguientes:
|
Start Time |
Optional Es una hora de inicio para filtrar eventos con marcas de tiempo mayores que la hora de época de Unix especificada. Usa este parámetro solo si no configuraste el parámetro |
End Time |
Optional Es la hora de finalización para filtrar eventos con marcas de tiempo anteriores a la hora de época de Unix especificada. Usa este parámetro solo si no configuraste el parámetro |
Limit |
Optional Es la cantidad de resultados que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción List Events proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción List Events:
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción List Events:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
events |
EVENT_LIST |
Enumera los archivos en cuarentena
Usa la acción List Quarantined Files para enumerar los archivos en cuarentena.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción List Quarantined Files requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Start Time |
Optional
Es una fecha y hora de inicio para restringir los eventos con marcas de tiempo mayores que el valor de este parámetro en formato Unix. |
End Time |
Optional
Es una fecha y hora de finalización para restringir los eventos con marcas de tiempo anteriores al valor de este parámetro en formato Unix. |
Resultados de la acción
La acción List Quarantined Files proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Quarantined Files:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
files |
FILE_LIST |
Ping
Usa la acción Ping para probar la conectividad a Netskope.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.