Netskope
Ce guide explique comment intégrer Netskope à Google Security Operations (Google SecOps).
Version de l'intégration : 11.0
Cas d'utilisation
L'intégration de Netskope à Google SecOps peut vous aider à résoudre les cas d'utilisation suivants :
Enquête et blocage des URL de phishing : lorsque vous recevez une alerte concernant une URL de phishing, utilisez les fonctionnalités Google SecOps pour interroger la plate-forme de sécurité cloud Netskope et obtenir des informations sur la réputation et la catégorisation de l'URL. Si l'URL est confirmée comme malveillante, Netskope peut la bloquer automatiquement sur le réseau de votre organisation.
Analyse et confinement des logiciels malveillants : utilisez les fonctionnalités Google SecOps pour envoyer un échantillon de logiciel malveillant à Netskope afin qu'il soit analysé de manière dynamique. En fonction des résultats de l'analyse, Netskope peut ensuite appliquer des règles pour mettre en quarantaine les appareils infectés ou bloquer toute communication ultérieure avec des serveurs de commande et de contrôle malveillants.
Remédiation des comptes compromis : utilisez les fonctionnalités Google SecOps pour identifier les tentatives de connexion ou les activités suspectes, et appliquer des actions telles que la réinitialisation du mot de passe, les défis d'authentification multifacteur ou la suspension du compte.
Analyse et correction des failles : utilisez les fonctionnalités Google SecOps pour recevoir des alertes sur les failles détectées dans les applications cloud.
Automatisation de la réponse aux incidents : utilisez les fonctionnalités Google SecOps pour recueillir des informations contextuelles sur l'incident, telles que l'activité des utilisateurs, le trafic réseau et les journaux d'accès aux données, et automatisez les tâches de réponse aux incidents, comme l'isolement des systèmes concernés, le blocage du trafic malveillant et la notification des parties prenantes concernées.
Enrichissement des renseignements sur les menaces : utilisez les fonctionnalités Google SecOps pour intégrer les flux de renseignements sur les menaces Netskope et enrichir les alertes de sécurité avec un contexte supplémentaire.
Avant de commencer
Avant de configurer l'intégration de Netskope dans Google SecOps, générez la clé API Netskope.
Pour générer la clé API, procédez comme suit :
- Dans la console d'administration Netskope, sélectionnez Settings (Paramètres).
- Accédez à Outils> API REST v1.
- Copiez la valeur du jeton d'API pour l'utiliser ultérieurement lors de la configuration du paramètre
Api Key.
Pour configurer le paramètre réseau de l'intégration, consultez le tableau suivant :
| Fonction | Port par défaut | Direction | Protocole |
|---|---|---|---|
| API | Valeurs multiples | Sortant | apikey |
Intégrer Netskope à Google SecOps
L'intégration Netskope nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Api Root |
Obligatoire
Racine de l'API de l'instance Netskope. |
Api Key |
Obligatoire
Clé API permettant de s'authentifier auprès de l'API Netskope. Pour configurer ce paramètre, saisissez la valeur du jeton d'API que vous avez obtenue lorsque vous avez généré la clé API. |
Verify SSL |
Optional
Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL permettant de se connecter au serveur Netskope est valide. (non sélectionnée par défaut). |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis votre bureau et Effectuer une action manuelle.
Autoriser le fichier
Utilisez l'action Autoriser le fichier pour autoriser un fichier mis en quarantaine.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Autoriser le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
File ID |
Obligatoire
ID du fichier à autoriser. |
Quarantine Profile ID |
Obligatoire
ID du profil de mise en quarantaine associé au fichier. |
Sorties d'action
L'action Autoriser le fichier fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Autoriser le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Bloquer un fichier
Utilisez l'action Bloquer le fichier pour bloquer un fichier mis en quarantaine.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Bloquer le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
File ID |
Obligatoire
ID du fichier à bloquer dans Netskope. |
Quarantine Profile ID |
Obligatoire
ID du profil de mise en quarantaine à utiliser lors du blocage du fichier. |
Sorties d'action
L'action Bloquer le fichier fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Bloquer le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Télécharger le fichier
Utilisez l'action Télécharger le fichier pour télécharger un fichier mis en quarantaine.
Cette action s'exécute sur l'entité IP Address de Google SecOps.
Entrées d'action
L'action Télécharger le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
File ID |
Obligatoire
ID du fichier à télécharger depuis la zone de quarantaine. |
Quarantine Profile ID |
Obligatoire
ID du profil de mise en quarantaine auquel appartient le fichier. |
Sorties d'action
L'action Télécharger le fichier fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Télécharger le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les alertes
Utilisez l'action Lister les alertes pour lister les alertes.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Lister les alertes nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Optional Requête permettant de filtrer les événements d'application cloud dans la base de données des alertes. |
Type |
Optional Type d'alertes à filtrer. Voici les valeurs possibles :
|
Time Period |
Optional Période en millisecondes avant l'heure actuelle pour rechercher les alertes. Les valeurs possibles sont |
Start Time |
Optional Heure de début permettant de filtrer les alertes dont les codes temporels sont supérieurs à l'heure epoch Unix spécifiée. N'utilisez ce paramètre que si vous n'avez pas défini le paramètre |
End Time |
Optional Heure de fin pour filtrer les alertes dont les codes temporels sont inférieurs à l'heure epoch Unix spécifiée. N'utilisez ce paramètre que si vous n'avez pas défini le paramètre |
Is Acknowledged |
Optional Si cette option est sélectionnée, l'intégration filtre les alertes confirmées. (non sélectionnée par défaut). |
Limit |
Optional Nombre de résultats à renvoyer. La valeur par défaut est |
Sorties d'action
L'action Lister les alertes fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les alertes :
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les alertes :
| Nom du résultat du script | Valeur |
|---|---|
alerts |
ALERT_LIST |
Lister les clients
Utilisez l'action List Clients (Lister les clients) pour lister les clients.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Lister les clients nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Optional
Filtre les clients récupérés à partir de la base de données. |
Limit |
Optional
Limite le nombre de clients renvoyés par l'action. La valeur par défaut est |
Sorties d'action
L'action Lister les clients fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les clients :
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Lister les clients :
| Nom du résultat du script | Valeur |
|---|---|
clients |
CLIENT_LIST |
Lister les événements
Utilisez l'action Lister les événements pour lister les événements.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Lister les événements nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Optional Requête permettant de filtrer les événements d'application cloud dans la base de données des événements. |
Type |
Optional Type d'alertes à filtrer. Voici les valeurs possibles :
|
Time Period |
Optional Période en millisecondes avant l'heure actuelle pour rechercher des événements. Les valeurs possibles sont les suivantes : |
Start Time |
Optional Heure de début pour filtrer les événements dont le code temporel est supérieur à l'heure epoch Unix spécifiée. N'utilisez ce paramètre que si vous n'avez pas défini le paramètre |
End Time |
Optional Heure de fin pour filtrer les événements dont les codes temporels sont inférieurs à l'heure epoch Unix spécifiée. N'utilisez ce paramètre que si vous n'avez pas défini le paramètre |
Limit |
Optional Nombre de résultats à renvoyer. La valeur par défaut est |
Sorties d'action
L'action Lister les événements fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les événements :
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Lister les événements :
| Nom du résultat du script | Valeur |
|---|---|
events |
EVENT_LIST |
Lister les fichiers mis en quarantaine
Utilisez l'action Lister les fichiers mis en quarantaine pour lister les fichiers mis en quarantaine.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Lister les fichiers mis en quarantaine nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Start Time |
Optional
Heure de début pour limiter les événements dont les codes temporels sont supérieurs à la valeur de ce paramètre au format Unix. |
End Time |
Optional
Heure de fin pour limiter les événements dont les codes temporels sont inférieurs à la valeur de ce paramètre au format Unix. |
Sorties d'action
L'action Lister les fichiers mis en quarantaine fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les fichiers mis en quarantaine :
| Nom du résultat du script | Valeur |
|---|---|
files |
FILE_LIST |
Ping
Utilisez l'action Ping pour tester la connectivité à Netskope.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.