Netskope
Panduan ini menjelaskan cara mengintegrasikan Netskope dengan Google Security Operations (Google SecOps).
Versi integrasi: 11.0
Kasus penggunaan
Mengintegrasikan Netskope dengan Google SecOps dapat membantu Anda mengatasi kasus penggunaan berikut:
Investigasi dan pemblokiran URL phishing: setelah menerima pemberitahuan URL phishing, gunakan kemampuan Google SecOps untuk membuat kueri platform keamanan cloud Netskope guna mendapatkan informasi tentang reputasi dan kategorisasi URL. Jika URL dikonfirmasi sebagai berbahaya, Netskope dapat memblokir URL secara otomatis di seluruh jaringan organisasi Anda.
Analisis dan penanganan malware: gunakan kemampuan Google SecOps untuk mengirimkan sampel malware ke Netskope untuk analisis dinamis. Berdasarkan hasil analisis, Netskope kemudian dapat menerapkan kebijakan untuk mengarantina perangkat yang terinfeksi atau memblokir komunikasi lebih lanjut dengan server command and control berbahaya.
Perbaikan akun yang dibobol: gunakan kemampuan Google SecOps untuk mengidentifikasi upaya atau aktivitas login yang mencurigakan dan menerapkan tindakan, seperti mereset sandi, tantangan autentikasi multi-faktor, atau penangguhan akun.
Pemindaian dan patching kerentanan: gunakan kemampuan Google SecOps untuk menerima pemberitahuan tentang kerentanan yang terdeteksi di aplikasi cloud.
Otomatisasi respons insiden: gunakan kemampuan Google SecOps untuk mengumpulkan informasi kontekstual tentang insiden, seperti aktivitas pengguna, traffic jaringan, dan log akses data, serta mengotomatiskan tugas respons insiden, seperti mengisolasi sistem yang terpengaruh, memblokir traffic berbahaya, dan memberi tahu pemangku kepentingan yang relevan.
Pengayaan kecerdasan ancaman: gunakan kemampuan Google SecOps untuk berintegrasi dengan feed kecerdasan ancaman Netskope dan memperkaya notifikasi keamanan dengan konteks tambahan.
Sebelum memulai
Sebelum mengonfigurasi integrasi Netskope di Google SecOps, buat kunci API Netskope.
Untuk membuat kunci API, selesaikan langkah-langkah berikut:
- Di Admin Console Netskope, pilih Settings.
- Buka Tools > REST API v1.
- Salin nilai Token API untuk digunakan nanti saat mengonfigurasi
parameter
Api Key.
Untuk mengonfigurasi setelan jaringan untuk integrasi, lihat tabel berikut:
| Fungsi | Port default | Arah | Protokol |
|---|---|---|---|
| API | Multinilai | Keluar | apikey |
Mengintegrasikan Netskope dengan Google SecOps
Integrasi Netskope memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Api Root |
Wajib
Root API instance Netskope. |
Api Key |
Wajib
Kunci API untuk melakukan autentikasi dengan Netskope API. Untuk mengonfigurasi parameter ini, masukkan nilai token API yang Anda peroleh saat Anda membuat kunci API. |
Verify SSL |
Opsional
Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk menghubungkan ke server Netskope valid. Tidak dipilih secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari meja kerja Anda dan Melakukan tindakan manual.
Izinkan File
Gunakan tindakan Izinkan File untuk mengizinkan file yang dikarantina.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tindakan Izinkan File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
File ID |
Wajib
ID file yang akan diizinkan. |
Quarantine Profile ID |
Wajib
ID profil karantina yang terkait dengan file. |
Output tindakan
Tindakan Izinkan File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Izinkan File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Blokir File
Gunakan tindakan Blokir File untuk memblokir file yang dikarantina.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tindakan Blokir File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
File ID |
Wajib
ID file yang akan diblokir di Netskope. |
Quarantine Profile ID |
Wajib
ID profil karantina yang akan digunakan saat memblokir file. |
Output tindakan
Tindakan Blokir File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Blokir File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Download File
Gunakan tindakan Download File untuk mendownload file yang dikarantina.
Tindakan ini dijalankan pada entity IP Address Google SecOps.
Input tindakan
Tindakan Download File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
File ID |
Wajib
ID file yang akan didownload dari karantina. |
Quarantine Profile ID |
Wajib
ID profil karantina tempat file berada. |
Output tindakan
Tindakan Download File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Download File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Daftar Pemberitahuan
Gunakan tindakan List Alerts untuk mencantumkan pemberitahuan.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tindakan List Alerts memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Opsional Kueri untuk memfilter peristiwa aplikasi cloud di database pemberitahuan. |
Type |
Opsional Jenis notifikasi yang akan difilter. Kemungkinan nilainya adalah sebagai berikut:
|
Time Period |
Opsional Periode waktu dalam milidetik sebelum sekarang untuk menelusuri pemberitahuan. Nilai yang mungkin adalah |
Start Time |
Opsional Waktu mulai untuk memfilter pemberitahuan dengan stempel waktu yang lebih besar daripada waktu epoch Unix yang ditentukan. Gunakan parameter ini hanya jika Anda
tidak menetapkan parameter |
End Time |
Opsional Waktu berakhir untuk memfilter pemberitahuan dengan stempel waktu yang kurang dari waktu epoch Unix yang ditentukan. Gunakan parameter ini hanya jika Anda
tidak menetapkan parameter |
Is Acknowledged |
Opsional Jika dipilih, integrasi akan memfilter pemberitahuan yang telah dikonfirmasi. Tidak dipilih secara default. |
Limit |
Opsional Jumlah hasil yang akan ditampilkan. Nilai defaultnya adalah |
Output tindakan
Tindakan List Alerts memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Alerts:
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Alerts:
| Nama hasil skrip | Nilai |
|---|---|
alerts |
ALERT_LIST |
Mencantumkan Klien
Gunakan tindakan List Clients untuk mencantumkan klien.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tindakan List Clients memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Opsional
Memfilter klien yang diambil dari database. |
Limit |
Opsional
Membatasi jumlah klien yang ditampilkan oleh tindakan. Nilai defaultnya adalah |
Output tindakan
Tindakan List Clients memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Clients:
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Clients:
| Nama hasil skrip | Nilai |
|---|---|
clients |
CLIENT_LIST |
Mencantumkan Peristiwa
Gunakan tindakan List Events untuk mencantumkan peristiwa.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tindakan List Events memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Opsional Kueri untuk memfilter peristiwa aplikasi cloud di database peristiwa. |
Type |
Opsional Jenis notifikasi yang akan difilter. Kemungkinan nilainya adalah sebagai berikut:
|
Time Period |
Opsional Jangka waktu dalam milidetik sebelum sekarang untuk menelusuri peristiwa. Nilai yang mungkin adalah sebagai berikut:
|
Start Time |
Opsional Waktu mulai untuk memfilter peristiwa dengan stempel waktu yang lebih besar daripada waktu epoch Unix yang ditentukan. Gunakan parameter ini hanya jika Anda
tidak menetapkan parameter |
End Time |
Opsional Waktu berakhir untuk memfilter peristiwa dengan stempel waktu yang lebih kecil daripada waktu epoch Unix yang ditentukan. Gunakan parameter ini hanya jika Anda
tidak menetapkan parameter |
Limit |
Opsional Jumlah hasil yang akan ditampilkan. Nilai defaultnya adalah |
Output tindakan
Tindakan List Events memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Events:
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Events:
| Nama hasil skrip | Nilai |
|---|---|
events |
EVENT_LIST |
Mencantumkan File yang Dikarantina
Gunakan tindakan List Quarantined Files untuk mencantumkan file yang dikarantina.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tindakan List Quarantined Files memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Start Time |
Opsional
Waktu mulai untuk membatasi peristiwa dengan stempel waktu yang lebih besar daripada nilai parameter ini dalam format Unix. |
End Time |
Opsional
Waktu berakhir untuk membatasi peristiwa dengan stempel waktu yang kurang dari nilai parameter ini dalam format Unix. |
Output tindakan
Tindakan List Quarantined Files memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Quarantined Files:
| Nama hasil skrip | Nilai |
|---|---|
files |
FILE_LIST |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Netskope.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.