Netskope
このガイドでは、Netskope を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 11.0
ユースケース
Netskope を Google SecOps と統合すると、次のユースケースを解決できます。
フィッシング URL の調査とブロック: フィッシング URL アラートを受信したら、Google SecOps の機能を使用して Netskope クラウド セキュリティ プラットフォームに URL の評判と分類に関する情報をクエリします。URL が悪意のあるものと確認された場合、Netskope は組織のネットワーク全体でその URL を自動的にブロックできます。
マルウェアの分析と封じ込め: Google SecOps の機能を使用して、マルウェア サンプルを Netskope に送信して動的分析を行います。分析結果に基づいて、Netskope はポリシーを適用して、感染したデバイスを隔離したり、悪意のあるコマンド&コントロール サーバーとの通信をブロックしたりできます。
アカウント侵害の修復: Google SecOps の機能を使用して、不審なログイン試行やアクティビティを特定し、パスワードの再設定、多要素認証のチャレンジ、アカウントの停止などのアクションを適用します。
脆弱性のスキャンとパッチ適用: Google SecOps の機能を使用して、クラウド アプリケーションで検出された脆弱性に関するアラートを受け取ります。
インシデント対応の自動化: Google SecOps の機能を使用して、ユーザー アクティビティ、ネットワーク トラフィック、データアクセス ログなどのインシデントに関するコンテキスト情報を収集し、影響を受けるシステムの分離、悪意のあるトラフィックのブロック、関連する関係者への通知などのインシデント対応タスクを自動化します。
脅威インテリジェンスの拡充: Google SecOps の機能を使用して Netskope 脅威インテリジェンス フィードと統合し、追加のコンテキストでセキュリティ アラートを拡充します。
始める前に
Google SecOps で Netskope 統合を構成する前に、Netskope API キーを生成します。
API キーを生成する手順は次のとおりです。
- Netskope の管理コンソールで、[設定] を選択します。
- [ツール> REST API v1] に移動します。
Api Keyパラメータを構成するときに後で使用するために、API トークンの値をコピーします。
インテグレーションのネットワーク設定を構成するには、次の表を参照してください。
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apikey |
Netskope を Google SecOps と統合する
Netskope 統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Api Root |
必須
Netskope インスタンスの API ルート。 |
Api Key |
必須
Netskope API の認証に使用する API キー。 このパラメータを構成するには、API キーを生成したときに取得した API トークン値を入力します。 |
Verify SSL |
省略可 選択すると、統合によって Netskope サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトでは選択されていません。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
アクションについて詳しくは、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
ファイルを許可
Allow File アクションを使用して、隔離されたファイルを許可します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[ファイルの許可] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
File ID |
必須
許可するファイルの ID。 |
Quarantine Profile ID |
必須
ファイルに関連付けられている検疫プロファイルの ID。 |
アクションの出力
[Allow File] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[ファイルの許可] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ファイルをブロックする
検疫されたファイルをブロックするには、[Block File] アクションを使用します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
Block File アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
File ID |
必須
Netskope でブロックするファイルの ID。 |
Quarantine Profile ID |
必須
ファイルをブロックするときに使用する検疫プロファイルの ID。 |
アクションの出力
[ファイルをブロック] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[ファイルをブロック] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ファイルをダウンロード
Download File アクションを使用して、検疫されたファイルをダウンロードします。
このアクションは Google SecOps の IP Address エンティティに対して実行されます。
アクション入力
[Download File] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
File ID |
必須
検疫からダウンロードするファイルの ID。 |
Quarantine Profile ID |
必須
ファイルが属する検疫プロファイルの ID。 |
アクションの出力
[Download File] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Download File] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アラートの一覧表示
アラートを一覧表示するには、アラートを一覧表示アクションを使用します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
アラートを一覧表示アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query |
Optional アラート データベースでクラウド アプリケーション イベントをフィルタするクエリ。 |
Type |
Optional フィルタするアラートのタイプ。 使用できる値は次のとおりです。
|
Time Period |
Optional アラートを検索する現在までの期間(ミリ秒単位)。 指定できる値は |
Start Time |
Optional 指定された Unix エポック時間より大きいタイムスタンプを持つアラートをフィルタする開始時間。 このパラメータは、 |
End Time |
Optional 指定された Unix エポック時刻より小さいタイムスタンプを持つアラートをフィルタする終了時刻。 このパラメータは、 |
Is Acknowledged |
Optional 選択すると、統合で確認済みの警告がフィルタされます。 デフォルトでは選択されていません。 |
Limit |
Optional 返す結果の数。 デフォルト値は |
アクションの出力
[アラートを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[アラートを一覧表示] アクションを使用したときに受信した JSON 結果の出力を示しています。
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
スクリプトの結果
次の表に、[アラートを一覧表示] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
alerts |
ALERT_LIST |
クライアントの一覧表示
クライアントを一覧表示アクションを使用して、クライアントを一覧表示します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[クライアントを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query |
省略可 データベースから取得したクライアントをフィルタします。 |
Limit |
省略可 アクションによって返されるクライアントの数を制限します。デフォルト値は |
アクションの出力
[クライアントを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、クライアントのリスト アクションを使用したときに受信した JSON 結果の出力です。
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
スクリプトの結果
次の表に、クライアントを一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
clients |
CLIENT_LIST |
イベントのリストを取得する
イベントを一覧表示アクションを使用して、イベントを一覧表示します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[イベントを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query |
Optional イベント データベース内のクラウド アプリケーション イベントをフィルタするクエリ。 |
Type |
Optional フィルタするアラートのタイプ。 使用できる値は次のとおりです。
|
Time Period |
Optional イベントを検索する現在までの期間(ミリ秒単位)。 有効な値は |
Start Time |
Optional 指定された Unix エポック時刻よりも大きいタイムスタンプを持つイベントをフィルタする開始時刻。 このパラメータは、 |
End Time |
Optional 指定された Unix エポック時間よりも小さいタイムスタンプのイベントをフィルタする終了時間。 このパラメータは、 |
Limit |
Optional 返す結果の数。 デフォルト値は |
アクションの出力
[イベントを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[イベントを一覧表示] アクションを使用したときに受信した JSON 結果の出力です。
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
スクリプトの結果
次の表に、List Events アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
events |
EVENT_LIST |
検疫されたファイルの一覧を取得する
検疫されたファイルを一覧表示するには、[検疫されたファイルを一覧表示] アクションを使用します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[隔離されたファイルを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Start Time |
省略可 このパラメータの値よりも大きいタイムスタンプを持つイベントを制限する開始時刻(Unix 形式)。 |
End Time |
省略可 このパラメータの値より小さいタイムスタンプを持つイベントを制限する終了時刻(Unix 形式)。 |
アクションの出力
[List Quarantined Files] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[隔離されたファイルを一覧表示] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
files |
FILE_LIST |
Ping
Ping アクションを使用して、Netskope への接続をテストします。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。