Netskope

이 가이드에서는 Netskope를 Google Security Operations(Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 11.0

사용 사례

Netskope를 Google SecOps와 통합하면 다음 사용 사례를 해결할 수 있습니다.

  • 피싱 URL 조사 및 차단: 피싱 URL 알림을 수신하면 Google SecOps 기능을 사용하여 Netskope 클라우드 보안 플랫폼에 URL 평판 및 분류에 관한 정보를 쿼리합니다. URL이 악성으로 확인되면 Netskope에서 조직 네트워크 전체에서 URL을 자동으로 차단할 수 있습니다.

  • 멀웨어 분석 및 격리: Google SecOps 기능을 사용하여 멀웨어 샘플을 Netskope에 제출하여 동적 분석을 실행합니다. 분석 결과를 바탕으로 Netskope는 감염된 기기를 격리하거나 악성 명령 및 제어 서버와의 추가 통신을 차단하는 정책을 적용할 수 있습니다.

  • 침해된 계정 복구: Google SecOps 기능을 사용하여 의심스러운 로그인 시도 또는 활동을 식별하고 비밀번호 재설정, 다단계 인증 챌린지 또는 계정 정지와 같은 조치를 시행합니다.

  • 취약점 스캔 및 패치: Google SecOps 기능을 사용하여 클라우드 애플리케이션에서 감지된 취약점에 관한 알림을 받습니다.

  • 사고 대응 자동화: Google SecOps 기능을 사용하여 사용자 활동, 네트워크 트래픽, 데이터 액세스 로그와 같은 사고에 관한 컨텍스트 정보를 수집하고 영향을 받는 시스템 격리, 악성 트래픽 차단, 관련 이해관계자에게 알림과 같은 사고 대응 작업을 자동화합니다.

  • 위협 인텔리전스 보강: Google SecOps 기능을 사용하여 Netskope 위협 인텔리전스 피드와 통합하고 추가 컨텍스트로 보안 알림을 보강합니다.

시작하기 전에

Google SecOps에서 Netskope 통합을 구성하기 전에 Netskope API 키를 생성합니다.

API 키를 생성하려면 다음 단계를 완료하세요.

  1. Netskope 관리 콘솔에서 설정을 선택합니다.
  2. 도구 > REST API v1로 이동합니다.
  3. 나중에 Api Key 매개변수를 구성할 때 사용할 수 있도록 API 토큰 값을 복사합니다.

통합의 네트워크 설정을 구성하려면 다음 표를 참고하세요.

함수 기본 포트 방향 프로토콜
API Multivalues 아웃바운드 apikey

Netskope를 Google SecOps와 통합

Netskope 통합에는 다음 매개변수가 필요합니다.

매개변수 설명
Api Root 필수

Netskope 인스턴스의 API 루트입니다.
Api Key
 필수

Netskope API를 사용하여 인증할 API 키입니다.

이 매개변수를 구성하려면 API 키를 생성할 때 획득한 API 토큰 값을 입력합니다.
Verify SSL 선택사항

선택하면 통합에서 Netskope 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되지 않습니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.

작업

작업에 관한 자세한 내용은 Workdesk의 대기 중인 작업에 응답수동 작업 실행을 참고하세요.

파일 허용

파일 허용 작업을 사용하여 격리된 파일을 허용합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

파일 허용 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
File ID 필수

허용할 파일의 ID입니다.
Quarantine Profile ID 필수

파일과 연결된 격리 프로필의 ID입니다.

작업 출력

파일 허용 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
스크립트 결과 사용 가능
스크립트 결과

다음 표에는 파일 허용 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

파일 차단

파일 차단 작업을 사용하여 격리된 파일을 차단합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

파일 차단 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
File ID 필수

Netskope에서 차단할 파일의 ID입니다.
Quarantine Profile ID 필수

파일을 차단할 때 사용할 격리 프로필의 ID입니다.

작업 출력

파일 차단 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
스크립트 결과 사용 가능
스크립트 결과

다음 표에는 파일 차단 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

파일 다운로드

파일 다운로드 작업을 사용하여 격리된 파일을 다운로드합니다.

이 작업은 Google SecOps IP Address 항목에서 실행됩니다.

작업 입력

파일 다운로드 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
File ID 필수

스팸 격리 저장소에서 다운로드할 파일의 ID입니다.
Quarantine Profile ID 필수

파일이 속한 격리 프로필의 ID입니다.

작업 출력

파일 다운로드 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
스크립트 결과 사용 가능
스크립트 결과

다음 표에는 파일 다운로드 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

알림 나열

알림 목록 작업을 사용하여 알림을 나열합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

알림 목록 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Query 선택사항

알림 데이터베이스에서 클라우드 애플리케이션 이벤트를 필터링하는 쿼리입니다.
Type 선택사항

필터링할 알림 유형입니다.

가능한 값은 다음과 같습니다.

  • Anomaly
  • Compromised Credential
  • Policy
  • Legal Hold
  • Malsite
  • Malware
  • DLP
  • Watchlist
  • Quarantine
  • Remediation
Time Period 선택사항

현재 시점으로부터 이전의 알림을 검색할 시간(밀리초)입니다.

가능한 값은 3600, 86400, 604800, 2592000입니다.
Start Time 선택사항

지정된 Unix epoch 시간보다 큰 타임스탬프가 있는 알림을 필터링하는 시작 시간입니다.

Time Period 파라미터를 설정하지 않은 경우에만 이 파라미터를 사용하세요.
End Time 선택사항

지정된 Unix 에포크 시간보다 작은 타임스탬프가 있는 알림을 필터링하는 종료 시간입니다.

Time Period 파라미터를 설정하지 않은 경우에만 이 파라미터를 사용하세요.
Is Acknowledged 선택사항

선택하면 통합에서 확인된 알림을 필터링합니다.

기본적으로 선택되지 않습니다.
Limit 선택사항

반환할 결과 수입니다.

기본값은 100입니다.

작업 출력

알림 목록 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 알림 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
    {
        "dstip": "192.0.2.1",
        "app": "Amazon Web Services",
        "profile_id": "ID",
        "device": "iPad",
        "shared_credential_user": "example@example.com",
        "app_session_id": 2961859388,
        "dst_location": "Ashburn",
        "dst_region": "Virginia",
        "policy": "Copy prohibited",
        "page_id": 380765822,
        "object_type": "File",
        "dst_latitude": 39.0481,
        "timestamp": 1548603047,
        "src_region": "California",
        "from_user": "user@example.com",
        "src_location": "San Luis Obispo",
        "traffic_type": "CloudApp",
        "appcategory": "IaaS/PaaS",
        "src_latitude": 35.2635,
        "count": 2,
        "type": "anomaly",
        "risk_level_id": 2,
        "activity": "Upload",
        "userip": "203.0.113.1",
        "src_longitude": -120.6509,
        "browser": "Safari",
        "alert_type": "anomaly",
        "event_type": "user_shared_credentials",
        "_insertion_epoch_timestamp": 1548601562,
        "site": "Amazon Web Services",
        "id": 3561,
        "category": "IaaS/PaaS",
        "orig_ty": "nspolicy",
        "dst_country": "US",
        "src_zipcode": "93401",
        "cci": 94,
        "ur_normalized": "user@example.com",
        "object": "quarterly_report.pdf",
        "organization_unit": "",
        "acked": "false",
        "dst_longitude": -77.4728,
        "alert": "yes",
        "user": "user@example.com",
        "userkey": "user@example.com",
        "srcip": "7198.51.100.1",
        "org": "example.com",
        "src_country": "US",
        "bin_timestamp": 1548633600,
        "dst_zipcode": "20149",
        "url": "http://aws.amazon.com/",
        "sv": "unknown",
        "ccl": "excellent",
        "alert_name": "user_shared_credentials",
        "risk_level": "high",
        "_mladc": ["ur"],
        "threshold_time": 86400,
        "_id": "cadee4a8488b3e139b084134",
        "os": "iOS 6"
    }
]
스크립트 결과

다음 표에는 알림 목록 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
alerts ALERT_LIST

클라이언트 나열

클라이언트 나열 작업을 사용하여 클라이언트를 나열합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

클라이언트 나열 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Query 선택사항

데이터베이스에서 가져온 클라이언트를 필터링합니다.
Limit 선택사항

작업에서 반환되는 클라이언트 수를 제한합니다. 기본값은 25입니다.

작업 출력

클라이언트 나열 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예는 클라이언트 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
       {
         "client_install_time": 1532040251,
         "users":
        [
            {
                "heartbeat_status_since": 1532040385,
                "user_added_time": 1532040167,
                "last_event":
                {
                    "status": "Enabled",
                    "timestamp": 1548578307,
                    "event": "Tunnel Up",
                    "actor": "System"
                },
                "device_classification_status": "Not Configured",
                "username": "user@example.com",
                "user_source": "Manual",
                "userkey": "K00fuSXl8yMIqgdg",
                "_id": "ID",
                "heartbeat_status": "Active"
            }],
        "last_event":
        {
            "status": "Enabled",
            "timestamp": 1548578307,
            "event": "Tunnel Up",
            "actor": "System"
        },
        "host_info":
        {
            "device_model": "VMware Virtual Platform",
            "os": "Windows",
            "hostname": "HOSTNAME",
            "device_make": "VMware, Inc.",
            "os_version": "10.0"
        },
        "client_version": "1.1.1.1",
        "_id": "ID",
        "device_id": "DEVICE_ID"
    }
]
스크립트 결과

다음 표에는 클라이언트 목록 표시 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
clients CLIENT_LIST

이벤트 나열

이벤트 나열 작업을 사용하여 이벤트를 나열합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

이벤트 나열 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Query 선택사항

이벤트 데이터베이스에서 클라우드 애플리케이션 이벤트를 필터링하는 쿼리입니다.
Type 선택사항

필터링할 알림 유형입니다.

가능한 값은 다음과 같습니다.

  • page
  • application
  • audit
  • infrastructure
Time Period 선택사항

현재 시점으로부터 이전에 이벤트를 검색할 기간(밀리초)입니다.

가능한 값은 3600, 86400, 604800, 2592000입니다.
Start Time 선택사항

지정된 Unix 에포크 시간보다 큰 타임스탬프가 있는 이벤트를 필터링할 시작 시간입니다.

Time Period 파라미터를 설정하지 않은 경우에만 이 파라미터를 사용하세요.
End Time 선택사항

지정된 Unix 에포크 시간보다 타임스탬프가 작은 이벤트를 필터링할 종료 시간입니다.

Time Period 파라미터를 설정하지 않은 경우에만 이 파라미터를 사용하세요.
Limit 선택사항

반환할 결과 수입니다.

기본값은 100입니다.

작업 출력

이벤트 나열 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
스크립트 결과 사용 가능
JSON 결과

다음 예는 이벤트 목록 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.


    {
        "dstip": "192.0.2.64",
        "browser_session_id": 1066949788113471080,
        "srcip": "198.51.100.36",
        "app_session_id": 4502249472406092569,
        "os_version": "WindowsServer2016",
        "dst_region": "Virginia",
        "numbytes": 37480,
        "req_cnt": 18,
        "server_bytes": 8994,
        "page_id": 0,
        "page_duration": 867,
        "page_endtime": 1548577530,
        "dst_latitude": 39.0481,
        "timestamp": 1548576663,
        "src_region": "Oregon",
        "src_location": "Boardman",
        "ur_normalized": "user@example.com",
        "appcategory": "",
        "src_latitude": 45.8491,
        "count": 1,
        "bypass_traffic": "no",
        "type": "page",
        "userip": "203.0.113.253",
        "src_longitude": -119.7143,
        "page": "WebBackground",
        "browser": "",
        "domain": "WebBackground",
        "dst_location": "Ashburn",
        "_insertion_epoch_timestamp": 1548577621,
        "site": "WebBackground",
        "access_method": "Client",
        "browser_version": "",
        "category": "",
        "client_bytes": 28486,
        "user_generated": "no",
        "hostname": "IP-C0A84AC",
        "dst_country": "US",
        "resp_cnt": 18,
        "src_zipcode": "97818",
        "traffic_type": "Web",
        "http_transaction_count": 18,
        "organization_unit": "example.com/Users",
        "page_starttime": 1548576663,
        "dst_longitude": -77.4728,
        "user": "user@example.com",
        "userkey": "user@example.com",
        "device": "WindowsDevice",
        "src_country": "US",
        "dst_zipcode": "20149",
        "url": "WebBackground",
        "sv": "",
        "ccl": "unknown",
        "useragent": "RestSharp/192.0.2.0",
        "_id": "ID",
        "os": "WindowsServer2016"
    }
]
스크립트 결과

다음 표에는 이벤트 나열 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.

스크립트 결과 이름
events EVENT_LIST

격리된 파일 나열

격리된 파일 목록 작업을 사용하여 격리된 파일을 나열합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

격리된 파일 목록 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Start Time 선택사항

타임스탬프가 이 매개변수의 값보다 큰 이벤트를 제한하는 시작 시간입니다(Unix 형식).
End Time 선택사항

이 매개변수의 값보다 타임스탬프가 작은 이벤트를 제한하는 종료 시간입니다(Unix 형식).

작업 출력

격리된 파일 나열 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
스크립트 결과 사용 가능
스크립트 결과

다음 표에는 격리된 파일 목록 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
files FILE_LIST

Ping 작업을 사용하여 Netskope와의 연결을 테스트합니다.

이 작업은 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
스크립트 결과 사용 가능
스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.