Netskope
Este guia descreve como integrar o Netskope com o Google Security Operations (Google SecOps).
Versão da integração: 11.0
Exemplos de utilização
A integração do Netskope com o Google SecOps pode ajudar a resolver os seguintes exemplos de utilização:
Investigação e bloqueio de URLs de phishing: após receber um alerta de URL de phishing, use as capacidades do Google SecOps para consultar a plataforma de segurança na nuvem da Netskope para obter informações sobre a reputação e a categorização do URL. Se o URL for confirmado como malicioso, o Netskope pode bloquear automaticamente o URL na rede da sua organização.
Análise e contenção de software malicioso: use as capacidades do Google SecOps para enviar uma amostra de software malicioso à Netskope para análise dinâmica. Com base nos resultados da análise, o Netskope pode aplicar políticas para colocar em quarentena dispositivos infetados ou bloquear a comunicação adicional com servidores de comando e controlo maliciosos.
Remediação de contas comprometidas: use as capacidades do Google SecOps para identificar tentativas ou atividades de início de sessão suspeitas e aplicar ações, como reposições de palavras-passe, desafios de autenticação multifator ou suspensão de contas.
Análise e aplicação de patches de vulnerabilidades: use as capacidades do Google SecOps para receber alertas sobre vulnerabilidades detetadas em aplicações na nuvem.
Automatização da resposta a incidentes: use as capacidades do Google SecOps para recolher informações contextuais sobre o incidente, como a atividade do utilizador, o tráfego de rede e os registos de acesso aos dados, e automatizar as tarefas de resposta a incidentes, como isolar os sistemas afetados, bloquear o tráfego malicioso e notificar as partes interessadas relevantes.
Enriquecimento de informações sobre ameaças: use as capacidades do Google SecOps para integrar com feeds de informações sobre ameaças do Netskope e enriquecer os alertas de segurança com contexto adicional.
Antes de começar
Antes de configurar a integração do Netskope no Google SecOps, gere a chave da API Netskope.
Para gerar a chave da API, conclua os seguintes passos:
- Na consola do administrador do Netskope, selecione Definições.
- Aceda a Ferramentas > API REST v1.
- Copie o valor do token de API para o usar mais tarde quando configurar o
parâmetro
Api Key.
Para configurar a definição de rede para a integração, consulte a tabela seguinte:
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Integre o Netskope com o Google SecOps
A integração do Netskope requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Api Root |
Obrigatório
A raiz da API da instância do Netskope. |
Api Key |
Obrigatório
A chave da API para autenticar com a API Netskope. Para configurar este parâmetro, introduza o valor do token de API que obteve quando gerou a chave da API. |
Verify SSL |
Opcional
Se esta opção estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao servidor Netskope é válido. Não selecionado por predefinição. |
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir do seu espaço de trabalho e Execute uma ação manual.
Permitir ficheiro
Use a ação Permitir ficheiro para permitir um ficheiro em quarentena.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação Permitir ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File ID |
Obrigatório
O ID do ficheiro a permitir. |
Quarantine Profile ID |
Obrigatório
O ID do perfil de quarentena associado ao ficheiro. |
Resultados da ação
A ação Permitir ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Allow File:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Bloquear ficheiro
Use a ação Bloquear ficheiro para bloquear um ficheiro em quarentena.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação Ficheiro de bloqueio requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File ID |
Obrigatório
O ID do ficheiro a bloquear no Netskope. |
Quarantine Profile ID |
Obrigatório
O ID do perfil de quarentena a usar quando bloquear o ficheiro. |
Resultados da ação
A ação Bloquear ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Bloquear ficheiro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Transferir ficheiro
Use a ação Transferir ficheiro para transferir um ficheiro em quarentena.
Esta ação é executada na entidade IP Address do Google SecOps.
Dados de ações
A ação Transferir ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File ID |
Obrigatório
O ID do ficheiro a transferir da quarentena. |
Quarantine Profile ID |
Obrigatório
O ID do perfil de quarentena ao qual o ficheiro pertence. |
Resultados da ação
A ação Transferir ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Transferir ficheiro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Liste os alertas
Use a ação List Alerts para listar os alertas.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação List Alerts requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Opcional Uma consulta para filtrar os eventos de aplicações na nuvem na base de dados de alertas. |
Type |
Opcional Um tipo de alertas pelo qual filtrar. Os valores possíveis são os seguintes:
|
Time Period |
Opcional O período em milissegundos anterior ao momento atual para pesquisar alertas. Os valores possíveis são |
Start Time |
Opcional Uma hora de início para filtrar alertas com indicações de tempo superiores à hora de época Unix especificada. Use este parâmetro apenas se
não tiver definido o parâmetro |
End Time |
Opcional Uma hora de fim para filtrar alertas com indicações de tempo inferiores à hora de época Unix especificada. Use este parâmetro apenas se
não tiver definido o parâmetro |
Is Acknowledged |
Opcional Se selecionada, a integração filtra os alertas confirmados. Não selecionado por predefinição. |
Limit |
Opcional O número de resultados a devolver. O valor predefinido é |
Resultados da ação
A ação List Alerts fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Alerts:
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação List Alerts:
| Nome do resultado do script | Valor |
|---|---|
alerts |
ALERT_LIST |
Listar clientes
Use a ação List Clients para listar clientes.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação List Clients requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Opcional
Filtra os clientes obtidos da base de dados. |
Limit |
Opcional
Limita o número de clientes devolvidos pela ação. O valor predefinido é |
Resultados da ação
A ação List Clients fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Clients:
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação List Clients:
| Nome do resultado do script | Valor |
|---|---|
clients |
CLIENT_LIST |
Apresentar eventos
Use a ação List Events para listar eventos.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação List Events requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Opcional Uma consulta para filtrar os eventos da aplicação na nuvem na base de dados de eventos. |
Type |
Opcional Um tipo de alertas pelo qual filtrar. Os valores possíveis são os seguintes:
|
Time Period |
Opcional O período em milissegundos anterior ao momento atual para pesquisar eventos. Os valores possíveis são os seguintes:
|
Start Time |
Opcional Uma hora de início para filtrar eventos com datas/horas superiores à hora de época Unix especificada. Use este parâmetro apenas se
não tiver definido o parâmetro |
End Time |
Opcional Uma hora de fim para filtrar eventos com datas/horas inferiores à hora de época Unix especificada. Use este parâmetro apenas se
não tiver definido o parâmetro |
Limit |
Opcional O número de resultados a devolver. O valor predefinido é |
Resultados da ação
A ação List Events fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Events:
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação List Events:
| Nome do resultado do script | Valor |
|---|---|
events |
EVENT_LIST |
Apresentar ficheiros em quarentena
Use a ação List Quarantined Files para listar os ficheiros em quarentena.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação List Quarantined Files requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Start Time |
Opcional
Uma hora de início para restringir eventos com as datas/horas superiores ao valor deste parâmetro no formato Unix. |
End Time |
Opcional
Uma hora de fim para restringir eventos com as datas/horas inferiores ao valor deste parâmetro no formato Unix. |
Resultados da ação
A ação List Quarantined Files apresenta os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Listar ficheiros em quarentena:
| Nome do resultado do script | Valor |
|---|---|
files |
FILE_LIST |
Tchim-tchim
Use a ação Ping para testar a conetividade com o Netskope.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.