Netskope
Este guia descreve como integrar o Netskope ao Google Security Operations (Google SecOps).
Versão da integração: 11.0
Casos de uso
A integração do Netskope com o Google SecOps pode ajudar você a resolver os seguintes casos de uso:
Investigação e bloqueio de URLs de phishing:ao receber um alerta de URL de phishing, use os recursos do Google SecOps para consultar a plataforma de segurança na nuvem do Netskope e obter informações sobre a reputação e a categorização do URL. Se o URL for confirmado como malicioso, o Netskope poderá bloqueá-lo automaticamente em toda a rede da organização.
Análise e contenção de malware:use os recursos do Google SecOps para enviar uma amostra de malware ao Netskope para análise dinâmica. Com base nos resultados da análise, o Netskope pode aplicar políticas para colocar em quarentena dispositivos infectados ou bloquear a comunicação com servidores maliciosos de comando e controle.
Remediação de contas comprometidas:use os recursos do Google SecOps para identificar atividades ou tentativas de login suspeitas e aplicar ações como redefinições de senha, desafios de autenticação multifator ou suspensão de conta.
Verificação e correção de vulnerabilidades:use os recursos do Google SecOps para receber alertas sobre vulnerabilidades detectadas em aplicativos na nuvem.
Automação da resposta a incidentes:use os recursos do Google SecOps para coletar informações contextuais sobre o incidente, como atividade do usuário, tráfego de rede e registros de acesso a dados, e automatizar tarefas de resposta a incidentes, como isolar sistemas afetados, bloquear tráfego malicioso e notificar as partes interessadas relevantes.
Enriquecimento de inteligência contra ameaças:use os recursos do Google SecOps para integrar feeds de inteligência contra ameaças da Netskope e enriquecer alertas de segurança com mais contexto.
Antes de começar
Antes de configurar a integração do Netskope no Google SecOps, gere a chave de API do Netskope.
Para gerar a chave de API, siga estas etapas:
- No Admin Console do Netskope, selecione Settings.
- Acesse Ferramentas > API REST v1.
- Copie o valor do token da API para usar mais tarde ao configurar o
parâmetro
Api Key.
Para configurar a rede da integração, consulte a tabela a seguir:
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | apikey |
Integrar o Netskope ao Google SecOps
A integração com o Netskope exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Api Root |
Obrigatório
A raiz da API da instância do Netskope. |
Api Key |
Obrigatório
A chave de API para autenticação com a API do Netskope. Para configurar esse parâmetro, insira o valor do token da API que você recebeu ao gerar a chave de API. |
Verify SSL |
Opcional
Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor do Netskope é válido. Não selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes na sua mesa de trabalho e Realizar uma ação manual.
Permitir arquivo
Use a ação Permitir arquivo para permitir um arquivo em quarentena.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Permitir arquivo requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File ID |
Obrigatório
O ID do arquivo a ser permitido. |
Quarantine Profile ID |
Obrigatório
O ID do perfil de quarentena associado ao arquivo. |
Saídas de ação
A ação Permitir arquivo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Permitir arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Bloquear arquivo
Use a ação Bloquear arquivo para bloquear um arquivo em quarentena.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Bloquear arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File ID |
Obrigatório
O ID do arquivo a ser bloqueado no Netskope. |
Quarantine Profile ID |
Obrigatório
O ID do perfil de quarentena a ser usado ao bloquear o arquivo. |
Saídas de ação
A ação Bloquear arquivo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Bloquear arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Baixar o arquivo
Use a ação Fazer o download do arquivo para baixar um arquivo em quarentena.
Essa ação é executada na entidade IP Address do Google SecOps.
Entradas de ação
A ação Fazer o download do arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File ID |
Obrigatório
O ID do arquivo a ser baixado da quarentena. |
Quarantine Profile ID |
Obrigatório
O ID do perfil de quarentena a que o arquivo pertence. |
Saídas de ação
A ação Fazer o download do arquivo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Fazer o download do arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar alertas
Use a ação Listar alertas para listar alertas.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Listar alertas exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Opcional Uma consulta para filtrar os eventos de aplicativos na nuvem no banco de dados de alertas. |
Type |
Opcional Um tipo de alertas para filtrar. Os valores possíveis são:
|
Time Period |
Opcional O período em milissegundos antes de agora para pesquisar alertas. Os valores possíveis são |
Start Time |
Opcional Um horário de início para filtrar alertas com carimbos de data/hora maiores que o horário especificado da época Unix. Use esse parâmetro apenas se você não tiver definido o parâmetro |
End Time |
Opcional Um horário de término para filtrar alertas com carimbos de data/hora menores que o horário de época Unix especificado. Use esse parâmetro apenas se você não tiver definido o parâmetro |
Is Acknowledged |
Opcional Se selecionada, a integração filtra os alertas confirmados. Não selecionada por padrão. |
Limit |
Opcional O número de resultados a serem retornados. O valor padrão é |
Saídas de ação
A ação Listar alertas fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Alerts:
[
{
"dstip": "192.0.2.1",
"app": "Amazon Web Services",
"profile_id": "ID",
"device": "iPad",
"shared_credential_user": "example@example.com",
"app_session_id": 2961859388,
"dst_location": "Ashburn",
"dst_region": "Virginia",
"policy": "Copy prohibited",
"page_id": 380765822,
"object_type": "File",
"dst_latitude": 39.0481,
"timestamp": 1548603047,
"src_region": "California",
"from_user": "user@example.com",
"src_location": "San Luis Obispo",
"traffic_type": "CloudApp",
"appcategory": "IaaS/PaaS",
"src_latitude": 35.2635,
"count": 2,
"type": "anomaly",
"risk_level_id": 2,
"activity": "Upload",
"userip": "203.0.113.1",
"src_longitude": -120.6509,
"browser": "Safari",
"alert_type": "anomaly",
"event_type": "user_shared_credentials",
"_insertion_epoch_timestamp": 1548601562,
"site": "Amazon Web Services",
"id": 3561,
"category": "IaaS/PaaS",
"orig_ty": "nspolicy",
"dst_country": "US",
"src_zipcode": "93401",
"cci": 94,
"ur_normalized": "user@example.com",
"object": "quarterly_report.pdf",
"organization_unit": "",
"acked": "false",
"dst_longitude": -77.4728,
"alert": "yes",
"user": "user@example.com",
"userkey": "user@example.com",
"srcip": "7198.51.100.1",
"org": "example.com",
"src_country": "US",
"bin_timestamp": 1548633600,
"dst_zipcode": "20149",
"url": "http://aws.amazon.com/",
"sv": "unknown",
"ccl": "excellent",
"alert_name": "user_shared_credentials",
"risk_level": "high",
"_mladc": ["ur"],
"threshold_time": 86400,
"_id": "cadee4a8488b3e139b084134",
"os": "iOS 6"
}
]
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Alerts:
| Nome do resultado do script | Valor |
|---|---|
alerts |
ALERT_LIST |
Listar clientes
Use a ação Listar clientes para listar clientes.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação List Clients exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Opcional
Filtra os clientes recuperados do banco de dados. |
Limit |
Opcional
Limita o número de clientes retornados pela ação. O valor padrão é |
Saídas de ação
A ação List Clients fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Clients:
[
{
"client_install_time": 1532040251,
"users":
[
{
"heartbeat_status_since": 1532040385,
"user_added_time": 1532040167,
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"device_classification_status": "Not Configured",
"username": "user@example.com",
"user_source": "Manual",
"userkey": "K00fuSXl8yMIqgdg",
"_id": "ID",
"heartbeat_status": "Active"
}],
"last_event":
{
"status": "Enabled",
"timestamp": 1548578307,
"event": "Tunnel Up",
"actor": "System"
},
"host_info":
{
"device_model": "VMware Virtual Platform",
"os": "Windows",
"hostname": "HOSTNAME",
"device_make": "VMware, Inc.",
"os_version": "10.0"
},
"client_version": "1.1.1.1",
"_id": "ID",
"device_id": "DEVICE_ID"
}
]
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Clients:
| Nome do resultado do script | Valor |
|---|---|
clients |
CLIENT_LIST |
Listar eventos
Use a ação Listar eventos para listar eventos.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação List Events exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Opcional Uma consulta para filtrar os eventos de aplicativos na nuvem no banco de dados de eventos. |
Type |
Opcional Um tipo de alertas para filtrar. Os valores possíveis são:
|
Time Period |
Opcional O período em milissegundos antes do momento atual para pesquisar eventos. Os valores possíveis são:
|
Start Time |
Opcional Um horário de início para filtrar eventos com carimbos de data/hora maiores que o horário especificado da era Unix. Use esse parâmetro apenas se você não tiver definido o parâmetro |
End Time |
Opcional Um horário de término para filtrar eventos com carimbos de data/hora menores que o horário de época Unix especificado. Use esse parâmetro apenas se você não tiver definido o parâmetro |
Limit |
Opcional O número de resultados a serem retornados. O valor padrão é |
Saídas de ação
A ação Listar eventos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Events:
{
"dstip": "192.0.2.64",
"browser_session_id": 1066949788113471080,
"srcip": "198.51.100.36",
"app_session_id": 4502249472406092569,
"os_version": "WindowsServer2016",
"dst_region": "Virginia",
"numbytes": 37480,
"req_cnt": 18,
"server_bytes": 8994,
"page_id": 0,
"page_duration": 867,
"page_endtime": 1548577530,
"dst_latitude": 39.0481,
"timestamp": 1548576663,
"src_region": "Oregon",
"src_location": "Boardman",
"ur_normalized": "user@example.com",
"appcategory": "",
"src_latitude": 45.8491,
"count": 1,
"bypass_traffic": "no",
"type": "page",
"userip": "203.0.113.253",
"src_longitude": -119.7143,
"page": "WebBackground",
"browser": "",
"domain": "WebBackground",
"dst_location": "Ashburn",
"_insertion_epoch_timestamp": 1548577621,
"site": "WebBackground",
"access_method": "Client",
"browser_version": "",
"category": "",
"client_bytes": 28486,
"user_generated": "no",
"hostname": "IP-C0A84AC",
"dst_country": "US",
"resp_cnt": 18,
"src_zipcode": "97818",
"traffic_type": "Web",
"http_transaction_count": 18,
"organization_unit": "example.com/Users",
"page_starttime": 1548576663,
"dst_longitude": -77.4728,
"user": "user@example.com",
"userkey": "user@example.com",
"device": "WindowsDevice",
"src_country": "US",
"dst_zipcode": "20149",
"url": "WebBackground",
"sv": "",
"ccl": "unknown",
"useragent": "RestSharp/192.0.2.0",
"_id": "ID",
"os": "WindowsServer2016"
}
]
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Listar eventos:
| Nome do resultado do script | Valor |
|---|---|
events |
EVENT_LIST |
Listar arquivos em quarentena
Use a ação Listar arquivos em quarentena para listar os arquivos em quarentena.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Listar arquivos em quarentena exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Start Time |
Opcional
Um horário de início para restringir eventos com carimbos de data/hora maiores que o valor desse parâmetro no formato Unix. |
End Time |
Opcional
Um horário de término para restringir eventos com carimbos de data/hora menores que o valor desse parâmetro no formato Unix. |
Saídas de ação
A ação Listar arquivos em quarentena fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Listar arquivos em quarentena:
| Nome do resultado do script | Valor |
|---|---|
files |
FILE_LIST |
Ping
Use a ação Ping para testar a conectividade com o Netskope.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.