此页面由 Cloud Translation API 翻译。

Netskope

本指南介绍了如何将 Netskope 与 Google Security Operations (Google SecOps) 集成。

集成版本：11.0

使用场景

将 Netskope 与 Google SecOps 集成可帮助您解决以下使用情形：

钓鱼网址调查和屏蔽：收到钓鱼网址提醒后，使用 Google SecOps 功能查询 Netskope 云安全平台，了解网址信誉和分类信息。如果网址被确认为恶意网址，Netskope 可以自动在整个组织网络中屏蔽该网址。
恶意软件分析和遏制：使用 Google SecOps 功能向 Netskope 提交恶意软件样本以进行动态分析。然后，Netskope 可以根据分析结果强制执行政策，隔离受感染的设备或阻止与恶意命令和控制服务器的进一步通信。
遭入侵账号的补救措施：使用 Google SecOps 功能来识别可疑的登录尝试或活动，并强制执行密码重置、多重身份验证质询或账号中止等操作。
漏洞扫描和修补：使用 Google SecOps 功能接收有关云应用中检测到的漏洞的提醒。
突发事件响应自动化：使用 Google SecOps 功能收集有关突发事件的背景信息，例如用户活动、网络流量和数据访问日志，并自动执行突发事件响应任务，例如隔离受影响的系统、阻止恶意流量和通知相关利益相关者。
威胁情报丰富化：利用 Google SecOps 功能与 Netskope 威胁情报 Feed 集成，并使用更多上下文信息丰富安全提醒。

准备工作

在 Google SecOps 中配置 Netskope 集成之前，请先生成 Netskope API 密钥。

如需生成 API 密钥，请完成以下步骤：

在 Netskope 管理控制台中，选择设置。
依次前往工具 > REST API v1。
复制 API 令牌值，以便稍后在配置 Api Key 参数时使用。

如需为集成配置网络设置，请参阅下表：

函数	默认端口	方向	协议
API	多值	出站	`apikey`

将 Netskope 与 Google SecOps 集成

Netskope 集成需要以下参数：

参数说明

参数	说明
`Api Root`	必需 Netskope 实例的 API 根。
`Api Key`	必需用于向 Netskope API 进行身份验证的 API 密钥。如需配置此参数，请输入您在生成 API 密钥时获得的 API 令牌值。
`Verify SSL`	可选如果选择此项，集成会验证用于连接到 Netskope 服务器的 SSL 证书是否有效。默认情况下未选中。

Api Root

必需

Netskope 实例的 API 根。

Api Key

必需

用于向 Netskope API 进行身份验证的 API 密钥。

如需配置此参数，请输入您在生成 API 密钥时获得的 API 令牌值。

Verify SSL

可选

如果选择此项，集成会验证用于连接到 Netskope 服务器的 SSL 证书是否有效。

默认情况下未选中。

如需了解如何在 Google SecOps 中配置集成，请参阅配置集成。

如果需要，您可以在稍后阶段进行更改。配置集成实例后，您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

操作

如需详细了解操作，请参阅处理工作台中的待处理操作和执行手动操作。

允许文件

使用允许文件操作来允许隔离的文件。

此操作会在所有 Google SecOps 实体上运行。

操作输入

允许文件操作需要以下参数：

参数	说明
`File ID`	必需要允许的文件的 ID。
`Quarantine Profile ID`	必需与相应文件关联的隔离配置文件的 ID。

操作输出

允许文件操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用 Allow File 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

Block File

使用屏蔽文件操作可屏蔽隔离的文件。

此操作会在所有 Google SecOps 实体上运行。

操作输入

屏蔽文件操作需要以下参数：

参数	说明
`File ID`	必需要在 Netskope 中屏蔽的文件的 ID。
`Quarantine Profile ID`	必需用于屏蔽文件的隔离配置文件的 ID。

操作输出

屏蔽文件操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用屏蔽文件操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

下载文件

使用下载文件操作下载被隔离的文件。

此操作在 Google SecOps IP Address 实体上运行。

操作输入

下载文件操作需要以下参数：

参数	说明
`File ID`	必需要从隔离区下载的文件的 ID。
`Quarantine Profile ID`	必需相应文件所属的隔离配置文件的 ID。

操作输出

下载文件操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用下载文件操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

列出提醒

使用 List Alerts 操作列出提醒。

此操作会在所有 Google SecOps 实体上运行。

操作输入

列出提醒操作需要以下参数：

参数	说明
`Query`	可选用于过滤提醒数据库中的云应用事件的查询。
`Type`	可选要过滤的提醒类型。可能的值如下： `Anomaly` `Compromised Credential` `Policy` `Legal Hold` `Malsite` `Malware` `DLP` `Watchlist` `Quarantine` `Remediation`
`Time Period`	可选要搜索的提醒的时间段（以毫秒为单位，相对于当前时间）。可能的值包括 `3600`、`86400`、`604800` 和 `2592000`。
`Start Time`	可选开始时间，用于过滤时间戳晚于指定 Unix 纪元时间的提醒。仅当您未设置 `Time Period` 参数时，才使用此参数。
`End Time`	可选用于过滤时间戳小于指定 Unix 纪元时间的提醒的结束时间。仅当您未设置 `Time Period` 参数时，才使用此参数。
`Is Acknowledged`	可选如果选择此项，集成会过滤掉已确认的提醒。默认情况下未选中。
`Limit`	可选要返回的结果数。默认值为 `100`。

操作输出

列出提醒 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用列出提醒操作时收到的 JSON 结果输出：

[
    {
        "dstip": "192.0.2.1",
        "app": "Amazon Web Services",
        "profile_id": "ID",
        "device": "iPad",
        "shared_credential_user": "example@example.com",
        "app_session_id": 2961859388,
        "dst_location": "Ashburn",
        "dst_region": "Virginia",
        "policy": "Copy prohibited",
        "page_id": 380765822,
        "object_type": "File",
        "dst_latitude": 39.0481,
        "timestamp": 1548603047,
        "src_region": "California",
        "from_user": "user@example.com",
        "src_location": "San Luis Obispo",
        "traffic_type": "CloudApp",
        "appcategory": "IaaS/PaaS",
        "src_latitude": 35.2635,
        "count": 2,
        "type": "anomaly",
        "risk_level_id": 2,
        "activity": "Upload",
        "userip": "203.0.113.1",
        "src_longitude": -120.6509,
        "browser": "Safari",
        "alert_type": "anomaly",
        "event_type": "user_shared_credentials",
        "_insertion_epoch_timestamp": 1548601562,
        "site": "Amazon Web Services",
        "id": 3561,
        "category": "IaaS/PaaS",
        "orig_ty": "nspolicy",
        "dst_country": "US",
        "src_zipcode": "93401",
        "cci": 94,
        "ur_normalized": "user@example.com",
        "object": "quarterly_report.pdf",
        "organization_unit": "",
        "acked": "false",
        "dst_longitude": -77.4728,
        "alert": "yes",
        "user": "user@example.com",
        "userkey": "user@example.com",
        "srcip": "7198.51.100.1",
        "org": "example.com",
        "src_country": "US",
        "bin_timestamp": 1548633600,
        "dst_zipcode": "20149",
        "url": "http://aws.amazon.com/",
        "sv": "unknown",
        "ccl": "excellent",
        "alert_name": "user_shared_credentials",
        "risk_level": "high",
        "_mladc": ["ur"],
        "threshold_time": 86400,
        "_id": "cadee4a8488b3e139b084134",
        "os": "iOS 6"
    }
]

脚本结果

下表列出了使用 列出提醒操作时脚本结果输出的值：

脚本结果名称	值
`alerts`	`ALERT_LIST`

列出客户

使用 List Clients 操作列出客户。

此操作会在所有 Google SecOps 实体上运行。

操作输入

列出客户操作需要以下参数：

参数	说明
`Query`	可选过滤从数据库检索到的客户端。
`Limit`	可选限制操作返回的客户端数量。默认值为 `25`。

操作输出

列出客户操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
脚本结果	可用

JSON 结果

以下示例展示了使用列出客户操作时收到的 JSON 结果输出：

[
       {
         "client_install_time": 1532040251,
         "users":
        [
            {
                "heartbeat_status_since": 1532040385,
                "user_added_time": 1532040167,
                "last_event":
                {
                    "status": "Enabled",
                    "timestamp": 1548578307,
                    "event": "Tunnel Up",
                    "actor": "System"
                },
                "device_classification_status": "Not Configured",
                "username": "user@example.com",
                "user_source": "Manual",
                "userkey": "K00fuSXl8yMIqgdg",
                "_id": "ID",
                "heartbeat_status": "Active"
            }],
        "last_event":
        {
            "status": "Enabled",
            "timestamp": 1548578307,
            "event": "Tunnel Up",
            "actor": "System"
        },
        "host_info":
        {
            "device_model": "VMware Virtual Platform",
            "os": "Windows",
            "hostname": "HOSTNAME",
            "device_make": "VMware, Inc.",
            "os_version": "10.0"
        },
        "client_version": "1.1.1.1",
        "_id": "ID",
        "device_id": "DEVICE_ID"
    }
]

脚本结果

下表列出了使用 List Clients 操作时脚本结果输出的值：

脚本结果名称	值
`clients`	`CLIENT_LIST`

列出活动

使用列出活动操作列出活动。

此操作会在所有 Google SecOps 实体上运行。

操作输入

列出活动操作需要以下参数：

参数	说明
`Query`	可选用于过滤事件数据库中的云应用事件的查询。
`Type`	可选要过滤的提醒类型。可能的值如下： `page` `application` `audit` `infrastructure`
`Time Period`	可选要搜索事件的当前时间之前的时间段（以毫秒为单位）。可能的值如下所示：`3600`、`86400`、`604800` 和 `2592000`。
`Start Time`	可选一个开始时间，用于过滤时间戳大于指定 Unix 时间的事件。仅当您未设置 `Time Period` 参数时，才使用此参数。
`End Time`	可选一个结束时间，用于过滤时间戳早于指定 Unix 纪元时间的事件。仅当您未设置 `Time Period` 参数时，才使用此参数。
`Limit`	可选要返回的结果数。默认值为 `100`。

操作输出

列出活动操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

JSON 结果

以下示例展示了使用列出活动操作时收到的 JSON 结果输出：


    {
        "dstip": "192.0.2.64",
        "browser_session_id": 1066949788113471080,
        "srcip": "198.51.100.36",
        "app_session_id": 4502249472406092569,
        "os_version": "WindowsServer2016",
        "dst_region": "Virginia",
        "numbytes": 37480,
        "req_cnt": 18,
        "server_bytes": 8994,
        "page_id": 0,
        "page_duration": 867,
        "page_endtime": 1548577530,
        "dst_latitude": 39.0481,
        "timestamp": 1548576663,
        "src_region": "Oregon",
        "src_location": "Boardman",
        "ur_normalized": "user@example.com",
        "appcategory": "",
        "src_latitude": 45.8491,
        "count": 1,
        "bypass_traffic": "no",
        "type": "page",
        "userip": "203.0.113.253",
        "src_longitude": -119.7143,
        "page": "WebBackground",
        "browser": "",
        "domain": "WebBackground",
        "dst_location": "Ashburn",
        "_insertion_epoch_timestamp": 1548577621,
        "site": "WebBackground",
        "access_method": "Client",
        "browser_version": "",
        "category": "",
        "client_bytes": 28486,
        "user_generated": "no",
        "hostname": "IP-C0A84AC",
        "dst_country": "US",
        "resp_cnt": 18,
        "src_zipcode": "97818",
        "traffic_type": "Web",
        "http_transaction_count": 18,
        "organization_unit": "example.com/Users",
        "page_starttime": 1548576663,
        "dst_longitude": -77.4728,
        "user": "user@example.com",
        "userkey": "user@example.com",
        "device": "WindowsDevice",
        "src_country": "US",
        "dst_zipcode": "20149",
        "url": "WebBackground",
        "sv": "",
        "ccl": "unknown",
        "useragent": "RestSharp/192.0.2.0",
        "_id": "ID",
        "os": "WindowsServer2016"
    }
]

脚本结果

下表列出了使用列出活动操作时脚本结果输出的值：

脚本结果名称	值
`events`	`EVENT_LIST`

列出隔离的文件

使用列出隔离的文件操作列出隔离的文件。

此操作会在所有 Google SecOps 实体上运行。

操作输入

列出隔离的文件操作需要以下参数：

参数	说明
`Start Time`	可选开始时间，用于限制时间戳大于此参数值的事件（采用 Unix 格式）。
`End Time`	可选结束时间，用于限制时间戳小于此参数值的事件（采用 Unix 格式）。

操作输出

列出隔离的文件操作会提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用列出隔离的文件操作时脚本结果输出的值：

脚本结果名称	值
`files`	`FILE_LIST`

Ping

使用 Ping 操作测试与 Netskope 的连接。

此操作会在所有 Google SecOps 实体上运行。

操作输入

无。

操作输出

Ping 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
脚本结果	可用

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`