Conector de datos Netskope (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector de datos Netskope ofrece las funcionalidades siguientes:

  1. NetskopeToAzureStorage: obtenga los datos de eventos y alertas Netskope de Netskope y envíelos a Azure Storage.
  2. StorageToSentinel: obtenga los datos de eventos y alertas Netskope de Azure Storage y publique en una tabla de registro personalizada en el área de trabajo de los análisis de registros.
  3. WebTxMetrics: obtenga los datos de WebTxMetrics de Netskope y publique en una tabla de registro personalizada en el área de trabajo de los análisis de registros.

Para obtener más información sobre las API de REST, consulte la siguiente documentación:

  1. Documentación de API de Netskope
  2. Documentación del almacenamiento de Azure
  3. Documentación de Análisis de registros de Microsoft

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Netskope

Ejemplos de consultas

Datos de alertas de Netskope CompromisedCredential

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Datos de alertas de CTEP de Netskope

alertsctepdata_CL

| sort by TimeGenerated desc

Datos de alertas de DLP de Netskope

alertsdlpdata_CL

| sort by TimeGenerated desc

Datos de alertas de Netskope Malsite

alertsmalsitedata_CL

| sort by TimeGenerated desc

Datos de alertas de malware de Netskope

alertsmalwaredata_CL

| sort by TimeGenerated desc

Datos de alertas de directivas de Netskope

alertspolicydata_CL

| sort by TimeGenerated desc

Datos de alertas de cuarentena de Netskope

alertsquarantinedata_CL

| sort by TimeGenerated desc

Datos de alertas de corrección de Netskope

alertsremediationdata_CL

| sort by TimeGenerated desc

Datos de alertas de Netskope SecurityAssessment

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Datos de alertas de Netskope Uba

alertsubadata_CL

| sort by TimeGenerated desc

Datos de eventos de la aplicación Netskope.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Datos de eventos de auditoría de Netskope

eventsauditdata_CL

| sort by TimeGenerated desc

Datos de eventos de conexión de Netskope

eventsconnectiondata_CL

| sort by TimeGenerated desc

Datos de eventos de incidentes de Netskope

eventsincidentdata_CL

| sort by TimeGenerated desc

Datos de eventos de red de Netskope

eventsnetworkdata_CL

| sort by TimeGenerated desc

Datos de eventos de página de Netskope

eventspagedata_CL

| sort by TimeGenerated desc

Datos de métricas de Netskope WebTransactions

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Requisitos previos

Para integrar con el conector de datos Netskope (mediante Azure Functions), asegúrese de que tiene:

  • Suscripción de Azure: Se requiere la suscripción de Azure con el rol de propietario para registrar una aplicación en azure active directory() y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
  • Credenciales y permisos de la API de REST: se requieren Netskope Tenant y Netskope API Token. Consulte la documentación para obtener más información sobre la API en referencia de la API de Rest

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a las API de Netskope para extraer sus datos de alertas y eventos en la tabla de registro personalizada. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

  1. Inicie sesión en Azure Portal.
  2. Busque y seleccione Microsoft Entra ID.
  3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
  4. Escriba un Nombre de usuario para la aplicación.
  5. Seleccione Registrar para completar el registro inicial de la aplicación.
  6. Cuando finaliza el registro, en Azure Portal se muestra el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) y id. de inquilino. El Id. de cliente y el Id. de inquilino son necesarios como parámetros de configuración para la ejecución del cuaderno de estrategias de TriggersSync.

Vínculo de referencia: /azure/active-directory/develop/quickstart-register-app

PASO 2: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución del cuaderno de estrategias de TriggersSync. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

  1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.
  2. Seleccione Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente.
  3. Agregue una descripción para el secreto de cliente.
  4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
  5. Seleccione Agregar.
  6. Registre el valor del secreto para su uso en el código de la aplicación cliente. Este valor secreto no se volverá a mostrar una vez que abandone esta página. El valor del secreto es necesario como parámetro de configuración para la ejecución del cuaderno de estrategias de TriggersSync.

Vínculo de referencia: azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 3: Asignación de un rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

  1. En Azure Portal, vaya a Grupo de recursos y seleccione el grupo de recursos.
  2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
  3. Haga clic en Agregar, y a continuación seleccione Agregar asignación de roles.
  4. Seleccione Colaborador como rol y haga clic en siguiente.
  5. En Asignar acceso a, seleccione User, group, or service principal.
  6. Haga clic en agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
  7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia: /azure/role-based-access-control/role-assignments-portal

PASO 4: Pasos para crear o obtener credenciales para la cuenta de Netskope

Siga los pasos de esta sección para crear u obtener el Nombre de host de Netskope y el Token de API de Netskope:

  1. Inicie sesión en el inquilino de Netskope y vaya al menú Configuración en la barra de navegación de la izquierda.
  2. Haga clic en Herramientas y después en API REST v2
  3. Ahora, haga clic en el botón Nuevo token. Después, se le solicitará el nombre del token, la duración de la expiración y los puntos de conexión de los que quiere capturar datos.
  4. Una vez que haya hecho esto, haga clic en el botón Guardar; se generará el token. Copie el token y guárdelo en un lugar seguro para su uso posterior.

PASO 5: pasos para crear las funciones de Azure para la recopilación de datos de alertas y eventos de Netskope

IMPORTANTE: Antes de implementar el conector de datos Netskope, tenga a mano el id. y la clave principal del área de trabajo (pueden copiarse de lo siguiente), así como la clave de autorización de la API de Netskope.

Con la plantilla de ARM se implementan las aplicaciones de función para la ingesta de eventos de Netskope y los datos de alertas en Sentinel.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escriba la siguiente información: Netskope HostName Netskope API Token Seleccione Sí en Tipos de alertas y eventos en la lista desplegable para ese punto de conexión que desea capturar Alertas y registro de eventos Nivel ID del Área de trabajo Área de trabajo Clave

  4. Haga clic en Revisar y crear.

  5. Después de la validación, haga clic en Crear para realizar la implementación.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.