Microsoft Sentinel 用 Netskope Data Connector (Azure Functions を使用) コネクタ
Netskope データ コネクタは次の機能を提供します。
- NetskopeToAzureStorage: Netskope から Netskope のアラートとイベントのデータを取得し、Azure Storage にポストします。
- StorageToSentinel: Azure Storage から Netskope のアラートとイベントのデータを取得し、Log Analytics ワークスペースのカスタム ログ テーブルにポストします。
- WebTxMetrics: Netskope から WebTxMetrics データを取得し、Log Analytics ワークスペースのカスタム ログ テーブルにポストします。
REST API について詳しくは、次のドキュメントをご覧ください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Netskope |
クエリのサンプル
Netskope CompromisedCredential アラート データ
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
Netskope CTEP アラート データ
alertsctepdata_CL
| sort by TimeGenerated desc
Netskope DLP アラート データ
alertsdlpdata_CL
| sort by TimeGenerated desc
Netskope Malsite アラート データ
alertsmalsitedata_CL
| sort by TimeGenerated desc
Netskope Malware アラート データ
alertsmalwaredata_CL
| sort by TimeGenerated desc
Netskope Policy アラート データ
alertspolicydata_CL
| sort by TimeGenerated desc
Netskope Quarantine アラート データ
alertsquarantinedata_CL
| sort by TimeGenerated desc
Netskope Remediation アラート データ
alertsremediationdata_CL
| sort by TimeGenerated desc
Netskope SecurityAssessment アラート データ
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
Netskope Uba アラート データ
alertsubadata_CL
| sort by TimeGenerated desc
Netskope Application イベント データ
eventsapplicationdata_CL
| sort by TimeGenerated desc
Netskope Audit イベント データ
eventsauditdata_CL
| sort by TimeGenerated desc
Netskope Connection イベント データ
eventsconnectiondata_CL
| sort by TimeGenerated desc
Netskope Incident イベント データ
eventsincidentdata_CL
| sort by TimeGenerated desc
Netskope Network イベント データ
eventsnetworkdata_CL
| sort by TimeGenerated desc
Netskope Page イベント データ
eventspagedata_CL
| sort by TimeGenerated desc
Netskope WebTransactions メトリック データ
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
前提条件
Netskope Data Connector (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Azure サブスクリプション: Azure Active Directory にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- REST API の資格情報とアクセス許可: Netskope テナントと Netskope API トークンが必要です。 API について詳しくは、Rest API リファレンス ドキュメントをご覧ください。
ベンダーのインストール手順
Note
このコネクタは、Azure Functions を使って Netskope API に接続し、アラートとイベントのデータをカスタム ログ テーブルにプルします。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
ステップ 1 - Microsoft Entra ID でのアプリケーションのアプリ登録手順
この統合には、Azure portal でのアプリの登録が必要です。 このセクションの手順に従って、Microsoft Entra ID で新しいアプリケーションを作成します。
- Azure portal にサインインします。
- Microsoft Entra ID を検索して選択します。
- [管理] で、[アプリの登録] > [新規登録] を選びます。
- アプリケーションの表示名を入力します。
- [登録] を選択して、初期のアプリ登録を完了します。
- 登録が完了すると、Azure portal に、アプリの登録の [概要] ペインが表示されます。 [アプリケーション (クライアント) ID] と [テナント ID] があります。 TriggersSync プレイブックを実行するための構成パラメーターとして、クライアント ID とテナント ID が必要です。
参照リンク:/azure/active-directory/develop/quickstart-register-app
ステップ 2 - Microsoft Entra ID でアプリケーションのクライアント シークレットを追加する
アプリケーション パスワードと呼ばれることもあるクライアント シークレットは、TriggersSync プレイブックの実行に必要な文字列値です。 このセクションの手順に従って、新しいクライアント シークレットを作成します。
- Azure portal の [アプリの登録] で、対象のアプリケーションを選択します。
- [証明書 & シークレット]>[クライアント シークレット]>[新しいクライアント シークレット] を選択します。
- クライアント シークレットの説明を追加します。
- シークレットの有効期限を選択するか、カスタムの有効期間を指定します。 制限は 24 か月です。
- [追加] を選択します。
- クライアント アプリケーションのコードで使用できるように、"シークレットの値を記録します"。 このページからの移動後は、このシークレットの値は "二度と表示されません"。 シークレット値は、TriggersSync プレイブックを実行するための構成パラメーターとして必要です。
参照リンク:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ステップ 3 - Microsoft Entra ID でアプリケーションに共同作成者のロールを割り当てる
このセクションの手順に従って、ロールを割り当てます。
- Azure portal で [リソース グループ] に移動し、自分のリソース グループを選択します。
- 左側のパネルから [アクセスの制御 (IAM)] に移動します。
- [+ 追加] をクリックし、[ロールの割り当ての追加] を選択します
- ロールとして [共同作成者] を選択し、[次へ] をクリックします。
- [アクセスの割り当て先] で [
User, group, or service principal] を選択します。 - [メンバーの追加] をクリックし、作成したアプリ名を入力して選択します。
- [確認と割り当て] をクリックし、もう一度 [確認と割り当て] をクリックします。
参照リンク:/azure/role-based-access-control/role-assignments-portal
ステップ 4 - Netskope アカウントの資格情報を作成および取得する手順
このセクションの手順に従って、Netskope ホスト名と Netskope API トークンを作成および取得します。
- Netskope テナントにログインし、左側のナビゲーション バーの [設定] メニューに移動します。
- [ツール] をクリックし、[REST API v2] をクリックします
- 次に、新しいトークン ボタンをクリックします。 次に、トークン名、有効期限、データのフェッチ先となるエンドポイントの入力を求められます。
- 入力を完了したら、[保存] ボタンをクリックすると、トークンが生成されます。 トークンをコピーし、今後の使用のために安全な場所に保存します。
ステップ 5 - Netskope のアラートとイベントのデータ収集用の Azure 関数を作成する手順
重要: Netskope Data Connector をデプロイする前に、ワークスペース ID とワークスペース プライマリ キー (以下からコピーできます)、Netskope API 認可キーをすぐに使用できるようにしておきます。
ARM テンプレートを使って、Netskope のイベントとアラートのデータを Sentinel に取り込むための関数アプリをデプロイします。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
次の情報を入力します: Netskope ホスト名と Netskope API トークン。アラートとイベントをフェッチするエンドポイントのアラートとイベントの種類のドロップダウンで [はい] を選びます。ログ レベル。ワークスペース ID。ワークスペース キー
[確認と作成] をクリックします。
検証後、[作成] をクリックしてデプロイします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示