Netskope Web Transactions Data Connector (Azure Functions を使用) Microsoft Sentinel 用コネクタ
Netskope Web Transactions データ コネクタは、Google Pub/Sub Lite から Netskope Web Transactions データをプルし、そのデータを処理して、処理済みのデータを Log Analytics に取り込むための Docker イメージの機能を提供します。 このデータ コネクタの一部として、2 つのテーブルが Log Analytics に作成されます。1 つは Web Transactions データ用で、もう 1 つは実行中に発生したエラー用です。
Web Transactions に関連する詳細については、次のドキュメントを参照してください: Netskope Web Transactions のドキュメント
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Netskope |
クエリのサンプル
Netskope Web Transactions Data
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Netskope Web Transactions Data Connector のエラー
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
前提条件
Netskope Web Transactions Data Connector (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Azure サブスクリプション: Microsoft Entra ID でアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Compute のアクセス許可: Azure VM への読み取りアクセス許可と書き込みアクセス許可が必要です。 Azure VM の詳細については、こちらのドキュメントを参照してください。
- TransactionEvents の資格情報とアクセス許可: Netskope テナントと Netskope API トークンが必要です。 トランザクション イベントの詳細については、こちらのドキュメントを参照してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
ベンダーのインストール手順
Note
このコネクタは、仮想マシン (Azure VM またはオンプレミスの VM) にデプロイされる Docker イメージを使用して Netskope Web Transactions データを取り込む機能を提供します。 詳細については、「Azure VM の価格ページ」を確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
手順 1 - Netskope アカウントの資格情報を作成/取得する手順
このセクションの手順に従って、Netskope Hostname と Netskope API トークンを作成/取得します。
- Netskope テナントにログインし、左側のナビゲーション バーの [設定] メニューに移動します。
- [ツール] をクリックし、[REST API v2] をクリックします
- 次に、新しいトークン ボタンをクリックします。 次に、トークン名、有効期限、データのフェッチ先となるエンドポイントの入力を求められます。
- 入力を完了したら、[保存] ボタンをクリックすると、トークンが生成されます。 トークンをコピーし、今後の使用のために安全な場所に保存します。
**手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、Netskope Web Transactions データを取り込むための Docker ベースのデータ コネクタをデプロイします**
重要: Netskope データ コネクタをデプロイする前に、ワークスペース ID とワークスペースの主キー (以下からコピー可能) および Netskope API 承認キーをすぐ利用できるように用意します (トークンにトランザクション イベントへのアクセス許可があることを確認してください)。
オプション 1 - Azure Resource Manager (ARM) テンプレートを使用して VM をデプロイする [推奨]
ARM テンプレートを使用して Azure VM をデプロイし、前提条件をインストールして、実行を開始します。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
次の情報を追加します。
- Docker イメージ名 (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Netskope API トークン
- シーク タイムスタンプ (pubsublite ポインターをシークするエポック タイムスタンプ。空のままにすることができます)
- ワークスペース ID
- ワークスペース キー
- バックオフ再試行回数 (実行を再開する前のトークン関連エラーの再試行回数)
- バックオフ スリープ時間 (再試行前にスリープする秒数)
- アイドル タイムアウト (実行を再開する前に Web Transactions データを待機する秒数)
- VM 名
- 認証の種類
- [管理パスワードまたはキー]
- DNS ラベル プレフィックス
- Ubuntu OS バージョン
- 場所
- VM サイズ
- サブネット名
- ネットワーク セキュリティ グループ名
- 証券の種類
[確認と作成] をクリックします。
検証後、[作成] をクリックしてデプロイします。
オプション 2 - 以前に作成した仮想マシンへの手動デプロイ
以前に作成した仮想マシンに Docker ベースのデータ コネクタを手動でデプロイするには、次の詳細な手順に従います。
1.Docker をインストールして Docker イメージをプルする
注: VM が Linux ベース (できれば Ubuntu) であることを確認します。
- まず、仮想マシンに SSH 接続する必要があります。
- 次に、Docker エンジンをインストールします。
- 次に、'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions' コマンドを使用して、Docker Hub から Docker イメージをプルします。
- 次に、
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactionsコマンドを使用して Docker イメージを実行します。mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactionsをイメージ ID に置き換えることができます。ここで、docker_persistent_volumeは、ファイルが格納される VM 上に作成されるフォルダーの名前です。
2.パラメーターを構成する
- Docker イメージが実行されると、必要なパラメーターの入力を求められます。
- 次の各アプリケーション設定を、それぞれの値で個別に追加します (大文字と小文字を区別します)。
- Netskope HostName
- Netskope API トークン
- シーク タイムスタンプ (pubsublite ポインターをシークするエポック タイムスタンプ。空のままにすることができます)
- ワークスペース ID
- ワークスペース キー
- バックオフ再試行回数 (実行を再開する前のトークン関連エラーの再試行回数)
- バックオフ スリープ時間 (再試行前にスリープする秒数)
- アイドル タイムアウト (実行を再開する前に Web Transactions データを待機する秒数)
- 実行は開始されましたが、対話型モードになっているため、シェルを停止できません。 バックグラウンド プロセスとして実行するには、Ctrl + C キーを押して現在の実行を停止し、次のコマンドを使用します:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3.Docker コンテナーを停止する
sudo docker container psコマンドを使用して、実行中の Docker コンテナーを一覧表示します。 コンテナー ID をメモしておきます。- 次に、
sudo docker stop *<*container-id*>*コマンドを使用してコンテナーを停止します。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示