Conector Netskope Web Transactions Data Connector (usando Azure Functions) para Microsoft Sentinel
O conector de dados Netskope Web Transactions fornece a funcionalidade de uma imagem docker para extrair os dados do Netskope Web Transactions do google pubsublite, processar os dados e ingerir os dados processados para o Log Analytics. Como parte desse conector de dados serão formadas duas tabelas no Log Analytics, uma para dados de Transações Web e outra para erros encontrados durante a execução.
Para obter mais detalhes relacionados às transações da Web, consulte a documentação abaixo: Documentação do Netskope Web Transactions
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Netskope |
Exemplos de consulta
Dados de transações da Netskope Web
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Erros do conector de dados de transações da Web do Netskope
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Netskope Web Transactions Data Connector (usando Azure Functions), certifique-se de ter:
- Assinatura do Azure: a assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de contribuidor ao aplicativo no grupo de recursos.
- Permissões Microsoft.Compute: são necessárias permissões de leitura e gravação para VMs do Azure. Veja a documentação para saber mais sobre as VMs do Azure.
- Credenciais e permissões de TransactionEvents: Netskope Tenant e Netskope API Token são necessários. Veja a documentação para saber mais sobre eventos de transação.
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
Instruções de instalação do fornecedor
Observação
Esse conector fornece a funcionalidade de ingestão de dados do Netskope Web Transactions usando uma imagem docker a ser implantada em uma máquina virtual (VM do Azure/VM no local). Verifique a página de preços da VM do Azure para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
ETAPA 1 - Etapas para criar/obter credenciais para a conta Netskope
Siga as etapas nessa seção para criar/obter Netskope Hostname e Netskope API Token:
- Faça login em seu Netskope Tenant e vá para o menu Configurações na *barra de navegação esquerda.
- Clique em Ferramentas e depois em REST API v2
- Agora, clique no botão novo token. Em seguida, ele solicitará o nome do token, a duração da expiração e os pontos de extremidade dos quais você deseja buscar dados.
- Feito isso clique no botão salvar, o token será gerado. Copie o token e salve-o em um local seguro para uso posterior.
**ETAPA 2 - Escolha uma das duas opções de implantação a seguir para implantar o conector de dados baseado em docker para ingerir dados do Transações Web do Netskope **
IMPORTANTE: Antes de implantar o conector de dados do Netskope, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas a partir do seguinte) prontamente disponíveis, bem como as chaves de autorização da API do Netskope [Certifique-se de que o token tenha permissões para eventos de transação].
Opção 1 – Usando o modelo do Azure Resource Manager (ARM) para implantar VM [recomendado]
Usando o modelo ARM, implante uma VM do Azure, instale os pré-requisitos e inicie a execução.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira as informações abaixo :
- Nome da imagem do Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Token da API da Netskope
- Seek Timestamp (O carimbo de data e hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado em branco)
- ID do Workspace
- Chave do espaço de trabalho
- Contagem de Novas Tentativas de Backoff (A contagem de novas tentativas para erros relacionados ao token antes de reiniciar a execução.)
- Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
- Tempo limite de inatividade (número de segundos de espera pelos dados de transações da Web antes de reiniciar a execução)
- Nome da VM
- Tipo de autenticação
- Senha ou chave de administrador
- Prefixo do rótulo DNS
- Versão do sistema operacional Ubuntu
- Localidade
- Tamanho da VM
- Nome da sub-rede
- Nome do grupo de segurança de rede
- Tipo de segurança
Clique em Revisar+Criar.
Depois da validação clique em Criar para implantar.
Opção 2 – Implantação manual em máquina virtual criada anteriormente
Use as instruções passo a passo a seguir para implantar manualmente o conector de dados baseado em docker em uma máquina virtual criada anteriormente.
1. Instale o docker e puxe a imagem do docker
OBSERVAÇÃO: Certifique-se de que a VM seja baseada em Linux (de preferência Ubuntu).
- Primeiramente você precisará SSH na máquina virtual.
- Agora instale mecanismo docker.
- Agora extraia a imagem docker do docker hub usando o comando: “sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions”.
- Agora, para executar a imagem docker, use o comando:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Você pode substituirmgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactionspelo ID da imagem. Aquidocker_persistent_volumeé o nome da pasta que seria criada na VM na qual os arquivos serão armazenados.
2. Configurar os parâmetros
- Assim que a imagem do docker estiver em execução, ela solicitará os parâmetros necessários.
- Adicione cada uma das seguintes configurações de aplicativo individualmente, com seus respectivos valores (diferenciando maiúsculas de minúsculas):
- Netskope HostName
- Token da API da Netskope
- Seek Timestamp (O carimbo de data e hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado em branco)
- ID do Workspace
- Chave do espaço de trabalho
- Contagem de Novas Tentativas de Backoff (A contagem de novas tentativas para erros relacionados ao token antes de reiniciar a execução.)
- Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
- Tempo limite de inatividade (número de segundos de espera pelos dados de transações da Web antes de reiniciar a execução)
- Agora a execução foi iniciada, mas está em modo interativo, de modo que o shell não pode ser interrompido. Para executá-lo como um processo em segundo plano, interrompa a execução atual pressionando Ctrl+C e use o comando:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Pare o contêiner do Docker
- Use o comando
sudo docker container pspara listar os contêineres do Docker em execução. Anote o ID do seu contêiner. - Agora pare o contêiner usando o comando:
sudo docker stop *<*container-id*>*
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.