Conector Netskope Web Transactions Data Connector (usando Azure Functions) para Microsoft Sentinel

O conector de dados Netskope Web Transactions fornece a funcionalidade de uma imagem docker para extrair os dados do Netskope Web Transactions do google pubsublite, processar os dados e ingerir os dados processados ​​para o Log Analytics. Como parte desse conector de dados serão formadas duas tabelas no Log Analytics, uma para dados de Transações Web e outra para erros encontrados durante a execução.

Para obter mais detalhes relacionados às transações da Web, consulte a documentação abaixo: Documentação do Netskope Web Transactions

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Netskope

Exemplos de consulta

Dados de transações da Netskope Web

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Erros do conector de dados de transações da Web do Netskope

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Netskope Web Transactions Data Connector (usando Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Observação

Esse conector fornece a funcionalidade de ingestão de dados do Netskope Web Transactions usando uma imagem docker a ser implantada em uma máquina virtual (VM do Azure/VM no local). Verifique a página de preços da VM do Azure para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

ETAPA 1 - Etapas para criar/obter credenciais para a conta Netskope

Siga as etapas nessa seção para criar/obter Netskope Hostname e Netskope API Token:

  1. Faça login em seu Netskope Tenant e vá para o menu Configurações na *barra de navegação esquerda.
  2. Clique em Ferramentas e depois em REST API v2
  3. Agora, clique no botão novo token. Em seguida, ele solicitará o nome do token, a duração da expiração e os pontos de extremidade dos quais você deseja buscar dados.
  4. Feito isso clique no botão salvar, o token será gerado. Copie o token e salve-o em um local seguro para uso posterior.

**ETAPA 2 - Escolha uma das duas opções de implantação a seguir para implantar o conector de dados baseado em docker para ingerir dados do Transações Web do Netskope **

IMPORTANTE: Antes de implantar o conector de dados do Netskope, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas a partir do seguinte) prontamente disponíveis, bem como as chaves de autorização da API do Netskope [Certifique-se de que o token tenha permissões para eventos de transação].

Opção 1 – Usando o modelo do Azure Resource Manager (ARM) para implantar VM [recomendado]

Usando o modelo ARM, implante uma VM do Azure, instale os pré-requisitos e inicie a execução.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Insira as informações abaixo :

    • Nome da imagem do Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Netskope HostName
    • Token da API da Netskope
    • Seek Timestamp (O carimbo de data e hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado em branco)
    • ID do Workspace
    • Chave do espaço de trabalho
    • Contagem de Novas Tentativas de Backoff (A contagem de novas tentativas para erros relacionados ao token antes de reiniciar a execução.)
    • Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
    • Tempo limite de inatividade (número de segundos de espera pelos dados de transações da Web antes de reiniciar a execução)
    • Nome da VM
    • Tipo de autenticação
    • Senha ou chave de administrador
    • Prefixo do rótulo DNS
    • Versão do sistema operacional Ubuntu
    • Localidade
    • Tamanho da VM
    • Nome da sub-rede
    • Nome do grupo de segurança de rede
    • Tipo de segurança
  4. Clique em Revisar+Criar.

  5. Depois da validação clique em Criar para implantar.

Opção 2 – Implantação manual em máquina virtual criada anteriormente

Use as instruções passo a passo a seguir para implantar manualmente o conector de dados baseado em docker em uma máquina virtual criada anteriormente.

1. Instale o docker e puxe a imagem do docker

OBSERVAÇÃO: Certifique-se de que a VM seja baseada em Linux (de preferência Ubuntu).

  1. Primeiramente você precisará SSH na máquina virtual.
  2. Agora instale mecanismo docker.
  3. Agora extraia a imagem docker do docker hub usando o comando: “sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions”.
  4. Agora, para executar a imagem docker, use o comando: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Você pode substituir mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions pelo ID da imagem. Aqui docker_persistent_volume é o nome da pasta que seria criada na VM na qual os arquivos serão armazenados.

2. Configurar os parâmetros

  1. Assim que a imagem do docker estiver em execução, ela solicitará os parâmetros necessários.
  2. Adicione cada uma das seguintes configurações de aplicativo individualmente, com seus respectivos valores (diferenciando maiúsculas de minúsculas):
    • Netskope HostName
    • Token da API da Netskope
    • Seek Timestamp (O carimbo de data e hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado em branco)
    • ID do Workspace
    • Chave do espaço de trabalho
    • Contagem de Novas Tentativas de Backoff (A contagem de novas tentativas para erros relacionados ao token antes de reiniciar a execução.)
    • Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
    • Tempo limite de inatividade (número de segundos de espera pelos dados de transações da Web antes de reiniciar a execução)
  3. Agora a execução foi iniciada, mas está em modo interativo, de modo que o shell não pode ser interrompido. Para executá-lo como um processo em segundo plano, interrompa a execução atual pressionando Ctrl+C e use o comando: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Pare o contêiner do Docker

  1. Use o comando sudo docker container ps para listar os contêineres do Docker em execução. Anote o ID do seu contêiner.
  2. Agora pare o contêiner usando o comando: sudo docker stop *<*container-id*>*

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.