Соединитель данных Подключение транзакций Netskope (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных две таблицы будут сформированы в Log Analytics, одна для данных веб-транзакций и другая для ошибок, возникающих во время выполнения.
Дополнительные сведения о веб-транзакциях см. в следующей документации: документация по Netskope Web Transactions
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Netskope |
Примеры запросов
Данные веб-транзакций Netskope
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Ошибки Подключение данных веб-транзакций Netskope
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрировать данные Netskope Web Transactions Подключение or (с помощью Функции Azure), убедитесь, что у вас есть:
- Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Compute. Требуется разрешение на чтение и запись виртуальных машин Azure. Дополнительные сведения о виртуальных машинах Azure см. в документации.
- Учетные данные и разрешения transactionEvents: требуется клиент Netskope и токен API Netskope. Дополнительные сведения о событиях транзакций см. в документации.
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель предоставляет функциональные возможности приема данных Netskope Web Transactions с помощью образа Docker для развертывания на виртуальной машине (виртуальная машина Azure или локальная виртуальная машина). Дополнительные сведения см. на странице цен на виртуальную машину Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по созданию и получении учетных данных для учетной записи Netskope
Выполните действия, описанные в этом разделе, чтобы создать и получить имя узла Netskope и токен API Netskope:
- Войдите в клиент Netskope и перейдите в меню Параметры на левой панели навигации.
- Щелкните "Сервис", а затем REST API версии 2
- Теперь нажмите кнопку нового маркера. Затем будет запрашиваться имя маркера, длительность окончания срока действия и конечные точки, из которого требуется получить данные.
- После этого нажмите кнопку сохранения, будет создан маркер. Скопируйте маркер и сохраните его в безопасном месте для дальнейшего использования.
**ШАГ 2. Выберите один из следующих двух вариантов развертывания для развертывания соединителя данных на основе Docker для приема данных Netskope Web Transactions **
ВАЖНО. Перед развертыванием соединителя данных Netskope укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Netskope [Убедитесь, что маркер имеет разрешения для событий транзакций].
Вариант 1. Использование шаблона Azure Resource Manager (ARM) для развертывания виртуальной машины [рекомендуется]
С помощью шаблона ARM разверните виртуальную машину Azure, установите необходимые компоненты и запустите выполнение.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие сведения:
- Имя образа Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Маркер API Netskope
- Искать метку времени (метка времени эпохи, которую вы хотите искать указатель pubsublite, можно оставить пустым)
- Идентификатор рабочей области
- Ключ рабочей области
- Счетчик повторных попыток (число повторных попыток для связанных с маркером ошибок перед перезапуском выполнения).)
- Время ожидания отката (количество секунд для спящего режима перед повторным повтором)
- Время ожидания простоя (количество секунд ожидания данных веб-транзакций перед перезапуском)
- Имя виртуальной машины
- Тип проверки подлинности
- Пароль или ключ администратора
- Префикс метки DNS
- Версия ОС Ubuntu
- Расположение
- Размер виртуальной машины
- Имя подсети
- Имя группы безопасности сети
- Тип безопасности
Нажмите кнопку "Рецензирование и создание".
Затем после проверки нажмите кнопку "Создать ", чтобы развернуть.
Вариант 2. Развертывание вручную на ранее созданной виртуальной машине
Выполните следующие пошаговые инструкции по развертыванию соединителя данных на основе Docker вручную на ранее созданной виртуальной машине.
1. Установка docker и извлечение образа Docker
ПРИМЕЧАНИЕ. Убедитесь, что виртуальная машина основана на linux (желательно Ubuntu).
- Сначала вам потребуется SSH-подключение к виртуальной машине.
- Теперь установите подсистему Docker.
- Теперь извлеките образ docker из центра docker с помощью команды: sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions.
- Теперь для запуска образа Docker используйте команду:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactionsМожно заменитьmgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactionsидентификатором изображения. Нижеdocker_persistent_volumeприведено имя папки, которая будет создана на виртуальной машине, в которой будут храниться файлы.
2. Настройка параметров
- После запуска образа Docker он будет запрашивать необходимые параметры.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра):
- Netskope HostName
- Маркер API Netskope
- Искать метку времени (метка времени эпохи, которую вы хотите искать указатель pubsublite, можно оставить пустым)
- Идентификатор рабочей области
- Ключ рабочей области
- Счетчик повторных попыток (число повторных попыток для связанных с маркером ошибок перед перезапуском выполнения).)
- Время ожидания отката (количество секунд для спящего режима перед повторным повтором)
- Время ожидания простоя (количество секунд ожидания данных веб-транзакций перед перезапуском)
- Теперь выполнение запущено, но находится в интерактивном режиме, чтобы оболочка не была остановлена. Чтобы запустить его в качестве фонового процесса, остановите текущее выполнение, нажав клавиши CTRL+C, а затем используйте команду:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Остановка контейнера Docker
- Используйте команду
sudo docker container psдля перечисления запущенных контейнеров Docker. Запишите идентификатор контейнера. - Теперь остановите контейнер с помощью команды:
sudo docker stop *<*container-id*>*
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.