Microsoft Sentinel için Netskope Veri Bağlayıcısı (Azure İşlevleri kullanarak) bağlayıcısı
Netskope veri bağlayıcısı aşağıdaki özellikleri sağlar:
- NetskopeToAzureStorage: Netskope'dan Netskope Uyarıları ve Olayları verilerini alın ve Azure depolamaya gönderin.
- StorageToSentinel: Azure depolamadan Netskope Uyarıları ve Olayları verilerini alın ve Log Analytics çalışma alanında özel günlük tablosuna gönderin.
- WebTxMetrics: Netskope'dan WebTxMetrics verilerini alın ve Log Analytics çalışma alanında özel günlük tablosuna gönderin.
REST API'lerinin diğer ayrıntıları için aşağıdaki belgelere bakın:
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | alertscompromisedcredentialdata_CL alertsctepdata_CL alertsdlpdata_CL alertsmalsitedata_CL alertsmalwaredata_CL alertspolicydata_CL alertsquarantinedata_CL alertsremediationdata_CL alertssecurityassessmentdata_CL alertsubadata_CL eventsapplicationdata_CL eventsauditdata_CL eventsconnectiondata_CL eventsincidentdata_CL eventsnetworkdata_CL eventspagedata_CL Netskope_WebTx_metrics_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Netskope |
Sorgu örnekleri
Netskope CompromisedCredential Alerts Data
alertscompromisedcredentialdata_CL
| sort by TimeGenerated desc
Netskope CTEP Uyarı Verileri
alertsctepdata_CL
| sort by TimeGenerated desc
Netskope DLP Uyarı Verileri
alertsdlpdata_CL
| sort by TimeGenerated desc
Netskope Malsite Uyarı Verileri
alertsmalsitedata_CL
| sort by TimeGenerated desc
Netskope Kötü Amaçlı Yazılım Uyarıları Verileri
alertsmalwaredata_CL
| sort by TimeGenerated desc
Netskope İlkesi Uyarı Verileri
alertspolicydata_CL
| sort by TimeGenerated desc
Netskope Karantina Uyarıları Verileri
alertsquarantinedata_CL
| sort by TimeGenerated desc
Netskope Düzeltme Uyarıları Verileri
alertsremediationdata_CL
| sort by TimeGenerated desc
Netskope SecurityAssessment Uyarı Verileri
alertssecurityassessmentdata_CL
| sort by TimeGenerated desc
Netskope Uba Uyarı Verileri
alertsubadata_CL
| sort by TimeGenerated desc
Netskope Uygulama Olayları Verileri.
eventsapplicationdata_CL
| sort by TimeGenerated desc
Netskope Denetim Olayları Verileri
eventsauditdata_CL
| sort by TimeGenerated desc
Netskope Bağlantı Olayları Verileri
eventsconnectiondata_CL
| sort by TimeGenerated desc
Netskope Olay Olay Verileri
eventsincidentdata_CL
| sort by TimeGenerated desc
Netskope Ağ Olay Verileri
eventsnetworkdata_CL
| sort by TimeGenerated desc
Netskope Sayfası Olay Verileri
eventspagedata_CL
| sort by TimeGenerated desc
Netskope WebTransactions Ölçüm Verileri
Netskope_WebTx_metrics_CL
| sort by TimeGenerated desc
Önkoşullar
Netskope Veri Bağlayıcısı ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Azure Aboneliği: Azure Active Directory()'de bir uygulamayı kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip Azure Aboneliği gereklidir.
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- REST API Kimlik Bilgileri/izinleri: Netskope Kiracısı ve Netskope API Belirteci gereklidir. Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın
Satıcı yükleme yönergeleri
Not
Bu bağlayıcı, Uyarılar ve Olaylar verilerini özel günlük tablosuna çekmek üzere Netskope API'lerine bağlanmak için Azure İşlevleri kullanır. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.
(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.
ADIM 1 - Microsoft Entra Id'de Uygulama için Uygulama Kaydı adımları
Bu tümleştirme için Azure portalında bir Uygulama kaydı gerekir. Microsoft Entra Id'de yeni bir uygulama oluşturmak için bu bölümdeki adımları izleyin:
- Azure Portal’ında oturum açın.
- Microsoft Entra ID öğesini arayıp seçin.
- Yönet'in altında Yeni kayıt Uygulama kayıtları'ı > seçin.
- Uygulamanız için bir görünen Ad girin.
- İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
- Kayıt tamamlandığında, Azure portalı uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) Kimliği ve Kiracı Kimliği'ni görürsünüz. İstemci kimliği ve Kiracı Kimliği, TriggersSync playbook'unun yürütülmesi için yapılandırma parametreleri olarak gereklidir.
Başvuru bağlantısı: /azure/active-directory/develop/quickstart-register-app
ADIM 2 - Microsoft Entra Id'de uygulama için istemci gizli dizisi ekleme
Bazen uygulama parolası olarak da adlandırılan istemci gizli dizisi, TriggersSync playbook'unun yürütülmesi için gereken bir dize değeridir. Yeni bir gizli dizi oluşturmak için bu bölümdeki adımları izleyin:
- Azure portalındaki Uygulama kayıtları uygulamanızı seçin.
- Sertifikalar ve gizli diziler İstemci gizli > dizileri > Yeni istemci gizli dizisi'ni seçin.
- İstemci gizli diziniz için bir açıklama ekleyin.
- Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
- Ekle'yi seçin.
- Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu sayfadan ayrıldıktan sonra bu gizli anahtar değeri hiçbir zaman görüntülenmez. Gizli dizi değeri, TriggersSync playbook'unun yürütülmesi için yapılandırma parametresi olarak gereklidir.
Başvuru bağlantısı: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ADIM 3 - Microsoft Entra Id'de uygulamaya Katkıda Bulunan rolü atama
Rolü atamak için bu bölümdeki adımları izleyin:
- Azure portalında Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
- Sol panelden Erişim denetimine (IAM) gidin.
- Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
- Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
- Erişim ata bölümünde öğesini seçin
User, group, or service principal. - Üye ekle'ye tıklayın, oluşturduğunuz uygulama adınızı yazın ve seçin.
- Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.
Başvuru bağlantısı: /azure/role-based-access-control/role-assignments-portal
ADIM 4 - Netskope hesabı için Kimlik Bilgileri oluşturma/alma adımları
Netskope Ana Bilgisayar Adı ve Netskope API Belirteci oluşturmak/almak için bu bölümdeki adımları izleyin:
- Netskope Kiracınızda oturum açın ve sol gezinti çubuğundaki Ayarlar menüsüne gidin.
- Araçlar'a ve ardından REST API v2'ye tıklayın
- Şimdi yeni belirteç düğmesine tıklayın. Ardından belirteç adını, süre sonu süresini ve veri getirmek istediğiniz uç noktaları ister.
- Bu işlem tamamlandıktan sonra kaydet düğmesine tıklayın, belirteç oluşturulur. Belirteci kopyalayın ve daha fazla kullanım için güvenli bir yere kaydedin.
5. ADIM - Netskope Uyarıları ve Olay Verileri Toplama için azure işlevlerini oluşturma adımları
ÖNEMLİ: Netskope veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Netskope API Yetkilendirme Anahtarları'na da sahip olun.
ARM şablonunu kullanarak Netskope olaylarının ve uyarı verilerinin Sentinel'e alımı için işlev uygulamalarını dağıtın.
Aşağıdaki Azure'a Dağıt düğmesine tıklayın.
Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.
Aşağıdaki bilgileri girin: Netskope HostName Netskope API Belirteci Uyarıları ve Olay türleri açılan listesinde Uyarıları ve Olay Günlük Düzeyi Çalışma Alanı Kimliği Çalışma Alanı Anahtarı'nı getirmek istediğiniz uç nokta için Evet'i seçin
Gözden Geçir+Oluştur'a tıklayın.
Doğrulamadan sonra dağıtmak için Oluştur'a tıklayın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.