Netskope Web Transactions Data Connessione or (using Funzioni di Azure) connector for Microsoft Sentinel
Il connettore dati Netskope Web Transactions fornisce la funzionalità di un'immagine Docker per eseguire il pull dei dati delle transazioni Web Netskope da google pubsublite, elaborare i dati e inserire i dati elaborati in Log Analytics. Nell'ambito di questo connettore dati verranno create due tabelle in Log Analytics, una per i dati delle transazioni Web e un'altra per gli errori riscontrati durante l'esecuzione.
Per altri dettagli relativi alle transazioni Web, vedere la documentazione seguente: Netskope Web Transactions
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Netskope |
Esempi di query
Dati delle transazioni Web Netskope
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Netskope Web Transactions Data Connessione or Errors
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con Netskope Web Transactions Data Connessione or (usando Funzioni di Azure) assicurarsi di avere:
- Sottoscrizione di Azure: la sottoscrizione di Azure con ruolo proprietario è necessaria per registrare un'applicazione nell'ID Microsoft Entra e assegnare il ruolo di collaboratore all'app nel gruppo di risorse.
- Autorizzazioni Microsoft.Compute: sono necessarie autorizzazioni di lettura e scrittura per le macchine virtuali di Azure. Per altre informazioni sulle macchine virtuali di Azure, vedere la documentazione.
- Credenziali e autorizzazioni TransactionEvents: è necessario netskope tenant e token API Netskope. Per altre informazioni sugli eventi delle transazioni, vedere la documentazione.
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
Istruzioni di installazione fornitore
Nota
Questo connettore fornisce la funzionalità di inserimento dei dati delle transazioni Web Netskope usando un'immagine Docker da distribuire in una macchina virtuale (vm di Azure/macchina virtuale locale). Per informazioni dettagliate, vedere la pagina dei prezzi delle macchine virtuali di Azure.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
PASSAGGIO 1 - Passaggi per creare/ottenere le credenziali per l'account Netskope
Seguire la procedura descritta in questa sezione per creare/ottenere Netskope Hostname e Netskope API Token:
- Accedere al tenant netskope e passare al menu Impostazioni sulla barra di spostamento a sinistra.
- Fare clic su Strumenti e quindi sull'API REST v2
- Fare clic sul pulsante nuovo token. Richiederà quindi il nome del token, la durata della scadenza e gli endpoint da cui si vogliono recuperare i dati.
- Al termine, fare clic sul pulsante Salva, verrà generato il token. Copiare il token e salvarlo in un luogo sicuro per un ulteriore utilizzo.
**PASSAGGIO 2 - Scegliere una delle due opzioni di distribuzione seguenti per distribuire il connettore dati basato su Docker per inserire i dati delle transazioni Web Netskope **
IMPORTANTE: prima di distribuire netskope data connector, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue) immediatamente disponibile, nonché delle chiavi di autorizzazione DELL'API Netskope [Assicurarsi che il token disponga delle autorizzazioni per gli eventi delle transazioni].
Opzione 1 - Uso del modello di Azure Resource Manager (ARM) per distribuire la macchina virtuale [scelta consigliata]
Usando il modello di Resource Manager distribuire una macchina virtuale di Azure, installare i prerequisiti e avviare l'esecuzione.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.
Immettere le informazioni seguenti:
- Nome immagine Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Netskope API Token
- Seek Timestamp (Timestamp dell'epoca che si desidera cercare il puntatore pubsublite, può essere lasciato vuoto)
- ID area di lavoro
- Chiave dell'area di lavoro
- Backoff Retry Count (Conteggio tentativi per gli errori correlati al token prima di riavviare l'esecuzione).
- Tempo di sospensione backoff (numero di secondi di sospensione prima di riprovare)
- Timeout di inattività (numero di secondi di attesa per i dati delle transazioni Web prima del riavvio dell'esecuzione)
- Nome macchina virtuale
- Tipo di autenticazione
- Admin Password or Key (Chiave o password amministratore)
- Prefisso etichetta DNS
- Ubuntu OS Version (Versione sistema operativo Ubuntu)
- Ufficio
- Dimensioni macchina virtuale
- Nome della subnet
- Nome gruppo di sicurezza di rete
- Tipo di sicurezza
Fare clic su Rivedi e crea.
Quindi, dopo la convalida, fare clic su Crea per la distribuzione.
Opzione 2 - Distribuzione manuale nella macchina virtuale creata in precedenza
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati basato su Docker in una macchina virtuale creata in precedenza.
1. Installare Docker e eseguire il pull dell'immagine Docker
NOTA: assicurarsi che la macchina virtuale sia basata su Linux (preferibilmente Su Ubuntu).
- In primo luogo, sarà necessario eseguire SSH nella macchina virtuale.
- Installare ora il motore Docker.
- Eseguire ora il pull dell'immagine Docker dall'hub docker usando il comando :'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
- A questo ora per eseguire l'immagine docker, usare il comando :
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. È possibile sostituiremgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactionscon l'ID immagine. Eccodocker_persistent_volumeil nome della cartella che verrà creata nella macchina virtuale in cui verranno archiviati i file.
2. Configurare i parametri
- Quando l'immagine Docker è in esecuzione, verrà chiesto i parametri necessari.
- Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori (distinzione tra maiuscole e minuscole):
- Netskope HostName
- Netskope API Token
- Seek Timestamp (Timestamp dell'epoca che si desidera cercare il puntatore pubsublite, può essere lasciato vuoto)
- ID area di lavoro
- Chiave dell'area di lavoro
- Backoff Retry Count (Conteggio tentativi per gli errori correlati al token prima di riavviare l'esecuzione).
- Tempo di sospensione backoff (numero di secondi di sospensione prima di riprovare)
- Timeout di inattività (numero di secondi di attesa per i dati delle transazioni Web prima del riavvio dell'esecuzione)
- Ora l'esecuzione è stata avviata ma è in modalità interattiva, in modo che la shell non possa essere arrestata. Per eseguirlo come processo in background, arrestare l'esecuzione corrente premendo CTRL+C e quindi usare il comando :
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Arrestare il contenitore Docker
- Usare il comando
sudo docker container psper elencare i contenitori Docker in esecuzione. Prendere nota dell'ID contenitore. - Arrestare ora il contenitore usando il comando :
sudo docker stop *<*container-id*>*
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.